Adeguamento alla legge 196/2003 in materia di Privacy AUTENTICAZIONE |
Per autenticazione si intende l’insieme degli strumenti elettronici (elaboratori, programmi, dispositivi elettronici, etc…) e delle procedure per la verifica univoca, anche indiretta, dell’identità dell’incaricato alle operazioni di trattamento dei dati personali,ossia la persona fisica autorizzata dal titolare o dal responsabile a compiere tali operazioni.
L’incaricato dovrà avere delle credenziali di autenticazione, ossia dati e/o dispositivi in possesso dello stesso incaricato, da questo conosciuti e ad esso univocamente correlati, utilizzati per l’autenticazione informatica.
COSA FARE PER ADEGUARE LA PROPRIA AZIENDA
Innanzitutto bisogna dotare gli incaricati di credenziali d’autenticazione che consentano il superamento di una procedura d’autenticazione relativa ad un specifico trattamento o ad un insieme di trattamenti.
La scelta può ricadere, a seconda del livello di protezione che si vuole avere (sufficiente, buono, ottimo), su uno o più sistemi tra i seguenti:
- associazione ad ogni incaricato di un codice per l’identificazione dello stesso (UserID) e di una parola chiave riservata conosciuta solo dal medesimo (Password) sufficiente
- dispositivi di autenticazione in possesso e uso esclusivo dell’incaricato (ad es. SmartCard), eventualmente associati ai sistemi descritti nel prmo punto) buono
- caratteristica biometrica dell’incaricato (ad es. impronte digitali, iride, etc…) eventualmente associati ai sistemi descritti nel primo punto) ottimo
Tale scelta è a cura del titolare e/o del responsabile ove designato.
Ad ogni incaricato possono essere assegnate ed associate una o più credenziali per l’autenticazione e gli incaricati devono adottare le necessarie cautele per assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso e ad uso esclusivo dell’incaricato. Inoltre essi non devono lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento.
N.B.: E’ consigliabile adottare una valida politica di autenticazione in quanto questa operazione occuperà un ruolo centrale e fondamentale della sicurezza aziendale, probabilmente il più importante; una cattiva politica di autenticazione mette a rischio l’intero sistema, anche se si posseggono strumenti di protezione di alto livello.
La parola chiave, quando è prevista dal sistema di autenticazione, deve essere composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa non deve contenere riferimenti agevolmente riconducibili all’incaricato e deve essere modificata da quest’ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave deve essere modificata ogni tre mesi.
Il codice d’identificazione, laddove utilizzato, non può essere assegnato ad altri incaricati, neppure in tempi diversi.
Le credenziali di autenticazione non utilizzate da almeno sei mesi devono essere disattivate, salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica. La disattivazione vi deve essere anche in caso di perdita della qualità che consente all’incaricato l’accesso ai dati personali.
Nel caso in cui l’accesso ai dati e agli strumenti elettronici è consentito esclusivamente mediante uso della componente riservata della credenziale per l’autenticazione, devono essere impartite preventivamente idonee disposizioni scritte volte a individuare chiaramente le modalità con le quali il titolare può assicurare la disponibilità dei dati o strumenti elettronici in caso di prolungata assenza o impedimento dell’incaricato che renda indispensabile e indifferibile intervenire per esclusive necessità di operatività e sicurezza del sistema.
In tal caso la custodia delle copie delle credenziali è organizzata garantendo la relativa segretezza e individuando preventivamente per iscritto i soggetti incaricati della loro custodia, i quali devono informare tempestivamente l’incaricato dell’intervento effettuato.