MINISTERO DELL'ECONOMIA E DELLE FINANZE
DECRETO 4 agosto 2017Modalita' tecniche e servizi telematici resi disponibili dall'infrastruttura nazionale per l'interoperabilita' del Fascicolo sanitario elettronico (FSE) di cui all'art. 12, comma 15-ter del decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221. (17A05772)(GU n.195 del 22-8-2017)
Capo I
Finalita'
Funzioni e servizi dell'INI
Trasferimento indice FSE
Gestione codifiche
Disponibilita' dei dati del Sistema TS
Servizi dell'INI per la sussidiarieta'
Trattamento e titolarita' dei dati
Misure di sicurezza e specifiche tecniche
Finalita'
IL RAGIONIERE GENERALE DELLO STATO
del Ministero dell'economia e delle finanze
di concerto con
IL SEGRETARIO GENERALE
del Ministero della salute
Visto l'art. 12 del decreto-legge 18 ottobre 2012, n. 179,
convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221,
come modificato dall'art. 1, comma 382 della legge 11 dicembre 2016,
n. 232 (Bilancio di previsione dello Stato per l'anno finanziario
2017 e bilancio pluriennale per il triennio 2017-2019), concernente
il Fascicolo sanitario elettronico (FSE), il quale prevede, in
particolare:
al comma 15-ter, che, l'Agenzia per l'Italia digitale, sulla base
delle esigenze avanzate dalle regioni e dalle province autonome,
nell'ambito dei rispettivi piani, cura, in accordo con il Ministero
della salute e il Ministero dell'economia e delle finanze e con le
regioni e le province autonome, la progettazione dell'infrastruttura
nazionale necessaria a garantire l'interoperabilita' dei FSE, la cui
realizzazione e' curata dal Ministero dell'economia e delle finanze
attraverso l'utilizzo dell'infrastruttura del Sistema tessera
sanitaria garantendo:
1) l'interoperabilita' dei FSE e dei dossier farmaceutici
regionali;
2) l'identificazione dell'assistito, attraverso l'allineamento
con l'Anagrafe nazionale degli assistiti (ANA). Nelle more della
realizzazione dell'ANA, l'identificazione dell'assistito e'
assicurata attraverso l'allineamento con l'elenco degli assistiti
gestito dal Sistema tessera sanitaria;
3) per le regioni e province autonome che, entro il 31 marzo
2017, comunicano al Ministero dell'economia e delle finanze e al
Ministero della salute di volersi avvalere dell'infrastruttura
nazionale ai sensi del comma 15, l'interconnessione dei soggetti di
cui al presente articolo per la trasmissione telematica dei dati di
cui ai decreti attuativi del comma 7, ad esclusione dei dati di cui
al comma 15-septies, per la successiva alimentazione e consultazione
del FSE da parte delle medesime regioni e province autonome, secondo
le modalita' da stabilire con decreto del Ministero dell'economia e
delle finanze, di concerto con il Ministero della salute;
4) a partire dal 30 aprile 2017, la gestione delle codifiche
nazionali e regionali stabilite dai decreti di cui al comma 7;
al comma 15-septies, che il Sistema tessera sanitaria, entro il
30 aprile 2017, rende disponibile ai FSE e ai dossier farmaceutici
regionali, attraverso l'infrastruttura nazionale di cui al comma
15-ter, i dati risultanti negli archivi del medesimo Sistema tessera
sanitaria relativi alle esenzioni dell'assistito, alle prescrizioni e
prestazioni erogate di farmaceutica e specialistica a carico del
Servizio sanitario nazionale, ai certificati di malattia telematici e
alle prestazioni di assistenza protesica, termale e integrativa;
Visto il decreto del Presidente del Consiglio dei ministri 29
settembre 2015, n. 178, pubblicato nella Gazzetta Ufficiale 11
novembre 2015, n. 263, attuativo del comma 7 del predetto art. 12;
Viste le «Linee guida per la presentazione dei piani di progetto
regionali per il FSE» del 31 marzo 2014, attuative del comma 15-bis
del citato art. 12;
Visto l'art. 50 del decreto-legge 30 settembre 2003, n. 269,
convertito, con modificazioni, dalla legge 24 novembre 2003, n. 326,
concernente l'istituzione del sistema (c.d. Sistema tessera
sanitaria) da parte del Ministero dell'economia e delle finanze, il
quale prevede, in particolare, al comma 9, che al momento della
ricezione dei dati trasmessi telematicamente ai sensi del comma 5-bis
e del comma 8 del medesimo art. 50, il Ministero dell'economia e
delle finanze, con modalita' esclusivamente automatiche, li inserisce
in archivi distinti e non interconnessi, uno per ogni regione, in
modo che sia assolutamente separato, rispetto a tutti gli altri,
quello relativo al codice fiscale dell'assistito;
Visto il decreto 2 novembre 2011 del Ministro dell'economia e delle
finanze, di concerto con il Ministro della salute, pubblicato nella
Gazzetta Ufficiale 12 novembre 2011, n. 264, supplemento ordinario,
concernente la de-materializzazione della ricetta medica cartacea
attraverso i servizi telematici resi disponibili dal Sistema tessera
sanitaria;
Considerato l'art. 8, comma 1 del citato decreto del Presidente del
Consiglio dei ministri 29 settembre 2015, n. 178;
Considerato il comma 9 del citato art. 50 del decreto-legge 30
settembre 2003, n. 269, convertito, con modificazioni, dalla legge 24
novembre 2003, n. 326;
Considerato che i dati delle prestazioni di assistenza protesica,
termale ed integrativa risultanti nel Sistema tessera sanitaria
potranno essere disponibili per le finalita' di cui al citato comma
15-septies solo al momento della messa a regime in tutte le regioni
della relativa rilevazione;
Visto il decreto 11 dicembre 2009 del Ministero dell'economia e
delle finanze, di concerto con il Ministro del lavoro, della salute e
delle politiche sociali, pubblicato nella Gazzetta Ufficiale n. 302
del 30 dicembre 2009, attuativo dell'art. 79, comma 1-sexies, lettere
a) e b) del decreto-legge 25 giugno 2008, n. 112, convertito, con
modificazioni, dalla legge 6 agosto 2008, n. 133, concernente il
controllo delle esenzioni per reddito;
Visto il decreto del 26 febbraio 2010, e successive modificazioni,
del Ministro della salute, di concerto con il Ministro del lavoro e
delle politiche sociali e il Ministro dell'economia e delle finanze,
pubblicato nella Gazzetta Ufficiale del 19 marzo 2010, n. 65,
concernente la definizione delle modalita' tecniche per la
predisposizione e l'invio telematico dei dati delle certificazioni di
malattia al SAC;
Considerato che, ai sensi del citato decreto del 26 febbraio 2010 i
dati delle certificazioni di malattia sono archiviati presso INPS;
Visto il decreto legislativo 7 marzo 2005, n. 82, e successive
modificazioni, concernente il Codice dell'amministrazione digitale;
Visto l'art. 62-ter del predetto decreto legislativo 7 marzo 2005,
n. 82, concernente l'istituzione dell'Anagrafe nazionale degli
assistiti (ANA);
Vista la circolare n. 4 del 1° agosto 2017 dell'Agenzia per
l'Italia digitale, concernente il documento progettuale
dell'infrastruttura nazionale per l'interoperabilita' dei FSE,
risultante dall'attivita' congiunta con il Ministero della salute, il
Ministero dell'economia e delle finanze e le regioni ai sensi del
citato comma 15-ter dell'art. 12 del decreto-legge 18 ottobre 2012,
n. 179;
Visto il decreto legislativo 30 giugno 2003, n. 196 e successive
modificazioni, concernente il Codice in materia di protezione dei
dati personali;
Considerato di dover disciplinare con il presente decreto le
modalita' tecniche di cui al punto 3) del comma 15-ter del citato
art. 12, nonche' gli altri servizi telematici dell'infrastruttura
nazionale per l'interoperabilita' dei FSE di cui al medesimo comma
15-ter e di cui al comma 15-septies del predetto art. 12, in coerenza
con la soluzione progettuale di cui alla citata circolare n. 4 del 1°
agosto 2017 dell'Agenzia per l'Italia digitale;
Acquisito il parere del Garante per la protezione dei dati
personali, reso in data 26 luglio 2017 ai sensi dell'art. 154, comma
4 del decreto legislativo 30 giugno 2003, n. 196;
Decreta:
Art. 1
Definizioni
1. Ai fini del presente decreto si intende per:
a) «FSE», il Fascicolo sanitario elettronico, di cui all'art. 12
del decreto-legge 18 ottobre 2012, n. 179, convertito, con
modificazioni, dalla legge 17 dicembre 2012, n. 221, come modificato
dall'art. 1, comma 382 della legge 11 dicembre 2016, n. 232 (Bilancio
di previsione dello Stato per l'anno finanziario 2017 e bilancio
pluriennale per il triennio 2017-2019);
b) «dossier farmaceutico», la parte specifica del FSE istituita
per favorire la qualita', il monitoraggio, l'appropriatezza nella
dispensazione dei medicinali e l'aderenza alla terapia ai fini della
sicurezza del paziente, aggiornato a cura della farmacia che effettua
la dispensazione;
c) «decreto del Presidente del Consiglio dei ministri n.
178/2015», il decreto del Presidente del Consiglio dei ministri 29
settembre 2015, n. 178, attuativo del comma 7 del predetto art. 12;
d) «INI», l'Infrastruttura nazionale per l'interoperabilita' fra
i FSE, istituita ai sensi del comma 15-ter del predetto art. 12,
realizzata dal Ministero dell'economia e delle finanze, della quale
lo stesso assume la titolarita' del trattamento dei dati, sulla base
di quanto previsto dall'art. 22 del presente decreto;
e) «FSE-INI», infrastruttura e servizi telematici dell'INI per le
regioni e province autonome che, ai sensi del comma 15-ter, punto 3)
del predetto art. 12, comunicano al Ministero dell'economia e delle
finanze e al Ministero della salute di volersi avvalere dell'INI ai
sensi del comma 15 del citato art. 12;
f) «CAD», il decreto legislativo 7 marzo 2005, n. 82, e
successive modificazioni, recante «Codice dell'amministrazione
digitale»;
g) «SPC», il sistema pubblico di connettivita' di cui agli
articoli 73 e seguenti del CAD;
h) «Codice privacy», il decreto legislativo 30 giugno 2003, n.
196, e successive modificazioni;
i) «Sistema TS», il sistema informativo realizzato dal Ministero
dell'economia e delle finanze in attuazione di quanto disposto
dall'art. 50 del decreto-legge 30 settembre 2003, n. 269, convertito,
con modificazioni, dalla legge 24 novembre 2003, n. 326;
j) «ANA», Anagrafe nazionale degli assistiti, di cui all'art.
62-ter del CAD;
k) «elenco degli assistiti Sistema TS», l'elenco di cui al comma
9 del citato art. 50;
l) «Servizio sanitario nazionale», il Servizio sanitario
nazionale, istituito con la legge 23 dicembre 1978, n. 833;
m) «SASN», i Servizi di assistenza sanitaria al personale
navigante (SASN), di cui al decreto del Presidente della Repubblica
31 luglio 1980, n. 620;
n) «assistito», il soggetto che ricorre all'assistenza sanitaria
nell'ambito del Servizio sanitario nazionale;
o) «assistito SASN», il soggetto che ricorre all'assistenza
sanitaria nell'ambito del Servizio assistenza sanitaria per il
personale navigante;
p) «consenso», il consenso dell'assistito ai sensi del predetto
art. 12 del decreto-legge 18 ottobre 2012, n. 179, convertito, con
modificazioni, dalla legge 17 dicembre 2012, n. 221, come modificato
dall'art. 1, comma 382 della legge 11 dicembre 2016, n. 232;
q) «informativa», informativa agli assistiti di cui all'art. 6
del decreto del Presidente del Consiglio dei ministri n. 178/2015;
r) «oscuramento», oscuramento dei dati del FSE di cui all'art. 8
del decreto del Presidente del Consiglio dei ministri n. 178/2015;
s) «RdE», la regione o provincia autonoma ovvero SASN di
erogazione di una prestazione sanitaria;
t) «RdA», la regione o provincia autonoma ovvero SASN di
assistenza dell'assistito;
u) «certificati telematici di malattia», i certificati di cui al
decreto del 26 febbraio 2010, come modificato dal decreto 18 aprile
2012 del Ministro della salute, di concerto con il Ministro del
lavoro e delle politiche sociali e il Ministro dell'economia e delle
finanze, pubblicato nella Gazzetta Ufficiale del 19 marzo 2010, n.
65;
v) «circolare Agid», circolare n. 4 del 1° agosto 2017
dell'Agenzia per l'Italia digitale, concernente il documento
progettuale dell'infrastruttura nazionale per l'interoperabilita' dei
FSE, risultante dall'attivita' congiunta con il Ministero della
salute, il Ministero dell'economia e delle finanze e le regioni ai
sensi del citato comma 15-ter dell'art. 12 del decreto-legge 18
ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17
dicembre 2012, n. 221, come modificato dall'art. 1, comma 382 della
legge 11 dicembre 2016, n. 232.
Art. 2
Finalita' e ambito di applicazione
1. Il presente decreto disciplina, in coerenza con la circolare
Agid:
a) le funzioni e i servizi telematici dell'INI, di cui all'art.
12, comma 15-ter, punti 1), 2) e 4) del decreto-legge 18 ottobre
2012, n. 179, convertito dalla legge 17 dicembre 2012, n. 221, come
modificato dall'art. 1, comma 382 della legge 11 dicembre 2016, n.
232;
b) i procedimenti nonche' le modalita' con le quali l'INI
garantisce, per le regioni e province autonome che comunicano al
Ministero dell'economia e delle finanze e al Ministero della salute
di volersi avvalere della medesima infrastruttura nazionale,
l'interconnessione dei soggetti per la trasmissione telematica dei
dati contenuti nei FSE degli assistiti ai fini della successiva
alimentazione e consultazione dei medesimi FSE da parte delle
medesime regioni e province autonome, ai sensi dell'art. 12, comma
15-ter, punto 3) del decreto-legge 18 ottobre 2012, n. 179,
convertito dalla legge 17 dicembre 2012, n. 221, come modificato
dall'art. 1, comma 382 della legge 11 dicembre 2016, n. 232;
c) le funzioni e i servizi telematici dell'INI, al fine di
garantire ai FSE i dati del Sistema TS ai sensi dell'art. 12, comma
15-septies del decreto-legge 18 ottobre 2012, n. 179, convertito
dalla legge 17 dicembre 2012, n. 221, come modificato dall'art. 1,
comma 382 della legge 11 dicembre 2016, n. 232.
Capo II Funzioni e servizi dell'INI
Art. 3
Funzioni e servizi dell'INI
1. L'INI rende disponibile ai sistemi FSE le funzioni ed i servizi
descritti nell'allegato disciplinare tecnico allegato A, che
costituisce parte integrante del presente decreto, relativi a:
a) identificazione dell'assistito attraverso l'allineamento con
l'ANA e verifica consenso;
b) archiviazione e gestione dei consensi o revoche espressi
dall'assistito;
c) interoperabilita' dei FSE e dei dossier farmaceutici
regionali;
d) gestione delle codifiche nazionali e regionali stabilite dal
decreto del Presidente del Consiglio dei ministri n. 178/2015;
e) messa a disposizione dei dati del Sistema TS, ai sensi
dell'art. 12, comma 15-septies del decreto-legge 18 ottobre 2012, n.
179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n.
221.
Art. 4
Funzione di identificazione e verifica consenso dell'assistito
1. Attraverso l'interconnessione con l'ANA, secondo le modalita'
descritte nell'allegato A, l'INI garantisce l'identificazione
dell'assistito e l'estrazione delle relative informazioni concernenti
la propria assistenza sanitaria, risultanti alternativamente:
a) presso una RdA. In caso di trasferimento di residenza
dell'assistito, ANA comunica all'INI la RdA solo al momento
dell'iscrizione da parte dell'assistito presso la ASL;
b) presso il SASN;
c) altre tipologie di assistenza del Servizio sanitario
nazionale, che saranno individuate con successivi decreti del
Ministero dell'economia e delle finanze, di concerto con il Ministero
della salute.
2. Nelle more della realizzazione dell'ANA, l'INI assicura le
funzionalita' di cui al comma 1 attraverso l'allineamento con
l'elenco degli assistiti del Sistema TS, il quale, a tal fine, viene
assunto come anagrafe di riferimento.
3. Per gli assistiti di cui al comma 1, lettere a) e b), l'INI
procede alla verifica del consenso secondo le modalita' di cui
all'art. 5 del presente decreto.
Art. 5
Anagrafe dei consensi e revoche dell'assistito
1. Al momento della espressione del consenso o revoca da parte
dell'assistito, il FSE alimenta telematicamente l'Anagrafe dei
consensi e delle revoche, attraverso la specifica funzione resa
disponibile dall'INI, con i dati relativi ai consensi e le relative
revoche espressi da parte dell'assistito secondo le modalita'
descritte nell'allegato disciplinare tecnico allegato B, che
costituisce parte integrante del presente decreto.
2. L'assistito esprime il consenso o la relativa revoca secondo le
modalita' previste dall'art. 7 del decreto del Presidente del
Consiglio dei ministri n. 178/2015 anche presso una regione o
provincia autonoma diversa dalla propria regione di assistenza.
3. Nel caso in cui l'assistito esprime il consenso o la relativa
revoca presso una regione o provincia autonoma diversa dalla propria
regione di assistenza, l'INI:
a) mette a disposizione della regione o provincia autonoma che
deve acquisire il consenso o la relativa revoca l'informativa
specifica della regione di assistenza;
b) notifica tale informazione alla regione di assistenza
competente.
4. Per le finalita' di cui al comma 3, lettera a), le regioni e
province autonome trasmettono all'INI la propria informativa
regionale, attraverso la funzione resa disponibile dall'INI, secondo
le modalita' descritte nell'allegato disciplinare tecnico allegato B.
Art. 6
Servizio di inserimento dei metadati di un documento nel FSE
1. Il FSE attiva il servizio comunicando all'INI, oltre ai dati
identificativi dell'assistito, i metadati del documento da inserire
ad esclusione di quelli di cui all'art. 14 del presente decreto.
2. L'INI garantisce le funzionalita' di cui all'art. 4 per
l'identificazione e la verifica del consenso dell'assistito.
3. In caso di avvenuta identificazione dell'assistito con
assistenza presso RdA e di consenso all'alimentazione risultante
nell'anagrafe di cui all'art. 5:
a) in caso di RdE coincidente con RdA, il FSE inserisce i
predetti metadati nel proprio indice;
b) in caso di RdE diversa da RdA, l'INI inserisce i predetti
metadati nell'indice del FSE della RdA, dandone contestuale notifica,
ovvero negli indici di cui all'art. 11.
Art. 7
Servizio di gestione dei metadati di un documento nel FSE
1. Il FSE attiva il servizio comunicando all'INI, oltre ai dati
identificativi dell'assistito, gli estremi dei metadati del documento
da gestire ad esclusione di quelli di cui all'art. 14 del presente
decreto.
2. L'INI garantisce le funzionalita' di cui all'art. 4 per
l'identificazione e la verifica del consenso dell'assistito.
3. In caso di avvenuta identificazione dell'assistito con
assistenza presso RdA e di consenso all'alimentazione risultante
nell'anagrafe di cui all'art. 5:
a) in caso di RdE coincidente con RdA, il FSE gestisce i predetti
metadati nel proprio indice;
b) in caso di RdE diversa da RdA, l'INI gestisce i predetti
metadati nell'indice del FSE della RdA, dandone contestuale notifica,
ovvero negli indici di cui all'art. 11.
Art. 8
Servizio di ricerca dei metadati di documenti del FSE
1. Il FSE attiva il servizio comunicando all'INI, oltre ai dati
identificativi dell'assistito, gli elementi di ricerca dei metadati
del documento da consultare.
2. L'INI garantisce le funzionalita' di cui all'art. 4 per
l'identificazione e la verifica del consenso dell'assistito.
3. In caso di avvenuta identificazione dell'assistito con
assistenza presso RdA e di consenso alla consultazione risultante
nell'anagrafe di cui all'art. 5:
a) in caso di RdE coincidente con RdA, il FSE ottiene i predetti
metadati dal proprio indice;
b) in caso di RdE diversa da RdA, l'INI ottiene i predetti
metadati dall'indice del FSE della RdA, dandone contestuale notifica,
ovvero dagli indici di cui all'art. 11 e comunica tali metadati al
FSE della regione richiedente.
Art. 9
Servizio di recupero di un documento del FSE
1. Il FSE attiva il servizio comunicando all'INI, oltre ai dati
identificativi dell'assistito, gli elementi di ricerca del documento
da recuperare.
2. L'INI garantisce le funzionalita' di cui all'art. 4 per
l'identificazione e la verifica del consenso dell'assistito.
3. In caso di avvenuta identificazione dell'assistito con
assistenza presso RdA e di consenso alla consultazione risultante
nell'anagrafe di cui all'art. 5:
a) in caso di RdE coincidente con RdA e di documento disponibile
in RdA, il FSE recupera il documento dall'archivio in cui e'
contenuto;
b) in tutti gli altri casi, l'INI ottiene il documento
dall'archivio del FSE della regione o provincia autonoma contenente
il documento, dandone contestuale notifica, ovvero dagli archivi di
cui all'art. 14 e comunica tale documento al FSE della regione
richiedente.
Capo III Trasferimento indice FSE
Art. 10
Servizio di trasferimento dell'indice FSE
1. A seguito della comunicazione da parte di ANA ad INI dei dati
relativi al trasferimento di assistenza di un assistito, l'INI
garantisce le funzionalita' di cui all'art. 4 per l'identificazione e
la verifica del consenso dell'assistito e:
a) nel caso di trasferimento nell'ambito della medesima RdA,
l'INI notifica tale trasferimento di assistenza al FSE del RdA;
b) nel caso di trasferimento da RdA in altra RdA, oppure da SASN
in una RdA, l'INI acquisisce dal FSE della RdA precedente oppure dal
SASN l'indice dei metadati dei documenti del medesimo assistito e lo
trasferisce secondo quanto previsto dall'art. 11. Solo a seguito
della comunicazione da parte di ANA ad INI dell'avvenuta iscrizione
dell'assistito presso una ASL della nuova RdA, l'INI lo trasferisce
al FSE della nuova RdA. L'INI provvede a notificare alle regioni e
province autonome oppure SASN interessate tali operazioni.
c) nel caso di trasferimento da RdA in SASN, l'INI trasferisce al
FSE del SASN l'indice dei metadati dei documenti del medesimo
assistito.
Art. 11
Indice dei documenti sanitari per assistiti per i quali non risulta
associata una RdA oppure SASN
1. L'INI predispone e gestisce l'indice con i metadati dei
documenti sanitari relativi agli assistiti risultanti in ANA e per i
quali non risulta associata una RdA oppure SASN, in quanto per tali
assistiti risulta un trasferimento di residenza in altra regione e
non risulta ancora l'iscrizione presso una ASL.
Art. 12 Gestione del consenso in caso di trasferimento dell'indice FSE 1. Nel caso di trasferimento di cui all'art. 10, comma 1, lettere b) e c), l'assistito deve esprimere il proprio consenso secondo le modalita' e l'informativa previsti dalla nuova RdA ovvero SASN, dal momento dell'avvenuta iscrizione da parte dell'assistito presso una ASL della nuova RdA ovvero SASN. Fino a tale momento resta valido l'eventuale consenso espresso dal medesimo assistito nella RdA di provenienza.Capo IV
Gestione codifiche
Art. 13
Funzione di gestione delle codifiche
1. In attuazione di quanto previsto dall'art. 25, comma 4 del
decreto del Presidente del Consiglio dei ministri n. 178/2015, l'INI
deve garantire l'interoperabilita' semantica e l'interscambio nei
diversi contesti regionali, nazionali ed europei, delle informazioni
contenute nei FSE regionali (ovvero SASN) mediante l'utilizzo
esclusivo dei formati, codifiche e classificazioni, anche mediante
transcodifiche, di cui all'art. 24 del decreto del Presidente del
Consiglio dei ministri n. 178/2015.
2. Per le finalita' di cui al comma 1, l'INI garantisce la gestione
delle codifiche nazionali e regionali di cui al decreto del
Presidente del Consiglio dei ministri n. 178/2015, rese disponibili
ai sensi del decreto attuativo dell'art. 12, comma 15-ter, punto 4)
del decreto-legge 18 ottobre 2012, n. 179, convertito, con
modificazioni, dalla legge 17 dicembre 2012, n. 221.
Capo V Disponibilita' dei dati del Sistema TS
Art. 14
Servizio di messa a disposizione dei dati del Sistema TS
1. L'INI attraverso l'interconnessione con il Sistema TS, secondo
le modalita' descritte nell'allegato C, garantisce la messa a
disposizione agli indici dei sistemi FSE dei metadati dei documenti
del Sistema TS relativi a:
a) esenzioni per reddito, di cui al decreto ministeriale 11
dicembre 2009;
b) prescrizioni specialistiche a carico del Servizio sanitario
nazionale, effettuate ai sensi del decreto ministeriale 2 novembre
2011;
c) prestazioni specialistiche a carico del Servizio sanitario
nazionale, comunicate ai sensi del decreto ministeriale 2 novembre
2011, con l'indicazione della prescrizione specialistica associata
identificata dal NRE;
d) prescrizioni farmaceutiche a carico del Servizio sanitario
nazionale, effettuate ai sensi del decreto ministeriale 2 novembre
2011;
e) prestazioni farmaceutiche a carico del Servizio sanitario
nazionale, comunicate ai sensi del decreto ministeriale 2 novembre
2011, con l'indicazione della prescrizione farmaceutica associata
identificata dal NRE.
2. L'INI garantisce la messa a disposizione dei dati di cui al
comma 1, lettere d) ed e), al dossier farmaceutico dei FSE definito
ai sensi del comma 7 dell'art. 12 del decreto-legge 18 ottobre 2012,
n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012,
n. 221, secondo le modalita' che saranno definite con successivo
decreto del Ministero dell'economia e delle finanze, di concerto con
il Ministero della salute, sentito il Garante per la protezione dei
dati personali.
3. Dal 1° settembre 2017, limitatamente agli assistiti risultanti
in ANA di cui all'art. 4, comma 1, lettere a) e b), il Sistema TS
comunica all'INI i metadati di cui al comma 1, relativi ai soli
assistiti per i quali risulti, nell'anagrafe dei consensi di cui
all'art. 5, esplicito consenso per l'alimentazione.
4. Con riferimento ai metadati di cui al comma 3, ad esclusione dei
metadati di cui al comma 5, l'INI:
a) provvede alla identificazione e la verifica del consenso
dell'assistito tramite le funzionalita' di cui all'art. 4;
b) in caso di avvenuta identificazione dell'assistito con
assistenza presso RdA e di consenso all'alimentazione risultante
nell'anagrafe di cui all'art. 5, comunica i predetti metadati
all'indice del FSE della RdA, dandone contestuale notifica, ovvero
agli indici di cui all'art. 11.
5. Il Sistema TS attiva il servizio di gestione dei metadati
comunicando all'INI, oltre ai dati identificativi dell'assistito, gli
estremi dei metadati del documento da gestire.
6. Le regioni e province autonome che non abbiano effettuato la
richiesta dei dati di cui al comma 1, devono garantire
l'alimentazione dei propri sistemi FSE con le medesime informazioni,
di cui sono titolari del trattamento, disponibili presso i propri
SAR, con le seguenti modalita':
a) il FSE di una RdA, ai fini della comunicazione dei metadati,
attiva il servizio dell'INI per la verifica dell'identificativo
dell'assistito e dell'identificativo del documento da inserire;
b) in caso di avvenuta identificazione dell'assistito con
assistenza presso la medesima RdA e di consenso all'alimentazione
risultante nell'anagrafe di cui all'art. 5, il FSE inserisce i
predetti metadati nel proprio indice.
7. Il FSE di cui al comma 6, ai fini della gestione dei metadati
del medesimo comma 6, attiva il servizio di cui all'art. 7.
Art. 15 Servizio di messa a disposizione dei dati del Sistema TS relativi alle prestazioni di assistenza protesica, termale e integrativa 1. L'INI, attraverso l'interconnessione con il Sistema TS, garantisce la messa a disposizione agli indici dei sistemi FSE dei metadati dei documenti del Sistema TS relativi a prestazioni di assistenza protesica, termale e integrativa, secondo le modalita' che saranno definite con successivo decreto del Ministero dell'economia e delle finanze, di concerto con il Ministero della salute, sentito il Garante per la protezione dei dati personali.
Art. 16
Servizio di messa a disposizione dei dati dei certificati telematici
di malattia
1. L'INI mette a disposizione agli indici dei FSE i metadati dei
certificati telematici di malattia, secondo le modalita' che saranno
definite con successivo decreto del Ministero dell'economia e delle
finanze, di concerto con il Ministero della salute e con il Ministero
del lavoro, sentito l'INPS, sentito il Garante per la protezione dei
dati personali.
Art. 17
Oscuramento dei dati del Sistema TS
1. Con riferimento ai dati e documenti di cui agli articoli 14, 15
e 16, l'assistito puo' procedere all'oscuramento e relativa revoca
dal momento in cui i medesimi dati sono inseriti nell'indice del
proprio FSE, secondo le modalita' previste dall'art. 8 del decreto
del Presidente del Consiglio dei ministri n. 178/2015.
2. A fronte dell'oscuramento di cui al comma 1, il FSE deve
altresi' oscurare i relativi dati e documenti correlati attraverso il
NRE.
Art. 18 Richieste delle regioni e delle province autonome nonche' del Ministero della salute ai sensi dell'art. 12, comma 15-septies del decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221 1. Con le richieste di cui all'art. 20 sono altresi' indicate le richieste di disponibilita' dei servizi e metadati dell'INI, di cui all'art. 3, comma 1, lettera e).Capo VI
Servizi dell'INI per la sussidiarieta'
Art. 19
Servizi dell'FSE-INI
1. Per le finalita' di cui all'art. 12, comma 15-ter, punto 3) del
decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni,
dalla legge 17 dicembre 2012, n. 221, l'FSE-INI rende disponibili,
alle regioni e province autonome che ne abbiano fatto richiesta
secondo le modalita' di cui all'art. 20, i servizi descritti nella
circolare Agid, in conformita' con quanto previsto dall'art. 27 del
decreto del Presidente del Consiglio dei ministri n. 178/2015.
2. L'accesso al Sistema TS da parte dei soggetti interessati
avviene con le credenziali gia' in possesso dei medesimi soggetti per
il Sistema TS.
3. L'FSE-INI registra, in sistemi distinti, uno per ogni regione e
provincia autonoma le informazioni dettagliate nella circolare Agid
di cui al comma 1.
4. Le regioni e province autonome di cui al comma 1 sono titolari
del trattamento dei dati di propria competenza.
5. Le regioni e province autonome di cui al comma 1 designano il
Ministero dell'economia e delle finanze quale responsabile esterno
del trattamento dei dati di cui al presente articolo.
Art. 20
Richieste delle regioni e delle province autonome nonche' del
Ministero della salute
1. Entro il 31 marzo 2017, le regioni e province autonome
comunicano al Ministero dell'economia e delle finanze e al Ministero
della salute la richiesta di volersi avvalere di tutti o parte dei
servizi FSE-INI di cui all'art. 19 per la realizzazione del FSE per
gli assistiti del Servizio sanitario nazionale di propria competenza.
2. Entro il 31 marzo 2017, il Ministero della salute comunica al
Ministero dell'economia e delle finanze l'eventuale richiesta di
volersi avvalere di tutti o parte dei servizi FSE-INI di cui all'art.
19 per la realizzazione del FSE per gli assistiti SASN.
3. A fronte delle richieste di cui al comma 1, la diffusione dei
servizi richiesti e' definita attraverso accordi specifici tra il
Ministero dell'economia e delle finanze, il Ministero della salute e
le singole regioni e province autonome, che indicano anche la
tempistica di disponibilita' dei servizi.
4. Con specifici accordi tra il Ministero dell'economia e delle
finanze e il Ministero della salute sara' definita la diffusione per
i SASN.
5. Gli accordi di cui ai commi 3 e 4 inerenti la diffusione presso
le singole regioni, le province autonome e i SASN delle disposizioni
di cui al presente decreto, sono da concludersi entro aprile 2017.
Capo VII Trattamento e titolarita' dei dati
Art. 21
Registrazione e aggiornamento dei dati
1. L'INI provvede alla registrazione dei dati cui al presente
decreto secondo le modalita' e i limiti temporali previsti dai
decreti attuativi del comma 7 dell'art. 12 del decreto-legge 18
ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17
dicembre 2012, n. 221.
2. A fronte del decesso di un assistito, l'ANA ne da' comunicazione
a INI che provvede all'aggiornamento dei dati di cui al presente
decreto secondo le modalita' previste dai decreti attuativi del comma
7 dell'art. 12 del decreto-legge 18 ottobre 2012, n. 179, convertito,
con modificazioni, dalla legge 17 dicembre 2012, n. 221.
Art. 22 Finalita' del trattamento ed individuazione dei soggetti che possono accedere ai dati e ai documenti messi a disposizione dei dati del Sistema TS 1. Il presente decreto non modifica i soggetti autorizzati, sulla base del quadro normativo vigente in materia, ad accedere ai documenti del FSE e le finalita' dagli stessi perseguibili. 2. Le informazioni delle esenzioni per reddito, di cui al decreto ministeriale 11 dicembre 2009, rese disponibili nel FSE sono accessibili al solo assistito. 3. Il Ministero dell'economia e delle finanze e' titolare del trattamento dei dati del Sistema TS di cui all'art. 14, comma 3 e dei dati personali trattati attraverso l'offerta dei servizi dell'INI. 4. Il Ministero dell'economia e delle finanze, in qualita' di titolare del trattamento ai sensi del comma 3, tratta esclusivamente i dati personali indispensabili ed effettua le operazioni di trattamento strettamente necessarie al raggiungimento delle finalita' di cui al presente decreto.Capo VIII
Misure di sicurezza e specifiche tecniche
Art. 23
Misure di sicurezza e specifiche tecniche
1. Il trattamento dei dati di cui al presente decreto e' svolto
secondo le modalita' e le misure di sicurezza per la protezione dei
dati descritte nell'allegato D, che costituisce parte integrante del
presente decreto, adottate dal titolare del trattamento nel quadro
delle piu' ampie misure di cui agli articoli da 31 a 36 e
all'allegato B) del Codice privacy.
2. Le specifiche tecniche relative alle funzioni e servizi di cui
al presente decreto saranno rese disponibili:
a) dal Ministero dell'economia e delle finanze per la parte
relativa all'identificazione dell'assistito attraverso l'allineamento
con l'ANA e verifica consenso, all'archiviazione e gestione dei
consensi o revoche espressi dall'assistito, alla gestione delle
codifiche nazionali e regionali stabilite dal decreto del Presidente
del Consiglio dei ministri n. 178/2015 e alla messa a disposizione
dei dati del Sistema TS, ai sensi dell'art. 12, comma 15-septies del
decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni,
dalla legge 17 dicembre 2012, n. 221;
b) dall'Agenzia per l'Italia digitale, relativamente
all'interoperabilita' dei FSE e dei dossier farmaceutici regionali.
3. Le specifiche tecniche di cui al comma 2 saranno rese
disponibili sul portale www.fascicolosanitario.gov.it entro trenta
giorni dalla pubblicazione del presente decreto.
Il presente decreto sara' pubblicato nella Gazzetta Ufficiale della
Repubblica italiana.
Roma, 4 agosto 2017
Il ragioniere generale dello Stato
del Ministero dell'economia
e delle finanze
Franco
Il segretario generale
del Ministero della salute
Marabelli
Allegato A
FUNZIONI E SERVIZI DELL'INFRASTRUTTURA NAZIONALE PER
L'INTEROPERABILITA' DEI FASCICOLI SANITARI ELETTRONICI
1. Introduzione.
2. Servizi per la gestione dei documenti FSE disponibili alle
strutture sanitarie, alle regioni, alle province autonome e al
Ministero della salute (SASN).
2.1 Funzione di identificazione e verifica consenso
dell'assistito.
2.2 Servizio di inserimento dei metadati di un documento nel FSE.
2.3 Servizio di cancellazione dei metadati di un documento nel
FSE.
2.4 Servizio di ricerca dei metadati di un documento nel FSE.
2.5 Servizio di recupero di un documento del FSE.
2.6 Servizio di trasferimento dell'indice FSE.
3. Servizi relativi all'indice dei documenti sanitari per alcune
tipologie di assistiti.
3.1 Assistiti risultanti in ANA con assistenza presso il SASN.
3.2 Assistiti risultanti in ANA per i quali risulta un
trasferimento di residenza in altra regione e non risulta ancora
l'iscrizione presso una ASL.
Parte di provvedimento in formato grafico
Allegato B
ANAGRAFE DEI CONSENSI E DELLE RELATIVE REVOCHE
1. Introduzione.
2. Anagrafe dei consensi e revoche dell'assistito.
2.1 Conservazione e trattamento dei dati.
3. Archivio delle informative regionali per l'acquisizione dei
consensi e revoche dell'assistito.
4. Servizi per l'alimentazione e l'interrogazione dell'anagrafe
dei consensi.
Parte di provvedimento in formato grafico
Allegato C
SERVIZIO DI MESSA A DISPOSIZIONE DEI DATI DEL SISTEMA TS
1. Introduzione.
2. Servizi per la messa a disposizione ai sistemi regionali di
FSE delle informazioni rese disponibili dal Sistema TS.
2.1 Servizi per la fornitura dei metadati delle esenzioni da
reddito di cui al decreto ministeriale 11 dicembre 2009.
2.2 Servizi per la fornitura dei metadati delle prescrizioni
specialistiche a carico del Servizio sanitario nazionale, effettuate
ai sensi del decreto ministeriale 2 novembre 2011.
2.3 Servizi per la fornitura dei metadati delle prestazioni
specialistiche a carico del Servizio sanitario nazionale, effettuate
ai sensi del decreto ministeriale 2 novembre 2011.
2.4 Servizi per la fornitura dei metadati delle prescrizioni
farmaceutiche a carico del Servizio sanitario nazionale, effettuate
ai sensi del decreto ministeriale 2 novembre 2011.
2.5 Servizi per la fornitura dei metadati delle prestazioni
farmaceutiche a carico del Servizio sanitario nazionale, effettuate
ai sensi del decreto ministeriale 2 novembre 2011.
Parte di provvedimento in formato grafico
Allegato D
MISURE DI SICUREZZA PER LA PROTEZIONE DEI DATI
1. Premessa.
2. Definizioni.
3. Misure di sicurezza applicate all'INI.
3.1 Infrastruttura fisica.
3.2 Registrazione degli utenti ed assegnazione degli strumenti di
sicurezza.
3.3 Sistema di monitoraggio dei servizi.
3.4 Sistema di log analysis.
3.5 Protezione da attacchi informatici.
3.6 Sistemi e servizi di backup e recovery dei dati soggetti al
trattamento.
3.7 Canali di comunicazione.
4. Accesso alla base dati.
4.1 Accesso da parte degli utenti.
5. Misure di sicurezza applicate all'INI-FSE per il regime di
sussidiarieta'.
1. Premessa.
Il presente allegato descrive le caratteristiche
dell'infrastruttura e le misure adottate per garantire riservatezza,
integrita' e disponibilita' dei dati trattati, nonche' la sicurezza
dell'accesso ai servizi, il tracciamento delle operazioni effettuate,
in conformita' all'art. 23 del decreto del Presidente del Consiglio
dei ministri n. 178/2015 (regolamento in materia di fascicolo
sanitario elettronico) e per le finalita' dell'art. 2 del presente
decreto.
2. Definizioni.
Ai fini del presente allegato si intendono per:
a) «sistema di Identity & Access Management», e' un sistema che
permette di gestire gli utenti e le connesse autorizzazioni,
all'interno di un sistema informativo;
b) «Certification Authority», e' un ente di terza parte
(trusted third party), pubblico o privato, abilitato a rilasciare un
certificato digitale tramite procedura di certificazione che segue
standard internazionali e conforme alla normativa europea e nazionale
in materia;
c) certificato client: certificato digitale utilizzato per
l'autenticazione ad un sistema informatico;
d) «profilo di autorizzazione», l'insieme delle informazioni,
univocamente associate a una persona, che consente di individuare a
quali dati essa puo' accedere, nonche' i trattamenti ad essa
consentiti;
e) «backup», la replicazione delle informazioni al fine di
prevenire la definitiva cancellazione o compromissione delle stesse a
fronte di eventi accidentali o intenzionali che possano minacciarne
l'integrita' e la disponibilita';
f) «Disaster Recovery», l'insieme delle misure tecniche e
organizzative adottate per assicurare, in siti alternativi a quelli
primari di produzione, il funzionamento di tutti i servizi, a fronte
di eventi che provochino, o possano provocare, l'indisponibilita'
prolungate.
3. Misure di sicurezza applicate all'INI.
Per le finalita' di cui al paragrafo 1, l'INI, realizzata presso
un'infrastruttura di cui si dira' al paragrafo 3.1, e' dotata di:
un sistema di Identity & Access Management per
l'identificazione dell'utente e della postazione, la gestione dei
profili autorizzativi, la verifica dei diritti di accesso, il
tracciamento delle operazioni;
un sistema di tracciamento e di conservazione dei dati di
accesso alle componenti applicative e di sistema;
sistemi di sicurezza per la protezione delle informazioni e dei
servizi erogati dalla base dati;
una Certification Authority;
sistemi e servizi di backup per il salvataggio dei dati e delle
applicazioni e di Disaster Recovery.
La base dati dell'INI e' sottoposta ad un audit interno di
sicurezza con cadenza annuale, al fine di verificare l'adeguatezza
delle misure di sicurezza.
3.1 Infrastruttura fisica.
L'infrastruttura di INI e' realizzata dal Ministero dell'economia
e delle finanze attraverso l'utilizzo dell'infrastruttura del Sistema
tessera sanitaria in attuazione di quanto disposto dal comma b
dell'art. 382 della legge 11 dicembre 2016, n. 232 (Bilancio di
previsione dello Stato per l'anno finanziario 2017 e bilancio
pluriennale per il triennio 2017-2019).
I locali sono sottoposti a videosorveglianza continua e sono
protetti da qualsiasi intervento di personale esterno, ad esclusione
degli accessi di personale preventivamente autorizzato necessari alle
attivita' di manutenzione e gestione tecnica dei sistemi e degli
apparati.
L'accesso ai locali avviene secondo una documentata procedura,
prestabilita dal titolare del trattamento, che prevede
l'identificazione delle persone che accedono e la registrazione degli
orari di ingresso ed uscita di tali persone.
3.2 Registrazione degli utenti ed assegnazione degli strumenti di
sicurezza.
Gli utenti dell'INI sono le regioni. L'autenticazione delle
regioni verso l'INI avviene attraverso certificato client con mutua
autenticazione.
L'infrastruttura di Identity & Access Management censisce
direttamente le utenze, accogliendo flussi di autenticazione e di
autorizzazione, per l'assegnazione dei certificati client di
autenticazione.
Il sistema effettua la gestione completa del certificato di
autenticazione: assegnazione, riemissione alla scadenza, revoca.
La gestione e la conservazione del certificato client e' di
esclusiva responsabilita' del soggetto cui sono state assegnate.
La gestione dei profili di autorizzazione e' effettuata
dall'amministratore centrale della sicurezza.
L'amministratore centrale di sicurezza e' nominato tra i
dipendenti del Ministero dell'economia e delle finanze.
Viene adottato il seguente modello di identita' federata: poiche'
la regione si configura come un intermediario tra l'INI e l'utente
finale, e' a carico del sistema regionale la generazione e la firma
digitale di un'asserzione, costruita secondo lo standard SAML, che
certifica l'utente finale in quanto soggetto identificato dalla
regione e che ha facolta' di accedere ai servizi dell'INI. In tal
caso le credenziali che utilizza l'utente finale sono gestite dalla
regione e non direttamente dall'INI. Il sistema di Identity & Access
Management dell'INI verifica la validita' della firma digitale
contenuta nell'asserzione. A tal fine, la Certification Authority
emette i certificati per la firma digitale delle asserzioni. Le
asserzioni sono firmate dalla regione con un certificato rilasciato
dall'INI. Il certificato e' firmato da una CA esterna.
La Certification Authority del MEF emette i certificati per i
server regionali. L'installazione dei certificati dei server
regionali e' a carico dell'amministratore centrale della sicurezza,
la loro gestione e' a carico dell'infrastruttura di Identity & Access
Management. La non esportabilita' dei certificati dei server
regionali e' garantita dalla presenza di un codice PIN, generato in
fase di installazione sulla specifica postazione destinataria, la cui
conservazione e' di esclusiva responsabilita' dell'amministratore
centrale della sicurezza.
3.3 Sistema di monitoraggio dei servizi.
Il Ministero dell'economia e delle finanze, attraverso
l'infrastruttura di cui al paragrafo 3.1, eroga i servizi di cui
all'allegato A e assolve le funzionalita' di sicurezza descritte nel
presente allegato, nel rispetto delle specifiche tecniche approvate
dal Ministero dell'economia e delle finanze e dal Ministero della
salute.
Per il monitoraggio dei servizi, il Ministero dell'economia e
delle finanze si avvale di uno specifico sistema di reportistica.
3.4 Sistema di log analysis.
Il Ministero dell'economia e delle finanze adotta un sistema di
log analysis per l'analisi periodica delle informazioni registrate
nei file di log, in grado di individuare, sulla base di regole
predefinite e formalizzate e attraverso l'utilizzo di indicatori di
anomalie (alert), eventi potenzialmente anomali che possano
configurare trattamenti illeciti.
I file di log registrano, per la verifica della correttezza e
legittimita' del trattamento dei dati, le seguenti informazioni: il
codice identificativo del soggetto che ha effettuato l'accesso, la
data e l'ora dell'accesso, l'operazione effettuata, il codice
identificativo dell'assistito oggetto di consultazione.
I file di log presentano le seguenti caratteristiche:
a) integrita' e inalterabilita';
b) sono protetti con idonee misure contro ogni uso improprio;
c) sono accessibili solo agli incaricati del trattamento
esclusivamente in forma aggregata; sono trattati in forma non
aggregata unicamente laddove cio' risulti indispensabile ai fini
della verifica correttezza e legittimita' delle singole operazioni
effettuate;
d) sono conservati per un periodo di dodici mesi al termine del
quale sono cancellati.
Sulla base di quanto monitorato dal sistema di log analysis,
vengono generati, periodicamente, report sintetici sullo stato di
sicurezza del sistema (es. accessi ai dati, rilevamento delle
anomalie, etc.).
3.5 Protezione da attacchi informatici.
Al fine di protezione dei sistemi operativi da attacchi
informatici, eliminando le vulnerabilita', si utilizzano:
a) apposite procedure di profilazione al fine di limitare
l'operativita' alle sole funzionalita' necessarie per il corretto
funzionamento dei servizi;
b) in fase di messa in esercizio, oltre che ad intervalli
prefissati o in presenza di eventi significativi, processi di
vulnerability assessment and mitigation nei software utilizzati e
nelle applicazioni dei sistemi operativi;
c) infrastruttura di sistemi firewall e sistemi IPS (Intrusion
Prevention System) che consentono la rilevazione dell'esecuzione di
codice non previsto e l'esecuzione di azioni in tempo reale quali il
blocco del traffico proveniente da un indirizzo IP attaccante.
3.6 Sistemi e servizi di backup e recovery dei dati soggetti al
trattamento.
I sistemi e servizi di backup per il salvataggio dei dati e delle
applicazioni e di Disaster Recovery, vengono predisposti in
conformita' all'art. 34, comma 1, lettera f), del decreto legislativo
30 giugno 2003, n. 196, e ai punti 18 e 23 dell'allegato disciplinare
tecnico (allegato B al decreto legislativo 30 giugno 2003, n. 196).
Il piano di continuita' operativa e il relativo piano di Disaster
Recovery, gia' presente per il Sistema TS, e' aggiornato a fronte
dell'istituzione dell'INI.
3.7 Canali di comunicazione.
L'INI invia e riceve le comunicazioni in modalita' sicura, su
rete di comunicazione SPC ovvero tramite Internet, mediante
protocollo TLS per garantire la riservatezza dei dati. I protocolli
di comunicazione TLS, gli algoritmi e gli altri elementi che
determinano la sicurezza del canale di trasmissione protetto sono
continuamente adeguati in relazione allo stato dell'arte
dell'evoluzione tecnologica.
4. Accesso alla base dati.
L'accesso all'INI, sia per le funzioni applicative che per gli
amministratori di sistema/DBA, avviene in condizioni di pieno
isolamento operativo e di esclusivita', in conformita' ai principi di
esattezza, disponibilita', accessibilita', integrita' e riservatezza
dei dati, dei sistemi e delle infrastrutture.
I sistemi di sicurezza garantiscono che l'infrastruttura di
produzione sia logicamente distinta dalle altre infrastrutture del
Ministero dell'economia e delle finanze e che l'accesso alla stessa
avvenga in modo sicuro, controllato, e costantemente tracciato,
esclusivamente da parte di personale autorizzato dal Ministero
dell'economia e delle finanze, e con il tracciamento degli accessi e
di qualsiasi attivita' eseguita.
4.1 Accesso da parte degli utenti.
L'accesso all'INI da parte delle regioni avviene tramite web
services.
L'autenticazione avviene tramite certificato client (mutua
autenticazione) su canale cifrato TLS. I certificati client sono
emessi dalla Certification Authority.
Le operazioni effettuate presso la postazione della regione sono
registrate nel sistema di Identity & Access Management, che registra
le informazioni di autenticazione e gli attributi e li utilizza per
verificare i diritti di accesso all'informazione e per alimentare il
sistema di tracciamento.
5. Misure di sicurezza applicate all'INI-FSE per il regime di
sussidiarieta'.
In regime di sussidiarieta' l'INI adotta le misure di sicurezza
previste dall'art. 23 del decreto del Presidente del Consiglio dei
ministri n. 178/2015, ad eccezione delle misure di conservazione che
restano a carico delle regioni.
Nessun commento:
Posta un commento