Gestione delle Password
Non è possibile stabilire a priori una tipologia di password valida sempre e comunque. Occorre definire più tipologie di
password, da utilizzare, eventualmente, per gruppi omogenei di sistemi.
- Sistema di autenticazione: individua con certezza il soggetto che accede ai dati
( permette di individuare con certezza che accede ai dati. Ogni volto che accediamo alla mail dobbiamo inserire nome
utente -password, nel bancomat –PIN)
- Sistema di autorizzazione: stabilisce quali sono i dati cui l’incaricato può accedere, una volta accertata l’identità
Misure minime di sicurezza –Sistemi di autenticazione
1. Il trattamento di dati personali con strumenti elettronici è consentito agli incaricati dotati di credenziali di
autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a
un insieme di trattamenti.
2. Le credenziali di autenticazione consistono in un codice per l'identificazione dell'incaricato associato a una parola
chiave riservata conosciuta solamente dal medesimo oppure in un dispositivo di autenticazione in possesso e uso
esclusivo dell'incaricato, eventualmente associato a un codice identificativo o a una parola chiave, oppure in una
caratteristica biometrica dell'incaricato, eventualmente associata a un codice identificativo o a una parola chiave.
3. Ad ogni incaricato sono assegnate o associate individualmente una o più credenziali per l'autenticazione.
4. Con le istruzioni impartite agli incaricati è prescritto di adottare le necessarie cautele per assicurare la segretezza
della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo
dell'incaricato.
5. La parola chiave è composta da almeno 8 caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta,
da un numero di caratteri pari al massimo consentito; essa non contiene riferimenti agevolmente riconducibili
all'incaricato ed è modificata da quest'ultimo al primo utilizzo e, successivamente, almeno ogni 6 mesi. In caso di
trattamento di dati sensibili e di dati giudiziari la parola chiave è modificata almeno ogni 3 mesi.
6. Il codice per l'identificazione, laddove utilizzato, non può essere assegnato ad altri incaricati, neppure in tempi
diversi.
7. Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate, salvo quelle preventivamente
autorizzate per soli scopi di gestione tecnica.
8. Le credenziali sono disattivate anche in caso di perdita della qualità che consente all'incaricato l'accesso ai dati
personali.
9. Sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo strumento elettronico durante una
sessione di trattamento.
10. Quando l'accesso ai dati e agli strumenti elettronici è consentito esclusivamente mediante uso della componente
riservata della credenziale per l'autenticazione, sono impartite idonee e preventive disposizioni scritte volte a
individuare chiaramente le modalità con le quali il titolare può assicurare la disponibilità di dati o strumenti
elettronici in caso di prolungata assenza o impedimento dell'incaricato che renda indispensabile e indifferibile
intervenire per esclusive necessità di operatività e di sicurezza del sistema. In tal caso la custodia delle copie delle
credenziali è organizzata garantendo la relativa segretezza e individuando preventivamente per iscritto i soggetti
incaricati della loro custodia, i quali devono informare tempestivamente l'incaricato dell'intervento effettuato.
La scelta della password
Non deve contenere riferimenti agevolmente riconducibili all’incaricato (es. date di nascita, numero di tel)
Deve essere casuale, unica e non prevedibile
Da utilizzare set di caratteri diversi con iuscole/minuscole/Punteggiatura/simboli presenti sulla tastiera (es: \) e non
presenti (es: © - ASCII 184) numeri e gli spazi