Identificació i Autenticació
|
Extracte del Document de Seguretat de la Comissió de Seguretat de la LOPD de la Universitat de Barcelona, vigent des de 1 de juliol de 2013 |
Tota persona que accedeixi a algun dels recursos dels sistemes d'informació de la UB haurà d'identificar-se i autenticar-se. S'entén per identificació, el procediment de reconeixement de la identitat d'un usuari, mentre que s'entén per autenticació el procediment de comprovació de la identitat d'un usuari, com a verificació que està prèviament autoritzat.
L'adopció de mesures que garanteixin la correcta identificació i autentificació dels usuaris (art. 93.1 RLOPD), l'establiment del mecanisme que permeti la identificació de forma inequívoca i personalitzada de qualsevol usuari que intenti accedir al sistema d'informació i la verificació conforme està autoritzada (93.2 RLOPD) i la descripció del procediment d'assignació, distribució i emmagatzematge de contrasenyes (93.3 RLOPD) han estat delegats pel Secretari General de la UB a l'Àrea de Tecnologies.
L'establiment de la periodicitat amb que s'han de canviar les contrasenyes ha estat encarregat pel Secretari General de la UB a l'Àrea de Tecnologies.
En el procediment per tal d'assignar, distribuir i emmagatzemar les contrasenyes, es té en compte el següent:
a) Tots els usuaris amb accés a un sistema d'informació disposen d'una única autorització d'accés personal i exclusiva composta d'identificador d'usuari i contrasenya.
b) La contrasenya haurà de tenir les caractasrístiques establertes en la política de contrasenyes de la UB.
c) El sistema emmagatzema les contrasenyes mitjançant algorismes de xifrat, a fi de garantir la seva confidencialitat.
d) Les contrasenyes d'accés als sistemes d'informació són comunicades personalment als usuari.
e) L'usuari ha de canviar la contrasenya que se li ha assignat en el primer inici de sessió, moment a partir del qual pot canviar la seva contrasenya d'accés en qualsevol moment, i en una periodicitat no menor a l'establerta en l'Annex VI.
Una vegada definits l'identificador i la contrasenya, se li comuniquen a l'usuari mitjançant un sobre tancat que conté l'identificador d'usuari i la contrasenya que li ha estat assignada.
Els canvis de contrasenya poden obeir a un oblit de l'actual o degut a una sospita d'utilització fraudulenta. En el primer cas, no cal fer cap actuació específica ni cal la seva inscripció en el registre d'incidències. L'usuari comunicarà el fet al P.A.U. (Punt d'Atenció a Usuaris), que assignarà una nova contrasenya a l'usuari, amb les mateixes condicions que la inicial (obligació de canviar-la al primer login) i la comunicarà per escrit a l'usuari. En el segon supòsit, que es pot donar quan un usuari sospita que la seva contrasenya pot ser coneguda per altres usuaris, la comunicació serà realitzada a l'Àrea de Tecnologies per tal d'adoptar les mesures adients i donar d'alta d'una nova contrasenya. Es podrà esbrinar el fonament d'aquesta sospita i s'adoptaran les mesures preventives i correctives oportunes. Totes les accions desenvolupades a fi d'esbrinar la utilització fraudulenta de la contrasenya, seran inscrites al registre d'incidències, així com les mesures realitzades.
|