Conservazione digitale

Tempo di lettura:

Tempo di lettura:

L’importanza di avere un conservatore affidabile

Sempre più aziende e studi professionali preferiscono affidare la conservazione digitale a conservatori esterni. Ma perché è rilevante demandare il servizio a conservatori affidabili? Quali sono i requisiti che stabiliscono l’affidabilità di un conservatore? In questo articolo andremo a dare una risposta a tutte queste domande.

La conservazione digitale dei documenti fiscali può essere eseguita all’interno dell’organizzazione, tramite per esempio l’ausilio di un software on-premise o fruibile in modalità cloud computing, oppure affidando il servizio a un conservatore esterno. In quest’ultimo caso, è utile ricordare che le sanzioni amministrative per violazioni conseguenti alla non corretta esecuzione della conservazione digitale sono sempre impartite al soggetto IVA, ed è quindi necessario affidare il servizio a soggetti aventi un alto grado in termini di organizzazione, processi e infrastrutture. Ma vediamo nel dettaglio cosa significa per il conservatore esterno assicurare le suddette garanzie.

Organizzazione

  • È stato redatto e approvato un documento riportante la  politica di sicurezza delle informazioni (Information Security Policy Document), e definiti anche i ruoli e le responsabilità in merito alla sicurezza e alla protezione delle informazioni all’interno del servizio di conservazione;
  • Sono stati formalizzati i ruoli, le funzioni e le responsabilità dei diversi soggetti che partecipano al servizio di conservazione, definendo l’organigramma e un piano di aggiornamento professionale;
  • È stato adottato un valido sistema di segregation of duties, seguendo quanto riportato nell’organigramma e nelle job description dei diversi soggetti coinvolti;
  • È stata definita una procedura per la gestione delle comunicazioni da e verso l’esterno il servizio di conservazione;
  • È stata eseguita un’attività di risk assessment dell’organizzazione, dei processi, dell’infrastruttura, dei sistemi, per verificare la loro conformità ai requisiti legali, fiscali e di standard;
  • È stata definita e adottata una procedura per rimuovere tempestivamente i diritti di accesso degli addetti, in caso di interruzione del rapporto di lavoro o nel caso non siano più coinvolti nel servizio di conservazione;
  • È presente un sistema di change management che consente di identificare e analizzare i cambiamenti ritenuti critici in termini di potenziali impatti sul sistema di conservazione ed è presente inoltre un sistema di tracciamento e di roll back dei cambiamenti;
  • È attuato un monitoraggio dei servizi erogati da fornitori terzi, in conformità a quanto previsto nei contratti di servizio, che deve inoltre prevedere la possibilità di eseguire ispezioni o verifiche;
  • Sono definite e adottate specifiche politiche di gestione degli accessi, che consentono di assicurare la fruizione delle informazioni al solo personale autorizzato, con verifiche periodiche per identificare eventuali criticità;
  • È stata definita una procedura per l’assegnazione, la revisione e la cancellazione delle utenze per accedere al sistema di conservazione, e dove viene assegnato un solo user ID per persona, la richiesta di rilascio dello user ID deve pervenire da persona autorizzata e il rilascio formalmente approvato, e viene mantenuto un elenco storico delle credenziali di accesso assegnate;
  • È stata definita una procedura per l’assegnazione, la revisione e la cancellazione dei privilegi di accesso per le utenze assegnate per entrare nel sistema di conservazione;
  • È stata definita una procedura per la gestione ed assegnazione delle password di accesso al sistema di conservazione;
  • Sono state definite e attuate delle procedure per la gestione degli incidenti inerenti la sicurezza e delle conseguenti azioni  da intraprendere (Information Security Policy Document);
  • Sono stati definiti e attuati specifici piani per la continuità operativa del business (Business Continuity Plan) e per la continuità tecnologica del sistema di conservazione (Disaster Recovery Plan);
  • I diversi responsabili verificano, sulla base di una specifica procedura e con periodicità definite, la conformità delle proprie aree di riferimento alle politiche di sicurezza e standard definite;
  • È stato redatto il manuale della conservazione riportante il dettaglio del modello organizzativo del sistema di conservazione, i meccanismi per aggiornare e sviluppare le politiche di conservazione, le componenti tecnologiche, fisiche e logiche, e le loro procedure di gestione e di evoluzione;
  • Sono state definite e attuate delle procedure di verifica periodica di conformità del sistema di conservazione alle normative e agli standard di riferimento.

Processi

  • Qualora necessario, vengono adottati sistemi di cifratura conformi a standard internazionali, e in tal caso sono presenti i log delle attività svolte;
  • L’accesso ai codici sorgente dei programmi è strettamente controllato, ed esiste un log degli accessi ai codici sorgente e alle librerie dei programmi;
  • Il cambiamento del sistema di conservazione è attuato sulla base di un processo formale, descritto in una procedura condivisa;
  • Sono definite e descritte: le modalità attraverso cui sono gestiti i pacchetti di versamento e le relative informazioni e metadati, il processo che assicura l’individuazione e correzione degli errori nei pacchetti di versamento, e le procedure in caso di rifiuto del pacchetto di versamento;
  • Sono definite e descritte: le modalità attraverso le quali il pacchetto di archiviazione viene generato a partire dal pacchetto di versamento, le modalità con cui sono verificati, identificati e gestiti i formati degli oggetti conservati, le procedure per tracciare i pacchetti di archiviazione e le singole attività svolte, le politiche di conservazione dei pacchetti di archiviazione utile ad assicurare negli anni l’integrità degli oggetti conservati;
  • Sono definite e descritte le modalità per rendere disponibile i pacchetti di distribuzione.

Infrastrutture  

  • Esiste la separazione degli ambienti del sistema di conservazione (sviluppo, test, produzione) e il personale coinvolto nelle attività di sviluppo non è responsabile anche delle attività di test;
  • È definito e attuato un processo di monitoraggio e di valutazione dell’uso delle risorse (capacity management) per analizzare e valutare le prestazioni del sistema di conservazione (ad esempio hardware e software);
  • Sono previste specifiche difese contro la minaccia da virus, malware, etc. basate su appositi sistemi, processi organizzativi e procedure di controllo e di intervento;
  • Sono definite le procedure di backup dove sono descritte le politiche attuate, i sistemi interessati, le periodicità, le prove di restore, i ruoli e le responsabilità, etc;
  • I sistemi di rete sono adeguatamente gestiti e controllati, per assicurare la loro protezione dalle minacce e per mantenere la sicurezza dei sistemi e delle applicazioni, e vi sono firewall per difendere il sistema di conservazione da internet e altre reti;
  • Sono presenti specifiche procedure che assicurano la creazione dei log e il loro mantenimento per le successive verifiche, di tutte le applicazioni coinvolte nel sistema di conservazione.

Per le aziende e gli studi professionali che intendono esternalizzare la conservazione digitale, diventa quindi centrale demandare il servizio a conservatori affidabili, diversamente non vi è alcuna garanzia che il servizio venga eseguito in conformità alle attuali disposizioni normative, con evidenti rischi in termini di valore probatorio dei documenti informatici conservati.

Link iscrizione multi rubrica
Vuoi essere sempre aggiornato sui contenuti della rubrica "Conservazione digitale"?
Possono interessarti anche: