lentepubblica

Interoperabilità nelle PA: le FAQ sulle linee guida

lentepubblica.it • 5 Dicembre 2022

interoperabilita-pa-faq-linee-guidaSono disponibili online le FAQ, con domande e risposta a tema, sulle linee guida per l’interoperabilità nelle PA.


Pubblicate sul sito dell’Agenzia per l’Italia Digitale le risposte ai dubbi più frequenti.

Quando è obbligatorio usare un certificato eIDAS? Si deve utilizzare MTLS per autenticare i client? Le Linee guida Sicurezza API obbligano ad utilizzare certificati eIDAS?

Sono alcune domande che frequentemente vengono poste ad AgID in merito all’applicazione delle Linee Guida sull’interoperabilità.

Potete consultare qui di seguito il testo completo delle linee guida.

Interoperabilità nelle PA: le FAQ sulle linee guida

Da oggi le risposte a questi e ad altri dubbi frequenti sono disponibili sul sito istituzionale in una nuova sezione di FAQ dedicata.

Ve le riportiamo qui di seguito.

Un certificato eIDAS è necessario quando è richiesta l’opponibilità a terzi.

Solamente quando il contenuto della comunicazione firmata digitalmente deve essere opponibile a un soggetto terzo rispetto all’Erogatore e al Fruitore: ad esempio, se la risposta di un’API deve essere inoltrata verso un soggetto esterno al trust, cosi come indicato nella  LG Sicurezza API § 6.2.3 [SIC_API_10].

Un certificato eIDAS non richiede accreditamento. 

Un certificato di questo tipo non richiede accreditamento perché l’identificazione avviene tramite l’utilizzo degli OID 2.5.4.97 organizationIdentifier e OID 2.5.4.11 organizationalUnitName come indicato nelle LG Sicurezza API.

Questo tipo di certificato è di fatto utilizzabile per più Erogatori e per più API: le LG Sicurezza API , in  SIC_API_05,  ribadiscono i contenuti del Regolamento eIDAS.

No, le LG Sicurezza API non obbligano ad utilizzare certificati eIDAS. 

Le LG Sicurezza API, nei  requisiti SIC_API_03 e SIC_API_04.a non comportano obblighi in merito all’uso di certificati.

Il requisito  SIC_API_04.b rimanda, per la gestione e la scelta dei certificati alla sezione opportuna.

Compatibilmente col visto 21 del regolamento eIDAS, le LG Sicurezza API indicano i principi per scambiare certificati digitali validi in specifici ecosistemi (e.g. certificati non eIDAS).

No, non sono obbligato ad utilizzare MTLS per autenticare i client. 

Le LG Sicurezza API includono tra i meccanismi di autenticazione e autorizzazione previsti dal requisito SIC_API_01, il protocollo OAuth2 §5.1.7.

Le Linee Guida sull’infrastruttura tecnologica della Piattaforma Digitale Nazionale Dati per l’interoperabilità dei sistemi informativi e delle basi di dati definiscono l’implementazione OAuth2 della piattaforma, che è quindi compatibile con i contenuti delle LG Sicurezza API.

Come indicato nelle Linee Guida sull’interoperabilità tecnica delle Pubbliche Amministrazioni, l’unico pattern di sicurezza sempre obbligatorio è ID_AUTH_CHANNEL_01 ossia l’autenticazione del server tramite certificato TLS emesso da una CA riconosciuta.

 

0 0 votes
Article Rating
Fonte: articolo di redazione lentepubblica.it
Subscribe
Notificami
guest
0 Commenti
Inline Feedbacks
View all comments