Menu della sezione Sistema di Interscambio flussi Dati (SID)
Requisiti di sicurezza
L’Agenzia delle entrate, nell’ambito dell’adeguamento continuo delle misure di sicurezza, ha definito gli algoritmi di hashing e i parametri per i certificati di firma e cifratura dei documenti informatici scambiati con gli utenti.
I requisiti minimi attualmente previsti sono:
- algoritmo di hash: SHA-256
- algoritmo di cifratura: AES-256
- certificati con lunghezza delle chiavi RSA: 4096 bit (cifratura) e 4096/2048 bit (firma).
Tutti i sistemi che scambiano dati con l’Agenzia delle entrate devono adeguarsi necessariamente ai requisiti sopra indicati.
Eventuali file predisposti con algoritmi differenti da quelli previsti verranno scartati dal sistema con specifico messaggio di errore che potrà essere interpretato consultando la Tabella decodifica Errori Ricevute SID - pdf.
L’adeguamento agli standard indicati è garantito con l’utilizzo di tutte le applicazioni rilasciate dall’Agenzia delle entrate per la gestione dei flussi SID. Gli Enti che non utilizzano le applicazioni rese disponibili dall’Agenzia delle entrate devono provvedere in autonomia ad adottare le misure di sicurezza previste.
Gli Enti che intendono avvalersi dell’infrastruttura SID devono disporre di propri certificati di firma e di cifra rilasciati dall’Agenzia delle entrate da utilizzare per la gestione dei flussi da scambiare tramite tale infrastruttura. Ciascun Ente deve verificare la validità dei certificati utilizzati e la conformità agli standard di sicurezza definiti dall’Agenzia delle entrate.
Eventuali file predisposti con certificati non conformi agli standard previsti verranno scartati dal sistema con specifico messaggio di errore che potrà essere interpretato consultando la Tabella decodifica Errori Ricevute SID - pdf).
Per la generazione dei certificati per la firma e la cifratura dei file da utilizzare in fase di predisposizione dei flussi da inviare all’Agenzia e/o in fase di elaborazione dei flussi predisposti dall’Agenzia stessa (file di ricevuta/esiti da lavorazioni), ciascun Ente deve utilizzare il software (link Tutti i servizi - Software - Agenzia delle Entrate (agenziaentrate.gov.it)) reso disponibile dall’Agenzia delle entrate.
All’interno di tali applicazioni sono altresì disponibili il certificato di cifra del Servizio, nonché quello della relativa Certification Authority (CA) emittente.
Per tutti gli Enti che utilizzano la piattaforma SID per servizi massivi in convenzione o altre tipologie di comunicazioni che non prevedono la disponibilità di un apposito software rilasciato dall’Agenzia delle entrate per la preparazione crittografica dei file, si rendono disponibili i seguenti certificati:
- certificato di cifra del Servizio, da utilizzare per la cifratura dei file da inviare all’Agenzia
- certificato della CA emittente, da utilizzare per la validazione dei file predisposti dall’Agenzia
- certificato di firma del Servizio, per i sistemi crittografici riceventi per cui, allo scopo di validare la firma dei file predisposti dall'Agenzia, non sia sufficiente il sopra riportato certificato di CA emittente, ma ne necessitino una preventiva importazione nel proprio repository.