Nell’ambito delle attività di standardizzazione che si svolgono in ETSI, è giunto alle fasi finali il procedimento di redazione ed emissione degli standard dedicati ai servizi elettronici di recapito certificato (SERC).
Dei legami con la PEC e del suo futuro ne abbiamo già scritto.
Questo è il primo di una serie di articoli che, in modo per quanto possibile divulgativo e certamente sintetico descrive questo nuovo insieme di standard.
Considerato l’elevato interesse per i SERC di natura postale che rappresentano la potenziale evoluzione della ben nota Posta Elettronica Certificata (PEC) iniziamo con l’esame dello standard seguente.
Standard EN 319 531 ESI
EN 319 531 Electronic Signatures and Infrastructure (ESI): Policy and Security Requirements for Electronic Registered Electronic Mail Service Providers.
Notiamo subito che lo standard si riferisce ai prestatori di servizi di posta elettronica registrati ovvero ai servizi di raccomandata elettronica. Vista la diffusione internazionale dell’acronimo REM, nel seguito tali servizi saranno identificati mediante l’acronimo stesso.
Come è noto il regolamento europeo 910/2014 noto anche come eIDAS ha introdotto il servizio elettronico di recapito certificato come un “servizio che consente la trasmissione di dati fra terzi per via elettronica e fornisce prove relative al trattamento dei dati trasmessi, fra cui prove dell’avvenuto invio e dell’avvenuta ricezione dei dati, e protegge i dati trasmessi dal rischio di perdita, furto danni o di modifiche non autorizzate”.
L’appena citato regolamento 910/2014 (eIDAS) consente di ottenere l’attributo di qualificato ai prestatori di servizi fiduciari che intendono operare in un contesto di qualità e sicurezza ben definito e soggetto a vigilanza da parte delle istituzioni nazionali ed europee.
Lo standard in esame definisce i requisiti per le politiche organizzative e la sicurezza per i Registered Electronic Mail Service Provider (REMSP) comprendendo i servizi da loro prestati.
Lo standard in esame mira a coprire i requisiti comunemente riconosciuti a livello mondiale per indirizzare la REM verso caratteristiche di affidabilità e sicurezza.
Gli standard di riferimento
Visti gli obiettivi di definizione dei requisiti per l’ottenimento della qualifica dei REMSP questo documento fa riferimento agli standard generali sul tema:
- ETSI EN 319 401: ESI; General Policy Requirements for Trust Service Providers.
- ETSI EN 319 521: ESI; Policy and Security Requirements for Electronic Registered Delivery Service Providers.
Inoltre si fa riferimento allo standard sui formati della REM:
ETSI EN 319 532-3: ESI; Registered Electronic Mail (REM) Services; Part 3: Formats.
Disposizioni generali su politiche e pratiche
Dopo le iniziali e classiche descrizioni contestuali, lo standard entra nel vivo a partire dal capitolo 4 intitolato “Disposizioni generali su politiche e pratiche”.
Il contenuto è di fatto una lista di riscontro, sia di tipo generale che di maggior dettaglio per la verifica dei singoli requisiti relativi alle politiche e la sicurezza dei servizi di REM.
Un esempio è nel requisito REQ-REMS-4.1.1-02 dove si richiede di descrivere nel PS (Practice Statement – Manuale Operativo) le procedure adottate dal REMSP per identificare e autenticare gli utenti della REM.
Quindi in questa parte dello standard si verificano i requisiti generali in termini di policy e sicurezza dei REMS (REM Services).
Nel capitolo 5 si definisce la lista di riscontro per i servizi REM.
Quindi, anche facendo riferimento alla standard ETSI sui formati sopra citati, vengono individuate le verifiche per l’identificazione e l’autenticazione del mittente e del destinatario, per il riferimento temporale e nel paragrafo 5.5, in modo complesso, gli specifici controlli per l’interoperabilità del sistema postale REM.
Trattandosi di requisiti connessi alla qualifica di un servizio fiduciario, il coordinamento con il già citato ETSI EN 319 401 è indispensabile.
Quindi si richiede di applicare la specifica analisi dei rischi e le attività del prestatore del servizio fiduciario qualificato per la REM devono svolgersi in modo analogo e omogeneo a quelle degli altri servizi fiduciari come, ad esempio, l’emissione di certificati per la firma o il sigillo o l’emissione di marche temporali.
L’intero capitolo 7 (che chiude il documento) dello standard in esame è dedicato a questi temi. E’ importante sottolineare che ancora una volta, anche per questo tipo di servizio fiduciario, il riferimento è alle regole della ISO 27001 sui sistemi per la gestione della sicurezza delle informazioni.
Gli sviluppi dello standard
Concludiamo questo articolo con qualche considerazione sugli sviluppi di questo standard e del suo omologo sui SERC di natura non postale.
Alla pubblicazione degli standard da parte di ETSI questi sono adottabili liberamente dagli Stati membri. Per essere adottati obbligatoriamente essi devono essere indicati in un atto della Commissione europea. E’ ipotizzabile una decisione di esecuzione. Questa per essere emessa richiede le procedure di controllo e approvazione previste nel regolamento eIDAS ovvero l’approvazione del gruppo di esperti che rappresentano gli Stati membri.
Per accelerare i tempi sarebbe utile una rapida azione di AgID e ACCREDIA per definire la circolare contenente le regole di accreditamento dei soggetti che intendono svolgere le attività di verifica della conformità per i QREMSP ai fini dell’iscrizione nell’elenco di fiducia nazionale, come già avvenuto per l’emissione di certificati digitali per la firma e il sigillo ovvero per l’emissione di marche temporali.
Come già evidenziato in altri articoli è indispensabile definire a livello politico e strategico il futuro della PEC e la sua eventuale evoluzione verso i servizi comunitari.
Nei prossimi articoli parleremo delle strutture dati e dell’architettura della REM e in questo contesto delle differenze tra PEC e REM con un occhio particolare a possibili sinergie tra i due SERC di natura postale.
