SICUREZZA

PIANO DI SICUREZZA DEL PROTOCOLLO INFORMATICO

ACCESSO AL SISTEMA – AUTORIZZAZIONE OPERATORE L’accesso al protocollo informatico avviene nell’ambito dei servizi on-line offerti alla comunità politecnica. Infatti tutti gli utenti Polimi (studenti, docenti e personale tecnico amministrativo) sono in possesso di Codice Persona e relativa password.

Per abilitare un nuovo operatore, il responsabile della UOR cui afferisce il richiedente, invia una comunicazione (ad es. una email alla casella “protocollo@polimi.it”) all’attenzione del Responsabile della gestione documentale (RGD), con la quale richiede l’abilitazione dell’operatore, ne indica il Codice Persona e specifica le funzioni alle quali deve essere abilitato;

Il Responsabile della gestione documentale (o un suo delegato) esegue le seguenti operazioni:

1) In servizi on-line, aggiunge una “persona” in “servizi on line” > DATI > “Gestione gruppi di autorizzazione” > STANDARD > “Protocollo_utenti_arccentrale”;

2) In Titulus ACL, crea una nuova “persona interna”, associandola alla UOR ed al profilo operatore, come da richiesta;

3) In servizi on-line, aggiunge una “persona” alla mailing list “titulus-operatori”;

Contestuale alla registrazione/abilitazione è auspicata una adeguata formazione.

ACCESSO AL SISTEMA – PROCEDURA DI CONTROLLO L’accesso al sistema avviene a seguito di un processo di autenticazione che consta di quattro fasi, delle quali solo la seconda risulta interattiva con l’utente:

1. nel momento in cui un utente richiede l’accesso tramite url da browser al sistema di protocollazione il firewall controlla se l’indirizzo ip della macchina da cui proviene la richiesta è abilitato all’accesso;

2. il sistema richiede di inserire la username e la password;

3. in presenza di una totale integrazione con l’attuale dominio, i server di dominio (domain controller) controllano se le credenziali dell’utente sono corrette;

4. l’applicativo consente l’accesso unicamente agli utenti per i quali sia stata predisposta la scheda anagrafica riportante il “nome riconosciuto” che corrisponde all’account di dominio.

Se le credenziali sono corrette, si apre una sessione tra il client dell’utente e il server applicativo, comunicando a quest’ultimo solamente il codice di accesso, modalità che consente la non conoscenza delle password da parte dell’applicativo. L’applicativo è in grado quindi di individuare in modo univoco l’utente. Il sistema controlla inoltre che non venga utilizzato lo stesso codice di accesso (username) contemporaneamente da due postazioni di lavoro, impedendo un eventuale secondo accesso contemporaneo.

La possibilità di accedere al sistema è pertanto consentita esclusivamente agli utenti abilitati, identificati da password personale e con facoltà operative preventivamente individuate.

FACOLTA’ DI EFFETTUARE PROCEDURE SPECIFICHE

Il sistema consente di predefinire l’elenco delle operazioni di cui il singolo utente ha facoltà: a tale scopo e per poter gestire al meglio la pianificazione dei diritti utenti, il Responsabile GD riceve dai referenti delle UOR richiesta scritta di abilitazione per ciascun utente.

VISIBILITA’ DI DATI E DOCUMENTI

Per visibilità si intende la possibilità per un utente abilitato di visualizzare i dati relativi a una registrazione di protocollo e gli eventuali file a essa associati relativi al documento registrato, con l’esclusione dei documenti riservati.