OCSI, Organismo di Certificazione della Sicurezza Informatica, ha aggiornato di recente l’elenco dei dispositivi di firma per i quali è in corso un processo di Accertamento di Conformità presso OCSI stessa. Come si potrà notare dall’elenco, fra i produttori che hanno in corso un processo di Accertamento di Conformità, si è aggiunto, dallo scorso 14 marzo 2012, un nuovo produttore, portando a quattro il numero dei dispositivi di firma di tipo HSM, soggetti a valutazione.
.
.
.
Ritornando all’elenco dei dispositivi di firma, la società Thales e-Security Ltd. ha ottenuto lo scorso 11 maggio 2012 il pronunciamento positivo (da parte di OCSI, ndr.) sull’adeguatezza del TDS (Traguardo di Sicurezza). Vale la pena ricordare che le due condizioni che devono essere soddisfatte, per l’adeguatezza dei dispositivi per l’apposizione di firme elettroniche con procedure automatiche, sono:
- che i relativi dispositivi abbiano ottenuto il pronunciamento positivo sull’adeguatezza del traguardo di sicurezza da parte dell’Organismo di Certificazione della Sicurezza Informatica (OCSI);
- e che alla medesima data, sia in corso un processo di certificazione, debitamente comprovato, presso il medesimo Organismo di Certificazione della Sicurezza Informatica (OCSI) o analogo organismo di certificazione che aderisce all’accordo internazionale denominato Common Criteria Recognition Arrangement (CCRA) con il ruolo di Certificate Authorizing Scheme.
DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 14 ottobre 2011
Proroga del termine che autorizza l’autocertificazione circa la rispondenza dei dispositivi automatici di firma ai requisiti di sicurezza di cui al decreto del Presidente del Consiglio dei Ministri 30 ottobre 2003. (11A14291) (GU n. 254 del 31-10-2011)
IL PRESIDENTE DEL CONSIGLIO DEI MINISTRI
Visto l’articolo 35 del … [omissis]
Decreta
Art. 1
1. Le autocertificazioni e le autodichiarazioni di cui al decreto del Presidente del Consiglio dei Ministri 10 febbraio 2010, riguardante i dispositivi per l’apposizione di firme elettroniche con procedure automatiche, continuano a spiegare ininterrottamente i propri effetti fino al 1° novembre 2013 esclusivamente nel caso in cui, alla data del 1° novembre 2011, i relativi dispositivi abbiano ottenuto il pronunciamento positivo sull’adeguatezza del traguardo di sicurezza da parte dell’Organismo di Certificazione della Sicurezza Informatica (OCSI) e per essi, alla medesima data, sia in corso un processo di certificazione, debitamente comprovato, presso il medesimo Organismo di Certificazione della Sicurezza Informatica (OCSI) o analogo organismo di certificazione che aderisce all’accordo internazionale denominato Common Criteria Recognition Arrangement (CCRA) con il ruolo di Certificate Authorizing Scheme.
Ancora oggi CoSign, è l’unico dispositivo ad avere ottenuto da parte di OCSI sia il pronunciamento positivo sul proprio Traguardo di Sicurezza che la formale iscrizione e avvio (nello schema italiano) del processo di valutazione e certificazione CC EAL4+ di CoSign, ma la buona notizia è che le nebbie del far west della firma digitale automatica e centralizzata si stanno diradando ulteriormente. “Consumatori” e produttori hanno capito che la strada della certificazione è sinonimo di garanzia e sicurezza per tutti.
Lo ribadiamo, garanzie concernenti:
- adeguatezza,
- qualità,
- efficacia
dei dispositivi di sicurezza di un sistema informatico possono e devono essere fornite solo da certificatori e valutatori indipendenti ed imparziali, sulla base di standard riconosciuti a livello nazionale ed internazionale.
Parafrasando il titolo del romanzo per ragazzi di Louisa May Alcott …
Commenti recenti