Luglio 2007 Il nuovo accesso ai servizi informatici Come cambieranno le nostre utenze e le nostre password a fine settembre. Giovanni M. Bianco Giancarlo Peli Servizi Informatici di Ateneo
Luglio di 47 A settembre il cambiamento che toccherà le nostre utenze informatiche A fine settembre, tutti noi, utilizzatori di servizi informatici dellAteneo, dovremo affrontare un cambiamento importante che riguarderà primariamente le nostre utenze e le nostre password ma, in generale, tutte le politiche di gestione delle credenziali informatiche. Da quel momento, le attuali credenziali informatiche non saranno più attive e, per tempo, si sono programmati dei momenti informativi che delineano i contorni del cambiamento.
Luglio di 47 Scopo della presentazione Lo scopo di questa presentazione è quello di riassumere i contenuti del progetto del nuovo sistema di gestione delle identità (UserId e Password) di Ateneo, ma soprattutto di evidenziare i potenziali impatti che possono essere determinati dalla sua introduzione nell'ambito dell'organizzazione universitaria. Queste slide sono anticipate per mail/newsletter e sul sito web, e saranno presentate in momenti di incontro seminariale di circa 90 min replicati tra i mesi di Luglio, Agosto e Settembre. Il calendario degli incontri sarà reso disponibile a breve per mail/newsletter e sul sito.
Luglio di 47 Guida alla presentazione Si è voluto unificare in un questo unico medium informativo: scaletta a promemoria degli interventi realizzati/in essere/futuri repertorio di informazioni, normative, link di dettaglio a disposizione on line slide di supporto alla presentazione per dare modo di avere con ununica modalità tutte le informazioni e gli approfondimenti necessari. La documentazione di dettaglio, narrativa e puntuale, rinviata anche con appositi link, è stata inserita per chi consulta la presentazione senza recarsi ai seminari ai quali, tuttavia, si rimanda per le dimostrazioni pratiche di utilizzo del sistema.
Luglio di 47 Acronimi usati Nel proseguo si tratteranno argomenti che prevedono luso di acronimi: GARR: significa "Gestione Ampliamento Rete Ricerca" è unorganizzazione informatica che serve tutte le Entità che rappresentano la Comunità Accademica e della Ricerca Scientifica in Italia. Tra i suoi scopi (visibili in questo link), vi è quello di fornire connettività e trasporto dati.questo link GARR Acceptable User Policy: l'utilizzo della Rete è soggetto al rispetto delle Acceptable Use Policy (AUP) da parte di tutti gli utenti GARR. LAUP è reperibile in questo link.questo link UserId o AccountId: identificativo che ci consente di entrare nella rete dellAteneo (es. mrossi) Password: insieme di caratteri conosciuti solo dallinteressato e necessari per entrare nella rete, associati all UserId o AccountId CDR: Centro di Responsabilità nellAteneo di Verona
Luglio di 47 Agenda della presentazione Questa presentazione si divide in tre parti: Perchè sono necessari i sistemi di Gestione delle Identità Cosa succederà a Settembre per tutti gli utilizzatori della rete di Ateneo Dimostrazioni pratiche e approfondimenti
Luglio di 47 Prima parte Perché sono necessari i Sistemi di Gestione delle Identità
Luglio di 47 Un po di storia Dapprima, occorre ricordare che il processo di implementazione del sistema di gestione delle identità è cominciato circa due anni fa. LUniversitá di Verona, prima in Italia, nel 2005 ha pubblicato un bando di gara d'appalto europeo per dotare la propria infrastruttura informatica di un sistema per la gestione automatica delle identitá (il software che implementa la Gestione delle Identità di Ateneo è denominato, più brevemente, GIA).
Luglio di 47 Identità nellAteneo Gli Atenei, infatti, sono strutture complesse ed articolate, nei perimetri dei quali sono in continuo movimento persone che, a vario titolo, hanno dei rapporti con lUniversità anche in veste di semplici frequentatori. Occorre particolare attenzione e cautela al fine di garantire laccesso al sistema informatico solo a coloro che ne hanno diritto.
Luglio di 47 Conoscere chi e cosa Gestire il ciclo di vita delle credenziali informatiche di tutti i soggetti che ne hanno diritto significa gestire in modo automatico l'assegnazione dei vari account informatici (tipicamente UserId e Password) alle varie tipologie di persone che instaurano dei rapporti con UniVr e che necessitano di accedere alle risorse informatiche di quest'ultima. Recenti norme (DM 16 Agosto 2005 Antiterrorismo) oppure Leggi (D.Lgs. 196/2003 Privacy e Allegato B - Disciplinare Tecnico) oppure Policy (Acceptable User Policy del GARR) sono molto chiare in proposito. In essenza: Si deve conoscere chi opera sulla rete Un soggetto può agire essendo autorizzato e con criteri e limiti ben precisi
Luglio di 47 Approfondimenti Nel dettaglio, per i vari aspetti regolamentari e normativi, oltre che di presentazione della materia della Privacy, si possono approfondire i seguenti link: Norme e disposizioni sulla Privacy D.Lgs. 196/2003 con il Disciplinare Tecnico (All. B) D.Lgs. 196/2003Disciplinare Tecnico (All. B) Decreto Antiterrorismo (applicabile agli Atenei) DM (16/8/2005) sullAntiterrorismo Policy del GARR (obbligatorie per gli Atenei) Acceptable User Policy Regolamenti di Ateneo sui servizi informatici Linee guida di Ateneo per tutti Regolamento per gli studenti Materiale di approfondimento del nostro Ateneo su Privacy e dintorni Documentazione disponibile nel sito UniVr
Luglio di 47 Le necessità di gestione delle identità nascono dalle norme Lallegato B al D.Lgs. 196/2003 si riferisce spesso a profili, autorizzazioni, modifiche periodiche delle password, attività di controllo sugli accessi… come si possono gestire questi processi? Per far ciò è necessaria una tecnologia che gestisca le identità, garantendo le corrette autorizzazioni al sistema. Questa tecnologia deve possedere almeno un livello base di gestione delle identità, al fine cioè di consentire di capire chi, cosa, come, quando, … un utente può agire.
Luglio di 47 Vincoli sono presenti anche nelle Policy del GARR Anche il GARR prevede nellAcceptable User Policy: Art 6. Tutti gli utenti a cui vengono forniti accessi alla rete GARR devono essere riconosciuti ed identificabili. Devono perciò essere attuate tutte le misure che impediscano l'accesso a utenti non identificati. La tecnologia prima ipotizzata si definisce col termine di Identity Management e per lAteneo di Verona, lapplicativo è stato chiamato, come detto, GIA - Gestione delle Identità di Ateneo. Corollari a questa tecnologia sono anche il cosiddetto Access Management e il Single Sign On, di cui verranno delucidate le necessità nel proseguo.
Luglio di 47 Uno sguardo al Disciplinare Tecnico (All. B) del D.Lgs. 196/2003 Nelle slide in fondo a questa presentazione sono riportati i punti del Disciplinare Tecnico, All. B al D.Lgs. 196/2003, che caratterizzano le richieste da soddisfare per un gestore delle identità. Il testo normativo, quindi, facilita la determinazione degli obiettivi, seppure quegli stessi obiettivi siano molto ambiziosi e complessi da implementare in una realtà universitaria proprio per lampia casistica dei rapporti presenti.
Luglio di 47 Passi implementativi del processo Nel Giugno 2005, come anticipato, lAteneo ha pubblicato sulla G.U.C.E. (Gazzetta Ufficiale Europea) un bando per limplementazione base dellIdentity Management. Lofferta è stata selezionata attraverso una approfondita e completa comparazione tra le 5 Aziende a livello europeo che si sono proposte e lappalto è stato affidato nel Novembre 2005 allAssociazione Temporanea di Impresa (ATI) SUN - Open1.
Luglio di 47 LA.T.I. Sun+Open1 LATI, ha terminato la fase di rilevazione dello stato attuale e dei requisiti nel Febbraio Ha terminato la fase di analisi nel Giugno 2006 producendo, tra laltro, un documento di Executive Summary, spedito a tutti i Responsabili dei CdR per raccogliere eventuali osservazioni. Ha terminato la fase di implementazione della soluzione nel Giugno 2007.
Luglio di 47 Parte Seconda Cosa succederà a Settembre per tutti gli utilizzatori della rete di Ateneo
Luglio di 47 Analisi dei processi di gestione delle identità presenti nellAteneo Attraverso una serie di interviste, condotte nei primi mesi del 2006, con i responsabili di un campione il più possibile rappresentativo delle varie tipologie di strutture organizzative (Facoltà, Dipartimenti, Biblioteche, Direzioni, Centri, Uffici, …), e mirate allanalisi dei processi di gestione delle identità degli utenti, sono state individuate le necessità dellAteneo al fine del rilascio e della gestione delle credenziali di accesso. Tali risultanze di analisi sono poi state spedite (in particolare, lExecutive Summary), come detto, nel Giugno 2006 a tutti i Responsabili dei CdR per raccogliere eventuali osservazioni.
Luglio di 47 Alcune risultati dellanalisi Il sistema GIA deve effettuare la gestione delle identitá in accordo alla normativa. Agli utenti appartenenti alle varie classi d'identitá che sono presenti in Ateneo (ovverosia Personale Interno, Studenti, Personale Esterno e Frequentatori) devono essere assegnati degli identificatori univoci (UserId): allinterno di ogni singola classe di identità, ciascuno sarà caratterizzato dalla stessa tipologia di identificatore, ma se l'utente appartiene contemporaneamente a due classi (ad esempio uno studente che ha un contratto di 150 ore), lo stesso deve avere due identificatori distinti per operare nei due diversi contesti lavorativi poichè sono distinte sono le autorizzazioni di accesso.
Luglio di 47 Strutture coinvolte Nella prima versione il sistema GIA prenderà in considerazione le seguenti tipologie di organizzazioni: Facoltà, Dipartimenti, Direzioni Centrali, Biblioteche (frequentatori), Organi di staff. Le rimanenti tipologie di strutture, Centri, Organi Accademici, altre strutture che nel frattempo possono essere sorte, verranno considerate non appena sarà effettuato il primo rilascio del software.
Luglio di 47 Integrazione degli account Per gestire gli account dei soggetti che hanno diritto di accedere alle varie risorse informatiche, GIA deve essere integrato con queste ultime al fine di poter controllare il ciclo di vita delle identitá, ovvero al fine di poter gestire in modo automatico la creazione, la modifica e la cancellazione degli account in accordo ai vari processi di gestione. Nella prima versione di GIA è prevista l'integrazione delle seguenti risorse e servizi/applicazioni informatiche: Active Directory (permette laccesso alla rete per il personale, wireless, accesso VPN, Help Desk, Titulus) Servizi Directory LDAP (gestisce le credenziali di posta elettronica, applicazioni degli studenti) Web Integrato (dbERW, gestore delle informazioni sul Web) CIA (programma per la Contabilità Integrata di Ateneo) Database degli studenti Servizi on line degli studenti
Luglio di 47 Altre risorse integrate in futuro Immediatamente dopo lintegrazione delle risorse appena elencate, si provvederà ad integrare altri sistemi, in particolare: CSA (programma per la gestione delle Carriere Giuridiche e degli Stipendi del Personale). Nuovo programma di gestione delle presenze: lattuale programma sarà sostituito da un gestore delle presenze che sarà integrato con GIA. GIA fornisce a tutti gli effetti un contesto a norma di legge e di regolamento che può essere sfruttato per gestire tutte le risorse informatiche, in qualsiasi CdR. In questi casi, occorre unanalisi ad hoc, tuttavia il SIA mette a disposizione GIA per chiunque ne faccia richiesta e abbia la necessità di gestire accessi a dei servizi.
Luglio di 47 Nuovi codici utente Limitatamente ai servizi informatici integrati con il sistema GIA, gli attuali identificatori utente (UserId o AccountId nel GIA) presenti nelle risorse integrate (quelle elencate nelle slide precedenti) verranno disabilitati e sostituiti con un identificatore il cui formato è definito dal seguente schema: Per tutte le classi didentità, con la sola eccezione degli studenti, il nuovo AccountId sarà: composto solo da caratteri numerici ed alfanumerici la lunghezza dell'accountId è fissa e pari ad 8 caratteri il formato dell'accountId é definito come: – –Dove la sequenza caratteri è definita dai primi sei (6) caratteri del codice fiscale, o di codice similare per chi sprovvisto (come ad es. visitatori stranieri), associato all'utente la sequenza numerica ha lo scopo di eliminare le duplicazioni relative alla sequenza di caratteri (ciò vale per utenti con le prime 6 cifre del codice fiscale uguali). Essa è costituita da un numero casuale compreso fra 01 e 99. Il formato permette quindi 99 diversi AccountId con i primi sei caratteri del codice fiscale uguali.
Luglio di 47 Gestione delle Password Per i servizi informatici integrati con il sistema GIA, verrà definita una regola di creazione della password (password policy) conforme alla normativa. Quindi, la password dovrà contenere quegli elementi affinchè sia robusta: numeri, segni di interpunzione, eccetera.
Luglio di 47 Cosa succede quando termina la collaborazione con UniVr È importante sapere che, per come sono le attuali norme, le identitá informatiche (AccountId) non saranno mai cancellate, ma solo disabilitate. Ciò al fine di mantenere la storicità degli AccountId Alla scadenza di un rapporto di collaborazione con UniVr il sistema GIA provvederà automaticamente a disabilitare i privilegi di accesso concessi dal rapporto stesso.
Luglio di 47 Alcune funzioni saranno self-service Alcuni servizi di gestione devono poter essere effettuati direttamente dagli utenti finali. Ciò sarà effettuato attraverso unapposita interfaccia web. I servizi per i quali è prevista l'erogazione in modalità self-service sono: l'aggiornamento della propria password, la gestione della password dimenticata, la richiesta di accesso per conto di un ospite o di un consulente (quest'ultimo solo per i Docenti e i Responsabili ai sensi della Privacy), l'aggiornamento di una parte del proprio profilo.
Luglio di 47 Ruolo dei Tecnici di Facoltà e dei Responsabili ai sensi della privacy I Tecnici di Facoltà dovranno utilizzare il sistema GIA soprattutto per le operazioni di gestione delle password. I Responsabili a sensi della Privacy saranno coinvolti nel processo di richiesta dei privilegi di accesso a determinati servizi informatici. Questo significa accedere al GIA e, tramite l'apposita interfaccia web, individuare l'utente oggetto della richiesta e selezionare i servizi per i quali viene richiesto l'accesso. Ciò può essere effettuato anche da un Incaricato appositamente nominato dal Responsabile.
Luglio di 47 Self-service per Docenti e Responsabili ai sensi della Privacy I Docenti e i Responsabili ai sensi della Privacy avranno la facoltà di richiedere l'accesso alla rete per gli ospiti e questo richiede la compilazione, sempre via web, di una apposito prospetto le cui informazioni consentano di identificare l'ospite stesso (ad esempio, oltre al nome e cognome, devono essere specificati gli estremi di un documento di riconoscimento). I Responsabili sono coinvolti anche nel processo di richiesta accesso per i Consulenti/Fornitori e per la fornitura dei privilegi di accesso anche agli Esterni.
Luglio di 47 Dove sono state prelevate le informazioni per noi utenti Nell'ambito della gestione delle identitá, è stato particolarmente importante individuare le sorgenti autoritative per le varie informazioni che contribuiscono alla definizione dell'identitá. La sorgente autoritativa è quella base di dati che, per una determinata informazione e per uno specifica classe di utenza, definisce il valore di riferimento certo. Ad esempio il database degli studenti è autoritativo per le informazioni relative agli utenti, almeno relativamente alle informazioni d'identità che si desidera gestire. Per il personale docente, TA, esterno, …, la sorgente autoritativa scelta è quella del DBErw (WebIntegrato).
Luglio di 47 Parte Terza Alcuni approfondimenti e dimostrazioni pratiche
Luglio di 47 Nuovi Identificatori Come anticipato, gli attuali identificatori utilizzati per l'autenticazioni ai servizi informatici che verranno integrati con il sistema GIA, saranno disabilitati e sostituiti con altri identificatori il cui formato è sottoposto a particolari regole. Per accedere ai vari servizi informatici l'utente dovrà ricordare un solo identificatore, che ne identifica anche l'ambito di utilizzo o la categoria di appartenenza. Solo in situazioni molto particolari sono previste delle sovrapposizioni, ovvero solo alcune tipologie di utenti possono trovarsi nella situazione di possedere tipi diversi di identificatori (ad esempio: Studenti Iscritti e Studenti 150 ore). Per i servizi integrati con il GIA, prima elencati, l'utente dovrà dimenticare il vecchio account ed utilizzare il nuovo AccountId con il nuovo formato.
Luglio di 47 Nuove Password Per tutti i servizi informatici integrati con GIA le credenziali di accesso (password) saranno gestite in modo conforme alla normativa: la definizione della password sarà vincolata (dal sistema GIA stesso) da opportune regole di conformità (caratteri minuscoli/minuscoli, numeri, caratteri speciali) la password dovrà essere aggiornata con una frequenza predeterminata (massimo 6 mesi) tutti gli utenti dovranno necessariamente seguire all'inizio il processo di assegnazione della password che prevede una fase di identificazione dell'utente da parte del personale amministratore preposto in caso di dimenticanza della password, l'utente dovrà seguire una apposita procedura Tutti gli utenti utilizzatori dei servizi informatici integrati con GIA saranno soggetti alle nuove procedure che implicano una variazione degli attuali comportamenti. GIA però mette a disposizione degli utenti delle procedure automatiche che semplificano notevolmente l'aggiornamento delle password.
Luglio di 47 Nuove procedure di Gestione degli utenti L'introduzione del sistema GIA determinerà una variazione ai processi di gestione degli utenti e questo significa che alcune persone nell'ambito dell'organizzazione UniVR dovranno assumere ruoli precisi nei confronti della gestione delle identitá degli utenti. Le procedure universitarie stanno per essere adeguate per contemplare i nuovi processi e, a tal proposito, sono stati avviati e conclusi programmi formativi mirati per le persone che devono assumere questi nuovi ruoli.
Luglio di 47 Nuovi processi Oltre alla nuova procedura di gestione delle credenziali, che prevede la possibilità da parte di ciascun utente di poter modificare in autonomia la propria password, la realizzazione del sistema GIA introduce procedure formalizzate in ottemperanza a quanto presente nellattuale regolamento di ateneo per laccesso alla rete dati.regolamento di ateneo per laccesso alla rete dati In particolare, GIA aiuta a definire il work flow per attivare nuove credenziali a persone che ne hanno titolo secondo il regolamento di ateneo per laccesso alla rete dati.regolamento di ateneo per laccesso alla rete dati
Luglio di 47 Dimostrazioni pratiche In questo spazio della presentazione vi sono dimostrazioni pratiche dellutilizzo di GIA
Luglio di 47 Conclusioni Verso fine Settembre il nostro Ateneo modificherà il sistema di gestione dellaccesso alla rete. Questo è determinato sia da esigenze normative sia da questioni di ordine nella trattazione delle credenziali informatiche. Questa presentazione è anticipata tramite mail/newsletter e pubblicata nel sito web. Seguiranno molti momenti di presentazione anche delle procedure vere e proprie di GIA.
Luglio di 47 Per chi vuole approfondire: il Disciplinare tecnico al D.Lgs. 196/ Il trattamento di dati personali con strumenti elettronici e' consentito agli incaricati dotati di credenziali di autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti. 2. Le credenziali di autenticazione consistono in un codice per l'identificazione dell'incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo oppure in un dispositivo di autenticazione in possesso e uso esclusivo dell'incaricato, eventualmente associato a un codice identificativo o a una parola chiave, oppure in una caratteristica biometrica dell'incaricato, eventualmente associata a un codice identificativo o a una parola chiave.
Luglio di 47 Il Disciplinare tecnico 3. Ad ogni incaricato sono assegnate o associate individualmente una o piu' credenziali per l'autenticazione. 4. Con le istruzioni impartite agli incaricati e' prescritto di adottare le necessarie cautele per assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell'incaricato.
Luglio di 47 Il Disciplinare tecnico 5. La parola chiave, quando e' prevista dal sistema di autenticazione, e' composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa non contiene riferimenti agevolmente riconducibili all'incaricato ed e' modificata da quest'ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave e' modificata almeno ogni tre mesi. Il cosiddetto Single Sign On (SSO), aiuta lincaricato a gestire tutte le credenziali automaticamente. 6. Il codice per l'identificazione, laddove utilizzato, non puo' essere assegnato ad altri incaricati, neppure in tempi diversi.
Luglio di 47 Il Disciplinare tecnico 7. Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate, salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica. LAccess Manager controlla che per ogni risorsa informatica accedibile da un incaricato non vi sia stato un accesso entro i termini temporali di 6 mesi 8. Le credenziali sono disattivate anche in caso di perdita della qualita' che consente all'incaricato l'accesso ai dati personali. 9. Sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento.
Luglio di 47 Il Disciplinare tecnico 10. Quando l'accesso ai dati e agli strumenti elettronici e' consentito esclusivamente mediante uso della componente riservata della credenziale per l'autenticazione, sono impartite idonee e preventive disposizioni scritte volte a individuare chiaramente le modalita' con le quali il titolare puo' assicurare la disponibilita' di dati o strumenti elettronici in caso di prolungata assenza o impedimento dell'incaricato che renda indispensabile e indifferibile intervenire per esclusive necessita' di operativita' e di sicurezza del sistema. In tal caso la custodia delle copie delle credenziali e' organizzata garantendo la relativa segretezza e individuando preventivamente per iscritto i soggetti incaricati della loro custodia, i quali devono informare tempestivamente l'incaricato dell'intervento effettuato.
Luglio di 47 Il Disciplinare tecnico 11. Le disposizioni sul sistema di autenticazione di cui ai precedenti punti e quelle sul sistema di autorizzazione non si applicano ai trattamenti dei dati personali destinati alla diffusione.
Luglio di 47 Il Disciplinare tecnico 12. Quando per gli incaricati sono individuati profili di autorizzazione di ambito diverso e' utilizzato un sistema di autorizzazione. 13. I profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, sono individuati e configurati anteriormente all'inizio del trattamento, in modo da limitare l'accesso ai soli dati necessari per effettuare le operazioni di trattamento. 14. Periodicamente, e comunque almeno annualmente, e' verificata la sussistenza delle condizioni per la conservazione dei profili di autorizzazione.
Luglio di 47 Il Disciplinare tecnico 15. Nell'ambito dell'aggiornamento periodico con cadenza almeno annuale dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici, la lista degli incaricati puo' essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione.
Luglio di 47 Il Disciplinare tecnico 16. I dati personali sono protetti contro il rischio di intrusione e dell'azione di programmi di cui all'art quinquies del codice penale, mediante l'attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale. 17. Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilita' di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente. In caso di trattamento di dati sensibili o giudiziari l'aggiornamento e' almeno semestrale.
Luglio di 47 Il Disciplinare tecnico 18. Sono impartite istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con frequenza almeno settimanale.
Luglio di 47 Il Disciplinare tecnico …Non solo questioni elettroniche… 28. Quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e documenti sono controllati e custoditi dagli incaricati fino alla restituzione in maniera che ad essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate. 29. L'accesso agli archivi contenenti dati sensibili o giudiziari e' controllato. Le persone ammesse, a qualunque titolo, dopo l'orario di chiusura, sono identificate e registrate. Quando gli archivi non sono dotati di strumenti elettronici per il controllo degli accessi o di incaricati della vigilanza, le persone che vi accedono sono preventivamente autorizzate.