PlaNet S.r.l. Sistemi informatici

Certificazione di Transazioni Elettroniche di Dati

Cos'è un sistema di certificazione di transazioni elettroniche di dati

Un sistema di certificazione di transazioni elettroniche di dati è un sistema integrato hardware e software che rende irripudiabile un operazione di scambio dati tra due sistemi, ed offre ad altri sistemi ed applicativi esterni, un archivio per le transazioni di dati da essi effettuate, registrandole e certificandole come immodificabili ed irripudabili, garantendo inoltre la necessaria sicurezza nell’archiviazione in termini di ridondanza del dato. 

Questo processo può essere visto come l'interposizione di un componente tra due sistemi elettronici che avviene in modo analogo a come un registratore di cassa (sistema fiscale, blindato, soggetto ad omologazione) si interpone rispetto ai due attori umani di una transazione commerciale, certificandola sia in forma elettronica (con giornale di fondo o libro cassa elettronico) che cartacea (con scontrino o ricevuta fiscale).

Questo processo viene realizzato adottando standard tecnologici consolidati, quali ad esempio Smart Card con microprocessore a bordo, Firma Elettronica, protocolli e modelli basati su XML, pratiche di sviluppo software avanzate quali pattern architetturali e di design, sistemi di ridondanza e replica dei dati.

Aspetti strategici che caratterizzano un progetto di un sistema di certificazione sono le specifiche tecniche, concettuali, funzionali e costruttive che garantiscono agli utilizzatori del sistema il rispetto degli aspetti di irripudiabilità "promessi" e consentono al sistema stesso di essere certificato, nelle varie applicazioni, come immodificabile nelle sue componenti essenziali (software di sistema e dati archiviati). Con un sillogismo, potremmo riassumere questo aspetto dicendo che il sistema deve essere certificabile e certificante

La comunicazione e l’interoperabilità con gli altri sistemi viene garantita mediante protocolli di comunicazione aperti basati su HTTP ed XML che possono facilmente integrarsi con diversi modelli di cooperazione applicativa come ad esempio l’infrastruttura CART di Regione Toscana o il sistema SPCoop (Sistema Pubblico di Cooperazione) definito nell'ambito del Sistema Pubblico di Connettività (SPC) e codificato dal CNIPA(oggi Agenzia per l'Italia Digitale) nell'ambito delCodice dell'Amministrazione Digitale (CAD).

 

CASI D’USO di un sistema di certificazione di transazioni elettroniche di dati


Rappresentando in un diagramma di casi d'uso le macro-funzionalità di una generica applicazione che utilizza un sistema di certificazione delle transazioni elettroniche dei dati (di seguito CerTED), possiamo vedere come il  contesto individua tre attori diversi. 





Sistema Periferico (produttore dei dati): sistema esterno che produce flussi informativi relativi a transazioni significative. Il sistema dopo la produzione del dato lo invia al CerTED ed ottiene, se necesssario, una ricevuta.

Sistema CerTED: costituisce il nucleo del punto di raccolta dei dati ed ha la responsabilità di certificare, archiviare l'informazione in modo sicuro (irripudiabile e non modificabile) e presentarla a richiesta;

Soggetto Autorizzato (consumatore dei dati): attore che interagisce col CerTED (sistema di certificazione di transazioni elettroniche di dati) per richiedere la consultazione dei dati. L'informazione visualizzata è dipendente dallo specifico contesto applicativo e dalle autorizzazioni che il soggetto ha sull'accesso all’informazione.

PRINCIPI di FUNZIONAMENTO di un sistema di certificazione di transazioni elettroniche di dati

Meccanismi di base

  • Il sistema opera tramite l’utilizzo di una Smart Card con certificato e microporcessore a bordo, che va inserita e abilitata per avere a disposizione tutte le funzionalità del sistema;
  • in assenza della CARD il sistema offre soltanto delle funzionalità di base, come ad esempio la visualizzazione dello stato del sistema ed alcune consultazioni di servizio;
  • opera, e si interfaccia con altri sistemi, riceve dati e interrogazioni mediante un protocollo di comunicazione documentato ed aperto (tipicamente XML over http);
  • certifica le transazioni mediante calcolo e rilascio di un hash univoco per ogni set di dati che viene ricevuto, certificato ed archiviato;
  • registra e pubblica opportunamente, in modo indelebile ed immodificabile, le transazioni e la relativa certificazione delle stesse;
  • genera, pubblica, archivia, firma elettronicamente dati riepilogativi periodici e se necessario effettua la registrazione dei dati anche  su supporto immodificabile;
  • consente la gestione di un database interno (sempre mediante CerTED CP) per trattare le informazioni di uso corrente, e per evitare ridondanza nella struttura delle transazioni che il sistema stesso può ricevere;
  • è caratterizzato da una opportuna ridondanza fisica e logica (hardware e software) per garantire la sicurezza del sistema e delle transazioni certificate ed archiviate.

Funzioni di servizio

  • Consultazione dei dati archiviati e certificati in forma analitica e sintetica;
  • verifica della consistenza dello stato, vale a dire la coerenza tra i dati presenti nel database e i dati presenti negli archivi delle transazioni;
  • verifica e consultazione della configurazione hardware e software;
  • gestione delle Smart Card;
  • report e statistiche di vario tipo sulle transazioni gestite.

SCENARI ed APPLICAZIONI di un sistema di certificazione di transazioni elettroniche di dati


L’architettura di un sistema di certificazione è applicabile in diversi contesti: come generico sistema di acquisizione dati nelle sue varie forme (es. RFID, teleletture, etc.); come sistema per la certificazione di informazioni di tipo spazio / temporale e cronologia georeferenziata, certificando dati provenienti da sistemi TLC, dispositivi mobili e apparati GSM, GRPS, UMTS ed ibridi.

In tutti questi contesti il sistema offre ai vari attori, produttori e consumatori dei dati, una black box certificata, gestita eventualmente anche da terzi, che è in grado di certificare le transazioni di interesse comune.

Di seguito alcuni scenari applicativi.


Scenario 1 – mobilità – localizzazione mezzi

Gestione dati collegati alla localizzazione di un mezzo mobile

Produttori di informazioni
I sistemi  di localizzazione (a bordo del mezzo o della rete di trasporto) rilevano le posizioni dei mezzi, le trasmettono ad un centro servizi e le certificano mediante un sistema di certificazione.

Consumatori delle informazioni
La società assicuratirce che si è impegnata a garantire particolari tariffe all’armatore della flotta sulla base di percorsi e chilometraggi annui concordati; la società di trasporti che deve garantire kilometraggi, tempi di percorrenza etc.

Il sistema di certificazione è un complemento del centro servizi che garantisce al produttore ed al consumatore delle informazioni un archivio comune, certificato immodificabile, per la gestione dei rapporti.
In analogo modo, nel campo del trasporto pubblico: il sistema di certificazione può diventare uno strumento per la verifica di requisiti di qualità del servizio con analisi di km, tempi di percorrenza, frequenze, etc., con dati certificati ed utilizzabili a consuntivo o come base di requisiti per le gare.


Scenario 2 – rilevazione presenze – varchi – e-ticketing

Sistemi di rilevazione presenze e attraversamento varchi, come ad es. parcheggi e/o telepass cittadini.

Produttore di informazioni
Apparecchiature di rilevazione dati (come ad esempio i varchi) o sistemi di emissione di ticket elettronici.

Consumatore delle informazioni
Il committente delle rilevazioni, gli addetti alla vaerifica della validità dei ticket elettronici e in generale l’utente finale fruitore dei servizi.

Il sistema di certificazione si configura come complemento formale del servizio, garantendo l’immodificabilità delle rilevazioni effettuate; il sistema consente inoltre all’utente finale di verificare in tempo reale la certificazione dei dati che lo interessano e, dove necessario, di ricevere in tempo reale un codice univoco del dato rilevato e dell’ora della rilevazione e l’eventuale copia cartacea o elettronica dei dati inerenti la transazione; in molte applicazioni gli stessi certtificati elettronici prodotti dal sistema di certificazione sono immediatamente utilizzabili come ticket elettronici.


Scenario 3 – sistemi di prenotazione automatica – e-ticketing

Sistemi di prenotazione o teleprenotazione, con gestione del tipo FCFS (First Came First Served).

Produttore di informazioni
Il sistema di prenotazione o teleprenotazione stesso.

Consumatore delle informazioni
L’utente finale fruitore dei servizi.

Il sistema di certificazione in questo caso offre contemporaneamente più servizi, come ad es. la garanzia della correttezza delle politiche di gestione delle code, la produzione di ricevute relative ai dati oggetto delle transazioni, l’eventuale emissione di un ticket (titolo di accesso, titolo di viaggio, etc.) valido per la fruizione del servizio prenotato.


Scenario 4 – sistemi di cooperazione applicativa

Come detto sopra l'utilizzo di protocolli di comunicazione aperti basati su HTTP ed XML fa si che il sistema di certificazione possa facilmente integrarsi con diversi modelli di cooperazione applicativa come ad esempio l’infrastruttura CART di Regione Toscana o il sistema SPCoop (Sistema Pubblico di Cooperazione) definito nell'ambito del Sistema Pubblico di Connettività (SPC) e codificato dal CNIPA(oggi Agenzia per l'Italia Digitale) nell'ambito delCodice dell'Amministrazione Digitale (CAD).

La figura seguente illustra un caso tipico, di nuovo indichiamo con la sigla CerTED  il sistema di certificazione delle transazioni.

 



Figura sopra: Modello architetturale del sistema cooperazione. Il componente di cooperazione è rappresentato da Event Channel - Broker, che permette lo scambio di eventi tra i sistemi di acquisizione dati e CerTED. Si osserva come l'interazione tra componenti  del sistema avvenga attraverso interfacce diverse: (i) Interfacce di cooperazione permettono ai sistemi di acquisizione di inviare i dati acquisiti sotto forma di eventi; (ii) interfacce di consultazione permettono ai soggetti esterni di richiedere a CerTED la consultazione della informazione archiviata (a seguito della concessione di una autorizzazione).
Il sistema di certificazione delle transazioni (CerTED) può essere installato presso (o a cura di) un soggetto autorevole, terzo tra le parti interessate alle transazioni dati, puo’ divenire un servizio “pubblico”, integrato in meccanismi di cooperazione applicativa, ed offrire ad innumerevoli soggetti le sue funzioni.
Il modello architetturale del sistema risponde ad un modello che combina l’architettura Event Driven (EDA) e quella Service Oriented (SOA), in accordo alle specifiche CNIPA SPCoop. Il modello è illustrato nella figura seguente.

Naturalmente questa soluzione, che porta verso una standardizzazione di moltissime procedure di gestione e scambio dati in vari contesti, consente al sistema di certificazione delle transazioni di acquisire, attraverso l’integrazione con l’infrastruttura, una integrazione virtuale con gli altri sistemi integrati con l‘infrastruttura stessa e di offrire i suoi servizi e le sue funzionalità, attraverso l’infrastruttura, anche a molteplici soggetti-sistemi esterni.

Altri scenari

Oltre ai settori sopra identificati aggiungiamo (sempre a livello indicativo): domotica e servizi connessi, il controllo e la tariffazione di servizi all’interno dell’immobile, (es. a consumo effettivo e premiante l’uso intelligente delle risorse), certificazione dell’uso dei sistemi di sicurezza; sevizi IT erogati alle (o per conto delle) pubbliche amministrazioni: monitoraggio e  rilevazione dello stato dei servizi (http, https, mail, etc.) con certificazione e misure certe di qualità, etc.

Valore aggiunto di un componente di di certificazione di transazioni elettroniche di dati


I casi sopra elencati sono ovviamente solo alcuni esempi delle potenzialità del sistema, e naturalmente quanto esposto non significa che l’utilizzo di un sistema di certificazione delle transazioni  sia l’unico modo di offrire tali servizi, ma in ognuno dei campi applicativi indicati esso offre funzionalità e soluzioni che quasi mai sono native o previste nel contesto applicativo.

Nel campo della localizzazione dei mezzi o nella rilevazione presenze e/o transiti la conservazione dei dati e la loro inalterabilità sono certamente oggetto di particolari attenzioni ed accorgimenti tecnologici, ma difficilmente tali sistemi avranno come presupposto la certificabilità e l’irripudiabilità del dato registrato.

I sistemi di prenotazione ed e-ticketing hanno ovviamente come “core mission” l’efficienza, la sicurezza e la correttezza dei dati gestiti, ma con logiche sempre proprietarie ed autoreferenziate, che prescindono da meccanismi di interoperabilità con altri sistemi secondo i principi della cooperatività delle applicazioni.

Innumerevoli sistemi gestiscono ogni giorno migliaia di transazioni economiche on-line, ma quanti di questi rilasciano certificati elettronici, a conferma di tali transazioni, rispondenti ad un preciso standard condiviso ed accettato dalle parti ? Quanti “LOG” di sistema che corrispondono ad avvenute registrazioni ed archiviazioni di dati e non vanno oltre la semplice ridondanza fsica ?

Le applicazioni specifiche dei vari domini applicativi,  sia per la complessita media che hanno, sia per la frequenza di aggiornamento di cui necessitano (per le logiche applicative che implementano), difficilmente potrebbero mantenere i requisiti di certificabilità e sicurezza delle loro transazioni se inglobassero un sistema di certificazione delle transazioni come quello descritto in questo contesto.

Il progetto di un sistema di certificazione delle transazioni pertanto, come componente esterno, propone ed offre le sue funzionalità ad un ampia gamma di applicazioni e soluzioni che non nascono con l’obiettivo primario di cetificare come immodificabili le transazioni dati che gestiscono secondo metodi e procedure condivise tra le parti in causa.