Gestione delle credenziali di autenticazione. La legge prevede che l’accesso alle procedure informatiche che trattano dati personali sia consentito alle Persone Autorizzate in possesso di “credenziali di autenticazione” che permettano il superamento di una procedura di identificazione. Le credenziali di autenticazione consistono in un codice per l’identificazione della Persona Autorizzata al trattamento dei dati (user-id) associato ad una parola chiave riservata (password), oppure in un dispositivo di autenticazione (es. smart card, token, one-time-pw) o in una caratteristica biometrica. Le Persone Autorizzate devono utilizzare e gestire le proprie credenziali di autenticazione attenendosi alle seguenti istruzioni. Le user-id individuali per l’accesso alle applicazioni non devono mai essere condivise tra più utenti (anche se autorizzate al trattamento). Nel caso altri utenti debbano poter accedere ai dati è necessario richiedere l’autorizzazione al Responsabile. Le credenziali di autenticazione (ad esempio le password, oppure i dispositivi di strong authentication come token, smart card, etc.) che consentono l’accesso alle applicazioni devono essere mantenute riservate. Esse non vanno mai condivise con altri utenti (anche se autorizzate al trattamento). Le password devono essere sostituite, a cura della singola Persona Autorizzata, al primo utilizzo e successivamente nel rispetto delle specifiche procedure aziendali almeno ogni tre mesi in caso di trattamento dei dati sensibili e giudiziari o almeno ogni 6 mesi per i dati personali/comuni. Le password devono essere composte da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito. Le password non devono contenere riferimenti agevolmente riconducibili alla Persona Autorizzata (es. nomi di familiari) e devono essere scelte nel rispetto della normativa aziendale sulla costruzione ed utilizzo delle password (vedi anche successivo punto 3.) salvo previsioni più restrittive previste dai sistemi aziendali.
Gestione delle credenziali di autenticazione. (revisione 1 del20/052019) La legge prevede che l’accesso alle procedure informatiche che trattano dati personali sia consentito alle Persone Autorizzate in possesso di “credenziali di autenticazione” che permettano il superamento di una procedura di identificazione. Le credenziali di autenticazione consistono in un codice per l’identificazione della Persona Autorizzata al trattamento dei dati (user-id) associato ad una parola chiave riservata (password), oppure in un dispositivo di autenticazione (es. smart
Gestione delle credenziali di autenticazione. Caratteristiche e primo utilizzo