-
In che misura il sistema è accessibile o a rischio di errore?
POLYAS garantisce una funzionalità del 98% dei prodotti elettorali nel corso delle elezioni, mentre la risoluzione dei problemi può richiedere almeno un'ora. Questo vale a partire dalla versione 3.2 dei nostri Termini e Condizioni. Particolari tempi di risposta e di ripristino possono essere concordati tra POLYAS e il…
-
L’elenco elettori e l’urna elettorale sono separati?
Sì. Nella struttura di sistema separata di POLYAS l’elenco elettori viene gestito su un server proprio, l’urna elettorale su un altro server, in modo indipendente dal primo.
-
L’espressione del voto con POLYAS è sicura?
Il software elettorale POLYAS CORE 2.5.0 soddisfa i requisiti del profilo di protezione internazionale ai sensi dei Common Criteria ed è una parte integrante centrale della certificazione fornita dall’Ente federale per la sicurezza nella tecnica informatica (BSI). Il profilo di protezione per prodotti elettorali sicuri si…
-
Qual è la differenza tra il token e il session cookie?
Il token serve per garantire il segreto del voto e per evitare i voti doppi, mentre il session cookie serve per rendere riconoscibile una sessione dell’avente diritto al voto nel browser.
-
Quale TLS si impiega?
In via preferenziale si impiega sempre TLS 1.2. Nei browser più vecchi è ancora consentito in via secondaria TLS 1.1. Si preferiscono in tale ambito procedure cifrate che consentano una forward secrecy: ECDHE-RSA-AES128-GCM-SHA256 e DHE-RSA-AES128-GCM-SHA256. TLS 1.0 non sono più ammessi.
-
Quale versione SSL si impiega?
Il sistema elettorale POLYAS utilizza solo le versioni SSL più aggiornate. Ai sensi della Direttiva Tecnica BSI TR-02102-2, si impiega SSL Class 3 e la Cipher Suite TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256.
-
Quali misure intraprende POLYAS per riconoscere ed eliminare i pericoli per la sicurezza?
Da un lato POLYAS evita i cosiddetti attacchi di brute-force limitando il quantitativo di tentativi per ciascuna unità di tempo e per ciascun indirizzo IP del client. Tramite regolari test di hackeraggio (testi di penetrazione) e security-audit identifichiamo le falle di sicurezza e le colmiamo quanto prima.
-
Quali procedure di codifica e di firma sono supportate nell’invio dei dati di accesso per e-mail?
Se per il vostro progetto elettorale dovesse essere stato selezionato l’invio dei dati di accesso per e-mail, gli aventi diritto al voto, all’elezione o alla nomina ricevono un’e-mail firmata dal mittente “POLYAS GmbH” oppure “voting.polyas.de”. Nell’invio si utilizza lo standard S/Mime nonché la procedura di firma…
-
Quali scenari di minaccia tiene in considerazione POLYAS?
I possibili scenari di rischio sono descritti in modo dettagliato nei requisiti di sicurezza per il prodotto elettorale POLYAS CORE. Il documento si basa sul “Profilo di protezione Common Criteria per seti di base di requisiti di sicurezza di prodotti elettorali" (BSI-CC-PP-0037 versione 1.0, 18 aprile 2008). Su richiesta…
-
Quali verifiche esterne sono state condotte?
Oltre alla verifica condotta dal Centro tedesco per l’intelligenza artificiale e dal Ministero federale per la sicurezza nella tecnica informatica nell’ambito della certificazione secondo Common Criteria, conduciamo annualmente dei test di penetrazione con partner di verifica esterni.
