SISTEMA SANITARIO DELLA SARDEGNA
Sicurezza e privacy
L’autenticazione di un utente ad un sistema informatico si basa tipicamente tramite sul controllo di uno o più dei seguenti fattori:
● “qualcosa che sai”: un’informazione nota solo all’utente legittimo (ad es. una password o un PIN);
● “qualcosa che hai”: un oggetto fisico in possesso esclusivo dell’utente legittimo (ad es. una smart card o una carta SIM);
● “qualcosa che sei”: una caratteristica fisica unica dell’utente legittimo (ad es. l’impronta digitale o della retina).
Un sistema di autenticazione che si basa su uno solo dei suddetti fattori è un’autenticazione debole, mentre uno che si basa su più di uno è un’autenticazione forte.
L’autenticazione tramite username e password utilizza solo il primo fattore, per cui è un’autenticazione debole; invece l’autenticazione tramite CO-CNS utilizza i primi due, ossia il PIN e la carta stessa, che grazie al suo microchip è un dispositivo hardware virtualmente impossibile da clonare, ed è quindi un’autenticazione forte.
Obblighi del titolare
Il titolare della CO-CNS è l’operatore Sanitario a cui la CO-CNS è intestata. Allo scopo di garantire la sicurezza della smart-card, minimizzando i rischi di uso fraudolento, egli deve obbligatoriamente seguire le seguenti regole:
● fornire all’amministrazione regionale informazioni esatte e veritiere in fase di rilascio dei codici PIN e PUK;
● controllare la correttezza dei dati riportati sulla CO-CNS;
● custodire con la massima diligenza i codici riservati ricevuti al fine di preservarne la riservatezza;
● conservare con la massima diligenza la CO-CNS;
● conservare i codici riservati in luogo diverso da quello in cui è conservata la CO-CNS;
● richiedere il codice di sblocco (PUK) nell'apposita sezione del portale della CO-CNS;
● conservare il PUK con la massima diligenza in luogo sicuro e diverso da quello in cui è conservata la CO-CNS;
● richiedere immediatamente la sospensione della CO-CNS in caso di smarrimento, furto, compromissione della segretezza dei codici riservati, errore o modifica dei dati del titolare presenti nel certificato (nome, cognome, codice fiscale).
Ulteriori informazioni sulla sicurezza si possono trovare nel Manuale Operativo.
Privacy
Il trattamento dei dati personali è svolto in conformità a quanto disposto dal D.lgs. 30 giugno 2003, n. 196; il titolare del trattamento è la la ASL di appartenenza, in persona del suo Direttore Generale pro tempore. L'informativa completa, ai sensi dell'art. 13 di tale decreto, è consultabile al link sottostante.
Relativamente al certificato di firma digitale, il titolare del trattamento è Aruba PEC S.p.A.
Informativa per il trattamento di dati personali per CO-CNS (titolare Regione Sardegna).
Informativa per il trattamento di dati personali relativa alla firma digitale (titolare Aruba PEC)
● “qualcosa che sai”: un’informazione nota solo all’utente legittimo (ad es. una password o un PIN);
● “qualcosa che hai”: un oggetto fisico in possesso esclusivo dell’utente legittimo (ad es. una smart card o una carta SIM);
● “qualcosa che sei”: una caratteristica fisica unica dell’utente legittimo (ad es. l’impronta digitale o della retina).
Un sistema di autenticazione che si basa su uno solo dei suddetti fattori è un’autenticazione debole, mentre uno che si basa su più di uno è un’autenticazione forte.
L’autenticazione tramite username e password utilizza solo il primo fattore, per cui è un’autenticazione debole; invece l’autenticazione tramite CO-CNS utilizza i primi due, ossia il PIN e la carta stessa, che grazie al suo microchip è un dispositivo hardware virtualmente impossibile da clonare, ed è quindi un’autenticazione forte.
Obblighi del titolare
Il titolare della CO-CNS è l’operatore Sanitario a cui la CO-CNS è intestata. Allo scopo di garantire la sicurezza della smart-card, minimizzando i rischi di uso fraudolento, egli deve obbligatoriamente seguire le seguenti regole:
● fornire all’amministrazione regionale informazioni esatte e veritiere in fase di rilascio dei codici PIN e PUK;
● controllare la correttezza dei dati riportati sulla CO-CNS;
● custodire con la massima diligenza i codici riservati ricevuti al fine di preservarne la riservatezza;
● conservare con la massima diligenza la CO-CNS;
● conservare i codici riservati in luogo diverso da quello in cui è conservata la CO-CNS;
● richiedere il codice di sblocco (PUK) nell'apposita sezione del portale della CO-CNS;
● conservare il PUK con la massima diligenza in luogo sicuro e diverso da quello in cui è conservata la CO-CNS;
● richiedere immediatamente la sospensione della CO-CNS in caso di smarrimento, furto, compromissione della segretezza dei codici riservati, errore o modifica dei dati del titolare presenti nel certificato (nome, cognome, codice fiscale).
Ulteriori informazioni sulla sicurezza si possono trovare nel Manuale Operativo.
Privacy
Il trattamento dei dati personali è svolto in conformità a quanto disposto dal D.lgs. 30 giugno 2003, n. 196; il titolare del trattamento è la la ASL di appartenenza, in persona del suo Direttore Generale pro tempore. L'informativa completa, ai sensi dell'art. 13 di tale decreto, è consultabile al link sottostante.
Relativamente al certificato di firma digitale, il titolare del trattamento è Aruba PEC S.p.A.
Informativa per il trattamento di dati personali per CO-CNS (titolare Regione Sardegna).
Informativa per il trattamento di dati personali relativa alla firma digitale (titolare Aruba PEC)