← avanzati.it · PSA PAM + firma temporale · 01 / 10
§ Deck prodotto · v1.0 · 2026

Chi ha fatto cosa, quando.
E nessuno
può negarlo.

Privileged Access Management con firma temporale qualificata. Ogni evento critico sigillato da un timestamp legalmente valido.

Progetti e Servizi Avanzati S.r.l. · Torino · AS42425 Avanti →
§ 01 / Il problema 02 / 10

Gli accessi privilegiati sono il primo punto cieco di ogni audit.

Se non potete dire esattamente chi è entrato sul DB di produzione ieri alle 14, un PAM serve ieri. Non domani.

Accessi privilegiati senza PAM

Chi ha fatto cosa? Misteri buoni.

  • Password root condivise in LastPass di team, Slack, post-it
  • Chiavi SSH mischiate tra sviluppatori, admin, fornitori esterni
  • Ricostruire "chi ha droppato quella tabella?" impossibile
  • Nessuna sessione registrata, nessun log di comando
  • Audit NIS2: settimane di panico a rovistare nei bash_history
Con PAM PSA

Ogni accesso firmato e registrato

  • Session recording completo: video + comandi + timing
  • Credenziali mai condivise, iniettate dal PAM per sessione
  • Audit log immutabile con hash chain SHA-256
  • Firma temporale qualificata eIDAS su ogni evento critico
  • Report NIS2 in 2 click, filtrabili per utente / sistema / data
Contesto02 / 10
§ 02 / Login flow 03 / 10

Un accesso privilegiato, quattro filtri.

Nessun admin entra su un sistema critico senza motivazione, MFA, policy check e sessione registrata. Le credenziali reali non le vede mai.

01
Richiesta motivata.
Utente specifica target system e motivo business. Tutto loggato.
02
2FA obbligatoria.
TOTP o WebAuthn · nessuna eccezione, nemmeno break-glass.
03
Policy check.
Ruolo, fascia oraria, sistemi ammessi · fail-closed.
04
Sessione registrata.
Ogni comando loggato, firma temporale su start e stop.
pam · session.audit
# session log · db-prod-01
[SESSION-OPEN] user=rossi target=db-prod-01
reason="migrate schema v2.3.1"
ts_signed=2026-04-18T09:17:42Z
sig=ok · TSA Aruba eIDAS
---
09:17:49 $ ssh rossi@db-prod-01
09:17:51 $ sudo -u postgres psql crm
09:18:02 crm=# \dt analytics.*
09:18:14 crm=# BEGIN;
09:19:30 crm=# ALTER TABLE analytics.events
ADD COLUMN user_uuid uuid;
09:24:08 crm=# COMMIT;
... 41 commands logged ...
[SESSION-CLOSE] duration=18min cmds=47
ts_signed=2026-04-18T09:35:19Z
sig=ok · hash chain verified
MFA · policy · recording03 / 10
§ 03 / Firma temporale 04 / 10

Un timestamp che regge in tribunale.

La firma temporale qualificata è emessa da una Time Stamping Authority accreditata secondo il Regolamento eIDAS (UE 910/2014). Ha valore probatorio opponibile a terzi — Agenzia delle Entrate, Guardia di Finanza, magistratura inclusi.

Cos'è
Token RFC3161 firmato da TSA qualificata
Cosa garantisce
Che l'evento è avvenuto in quel momento
Validità
eIDAS · riconosciuta in tutta UE
TSA usate
Aruba PEC · InfoCert (configurabile)
Evento critico SESSION-OPEN · COMMAND-EXEC · PERMISSION-CHANGE 01 Hash SHA-256 a47f3d… · deterministico · irreversibile 02 TSA qualificata · eIDAS Aruba PEC / InfoCert · HSM certificato 03 RFC3161 token hash + timestamp + firma TSA · DER encoded 04 Archivio immutabile · append-only 05
Regolamento UE 910/2014 · eIDAS04 / 10
§ 04 / Audit log 05 / 10

Manomissione del log? Matematicamente impossibile.

Ogni record è legato al precedente da un hash chain. Cambi un carattere in un log di 3 mesi fa, la catena si rompe fino a oggi.

EVENT 01 · Evento

Trigger

  • Comando SSH
  • Login / logout
  • Cambio permesso
  • File sensibile
SHA-256 02 · Hash

Digest

  • Deterministico
  • Irreversibile
  • Collision-resistant
CHAIN 03 · Hash chain

Block prev.

  • Include hash precedente
  • Merkle-style
  • Tamper-evident
eIDAS 04 · Firma TSA

Timestamp

  • RFC3161 token
  • TSA qualificata
  • Valore probatorio
WORM 05 · Storage

Append-only

  • PostgreSQL append
  • Copia WORM offsite
  • Retention 10 anni
Hash chain · tamper-evident05 / 10
§ 05 / Ruoli 06 / 10

Granularità fino al singolo comando, non al sistema intero.

Nessun ruolo "admin universale". Scope per sistema, per comando, per orario. Break-glass separato con doppia approvazione e alert critico immediato.

Scope sistema
Per IP, per hostname, per tag · non per "produzione" generico
Scope orario
Lun-ven 9-18 · fuori orario richiede approvazione
Scope comando
Whitelist/blacklist · DROP TABLE bloccato di default
Ruolo · DB admin
db-admin
scope · db-prod-* orario · 9-18 · lun-ven MFA · TOTP obbligatoria
Standard · 4 utenti
Ruolo · Infra
infra-admin
scope · tutti i sistemi orario · 24/7 session recording · sempre
Privilegiato · 2 utenti
Ruolo · Auditor
audit-read
scope · log PAM + SIEM permessi · read-only no · sessioni live
Compliance · 1 utente
Ruolo · Break-glass
emergency-root
approvazione · 2 su 2 alert · Slack critici session · recording + TSA
Emergenza · uso raro
Least privilege · by design06 / 10
§ 06 / Normative 07 / 10

Allineamento alle norme, non certificazione.

PAM copre le misure tecniche che NIS2, GDPR e ISO 27001 chiedono esplicitamente. Non sostituisce policy, formazione e SOC — ma toglie i buchi tecnici dai cruscotti audit.

A · Cosa copriamo

Controlli tecnici coperti

  • NIS2 art. 21 · misure tecniche per gestione rischi cyber
  • GDPR art. 32 · sicurezza del trattamento · access control
  • ISO 27001 A.9 · access control policy e procedure
  • ISO 27001 A.12.4 · logging, monitoring, clock sync
  • Tracciabilità: chi, cosa, quando · firma temporale
  • Evidence auditabile: export PDF firmato on-demand
Dati pronti per l'audit · documentati
B · Cosa resta a voi

Quello che non siamo

  • SOC 24/7 gestione incidenti security full (serve SOC dedicato)
  • Classificazione dati aziendali (policy, non strumento)
  • Formazione utenti e awareness (noi supportiamo documenti)
  • Business continuity plan (decisione aziendale)
  • Risk assessment / gap analysis (consulenza esterna)
  • Certificazione ISO (noi diamo evidenze, non certifichiamo)
Noi diamo evidenze · voi fate processo
NIS2 · GDPR · ISO 2700107 / 10
§ 07 / Il giorno X 08 / 10

Un audit NIS2, quattro mosse.

L'auditor chiede "chi ha acceduto al DB il 15 marzo alle 14:30". Con PAM la risposta è istantanea, firmata, esportabile. Senza PAM è una settimana di panico.

01
Query puntuale.
"Chi ha acceduto al DB il 15 marzo alle 14:30?" — filtro PAM.
02
Risultato istantaneo.
3 sessioni trovate · ogni riga con firma temporale a sigillo.
03
Evidenza richiesta.
Download recording · hash chain verificato · export PDF firmato.
04
Audit chiuso.
Documentazione consegnata · tutto verificabile ex-post.
pam · audit.query
# auditor NIS2 · query asincrona
[AUDIT-QUERY]
who=*
when=2026-03-15T14:30
target=db-prod-01
window=±30min
---
[RESULT] 3 sessions found
rossi · 14:12-14:28 · 23 cmds
bianchi · 14:30-14:45 · 8 cmds
verdi · 14:48-15:02 · 41 cmds
---
[EXPORT] rossi-2026-03-15.pdf
hash_chain=verified
sig_count=47 · tutte valide
signed=2026-04-18T09:22:11Z
sig=ok · TSA Aruba eIDAS
---
[AUDIT-CLOSE] elapsed=4min
Compliance · giorno X08 / 10
§ 08 / Numeri esempio 09 / 10

Che succede in un mese di PAM attivo.

Numeri indicativi su deployment medio — infrastruttura con ~50 sistemi privilegiati, 15 admin, 3 turni.

~12k
Eventi loggati / giorno
login, comandi, cambi permesso
~1.800
Sessioni registrate / mese
video + comandi + timing
~360k
Timestamp TSA / mese
RFC3161 token emessi
100%
Hash chain integrity
verifica quotidiana automatica
10a
Retention storage WORM
NIS2 · allineamento default
<5m
Tempi risposta audit
dalla query all'export firmato
<10
Break-glass usati / anno
2 approvazioni + Slack critico
100%
Copertura sistemi privilegiati
nessun accesso fuori PAM
Deploy medio · ordini di grandezza09 / 10
§ 09 / Adozione 10 / 10

Quando l'audit bussa, dormite tranquilli.

Deploy tipico in 2-3 settimane, integrazione con Wazuh SIEM opzionale. Formazione NOC in una giornata.
PSA S.r.l. · Torino · AS42425 · PAM + firma temporaleFine