Validazione Tesserini

[AlfioEmanueleFresta]

Voglio condividere un pensiero con voi, chiedere opinioni ed eventualmente agire di conseguenza.

Obiettivo

• Ottenere uno strumento di Validazione Tesserini accessibile a tutti ed utile nei confronti della popolazione civile, al fine di aumentare la fiducia nell'Associazione e nei Volontari - con un potenziale ritorno d'immagine per affidabilita' considerevole. Esempi di utenti del servizio potrebbero essere:
  • Civile responsabile per l'accettazione dei volontari in un ambiente con altri utenti vulnerabili, che vuole verificare l'effettiva identita' del Volontario e lo stato in servizio;
  • Volontario CRI responsabile per l'accettazione di volontari di un altro comitato presso un'importante attivita', di emergenza o meno, che vuole verificare sia l'identita' che l'effettiva autorizzazione del Volontario a svolgere l'attivita';

    Problematiche attuali

• Attualmente, il sistema di validazione dei tesserini e' poco utile per la popolazione civile. Quando un tesserino viene validato tramite Gaia, le informazioni ritornate son solo una lettera casuale del nome del volontario. Questo ispira poca fiducia. Non e' inoltre disponibile un'applicazione mobile multipiattaforma per la scansione dei tesserini.

  Prerequisiti

• Un sistema di sicurezza informatico adeguato, che impedisca la richiesta casuale di validazione di tesserini, per evitare che un numero di tesserino venga "indovinato" in seguito a vari tenatitivi. Le specifiche di tale sistema seguiranno se approvato.

  Applicazioni

• Applicazione "Validazione Tesserini CRI" per le seguenti piattaforme: Android 2+, Windows Phone, iOS, Blackberry;
• Pagina di validazione tesserini aperta al pubblico su Gaia.

  Proposta

Alla scansione del tesserino, i seguenti dati verranno ritornati all'utente che ne richiede la validazione:

• Nome e cognome del volontario oppure prima lettera del nome e prima lettera del cognome;
• Fotografia del tesserino da Gaia: Questo perche' il volontario potrebbe aver cambiato aspetto, quindi dispositivo mostra sempre l'ultima fotografia del tesserino caricata su Gaia - specialmente se questa e' cambiata dalla stampa del tesserino - garantisce un riconoscimento piu' facile;
• Comitato attuale e stato (es. MEMBRO presso Comitato, SOSPESO presso Comitato, ecc.);
• Eventuali deleghe (es. PRESIDENTE, UFFICIO SOCI, ...) anche temporanee e comitato di delega;
• Nome delle attivita' a cui il volontario e' autorizzato a partecipare nell'arco delle 6 ore precedenti e 6 ore successive;

  Realizzazione

• L'app mobile verra' realizzata con tecnologia Apache Cordova (Framework Ionic) utilizzando le API di Gaia, questo garantira' portabilita' ed user experice unica across tutte le piattaforme;
• Il sistema di validazione tesserini online verra' migliorato - nota importante sara' il perfezionamento per il funzionamento con i lettori di codice a barre, come quelli di JUMP.

---

Chiedo opionione a: @ico88, @PaoloGiustiniani, @galamarco, @biagiosaitta, @AngeloLupo, @alfiomusmarra e Principato per mezzo @ico88.

[aleritty]

Posso proporre un KISS anche se non sono tra i richiesti?

Se sul tesserino è presente un codice tipo QR si può scansionare direttamente dallo smartphone senza app aggiuntive, questo può rimandare ad un URL di verifica dove vengono memorizzati i dati che hai detto in "proposta". Il link alla "pagina tesserino pubblico" potrebbe essere usabile anche per scopi interni CRI a quel punto, e non solo per esterni (ad esempio accreditamento all'inizio di un servizio complesso tipo ingresso allo stadio o ad un concerto o censimento per attività emergenza)

I dati completi (nome e cognome) tanto la persona li vede già (se ha il tesserino davanti e se non lo ha non deve poter tirare ad indovinare, come hai scritto tu). E' magari necessario un captcha per evitare le richieste multiple o automatizzate...

Questo sistema evita di dover realizzare una app che reinventa la ruota, e che il cittadino medio non ha installata sul telefono, oltretutto il cittadino non sa che esiste l'app quindi come farebbe a trovarla? Mentre barcode scanner (o similari) li hanno tutti ed esistono già multipiattaforma.

In questo modo la "complessità" a carico CRI/GAIA diminuisce e ci si può concentrare solo sul sistema di validazione.

[galamarco]

Mi sembra un ragionamento sensato quello di rendere più fruibile alla popolazione la verifica del tesserino di un volontario CRI. Quello a cui dobbiamo fare attenzione, a mio avviso, è di non fornire informazioni utili ad eventuali contraffattori intenzionati a riprodurre o duplicare un tesserino valido per GAIA. Se quanto proposto è compatibile con questa imprescindibile necessità, perchè non farlo?

Resta inteso però che mi pare prioritario risolvere alcuni bug noti a tutta Italia, come il sistema di invio massivo di mail che arrivano dalle due alle sei volte al volontario. Valutandone attentamente la priorità credo che questo miglioramento possa essere inserito nella road map di sviluppo del prossimo anno assieme al sistema di CMS, meccanismo che togliendo le news a uso interno da CRI.it avrà il duplice beneficio di poter pubblicare notizie e documenti interni, e convogliare la comunicazione interna dentro il gestionale che diventa ancor più fondamentale usare per restare aggiornati. Quanto sopra, a mio avviso, si affianca all'urgenza di includere il comitato centrale nel gestionale per evitare le consuete richieste folli che da li provengono (vedi richiesta elenchi volontari con tabelle diverse da quelle generate da GAIA).

Un saluto, Marco

[lb16330]

Posso proporre il medesimo modello utilizzato per il riconoscimento del ruolo di pubblico ufficiale o di appartenenza ad un albo (medico avvocato ecc) utilizzato a livello Nazionale per norma dalla PA?

Separiamo i due concetti: identificazione: sapere nome cognome data e luogo di nascita di un soggetto (ovvero codice fiscale) per sapere che "lui è proprio lui"... verifica della qualifica: sapere che "lui è un Volontario CRI".

Per legge l'unico strumento per identificare un soggetto è l'esibizione di un documento di identità, tesserini associativi o altro( per quanto carini, con foto ecc...) possono essere rifiutati. Su questo a mio avviso c'è poco da fare.

Riguardo la verifica della qualifica l'unico sistema è la verifica puntuale e real time, il soggetto potrebbe aver perso la qualifica per un qualsiasi motivo poche ore prima.

Aggiungendo poi che -chiunque a cui è esibito un documento di identità e il tesserino deve essere in grado di verificare la qualifica del volontario -in assenza di documento di identità e il tesserino deve essere impedita la ricerca a forza bruta

La soluzione che propongo è la seguente: realizzare un semplice servizio che:

• a fronte di un codice fiscale (o nome-cognome-data e luogo di nascita) e numero di tesserino restituisca se il soggetto è o non è un Volontario
• l'interrogazione al servizio prevede che il medesimo client non possa eseguire più di un'operazione ogni 5 secondi (per ridurre rischio di attacco a forza bruta) e/o captha e poi
• per il dataentry è possibile utilizzare lettore codice a barre per i tesserini associativi e alcunidocumenti ovvero lettore contact o contact-less per la Carta di identità elettronica, passaporto e (entro pochi mesi) documento digitale unificato.
• se l'utente che effettua l'interrogazione è autenticato e autorizzato allora questi potrà vedere più dati di dettaglio.

Un saluto

Il 16/12/2014 12:07, Aleritty ha scritto:

Posso proporre un KISS?

Se sul tesserino è presente un codice tipo QR si può scansionare direttamente dallo smartphone senza app aggiuntive, questo può rimandare ad un URL di verifica dove vengono memorizzati i dati che hai detto in "proposta". Il link alla "pagina tesserino pubblico" potrebbe essere usabile anche per scopi interni CRI a quel punto, e non solo per esterni (ad esempio accreditamento all'inizio di un servizio complesso tipo ingresso allo stadio o ad un concerto o censimento per attività emergenza)

I dati completi (nome e cognome) tanto la persona li vede già (se ha il tesserino davanti e se non lo ha non deve poter tirare ad indovinare, come hai scritto tu). E' magari necessario un captcha per evitare le richieste multiple o automatizzate...

Questo sistema evita di dover realizzare una app che reinventa la ruota, e che il cittadino medio non ha installata sul telefono, oltretutto il cittadino non sa che esiste l'app quindi come farebbe a trovarla? Mentre barcode scanner (o similari) li hanno tutti ed esistono già multipiattaforma.

In questo modo la "complessità" a carico CRI/GAIA diminuisce e ci si può concentrare solo sul sistema di validazione.

— Reply to this email directly or view it on GitHub https://github.com/CroceRossaCatania/gaia/issues/1721#issuecomment-67143923.

Luca Bonuccelli Settore Infrastrutture e Tecnologie per lo sviluppo della Società dell'Informazione Direzione Generale Organizzazione Regione Toscana 055 4383122 fax 055 4383256 Via di Novoli 26,50126 Firenze Palazzo A - 105

[galamarco]

Ricordo che l'obiettivo del tesserino non è quella di sostituirsi alla carta di identità, ma semplicemente di riconoscere che Mario Rossi (identificabile dai documenti che già ha) è anche socio attivo di Croce Rossa.

[aleritty]

Veramente gli albi nazionali non funzionano così...

Basta guardare quello dei Medici (che è uno dei più completi E dei meno funzionali allo stesso tempo). FNOMCEO

(vabbè oggi markdown non mi vuole bene)

Luca bonuccelli ha scritto:

Posso proporre il medesimo modello utilizzato per il riconoscimento del ruolo di pubblico ufficiale o di appartenenza ad un albo (medico avvocato ecc) utilizzato a livello Nazionale per norma dalla PA?

[lb16330]

veramente, anche se non ve ne accorgete, gli albi funzionano tra PPAA come vi ho descritto...

Non crederete mica che le verifiche fatte dai tribunali sugli avvocati, dai geni civili sugli ingegneri, dalle asl sui medici avvengano manualmente interrogando il sito pubblico...

Comunque il mio contributo l'ho dato, Riprovo a rifomulare in termini tecnici sile SAML OAUTH2 & co....

IDP è il documento di identità (o meglio l'ente che lo ha erogato), AA è la CRI è il servizio che ho proposto SP è il terzo che deve riconoscere la qualifica del presunto volontario.

Buon lavoro e buone cose e buon cambiamento di mentalità....

Il 16/12/2014 12:30, Aleritty ha scritto:

Veramente gli albi nazionali non funzionano così...

Basta guardare quello dei Medici (che è uno dei più completi E dei meno funzionali allo stesso tempo). FNOMCEO

Il giorno 16 dicembre 2014 12:25, luca bonuccelli notifications@github.com ha scritto:

Posso proporre il medesimo modello utilizzato per il riconoscimento del ruolo di pubblico ufficiale o di appartenenza ad un albo (medico avvocato ecc) utilizzato a livello Nazionale per norma dalla PA?

— Reply to this email directly or view it on GitHub https://github.com/CroceRossaCatania/gaia/issues/1721#issuecomment-67146275.

Luca Bonuccelli Settore Infrastrutture e Tecnologie per lo sviluppo della Società dell'Informazione Direzione Generale Organizzazione Regione Toscana 055 4383122 fax 055 4383256 Via di Novoli 26,50126 Firenze Palazzo A - 105

[aleritty]

Sul genio civile non discuto perchè non ho dati, ma sulla asl ne sono assolutamente certo: consultano il sito pubblico, manualmente e sbagliando anche il captcha numerose volte... Inoltre qui si parlava del civile che vuole verificare un volontario...

Ovvio che CRI non debba sostituirsi alla PA però (altrimenti non se ne esce più!).

A parer mio l'interazione più semplice ed efficace (soprattutto per il cittadino) è:

• vedi un volontario che sta facendo la raccolta alimentare, però non ti piace e vuoi verificarlo.
• chiedi il tesserino, inquadri il codice con il telefono (e non con app dedicate ma con un lettore qr se possibile, erchè se l'app è "tua" ti fidi di più)
• il cellulare ti rimanda ad una pagina sotto dominio CRI e ssl (quindi diciamo che ci si fida)
• risolvi il captcha (o si trova un meccanismo in grado di bloccare gli automatismi)
• sullo schermo vedi ultima foto ed i dati che ha datto alfio nel primo post, magari con dei bei panel di success o danger che evidenzino se la persona è attualmente volontario o meno. Sulle attività per ora starei meno stretto perchè non tutti le usano al 100% ed è meglio evitare allarmismi.

Il giorno 16 dicembre 2014 12:38, luca bonuccelli notifications@github.com ha scritto:

veramente, anche se non ve ne accorgete, gli albi funzionano tra PPAA come vi ho descritto...

Non crederete mica che le verifiche fatte dai tribunali sugli avvocati, dai geni civili sugli ingegneri, dalle asl sui medici avvengano manualmente interrogando il sito pubblico...

Comunque il mio contributo l'ho dato, Riprovo a rifomulare in termini tecnici sile SAML OAUTH2 & co....

IDP è il documento di identità (o meglio l'ente che lo ha erogato), AA è la CRI è il servizio che ho proposto SP è il terzo che deve riconoscere la qualifica del presunto volontario.

Buon lavoro e buone cose e buon cambiamento di mentalità....

[lb16330]

Aleritty.... che dirti... Evidente la tua regione è un poco arretrata sul fronte di automatismi...

Torniamo a noi... il contributo l'ho dato, il modello è robusto e a prova di privacy... poi fate vobis... io torno a coprogettare SPID

Un abbraccio e buone feste.

Il 16/12/2014 12:49, Aleritty ha scritto:

Sul genio civile non discuto perchè non ho dati, ma sulla asl ne sono assolutamente certo: consultano il sito pubblico, manualmente e sbagliando anche il captcha numerose volte... Inoltre qui si parlava del civile che vuole verificare un volontario...

Ovvio che CRI non debba sostituirsi alla PA però (altrimenti non se ne esce più!).

A parer mio l'interazione più semplice ed efficace (soprattutto per il cittadino) è:

• vedi un volontario che sta facendo la raccolta alimentare, però non ti piace e vuoi verificarlo.
• chiedi il tesserino, inquadri il codice con il telefono (e non con app dedicate ma con un lettore qr se possibile, erchè se l'app è "tua" ti fidi di più)
• il cellulare ti rimanda ad una pagina sotto dominio CRI e ssl (quindi diciamo che ci si fida)
• risolvi il captcha (o si trova un meccanismo in grado di bloccare gli automatismi)
• sullo schermo vedi ultima foto ed i dati che ha datto alfio nel primo post, magari con dei bei panel di success o danger che evidenzino se la persona è attualmente volontario o meno. Sulle attività per ora starei meno stretto perchè non tutti le usano al 100% ed è meglio evitare allarmismi.

Il giorno 16 dicembre 2014 12:38, luca bonuccelli notifications@github.com ha scritto:

veramente, anche se non ve ne accorgete, gli albi funzionano tra PPAA come vi ho descritto...

Non crederete mica che le verifiche fatte dai tribunali sugli avvocati, dai geni civili sugli ingegneri, dalle asl sui medici avvengano manualmente interrogando il sito pubblico...

Comunque il mio contributo l'ho dato, Riprovo a rifomulare in termini tecnici sile SAML OAUTH2 & co....

IDP è il documento di identità (o meglio l'ente che lo ha erogato), AA è la CRI è il servizio che ho proposto SP è il terzo che deve riconoscere la qualifica del presunto volontario.

Buon lavoro e buone cose e buon cambiamento di mentalità....

— Reply to this email directly or view it on GitHub https://github.com/CroceRossaCatania/gaia/issues/1721#issuecomment-67148078.

Luca Bonuccelli Settore Infrastrutture e Tecnologie per lo sviluppo della Società dell'Informazione Direzione Generale Organizzazione Regione Toscana 055 4383122 fax 055 4383256 Via di Novoli 26,50126 Firenze Palazzo A - 105

[aleritty]

Luca guarda che abbiamo proposto lo stesso modello, solo con un data entry (o un entry point a seconda dei punti di vista) diverso...

Tu hai proposto un classico codice fiscale o un abbinata di dati (che io semplice volontario magari non voglio fornire ad un qualsiasi privato cittadino), io un QR sul tesserino (QR con link e non con dati personali oltre a quelli visibili sul tesserino). E voglio dire, non è nemmeno una gara a chi ha l'Idp più grosso... E' solo cercare soluzioni con una usabilità, magari un filo superiore a quella tipica della P.A.

Il problema semmai è: con i tesserini già stampati come si fa? Perchè al Jump ne sono già usciti un tot.

[AlfioEmanueleFresta]

Grazie per i vostri contributi, @galamarco, @lb16330 e @aleritty. Abbiamo avuto modo di discutere della cosa ed a breve mi occupero' di riassumere le nostre conclusioni. Per ora blocco la contribuzione alla discussione ai membri della squadra si sviluppo.

Per ogni ulteriore suggerimento non esitate a scrivere a feedback@gaia.cri.it.

[PaoloGiustiniani]

Credo che la miglior soluzione sia la verifica su tre livelli.

Prima verifica

Attraverso l'inserimento del numero di tesserino sarà possibile verifica se quest'ultimo è valido o non è valido

Seconda verifica

E' propedeutica la "Prima verifica".

Inserendo la data di accesso in Croce Rossa (mese ed anno) possiamo fornire chi ha emesso il tesserino in questione

Terza verifica

E' propedeutica la "Prima verifica" & la "Seconda verifica".

Inserendo tre lettere del codice fiscale, variabili ed a totale descrizione di GAIA, possiamo fornire il nome e cognome del volontario con almeno il 30% dei caratteri oscurati.

Verifica formale

Sottoporre all'ufficio legale la struttura indicata al fine di ottenerne validazione prima di effettuare il "merge".

• La foto non dovrà apparire pubblicamente.
• La sessione di verifica avrà una durata temporale ben definita al fine di evitare automatismi nella procedura.
• In caso di personale minorenne la quantità dei caratteri oscurati nel nome e cognome sarà superiore al 30%.

[PaoloGiustiniani]

@CroceRossaCatania/owners a voi ulteriori dettagli e/o integrazioni.

[biagiosaitta]

@PaoloGiustiniani nella seconda verifica, con "chi ha emesso il tesserino" cosa intendi?

[PaoloGiustiniani]

Scusa, errore di battitura, appartenenza del volontario.