Sicurezza sin dall’inizio: come funziona la protezione dei dati sensibili con l’ADG

 

Lavorare con le informazioni dei tenant: la fiducia inizia con la sicurezza

Con l’incarto digitale, giudici e procuratori pubblici hanno accesso con un semplice clic a documenti riservati, dati sensibili del procedimento e appunti interni. Ma cosa succede affinché il loro accesso sia sicuro, tracciabile e legalmente corretto? Nel mondo analogico, ministeri pubblici e tribunali proteggono i propri locali, chiudono a chiave i documenti riservati e controllano chi vi ha accesso. Nel mondo digitale, invece, bisogna ripensare la sicurezza e ricorrere ad altre tecnologie, assicurandosi però di sostenere e non di rallentare il lavoro giuridico.

È questo il compito dell’applicazione dossier giudiziario. L’ADG crea un ambiente digitale con misure atte a garantire la riservatezza, l’integrità e la disponibilità. In questo modo la protezione dei dati critici continua ad essere anche in futuro parte integrante del flusso lavorativo giuridico.

 

Principi consolidati per la vostra sicurezza informatica

I dati sensibili sono il midollo spinale del lavoro giuridico. L’obbligo di trattarli in modo responsabile, quindi, non è solo legale, ma anche etico. Per poter soddisfare tale obbligo, ai dati sensibili vengono applicati tre principi fondamentali di sicurezza informatica, implementati con una serie di misure tecniche e organizzative.

  • 1

    Riservatezza

    • Solo le persone autorizzate possono accedere ai dati sensibili.
    • Le misure di protezione si concentrano in particolare sugli incarti e sui dati di procedimento.
    • Diverse misure tecniche consentono di prevenire danni da accessi non autorizzati.
  • 2

    Integrità

    • Durante la memorizzazione e la trasmissione le informazioni non possono essere modificate segretamente.
    • Speciali precauzioni tecniche impediscono a terzi non autorizzati di effettuare modifiche.
    • Questo assicura l’affidabilità dei documenti e dei mezzi di prova.
  • 3

    Disponibilità

    • Garanzia di accessi su misura alle informazioni e ai sistemi importanti.
    • Essenziale in caso di scadenze dei termini, udienze in tribunale e nel lavoro quotidiano.
    • Ripristino del funzionamento quanto prima in caso di guasto o interruzione di servizio.
 

Piano di sicurezza dell’ADG: funzionalità e livelli

La sicurezza e le misure correlate si estendono attraverso tutti i livelli e i processi lavorativi con l’ADG. Che si tratti dell’infrastruttura, del sistema di autenticazione o del lavoro quotidiano con dati e documenti, gli utenti beneficiano di strutture che soddisfano i requisiti più elevati.

 
  • Accesso e autenticazione per la protezione di dati sensibili

    La protezione dei dati sensibili inizia con il controllo di chi ha accesso a quali dati. L’ADG utilizza standard moderni e garantisce la sicurezza dei dati attraverso implementazioni e procedure sicure.

    • Controlli di accesso rigorosi e cifratura: garantiscono che solo gli utenti autorizzati abbiano accesso all’applicazione. Fra le misure attuate vi è un sistema di autenticazione a due fattori, l’accesso esclusivamente da reti predefinite con l’aiuto di un Identity Provider cantonale e moderni processi di cifratura per la comunicazione con l’applicazione.
    • Concetti di ruoli e diritti delle singole autorità giudiziarie: assicurano che gli utenti possano consultare e modificare solo le informazioni necessarie per il loro lavoro. Concretamente significa che i diritti di accesso sono definiti e limitati per ogni incarto e per ogni atto in esso contenuto.
    • Regolare verifica e adattamento dei diritti di accesso: è un ulteriore importante componente del modello di sicurezza, che consente di reagire in modo tempestivo ai nuovi tipi di minaccia. L’esecuzione continua da parte di fornitori di servizi esterni di test di intrusione («penetration test») assicura, ad esempio, il rilevamento veloce e quindi l’eliminazione delle vulnerabilità nella configurazione delle autorizzazioni.
  • Sicurezza nei flussi di lavoro con i servizi specializzati

    La quotidianità giuridica ruota attorno a processi e flussi di lavoro. I servizi specializzati, come la gestione compiti e la strutturazione degli incarti, devono quindi essere funzionali ma anche e soprattutto strutturati in modo sicuro.

    • La sicurezza è parte integrante di ogni tappa del flusso di lavoro e pertanto costituisce la base per una collaborazione digitale efficiente, trasparente e affidabile.
    • La cifratura di tutti i dati dei servizi specializzati è una delle misure principali, che si tratti di appunti interni, di documenti riservati o di altri contenuti di comunicazione.
    • Le scansioni antivirus eseguite in modo centralizzato offrono una protezione supplementare per i servizi specializzati e assicurano il rilevamento precoce e l’eliminazione di malware.
  • Protezione della sicurezza dei dati su tutti i livelli

    L’ADG è basato su un piano di sicurezza a più livelli per poter proteggere opportunamente i dati che, in ambito giudiziario, sono particolarmente sensibili. A questo scopo sono fondamentali diverse misure tecniche che, in combinazione, consentono il massimo livello di sicurezza dei dati – e rafforzano la fiducia degli utenti nella giustizia digitale.

    • La protezione WORM è un’importante protezione dell’integrità degli atti degli incarti. I documenti possono essere scritti una sola volta e poi solo letti. Ogni elaborazione di documento viene tracciata e memorizzata come versione distinta, impedendo quindi modifiche successive o cancellazioni.
    • Un modulo di sicurezza del software, detto Vault, è responsabile per la gestione interna delle chiavi crittografiche. Il Vault assicura che le azioni particolarmente sensibili, come la cifratura e la decifratura, avvengano in un quadro protetto e, ancor più importante, che le chiavi non possano essere esportate.
    • La memorizzazione cifrata concerne nell’ADG tutti gli incarti, gli altri dati e i metadati correlati. Anche l’indice di ricerca è cifrato, e pertanto anche le query di ricerca sono protette da accessi non autorizzati.
    • Un Web Application Firewall (WAF) monitora e filtra il traffico di dati in modo da rilevare precocemente e bloccare gli attacchi a livello di applicazione.  
    • Un sistema SIEM/SOC (Security Information and Event Management / Security Operations Center) controlla continuamente tutti gli eventi rilevanti per la sicurezza, analizza le attività sospette e consente di reagire rapidamente a potenziali minacce.
  • L’infrastruttura come base di stabilità e protezione

    Alla base della sicurezza dell’ADG si situa l’infrastruttura. Per garantire l’affidabilità e la continuità d’esercizio si è scelto un design di sistema ad alta disponibilità e ridondante.

    • In caso di interruzione completa di funzionamento, i componenti di sistema critici sono strutturati in modo tale da poter ripristinare la loro funzionalità entro al massimo un giorno dopo il verificarsi del guasto.
    • La presenza di tre ubicazioni fisiche in Svizzera crea una ridondanza di infrastruttura e conservazione dei dati e quindi un’elevata affidabilità d’esercizio e disponibilità.
    • Il monitoraggio e la manutenzione continui dell’infrastruttura assicurano il rilevamento precoce e l’eliminazione di potenziali vulnerabilità.
 

«L’ADG fornisce risposta a tutti i requisiti di sicurezza che la moderna giustizia pone alla metodologia lavorativa digitale. I temi legati alla sicurezza, che sono stati presi in considerazione già nella fase di sviluppo, influiranno a lungo e in modo decisivo l’esercizio corrente e lo sviluppo continuo.»

Raymond Stebler, responsabile di progetto ADG
 

La sicurezza con l’utilizzo SaaS e On-Premise

L’ADG è generalmente concepita e raccomandata come soluzione SaaS (Software as a Service). Ciò significa che il progetto Justitia 4.0 si assume la sicurezza d’esercizio, la manutenzione continua e la protezione dei dati.

Se un’autorità giudiziaria desidera integrare la soluzione On-Premise nel proprio ambiente IT, anche in questo caso l’ADG comprende tutte le principali funzioni di sicurezza. Tuttavia, è necessario tenere presente le seguenti indicazioni:

  • Dati cifrati: il sistema protegge le informazioni sensibili memorizzate e le trasmette esclusivamente attraverso connessioni sicure (HTTPS/TLS).
  • Registrazione: le azioni rilevanti per la sicurezza vengono documentate a garanzia della loro tracciabilità.
  • Protezione delle interfacce: i sistemi esterni possono accedere solo attraverso API sicure.
  • Aggiornamenti e patch di sicurezza: il progetto mette a disposizione regolari aggiornamenti, che le autorità giudiziarie possono importare nel proprio sistema.
  • Backup e ripristino: il progetto fornisce un sostegno per l’integrazione di piani di backup dati e di emergenza.

Importante: Con il modello On-Premise, la responsabilità per la sicurezza d’esercizio dei sistemi, l’importazione di aggiornamenti e la sicurezza dell’infrastruttura spetta all’autorità giudiziaria e al Cantone in questione. Il progetto mette a disposizione le funzioni e sostiene i clienti con una raccolta di best practice e raccomandazioni.

 

Processo continuo a garanzia della massima sicurezza

Nell’ADG, la sicurezza non è un progetto isolato e limitato nel tempo, ma un processo continuo. Sebbene la sicurezza sia già integrata sin dall’inizio con misure tecniche e organizzative, continua a essere soggetta a miglioramenti e verifiche allo scopo di essere all’altezza di nuovi tipi di minacce e di poter proteggere i dati sensibili nel contesto giuridico. In questo modo la sicurezza digitale con l’ADG non rimane solo una promessa, ma diventa una base solida e resistente per una collaborazione di fiducia in ambito giuridico.

 

Avete bisogno di maggiori informazioni sull’ADG o desiderate una consulenza in merito?

 

Contattateci!

 
 

Altri temi che potrebbero interessarvi