Dato che la Clanto Services per espletare i proprio servizi verso imprese e pubbliche amministrazione potrebbe avere accesso a password di amministrazione dei sistemi ICT e degli utenti, di seguito le misure adottate per la conservazione delle password.
La società utilizza un proprio password manager per la conservazione delle password con algoritmi di cifratura in linea con le linee guida di ACN e GPDP.
Tutti i dipendenti del fornitore che devono poter effettuare l’accesso sono dotati di un proprio accesso al Password Manager con accessi vincolati all’effettiva esigenza. Ogni dipendente è dotato una chiave di accesso hardware per gli accessi sensibili (passkey, FIDO ecc.)
Password personali di accesso:
Tipologia di password | Tipologia Password | Frequenza cambio password | Conservazione | Log | Cancellazione |
Password utenti (Google, Workspace, Microsoft 365, E-Mail, Dominio AD ecc.) | – 10 caratteri alfanumerici casuali la password provvisoria. – 14 caratteri minimi. – 2FA consigliato per gli utenti e forzato per figure apicali. | – 365 giorni studenti – 365 giorni docenti – 365 giorni dipendenti – 30 giorni amministratori | – In Hash direttamente nel sistema che le utilizza per le password attuali e deprecate ove possibile. – All’interno dell’archivio personale del Password Manager comprese le password deprecate ove dispinibile ai dipendenti. | – Log del solo invio per le password provvisorie. – Log di utilizzo all’interno dei vari sistemi utilizzati. | – Una volta inviata la password provvisoria, questa viene immediatamente eliminata dai nostri sistemi d’invio. – Dal sistema utilizzato all’eliminazione dell’utente. |
Password di amministrazione personali di apparati di rete (switch, firewall, controller ecc.) | – almeno 32 caratteri alfanumerici casuali (oppure il massimo dei caratteri consentiti su sistemi legacy) – 2FA attivo di default ove possibile – 2FA predefinito su chiave hardware o passkey ove possibile | – 30 giorni amministratori ove impostabile | – In Hash direttamente nel sistema che le utilizza per le password attuali e deprecate ove possibile. – All’interno dell’archivio personale del Password Manager comprese le password deprecate ove dispinibile ai dipendenti. | Log di utilizzo dell’applicativo utilizzato | – Non appena l’apparato non è piu utilizzato. – Dal sistema utilizzato all’eliminazione dell’utente. – Allo scadere del contratto di assistenza senza rinnovo (al massimo 48 ore dopo la chiara richiesta del cliente di non proseguo del contratto). |
Password di amministrazione personali piattaforme e server (Google, Microsoft, Clanto, Dominio AD ecc.) | – almeno 32 caratteri alfanumerici – 2FA attivo di default ove possibile – 2FA predefinito su chiave hardware o passkey ove possibile. | – 30 giorni amministratori ove impostabile | – In Hash direttamente nel sistema che le utilizza per le password attuali e deprecate ove possibile. – All’interno dell’archivio personale del Password Manager comprese le password deprecate ove dispinibile ai dipendenti. | Log di utilizzo dell’applicativo utilizzato | – Non appena l’apparato non è piu utilizzato. – Dal sistema utilizzato all’eliminazione dell’utente. – Allo scadere del contratto di assistenza senza rinnovo (al massimo 48 ore dopo la chiara richiesta del cliente di non proseguo del contratto). |
Password generiche di accesso qualora non fosse possibile generare delle credenziali per dipendente:
Tipologia di password
|
Tipologia Password
|
Frequenza cambio password
|
Conservazione
|
Log
|
Cancellazione
|
Password di amministrazione generali di apparati di rete (switch, firewall, controller ecc.)
|
– almeno 32 caratteri alfanumerici casuali (oppure il massimo dei caratteri consentiti su sistemi legacy)
– 2FA attivo di default ove possibile – 2FA predefinito su chiave hardware o passkey ove possibile |
– 30 giorni ove impostabile
|
– In Hash direttamente nel sistema che le utilizza per le password attuali e deprecate ove possibile.
– All’interno dell’archivio dedicato al cliente, compresi 2FA e password deprecate. |
Log di utilizzo con possibilità di conoscere chi e quando ha avuto accesso alle password.
Log sia delle password attuali, sia delle password deprecate. |
– Non appena l’apparato non è piu utilizzato.
– Dal sistema utilizzato all’eliminazione dell’utente. – Allo scadere del contratto di assistenza senza rinnovo (al massimo 48 ore dopo la chiara richiesta del cliente di non proseguo del contratto). |
Password di amministrazione piattaforme e server (Google, Microsoft, Clanto, Dominio AD ecc.)
|
– almeno 32 caratteri alfanumerici
– 2FA attivo di default (ove possibile i nostri tecnici sono sempre dotati di autenticazione hardware) |
– 30 giorni ove impostabile
|
– In Hash direttamente nel sistema che le utilizza per le password attuali e deprecate ove possibile.
– All’interno dell’archivio dedicato al cliente, compresi 2FA e password deprecate. |
Log di utilizzo con possibilità di conoscere chi e quando ha avuto accesso alle password.
Log sia delle password attuali, sia delle password deprecate. |
– Non appena la piattaforma non è piu utilizzata.
– Dal sistema utilizzato all’eliminazione dell’utente. – Allo scadere del contratto di assistenza senza rinnovo (al massimo 48 ore dopo la chiara richiesta del cliente di non proseguo del contratto). |
Password One-Time-Use di amministazione client (Microsoft AD ecc.)
|
– almeno 10 caratteri alfanumerici casuali auto generate
|
– Singolo utilizzo, non riutilizzabile
|
– In Hash direttamente nel sistema che le utilizza per le password attuali e deprecate ove possibile.
|
Log di utilizzo con possibilità di conoscere chi e quando ha avuto accesso alle password.
|
Dopo il suo utilizzo.
|
Tutti i nostri sistemi impediscono l’utilizzo di password compromesse andando ad analizzare in tempo reale l’hash della password con gli archivi di password compromesse di haveibeenpwned prima di salvare la password. Tutti i sistemi Microsoft e Google sono impostati per evitare l’utilizzo di password compromesse in passato.
Alla conclusione del nostro contratto viene eliminato tutto il tenant creato per il cliente senza possibilità di recupero delle password e ne verrà data notifica al Cliente.
Linee guida del garante sulle password: https://www.garanteprivacy.it/temi/cybersecurity/password
Linee guida del garante sulla conservazione delle password: https://gpdp.it/temi/cybersecurity/password/conservazione-delle-password
Suggerimenti per creare e gestire le password: https://www.garanteprivacy.it/documents/10160/0/Suggerimenti+per+creare+e+gestire+password+a+prova+di+privacy.pdf/3af66017-7a4a-4a18-895e-ce94e2522cee?version=10.0
Linee guida crittografia e conservazione delle password: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9962283
Misure Minime di Sicurezza ICT per le PA: https://cert-agid.gov.it/download/MM.odt
Linee guida NIST 800-63: https://pages.nist.gov/800-63-3/sp800-63-3.html
Condividi questa guida se l’hai trovata utile!
In questo articolo.
Ultimi articoli