Questo articolo è valido solo per DocuWare Client Windows. Il Web Client non supporta la firma elettronica!
Domanda:
Quali sono le condizioni di utilizzo della firma elettronica?
Risposta:
Le condizioni di utilizzo della firma elettronica descritte di seguito si riferiscono alla Germania e alla legge tedesca sulla firma. Le condizioni di utilizzo in altri Paesi possono essere simili. Si prega di osservare le disposizioni di legge vigenti nel Paese in cui si desidera utilizzare la firma elettronica.
Tutti i dispositivi utilizzati come terminali per carte chip devono essere terminali per carte chip verificati e confermati ai sensi della Legge sulla firma e dell'Ordinanza sulla firma e devono implementare la Microsoft Crypto API.
Ai sensi della Legge sulla firma e dell'Ordinanza sulla firma, solo i dispositivi per la creazione di firme verificati e confermati come sicuri possono essere utilizzati come carte chip personalizzate.
Quando si utilizzano firme elettroniche qualificate, l'amministratore deve attenersi alle seguenti linee guida di sicurezza:
Il client DocuWare 5 deve essere installato su un computer dedicato. Anche il server DocuWare 5 deve essere installato su un computer dedicato. I singoli componenti possono essere installati su un unico computer (installazione singola) o su computer diversi. Per una descrizione dettagliata dei diversi tipi di installazione, consultare il Manuale di installazione di DocuWare. Se si utilizza un'installazione di rete, l'amministratore deve assicurarsi che i client e i server comunichino tra loro attraverso linee sicure in un ambiente protetto.
L'accesso al computer in questione da un altro computer della rete locale deve essere impedito mediante un meccanismo di filtro dei pacchetti installato localmente. L'apertura di connessioni da parte delle applicazioni sul computer stesso deve essere limitata agli indirizzi IP, alle porte e ai protocolli necessari per il funzionamento.
Il computer su cui sono installati il client e/o i server deve essere collocato in una stanza a cui può accedere solo il personale autorizzato. Prima dell'installazione e durante il funzionamento del prodotto, è necessario assicurarsi che la sicurezza del computer e del sistema operativo installato non sia compromessa. Il software DocuWare è firmato e non può essere avviato in caso di manipolazione, in quanto la firma verrebbe meno. Il sistema operativo installato sul computer deve essere mantenuto aggiornato installando le correzioni e gli aggiornamenti di sicurezza non appena disponibili. Nessun altro sistema operativo deve essere attivo in fase di esecuzione (nessuna macchina virtuale).
L'accesso alla struttura di archiviazione di DocuWare deve essere riservato solo ai server di DocuWare (Content Server). Nessun altro utente può accedervi. Questo può essere garantito utilizzando la struttura dei diritti di Windows.
Le workstation DocuWare utilizzate per la creazione di firme elettroniche qualificate devono essere eseguite su una rete interna protetta da un firewall contro gli attacchi esterni. L'accesso da reti pubbliche alla rete locale in cui risiede il computer deve essere impedito da un router opportunamente configurato. Inoltre, sulla postazione di lavoro deve essere installato un antivirus aggiornato.
I terminali per carte chip utilizzati devono essere collegati direttamente al computer su cui è installato ed eseguito il client DocuWare Client (non sistemi KIOSK).
L'orologio di sistema del computer su cui è installato Authentication Server deve essere preciso. Si consiglia di sincronizzare l'orologio di sistema utilizzando un riferimento temporale adeguato (NTP).
Per la creazione di firme elettroniche qualificate è necessario utilizzare terminali di carte a chip con tastiera propria, dispositivi per la creazione di firme sicure (carte di firma) che implementano l'API Crypto di Microsoft e certificati qualificati; l'idoneità di questi terminali deve essere verificata e confermata ai sensi della legge sulla firma e dell'ordinanza sulla firma.
L'amministratore dell'organizzazione deve assicurarsi che solo le persone autorizzate possano creare timbri di firma e che solo le persone autorizzate possano utilizzare timbri di firma che generano Firme Elettroniche Qualificate. Si consiglia di assegnare sempre i timbri di firma che generano Firme Elettroniche Qualificate direttamente agli utenti del prodotto. L'amministratore deve assicurarsi che sia impossibile assegnare i timbri di firma tramite profili, ruoli o gruppi.
L'amministratore dell'organizzazione deve garantire che tutte le persone autorizzate a utilizzare i timbri di firma o a creare firme elettroniche qualificate siano soggette alle seguenti condizioni: devono avere accesso solo ai cestini in modalità DocuWare 5 e non in modalità DocuWare 4 e non devono avere il diritto di amministrare i cestini.
L'amministratore deve assicurarsi che nell'archivio certificati di Windows del computer in cui è installato il client DocuWare vengano importati solo certificati aggiornati. L'amministratore deve inoltre assicurarsi che nell'archivio certificati di Windows del computer in cui è installato DocuWare Client vengano importate solo liste nere aggiornate. Per garantire ciò, è possibile utilizzare le funzionalità del sistema operativo Windows (archivio certificati di Windows).
Se i documenti firmati vengono esportati da DocuWare, gli utenti devono assicurarsi che siano protetti da accessi non autorizzati.
I cestini utilizzati per le firme di massa possono essere utilizzati solo da persone autorizzate. Ciò deve essere garantito dai meccanismi di sicurezza di Windows.
DocuWare crea la firma utilizzando la Crypto API, un componente dei sistemi operativi Microsoft Windows. Il software utilizzato dal dispositivo di creazione della firma deve implementare questa interfaccia.
I valori hash vengono creati utilizzando le classi accessibili .net nello spazio dei nomi System.Security.Cryptography. Il valore hash viene generato in un processo a due fasi in conformità con lo standard XML Digital Signature.
Quando un utente crea una firma, l'intera catena di certificati, dal certificato dell'utente fino al certificato radice associato, deve essere salvata nell'archivio certificati di Windows. L'archivio certificati di Windows è un componente dei sistemi operativi Windows supportati.
Quando si verifica la firma, anche l'intera catena di certificati deve essere salvata nell'archivio certificati di Windows del computer in questione. Se necessario, anche il certificato utente può essere salvato nella firma. In questo caso, non deve esistere nell'archivio certificati di Windows del personal computer su cui viene verificata.
Si prega di notare: Questo articolo è una traduzione dall’inglese. Le informazioni contenute in questo articolo si basano sulla/e versione/i originale/i del prodotto in inglese. Potrebbero esserci piccoli errori, come nella grammatica usata nella versione tradotta dei nostri articoli. Sebbene non possiamo garantire la completa esattezza della traduzione, nella maggior parte dei casi troverà che è sufficientemente informativa. In caso di dubbi, torni alla versione inglese di questo articolo.