Regolamento IDP

Regolamento di identificazione e autenticazione dell’accesso alla piattaforma Abilis per gli utenti

1. Oggetto del regolamento

Il presente Regolamento comprende i termini e le condizioni di utilizzo degli identificativi protetti che consentono al professionista della salute, al suo personale ausiliario e ai pazienti di accedere alla piattaforma sanitaria Abilis gestita da Ofac società cooperativa e alla Comunità di riferimento Abilis (CR Abilis) gestita da Abilis Comunità di riferimento nazionale e interprofessionale della medicazione SA (Abilis SA) tramite l’applicazione identity provider trustID di Elca informatique SA.
Gli identificativi protetti soddisferanno i requisiti del Service Level Agreement dell’identity provider trustID Elca Informatique SA e Ofac non fornisce alcuna garanzia.
Per il resto si applicano le norme previste dalla Legge federale sulla cartella informatizzata del paziente e dalle rispettive ordinanze di applicazione attuali e future, in particolare quelle previste nell’allegato 8 dell’Ordinanza del DFI del 22 marzo 2017 e qualsiasi altra disposizione che la sostituirà.

2. Sensibilizzazione degli utenti alla sicurezza

2.1.    Aspetti generali

Tutti gli utenti devono comprendere la loro responsabilità in materia di sicurezza dell’informazione e devono essere consapevoli delle minacce esistenti in tale ambito.

Gli utenti si adopereranno per mantenere confidenziali i dati in materia di identificazione e autenticazione così come per impedirne la divulgazione a terzi, inoltre eviteranno di conservarli su carta, su file non protetti o su dispositivi portatili, qualora non siano archiviati mediante un metodo approvato.

2.2.    Password

Gli utenti si avvarranno di password complesse per ridurre i rischi di attacchi malware ai loro computer, al loro indirizzo di posta elettronica, ai social network, ai loro conti bancari nonché a trustID. La password deve contenere almeno 8 caratteri. Gli utenti dovranno scegliere una combinazione composta da almeno una lettera maiuscola, una lettera minuscola, una cifra e un carattere speciale;
gli utenti non potranno usare il loro identificativo come password;
gli utenti non potranno usare la stessa password due volte;
gli utenti dovranno scegliere una password impersonale (senza relazione con dati personali, ad esempio: nomi propri, animali di compagnia, data di nascita);
gli utenti dovranno evitare nomi di personaggi celebri nonché parole di senso compiuto presenti nel dizionario;
è fatto divieto agli utenti di comunicare le proprie password a terzi;
gli utenti dovranno immettere le password esclusivamente da dispositivi affidabili;
gli utenti non potranno reimpiegare una password già utilizzata per un altro servizio internet.

2.3.   Richiesta della password

Ofac e i professionisti della salute non formuleranno mai alcuna richiesta e non comunicheranno mai alcuna informazione per posta elettronica o telefono in merito alla password degli utenti.
È fatto divieto agli utenti di comunicare i propri dati di protezione a terzi.
Se gli utenti ricevono delle e-mail o delle telefonate sospette con la richiesta di trasmettere la password per e-mail, fax, telefono ecc. devono informarne immediatamente l’assistenza.

2.4.    Siti internet

Quando gli utenti accedono al portale web Abilis tramite Internet devono assicurarsi di disconnettersi al termine della consultazione.
Al fine di assicurare la protezione della pagina web, gli utenti controlleranno l’URL, la presenza dell’indirizzo https:// e del lucchetto nella barra degli indirizzi: tali elementi confermeranno agli utenti di essersi connessi alla pagina web desiderata.

2.5.    Responsabilità

Gli utenti sono responsabili dei dispositivi (telefono cellulare, personal computer ecc.) usati per accedere alla piattaforma Abilis tramite trustID.
Se il telefono cellulare di un utente non è correttamente configurato, il livello di sicurezza del servizio potrebbe risultarne compromesso. Ofac non può essere ritenuta responsabile della configurazione dei dispositivi personali degli utenti.
Inoltre gli utenti dovranno prestare attenzione a tutte le applicazioni installate sul loro telefono cellulare e sul loro computer.
Gli utenti dovranno installare e aggiornare periodicamente un programma antivirus e un firewall per impedire che virus informatici infettino i dispositivi ed evitare connessioni a rischio.
Ofac non potrà in alcun modo essere ritenuta responsabile dell’eventuale impossibilità di accesso alla piattaforma Abilis. In genere la responsabilità viene assunta da Ofac solo in caso di dolo o di negligenza grave.

2.6.    Buon senso

Gli utenti dovranno dimostrare buon senso e avere uno spirito critico per individuare tentativi di frode o pirateria:

  • dovranno prestare attenzione a tutti gli aspetti insoliti;

  • dovranno diffidare dei messaggi di posta elettronica inviati da mittenti sconosciuti. La posta elettronica è molto spesso utilizzata da persone malintenzionate per infettare i computer. Non dovranno fare clic su alcun collegamento presente in tali messaggi e non apriranno alcun file allegato relativo;

  • non dovranno rispondere ad alcuno spam (messaggi di posta elettronica pubblicitari non sollecitati): la risposta conferma al mittente l’esistenza dell’indirizzo elettronico causando l’invio di ulteriore spam;

  • dovranno prestare attenzione nell’aprire allegati a messaggi provenienti da conoscenti, la cui casella di posta elettronica potrebbe essere stata piratata;

  • diffideranno dei vantaggi economici proposti in internet: ad esempio la vittoria a un gioco al quale non hanno partecipato può indicare un tentativo di frode;

  • non dimenticheranno che la vita privata deve rimanere tale: su internet non occorre dire né mostrare tutto. Gli utenti devono essere consapevoli che, non appena comunicano i dati su internet, ne perdono il controllo. Dopo essere stati pubblicati su internet, i dati rimangono comunque accessibili.

Per ulteriori informazioni, gli utenti possono visitare il sito di MELANI (Centrale d’annuncio e d’analisi per la sicurezza dell’informazione: https://www.melani.admin.ch/).

3.    Login alla piattaforma Abilis

È possibile accedere alla piattaforma Abilis e alla CR Abilis solo dopo aver creato un account trustID secondo la procedura definita da Ofac e trustID. Questa operazione consente in particolare di verificare l’identità dell’utente e di garantire la massima sicurezza.

4.    Applicazioni mobili via trustID

4.1.    Aspetti generali

Gli utenti dovranno prestare attenzione a installare sempre applicazioni mobili dai siti di download ufficiali, ad esempio: AppStore, Google Play Store ecc. Inoltre dovranno verificare che gli editori siano legittimi e seri (verificando la corrispondenza degli indirizzi di posta elettronica con l’applicazione, la coerenza delle risposte alle domande, l’intelligibilità delle descrizioni, la periodicità degli aggiornamenti ecc.).
Gli utenti dovranno eseguire periodicamente gli aggiornamenti del dispositivo mobile e delle applicazioni con il fine di contenere il rischio che terzi malintenzionati sfruttino eventuali falle nella sicurezza. Si sottolinea che è possibile attivare l’esecuzione automatica degli aggiornamenti.
È importante bloccare sempre il telefono cellulare quando non lo si usa.
In caso di perdita o furto del loro telefono cellulare, gli utenti dovranno contattare il supporto trustID.
Ofac metterà a disposizione degli utenti identificativi trustID certificate che consentiranno loro di ricorrere all’autenticazione avanzata a 2 fattori per connettersi alla piattaforma Abilis e alla CR Abilis.

4.2.    Installazione

L’applicazione mobile trustID è disponibile per le piattaforme Android e Apple. Può essere scaricata da Google Play Store e Apple Store. I link sono disponibili sul sito www.abilis.ch.
Durante l’installazione trustID richiede l’accesso alle seguenti applicazioni:

  • iOS: Fotovideocamera, Face ID, Notifica
  • Android: Fotovideocamera, Flash, Internet

4.3.    Autentificazione forte

Oltre all’account utente e alla password, l’accesso protetto ad alcune risorse sensibili richiede l’autenticazione avanzata, articolata in due fasi, ad esempio:

  • una informazione nota (password)

  • un dispositivo posseduto (smart card, telefono cellulare)

  • la propria identità (impronta digitale)

  • le proprie capacità (calcolo)

Gli utenti si connetteranno attraverso un’autenticazione a due fasi, che consentirà loro di accedere in modo protetto alla piattaforma Abilis.

4.4.    Supporto

Qualora abbiano smarrito il loro codice di autenticazione forte, gli utenti potranno semplicemente eseguire di nuovo la procedura di accesso, a seguito della quale riceveranno un nuovo codice di autenticazione forte.
In caso di dubbi o di messaggi inusuali ricevuti o di problemi riscontrati, gli utenti dovranno interrompere immediatamente la connessione e contattare il supporto.

4.5.    Modifica o perdita della password

Per modificare la password, cambiare la modalità di autenticazione forte o aggiornare il numero di cellulare, gli utenti dovranno accedere a un portale Web self-service dedicato.
Qualora abbiano dimenticato la password, gli utenti potranno fare clic sul collegamento «password dimenticata» nella pagina di accesso, potendo così recuperare la password.