.png){kind=icon}
.png){kind=icon}
.png){kind=icon}
Identificación y autentificación – Usuarios del sistema
Generación
Cada usuario tiene un identificador que se autentifica mediante contraseña . Los identificadores de usuarios y contraseñas de acceso asociadas son de uso personal e intransferible y no pueden ser compartidas.
Privacidad
Las contraseñas tienen que ser conocidas exclusivamente por el usuario propietario de esta.
Es responsabilidad del usuario asegurar la confidencialidad y custodia de la contraseña
Abc Ordina2, S.L. ha establecido las siguientes pautas para definir las contraseñas y que deberán ser aplicadas por los usuarios del sistema :
- Se evitaran nombres comunes o cualquier otra combinación que pueda identificar al usuario fácilmente, tales como fecha de nacimiento , matrículas de vehículos, etc.
- La contraseña contendrá un mínimo de cinco caracteres alfanuméricos.
- Las contraseñas deberán cambiarse en un plazo , que ningún caso, será superior a un año.
- Los sistemas o aplicaciones de Abc Ordina2, S.L. que realizan la autentificación del usuario , permiten la limitación del numero de intentos fallidos para accesos de usuarios no autorizados.
- Se evitara la comunicación escrita que revele la contraseña de cualquier usuario.
Almacenamiento
Las contraseñas se almacenaran cifradas y solo el responsable se seguridad tendrá acceso a su descodificación .
Mantenimiento
Todas las contraseñas deben ser modificadas por el usuario al menos con la frecuencia establecida en el apartado anterior .
En los entornos en los que sea posible se automatizara este requerimiento de caducidad . cuando sea posible , el usuario será responsable del cambio sistemático
En caso de olvido o cualquier dificultad relacionada con contraseñas los usuarios deberán comunicarlo al responsable de seguridad con la finalidad de ser atendidos
Distribución
La comunicación de contraseñas siempre se realizara por parte del responsable de seguridad al usuario , ya sea personalmente o vía telefónica
Alta de usuarios
Únicamente el responsable de seguridad tiene competencias para dar de alta los nuevos identificadores de usuarios y asociarlos a los perfiles definidos por los diferentes niveles de acceso y las aplicaciones y ficheros .
Los responsables directos de los usuarios que tenga que dar de alta un nuevo usuario con acceso al sistema o a las aplicaciones, deberán notificarlo al Responsable de Seguridad utilizando el modelo establecido al efecto , indicando en la solicitud de los derechos de acceso deseados
Sera la dirección de la empresa quien tenga la última decisión sobre los derechos de accesos de los usuarios.
Una vez realizada el alta, el responsable de seguridad lo comunicara al nuevo usuario y al responsable que autorizo la solicitud indicando los datos de este y el identificador de usuario asignado.
Para el primer acceso del usuario al sistema, el responsable de seguridad le comunicara de forma confidencial su identificador y su contraseña de acceso inicial,
Según lo establecido en el siguiente apartado “Identificación y autentificación- Usuarios del sistema”
Además deberá tener presentes la siguientes normas en la asignación de identificadores :
- No se reutilizara nunca un identificador.
- Utilizar al menos cuatro caracteres en la composición del identificador del usuario.
- Se tienen que mantener únicamente aquellos nombres de usuario propios de los sistemas operativos y de las aplicaciones >o de software que no puedan ser modificadas.
Baja de usuario
Abc Ordina2, S.L. se encargara de cancelar el usuario y sus derechos de acceso .
El responsable de seguridad almacenara información descriptiva sobre los perfiles de acceso de los usuarios que se den de baja durante el tiempo requerido
para el cumplimiento de las obligaciones legales y para la relación de auditorías.
Modificación de permisos de un usuario
La modificación de los derechos o permisos de acceso de un usuario requerirá de la misma autorización jerárquica , descrita en el protocolo de alta .
Por ello , el procedimiento enunciado en el apartado de alta de usuarios será extensible a este punto de modificación de permisos.
Reactivación de usuarios
La reactivación de usuarios exige un procedimiento diferenciado respecto al resto de protocolos , enunciados anteriormente , puesto que parte de la premisa de la existencia de un alta previa y no requiere un cambio de permisos del usuario en el sistema
En aquellos casos en los que el acceso del usuario al sistema se haya revocado por causas accidentales , como por ejemplo , el olvido de la contraseña, un periodo prolongado de inactividad o un excesivo numero de intentos fallidos; la reactivación exigirá su comunicación al responsable de seguridad para resolver la situación.
Registros
El responsable de seguridad mantendrá actualizada la documentación en lo referente a :
- perfiles de acceso e identificadores asociados por el usuario .
- altas , bajas, revocación modificación de usuario por fechas.
- Datos sobre usuarios.
- Nombre y apellidos completos.
- Empresa, en el caso de tratarse de personal externo.
- Área , departamento y servicio.
Cualquiera de estos datos se podrá utilizar en la localización de usuarios y en la reactivación de usuarios revocados, para su control, uso o modificación