Documentazione Tecnica IT-Wallet - 1.2.1

Questo documento fornisce l'architettura tecnica, il framework di implementazione e i requisiti di progettazione da adottare per le Soluzioni Tecniche del Sistema IT-Wallet.

Indice dei Contenuti

• 1. Introduzione
  • 1.1. Ambito
  • 1.2. Linguaggio Normativo e Convenzioni
  • 1.3. Come leggere le Specifiche
    • 1.3.1. Panoramica della Struttura delle Specifiche
    • 1.3.2. Journey di Lettura per Ruolo
    • 1.3.3. Argomenti Trasversali
    • 1.3.4. Approccio all'Implementazione
• 2. Brand Identity
  • 2.1. Naming
  • 2.2. Identità Visiva
    • 2.2.1. Logo
    • 2.2.2. Trust Mark
• 3. Panoramica dell'Architettura
• 4. Sistema di Onboarding
  • 4.1. Architettura del Sistema di Onboarding
  • 4.2. Processo di Registrazione della Fonte Autentica
  • 4.3. Processo di Onboarding della Federazione
  • 4.4. Gestione del Ciclo di Vita delle Entità
    • 4.4.1. Gestione delle Operazioni Continuative
    • 4.4.2. Processi di Uscita e Rimozione dalla Federazione
    • 4.4.3. Requisiti di Coordinamento del Ciclo di Vita
  • 4.5. Onboarding Journey Maps
    • 4.5.1. Panoramica dell'Ecosistema
    • 4.5.2. Journey dell'Operatore della Fonte Autentica
    • 4.5.3. Journey dell'Operatore del Credential Issuer
    • 4.5.4. Journey dell'Operatore del Fornitore di Wallet
    • 4.5.5. Journey dell'Operatore della Relying Party
  • 4.6. Journey dell'Esperienza dell'Utente Finale
• 5. Design dell'Esperienza Utente
  • 5.1. Principi di Design
  • 5.2. Panoramica delle Funzionalità
  • 5.3. Attivazione dell'Istanza del Wallet
    • 5.3.1. Focus sul PID – Dati di Identificazione della Persona
  • 5.4. Ottenimento degli Attestati Elettronici di Attributi
    • 5.4.1. Ottenimento dal Catalogo dell'Istanza del Wallet
    • 5.4.2. Ottenimento dal Touchpoint della Fonte Autentica
    • 5.4.3. Focus sugli Attestati Elettronici di Attributi
  • 5.5. Presentazione degli Attestati Elettronici
    • 5.5.1. Presentazione in prossimità
    • 5.5.2. Presentazione da remoto
  • 5.6. Gestione degli Attestati Elettronici
    • 5.6.1. Stato degli Attestati Elettronici
    • 5.6.2. Storico degli Attestati Elettronici
    • 5.6.3. Archiviazione e ripristino degli Attestati Elettronici di Attributi
  • 5.7. Disattivazione dell'Istanza del Wallet
  • 5.8. Gestione degli errori
    • 5.8.1. Errori di Attivazione dell'Istanza del Wallet
    • 5.8.2. Errori di ottenimento degli Attestati Elettronici di Attributi
    • 5.8.3. Errori di presentazione degli Attestati Elettronici
    • 5.8.4. Errori di gestione degli Attestati Elettronici
    • 5.8.5. Errori di disattivazione dell'Istanza del Wallet
  • 5.9. Assistenza Utente
  • 5.10. Feedback Utente
• 6. L'Infrastruttura di Trust
  • 6.1. Ruoli di Federazione
  • 6.2. Integrazione dell'Infrastruttura di Trust e del Registro
  • 6.3. Proprietà Generali
  • 6.4. Requisiti dell'Infrastruttura di Trust
  • 6.5. Endpoint API di Federazione
    • 6.5.1. Federation Subordinate Events Endpoint
  • 6.6. Configurazione della Federazione
  • 6.7. Entity Configuration
    • 6.7.1. Parametri Comuni delle Entity Configuration
    • 6.7.2. Entity Configuration Trust Anchor
    • 6.7.3. Entity Configuration Foglie e Intermediari
    • 6.7.4. Tipi di Metadati
  • 6.8. Metadati di federation_entity Foglie
  • 6.9. I Subordinate Statement
    • 6.9.1. Subordinate Statement
  • 6.10. Discovery della Federazione
  • 6.11. Trust Chain
    • 6.11.1. Meccanismi di Attestazione di Trust Offline
    • 6.11.2. Rinnovo Rapido della Trust Chain
  • 6.12. Meccanismo di Trust Evaluation
    • 6.12.1. Stabilire Trust con i Credential Issuer
    • 6.12.2. Stabilire Trust con il Relying Party
    • 6.12.3. Valutare Trust con i Wallet
  • 6.13. Non-ripudio delle Attestazioni di Lunga Durata
  • 6.14. X.509 PKI
    • 6.14.1. Trust Anchor di Federazione e CA X.509
    • 6.14.2. Emissione di Certificati X.509
    • 6.14.3. Revoca di Certificati X.509
  • 6.15. Osservazioni sulla Privacy
  • 6.16. Considerazioni sulla Decentralizzazione
  • 6.17. Discovery della Federazione
    • 6.17.1. Stabilire Trust con i Credential Issuer
    • 6.17.2. Stabilire Trust con il Relying Party
    • 6.17.3. Valutare Trust con i Wallet
  • 6.18. Non-ripudio delle Attestazioni di Lunga Durata
  • 6.19. X.509 PKI
    • 6.19.1. Trust Anchor di Federazione e CA X.509
    • 6.19.2. Emissione di Certificati X.509
    • 6.19.3. Revoca di Certificati X.509
  • 6.20. Osservazioni sulla Privacy
  • 6.21. Considerazioni sulla Decentralizzazione
• 7. Infrastruttura del Registro
  • 7.1. Panoramica dell'Architettura del Registro
  • 7.2. Endpoint di Discovery del Registro
  • 7.3. Registro degli Attributi
    • 7.3.1. Utilizzo del Registro degli Attributi
    • 7.3.2. Struttura del Registro degli Attributi
  • 7.4. Registro delle Fonti Autentiche
    • 7.4.1. Utilizzo del Registro AS
    • 7.4.2. Coordinamento AS Pubbliche vs Private
    • 7.4.3. Struttura del Registro AS
    • 7.4.4. Coordinamento AS-CI
  • 7.5. Registro della Federazione
    • 7.5.1. Ruolo di Integrazione del Registro
    • 7.5.2. Accesso al Registro della Federazione
  • 7.6. Catalogo degli Attestati Elettronici
    • 7.6.1. Gerarchia degli Attestati Elettronici
    • 7.6.2. Struttura del Catalogo degli Attestati Elettronici
  • 7.7. Tassonomia
  • 7.8. Integrazione del Registro e Riferimenti Incrociati
• 8. Onboarding delle Entità
  • 8.1. Panoramica
    • 8.1.1. Architettura del Sistema di Onboarding delle Entità
    • 8.1.2. Tipi di Entità e percorsi di Onboarding
    • 8.1.3. Registrazione Amministrativa vs Tecnica
  • 8.2. Processo di Registrazione delle Fonti Autentiche
    • 8.2.1. Requisiti di Registrazione AS
    • 8.2.2. Requisiti sulle Informazioni di Registrazione delle AS
    • 8.2.3. Procedura di Registrazione AS
  • 8.3. Processo di Integrazione AS-CI
  • 8.4. Processo di Onboarding delle Entità di Federazione
    • 8.4.1. Modello Gerarchico dell'Autorità di Federazione
    • 8.4.2. Prerequisiti di Onboarding della Federazione
    • 8.4.3. Requisiti di Sicurezza per la Gestione delle Chiavi
    • 8.4.4. Procedura di Onboarding della Federazione
    • 8.4.5. Trust Mark di Federazione IT-Wallet
• 9. Operazioni di Gestione dei Certificati X.509
  • 9.1. Architettura PKI della Federazione
  • 9.2. Struttura e Analisi della Catena di Certificati X.509
    • 9.2.1. Visualizzazione della Catena di Certificati X.509
    • 9.2.2. Validazione della Catena di Certificati X.509
  • 9.3. Gestione della Revoca dei Certificati X.509
    • 9.3.1. Distribuzione e Accesso CRL
    • 9.3.2. Verifica della Revoca dei Certificati X.509
  • 9.4. Migliori Pratiche per la Gestione dei Certificati X.509
    • 9.4.1. Integrazione della Validazione dei Certificati X.509
    • 9.4.2. Diagnostica e Risoluzione dei Problemi
    • 9.4.3. Coordinamento del Ciclo di Vita dei Certificati X.509
  • 9.5. Aggiornamenti della Configurazione Tecnica
  • 9.6. Procedure Tecniche di Uscita dalla Federazione
    • 9.6.1. Uscita Volontaria - Disattivazione Tecnica
    • 9.6.2. Rimozione da Parte dell'Organo di Supervisione - Implementazione Tecnica
• 10. Entità
  • 10.1. Soluzione Wallet
    • 10.1.1. Requisiti della Soluzione Wallet
    • 10.1.2. Componenti della Soluzione Wallet
    • 10.1.3. Modelli di Interazione della Soluzione Wallet
    • 10.1.4. Istanza del Wallet
    • 10.1.5. Backup e Ripristino
    • 10.1.6. Entity Configuration del Fornitore di Wallet
    • 10.1.7. Metadati del Fornitore di Wallet
  • 10.2. Soluzione del Fornitore di Attestati Elettronici
    • 10.2.1. Requisiti del Fornitore di Attestati Elettronici
    • 10.2.2. Dettagli dei Componenti
    • 10.2.3. Modelli di Interazione
    • 10.2.4. Entity Configuration del Fornitore di Attestati Elettronici
    • 10.2.5. Metadata del Fornitore di Attestati Elettronici
  • 10.3. Soluzione di Relying Party
    • 10.3.1. App di Verifica
    • 10.3.2. App di Verifica Mobile
    • 10.3.3. App di Verifica Web
    • 10.3.4. Entity Configuration Relying Party
    • 10.3.5. Metadati della Relying Party
  • 10.4. Fonti Autentiche
• 11. Gestione degli Attestati Elettronici
  • 11.1. Modello di Dati degli Attestati Elettronici
    • 11.1.1. Attestato Elettronico in formato SD-JWT-VC
    • 11.1.2. Attestato Elettronico in formato mdoc-CBOR
    • 11.1.3. Mappatura dei Parametri degli Attestati Elettronici tra i vari Formati
  • 11.2. Ciclo di Vita degli Attestati Elettronici
    • 11.2.1. Transizioni degli Attestati Elettronici
    • 11.2.2. Ciclo di vita degli Attestati Elettronici ottenuti in batch
    • 11.2.3. Gestione del Ciclo di Vita degli Attestati Elettronici
    • 11.2.4. Meccanismi di Verifica della Validità
    • 11.2.5. OAuth Status Lists
• 12. Flussi relativi agli Attestati Elettronici
  • 12.1. Emissione di Attestati Elettronici
    • 12.1.1. Flussi ad Alto Livello per l'Emissione di Attestati Elettronici
    • 12.1.2. Flussi Dettagliati per l'Emissione di Attestati Elettronici
    • 12.1.3. Autenticazione eID Substantial con Verifica MRTD per Emissione PID
  • 12.2. Presentazione dell'Attestato Elettronico
    • 12.2.1. Flusso Remoto
    • 12.2.2. Flusso di Prossimità
• 13. Endpoints
  • 13.1. Endpoint del Fornitore di Wallet
    • 13.1.1. Endpoint di Federazione
    • 13.1.2. Endpoint Nonce della Soluzione Wallet
    • 13.1.3. Endpoint di Gestione dell'Istanza di Wallet
    • 13.1.4. Endpoint di Emissione della Wallet Attestation
    • 13.1.5. Catalogo e-Service PDND del Fornitore di Wallet
  • 13.2. Endpoint del Credential Issuer
    • 13.2.1. Endpoint di Federazione
    • 13.2.2. Endpoint di Rilascio degli Attestati Elettronici
    • 13.2.3. Catalogo degli e-Service PDND del Credential Issuer
  • 13.3. Endpoint della Relying Party
    • 13.3.1. Endpoint per Flussi Remoti
    • 13.3.2. Endpoint per Flussi Remoti della Relying Party
    • 13.3.3. Endpoint di Federazione
    • 13.3.4. Endpoint per Flussi Remoti OpenID4VP
    • 13.3.5. Endpoint di Gestione Dati Utente
    • 13.3.6. Considerazioni di Sicurezza
    • 13.3.7. Note di Implementazione
    • 13.3.8. Endpoint del Backend del Provider di Relying Party
    • 13.3.9. Endpoint del Backend del Provider di Relying Party
    • 13.3.10. Endpoint di Federazione della Relying Party
    • 13.3.11. Endpoint Nonce della Relying Party
    • 13.3.12. Endpoint di Inizializzazione dell'App di Verifica della Relying Party
    • 13.3.13. Endpoint di Associazione Chiavi della Relying Party
    • 13.3.14. Endpoint del Certificato di Accesso della Relying Party
    • 13.3.15. Endpoint di Cancellazione della Relying Party
  • 13.4. Endpoint delle Fonti Autentiche
    • 13.4.1. Catalogo degli e-Service PDND delle Fonti Autentiche
  • 13.5. Endpoint di PDND Signal Hub
    • 13.5.1. Prerequisiti
    • 13.5.2. e-Service di Signal Hub
    • 13.5.3. Elaborazione dei Segnali
• 14. Algoritmi Crittografici
• 15. Considerazioni di Sicurezza e Privacy
  • 15.1. Requisiti di Sicurezza
    • 15.1.1. SR-CF-10 e SR-E-10
    • 15.1.2. SR-CF-20
    • 15.1.3. SR-CF-21
    • 15.1.4. SR-E-20
    • 15.1.5. SR-E-30
    • 15.1.6. SR-E-40
    • 15.1.7. SR-I-10
    • 15.1.8. SR-I-20
    • 15.1.9. SR-I-30
    • 15.1.10. SR-I-40
    • 15.1.11. SR-I-50
    • 15.1.12. SR-P-20
    • 15.1.13. SR-P-30
    • 15.1.14. SR-P-40
    • 15.1.15. SR-P-41
    • 15.1.16. SR-P-50
    • 15.1.17. SR-V-10
    • 15.1.18. SR-V-20
    • 15.1.19. SR-W-20
    • 15.1.20. SR-W-30
  • 15.2. Requisiti di Privacy
    • 15.2.1. PR-CF-30
    • 15.2.2. PR-CF-40
    • 15.2.3. PR-E-60
    • 15.2.4. PR-E-70
    • 15.2.5. PR-W-40
    • 15.2.6. PR-W-60
    • 15.2.7. PR-W-70
  • 15.3. Requisiti di Sicurezza e Privacy
    • 15.3.1. SPR-E-50
    • 15.3.2. SPR-P-10
    • 15.3.3. SPR-P-60
    • 15.3.4. SPR-P-70
    • 15.3.5. SPR-P-80
    • 15.3.6. SPR-W-50
• 16. Politiche Generali di Conservazione dei Log
  • 16.1. Requisiti Generali di Logging ISO/IEC 27001
    • 16.1.1. Politica di Conservazione dei Log del Fornitore di Wallet
    • 16.1.2. Politica di Conservazione dei Log del Fornitore di Credenziali
    • 16.1.3. Politica di Conservazione dei Log della Relying Party
    • 16.1.4. Funzionalità di Logging delle Istanze del Wallet
• 17. Termini Definiti e Riferimenti
  • 17.1. Riferimenti Normativi
  • 17.2. Definizioni e Acronimi
    • 17.2.1. Acronimi
  • 17.3. Linguaggio Normativo e Convenzioni
  • 17.4. Riferimenti Normativi
    • 17.4.1. Risorse Ufficiali
  • 17.5. Technical References
    • 17.5.1. Wallet Paradigm Frameworks
    • 17.5.2. Infrastructure of Trust
    • 17.5.3. Digital Credential Data Format
    • 17.5.4. Digital Credential Issuance
    • 17.5.5. Digital Credential Presentation
    • 17.5.6. Digital Credential Revocation Check Mechanisms
    • 17.5.7. National Data Interoperability Platform Specifications
    • 17.5.8. National Digital Identity Platform Specifications
    • 17.5.9. Security and Protection Profiles
• 18. Come contribuire
  • 18.1. Ringraziamenti
• 19. Rilasci Open Source
  • 19.1. Fornitori di Wallet
  • 19.2. Fornitori di Credenziali
  • 19.3. Relying Party
  • 19.4. Divulgazione Responsabile
• 20. Appendice
  • 20.1. Istanza dell'Applicazione Mobile
    • 20.1.1. Inizializzazione dell'Istanza dell'Applicazione Mobile
    • 20.1.2. Associazione Chiave dell'Applicazione Mobile
  • 20.2. e-Service PDND
    • 20.2.1. Requisiti e Pattern di Sicurezza
    • 20.2.2. Emissione del Voucher PDND
    • 20.2.3. Reperimento delle Chiavi
    • 20.2.4. Utilizzo dell'e-Service
  • 20.3. Template e-Service PDND
    • 20.3.1. Definizione e linee guida dell'e-service template PDND
  • 20.4. Test Plans
    • 20.4.1. Struttura della Matrice di Test