### Protection of data at rest

[vastianazzo]

Dalla documentazione

Protection of data at rest

In the case that the Mobile Client is stolen, an attacker may gain access to the data Immuni stored on it by accessing raw data from the device storage. To prevent this, all data stored by the App are encrypted using AES. The AES decryption keys are stored in the OS-specific native key storage databases (Keychain on iOS and Keystore on Android).

Per accedere all’applicazione non vi è nessuna fase di autenticazione, così che un soggetto, se entra in possesso del terminale anche per pochi minuti, può vedere tranquillamente tutti i dati registrati dall’APP e/o interagire con l’APP. In particolare, può essere visto se un soggetto è risultato positivo al COVID oppure se ha ricevuto una notifica di rischio esposizione. Si dovrebbe prevedere un livello di autenticazione all’app in locale, per esempio come viene comunemente fatto per i client del banking on line, magari con l’autenticazione tramite impronta digitale, riconoscimento facciale o password