feat: add NPID/National Person Identification Data

docs/en/credential-issuer-solution.rst

@@ -37,7 +37,7 @@ The Digital Credential Issuer Solution MUST:
    9. Periodically renew its trust with the Federation.
    10. Register the Relying Party Component within the CIEid Digital Identity Federation ecosystem (for PID issuance), and within the IT-Wallet ecosystem (for (Q)EAA issuance, if required).
    11. For PID issuance, authenticate Users with LoA High using national Digital Identity infrastructure.
-   12. Verify that the WSCD security level of the Wallet Unit is appropriate for the type of Digital Credential being issued, in accordance with :ref:`WSCD security levels <wscd-security-levels>`. PID issuance requires a WL3 WSCD; (Q)EAA issuance requires at least a WL2 WSCD.
+   12. Verify that the WSCD security level of the Wallet Unit is appropriate for the type of Digital Credential being issued, in accordance with :ref:`WSCD security levels <wscd-security-levels>`. PID issuance requires a WL3 WSCD; NPID and (Q)EAA issuance require at least a WL2 WSCD.
    13. For (Q)EAA issuance requiring authentication, verify a valid PID from the User's Wallet Instance via `OpenID4VP`_.
    14. Implement proper procedures for the entire Digital Credential lifecycle as detailed in Section :ref:`credential-revocation:Digital Credential Lifecycle`.
 
@@ -89,7 +89,7 @@ When User authentication is required, this component MUST authenticate Users:
    - For PID issuance, via national Digital Identity Providers.
    - For (Q)EAA issuance, requesting, obtaining and validating PIDs from User Wallet Instances using `OpenID4VP`_ in accordance with Section :ref:`credential-presentation:Digital Credential Presentation`.
 
-For PID issuance, the Credential Issuer MUST ensure that the Wallet Unit provides a WL3 WSCD for key storage, as the PID requires a high Level of Assurance. For (Q)EAA issuance, the Credential Issuer MUST ensure that the Wallet Unit provides at least a WL2 WSCD. See :ref:`WSCD security levels <wscd-security-levels>` for the definition of security levels.
+For PID issuance, the Credential Issuer MUST ensure that the Wallet Unit provides a WL3 WSCD for key storage, as the PID requires a high Level of Assurance. For NPID issuance, the Credential Issuer MUST ensure that the Wallet Unit provides at least a WL2 WSCD. For (Q)EAA issuance, the Credential Issuer MUST ensure that the Wallet Unit provides at least a WL2 WSCD. See :ref:`WSCD security levels <wscd-security-levels>` for the definition of security levels.
 
 API Interface
 ^^^^^^^^^^^^^

docs/en/defined-terms.rst

@@ -121,6 +121,11 @@ Below is the description of acronyms and definitions which are useful for furthe
       Preexisting identity systems (e.g. CIE) notified to eIDAS.
       Not present in ARF 2.7.3.
 
+    **National Person Identification Data**
+    **NPID**
+      Electronic Attestation containing Person Identification Data at a substantial Level of Assurance (WL2), usable as an electronic identification means exclusively at national level towards Relying Parties. The NPID is issued by the PID Provider and its associated keys MUST be stored in a WSCD with a security level of at least WL2 (i.e. WL2 or WL3).
+      Not present in ARF 2.7.3; specific to IT-Wallet.
+
     **National Trust Anchor**
       Organizational Entity designated at national level to act as the root of trust for the federation, operating the national PKI and publishing authoritative Trusted Lists and federation metadata for subordinate entities (for example, Intermediaries and Leaves).
       Not present in ARF 2.7.3; specific to IT-Wallet.
@@ -469,6 +474,8 @@ Below are the main acronyms used in the document:
     - Level of Assurance
   * - **NAB**
     - National Accreditation Body 
+  * - **NPID**
+    - National Person Identification Data
   * - **OID4VP**
     - OpenID for Verifiable Presentation
   * - **PDND**

docs/en/wallet-instance-lifecycle.rst

@@ -68,7 +68,7 @@ This association allows the User to directly request Wallet Instance revocation
 As part of the activation, the Wallet Provider MUST evaluate the operating system, general technical capabilities of the device, and trustworthiness of the WSCD 
 to check compliance with the technical and security requirements, the authenticity and integrity of the installed Wallet Instance, and ensure the keys used for 
 key binding resides in a secure WSCD.
-As part of this evaluation, the Wallet Provider MUST classify the WSCD security level of the Wallet Unit as either WL2 or WL3, according to the criteria defined in :ref:`WSCD security levels <wscd-security-levels>`. This classification determines which types of Digital Credentials the Wallet Instance is eligible to receive (PID requires WL3; (Q)EAA requires at least WL2).
+As part of this evaluation, the Wallet Provider MUST classify the WSCD security level of the Wallet Unit as either WL2 or WL3, according to the criteria defined in :ref:`WSCD security levels <wscd-security-levels>`. This classification determines which types of Digital Credentials the Wallet Instance is eligible to receive (PID requires WL3; NPID and (Q)EAA require at least WL2).
 Upon successful verification, the Wallet Provider MUST issue at least one valid Wallet Attestation to the Wallet Instance, therefore the Wallet Instance enters the **Operational** state.
 
 In addition, if not already done, Users MUST set their preferred method of unlocking their Wallet Instance; this MAY be accomplished by entering a

docs/en/wallet-solution-requirements.rst

@@ -205,7 +205,7 @@ The **Wallet Secure Cryptographic Device (WSCD)** includes the Hardware Secure E
 
   The WSCD operates at two security levels:
   - **WL3 WSCD**: certified as resistant against attackers with a high attack potential (e.g., HSM, smart card certified at least Common Criteria EAL4+ AVA_VAN.5). Keys bound to PID and WUA WL3 MUST be stored in a WL3 WSCD.
-  - **WL2 WSCD**: based on hardware environments not easily certifiable against high attack potential (e.g., TEE). Keys bound to (Pub/Q)EAA, EAA, and WUA WL2 MAY be stored in a WL2 WSCD.
+  - **WL2 WSCD**: based on hardware environments not easily certifiable against high attack potential (e.g., TEE). Keys bound to NPID, (Pub/Q)EAA, EAA, and WUA WL2 MAY be stored in a WL2 WSCD.
 
   The WL3 WSCD MAY also be used to store private keys corresponding to WL2 Digital Credentials, provided that each Digital Credential has its own distinct key. The WL2 WSCD MUST NOT be used to host PID keys under any circumstance.
 

docs/it/credential-issuer-solution.rst

@@ -37,7 +37,7 @@ La Soluzione del Fornitore di Attestati Elettronici Elettronica DEVE:
    9. Rinnovare periodicamente la conformità e l'aderenza alla Federazione IT-Wallet .
    10. Registrare il Componente Relying Party all'interno dell'ecosistema di Federazione dell'Identità Digitale CIEid (per l'emissione di PID), e all'interno dell'ecosistema IT-Wallet (per l'emissione di (Q)EAA, se necessario).
    11. Per l'emissione di PID, autenticare gli Utenti con LoA High utilizzando l'infrastruttura nazionale di Identità Digitale.
-   12. Verificare che il livello di sicurezza WSCD della Wallet Unit sia appropriato per il tipo di Attestato Elettronico emesso, in conformità con :ref:`livelli di sicurezza WSCD <wscd-security-levels>`. L'emissione di PID richiede un WSCD WL3; l'emissione di (Q)EAA richiede almeno un WSCD WL2.
+   12. Verificare che il livello di sicurezza WSCD della Wallet Unit sia appropriato per il tipo di Attestato Elettronico emesso, in conformità con :ref:`livelli di sicurezza WSCD <wscd-security-levels>`. L'emissione di PID richiede un WSCD WL3; l'emissione di NPID e (Q)EAA richiede almeno un WSCD WL2.
    13. Per l'emissione di (Q)EAA che richiedono autenticazione, verificare che il PID dell'Utente sia valido tramite `OpenID4VP`_.
    14. Implementare procedure adeguate per l'intero ciclo di vita dell'Attestato Elettronico come dettagliato nella Sezione :ref:`credential-revocation:Ciclo di Vita degli Attestati Elettronici`.
 
@@ -89,7 +89,7 @@ Questo componente DEVE autenticare gli Utenti, se richiesto:
    - Per l'emissione di PID, tramite l'infrastruttura nazionale di Identità Digitale.
    - Per l'emissione di (Q)EAA, richiedendo, ottenendo e validando i PID dalle Istanze del Wallet dell'Utente utilizzando `OpenID4VP`_ in conformità con la Sezione :ref:`credential-presentation:Presentazione dell'Attestato Elettronico`.
 
-Per l'emissione di PID, il Fornitore di Attestati Elettronici DEVE garantire che la Wallet Unit fornisca un WSCD WL3 per l'archiviazione delle chiavi, poiché il PID richiede un Livello di Garanzia elevato. Per l'emissione di (Q)EAA, il Fornitore di Attestati Elettronici DEVE garantire che la Wallet Unit fornisca almeno un WSCD WL2. Vedere :ref:`livelli di sicurezza WSCD <wscd-security-levels>` per la definizione dei livelli di sicurezza.
+Per l'emissione di PID, il Fornitore di Attestati Elettronici DEVE garantire che la Wallet Unit fornisca un WSCD WL3 per l'archiviazione delle chiavi, poiché il PID richiede un Livello di Garanzia elevato. Per l'emissione di NPID, il Fornitore di Attestati Elettronici DEVE garantire che la Wallet Unit fornisca almeno un WSCD WL2. Per l'emissione di (Q)EAA, il Fornitore di Attestati Elettronici DEVE garantire che la Wallet Unit fornisca almeno un WSCD WL2. Vedere :ref:`livelli di sicurezza WSCD <wscd-security-levels>` per la definizione dei livelli di sicurezza.
 
 Interfaccia API
 ^^^^^^^^^^^^^^^

docs/it/defined-terms.rst

@@ -127,6 +127,11 @@ Di seguito le descrizioni di acronimi e definizioni, correlati al presente docum
       Entità Organizzativa designata a livello nazionale che agisce come radice di fiducia della federazione, operando la PKI nazionale e pubblicando le Trusted List e i Metadata di federazione autorevoli per le Entità Organizzative subordinate (ad esempio Intermediari e Foglie).
       Non presente in ARF 2.7.3; specifico di IT-Wallet.
 
+    **Dati Nazionali di Identificazione Personale**
+    **NPID**
+      Attestato Elettronico contenente Dati di Identificazione Personale a sostanziale Livello di Garanzia (WL2), utilizzabile come mezzo di identificazione elettronica esclusivamente a livello nazionale verso le Relying Party. Il NPID è emesso dal PID Provider e le chiavi associate DEVONO essere archiviate in un WSCD con livello di sicurezza almeno WL2 (ossia WL2 o WL3).
+      Non presente in ARF 2.7.3; specifico di IT-Wallet.
+
     **Processo di Notifica**
       Procedura per l'invio delle informazioni alla Commissione Europea e l'inserimento all'interno delle Trusted List.
       Conforme con ARF 2.7.3.
@@ -458,6 +463,8 @@ Di seguito gli acronimi usati più di frequente nel documento:
     - Person Identification Data (Attestato Elettronico di Dati di Identificazione Personale)
   * - **PII**
     - Personally Identifiable Information (Informazioni di Identificazione Personale)
+  * - **NPID**
+    - National Person Identification Data (Dati Nazionali di Identificazione Personale)
   * - **PPBE**
     - PID Provider Backend (Backend del Fornitore di Attestati Elettronici di Dati di Identificazione Personale)
   * - **QEAA**

docs/it/wallet-instance-lifecycle.rst

@@ -64,7 +64,7 @@ Questa associazione consente all'utente di richiedere direttamente al Fornitore
   Come risultato della creazione dell'account Utente, DEVE essere impostato un meccanismo di autenticazione per l'Utente per interagire con il portale del Fornitore di Wallet.
   Questa specifica impone l'uso di almeno un secondo fattore per l'autenticazione dell'Utente.
 
-Come parte del processo di attivazione, il Fornitore di Wallet DEVE valutare il sistema operativo, le capacità tecniche generali del dispositivo e l'affidabilità del WSCD, al fine di verificare la conformità ai requisiti tecnici e di sicurezza, l'autenticità e l'integrità dell'Istanza del Wallet installata, e assicurarsi che le chiavi utilizzate per il binding crittografico risiedano in un WSCD sicuro. Come parte di questa valutazione, il Fornitore di Wallet DEVE classificare il livello di sicurezza WSCD della Wallet Unit come WL2 o WL3, secondo i criteri definiti in :ref:`livelli di sicurezza WSCD <wscd-security-levels>`. Questa classificazione determina quali tipi di Attestati Elettronici l'Istanza del Wallet è idonea a ricevere (il PID richiede WL3; (Q)EAA richiede almeno WL2).
+Come parte del processo di attivazione, il Fornitore di Wallet DEVE valutare il sistema operativo, le capacità tecniche generali del dispositivo e l'affidabilità del WSCD, al fine di verificare la conformità ai requisiti tecnici e di sicurezza, l'autenticità e l'integrità dell'Istanza del Wallet installata, e assicurarsi che le chiavi utilizzate per il binding crittografico risiedano in un WSCD sicuro. Come parte di questa valutazione, il Fornitore di Wallet DEVE classificare il livello di sicurezza WSCD della Wallet Unit come WL2 o WL3, secondo i criteri definiti in :ref:`livelli di sicurezza WSCD <wscd-security-levels>`. Questa classificazione determina quali tipi di Attestati Elettronici l'Istanza del Wallet è idonea a ricevere (il PID richiede WL3; NPID e (Q)EAA richiedono almeno WL2).
 Dopo la verifica con successo, il Fornitore di Wallet DEVE emettere almeno una Wallet Attestation valido all'Istanza del Wallet, quindi l'Istanza del Wallet entra nello stato **Operativo**.
 
 Inoltre, se non è già stato fatto, gli Utenti DEVONO impostare il loro metodo preferito per sbloccare la loro Istanza del Wallet; questo PUÒ essere realizzato inserendo un

docs/it/wallet-solution-requirements.rst

@@ -204,7 +204,7 @@ Il **Wallet Secure Cryptographic Device (WSCD)** include l'Hardware Secure Eleme
   Il WSCD opera a due livelli di sicurezza:
 
   - **WSCD WL3**: certificato come resistente ad attaccanti con alto potenziale d'attacco (es. HSM, smart card certificata almeno Common Criteria EAL4+ AVA_VAN.5). Le chiavi vincolate al PID e alla WUA WL3 DEVONO essere archiviate in un WSCD WL3.
-  - **WSCD WL2**: basato su ambienti hardware non facilmente certificabili contro alto potenziale d'attacco (es. TEE). Le chiavi vincolate a (Pub/Q)EAA, EAA e WUA WL2 POSSONO essere archiviate in un WSCD WL2.
+  - **WSCD WL2**: basato su ambienti hardware non facilmente certificabili contro alto potenziale d'attacco (es. TEE). Le chiavi vincolate a NPID, (Pub/Q)EAA, EAA e WUA WL2 POSSONO essere archiviate in un WSCD WL2.
 
   Il WSCD WL3 PUÒ essere utilizzato anche per archiviare chiavi private corrispondenti alle Credenziali Elettroniche WL2, purché ogni singola Credenziale Elettronica abbia la propria chiave distinta. Il WSCD WL2 NON DEVE essere utilizzato per ospitare chiavi PID in alcuna circostanza.