<\/p>\n\n\n\n
In questa prima vogliamo riassumere i suggerimenti e gli obblighi sulla creazione e sulla conservazione delle password in relazione al GDPR, ai requisiti minimi ICT, al NIST alle linee guida del garante per la protezione dei dati personali e dell’ACN.<\/p>\n\n\n\n
Alcuni di questi consigli potrebbero sembrare controproducenti, invece fanno tutti riferimento al NIST.<\/p>\n\n\n\n
Non devi per forza generare password casuali, per creare una password complessa, basta pensarci su, una frase lunga e facile da ricordare \u00e8 pi\u00f9 resistente e facile da digitare di una password casuale.<\/p>\n\n\n\n
Resta inteso che questo discorso non vale per gli amministratori di sistema che in quanto tali devono seguire regole pi\u00f9 stringenti avendo accesso sensibili ai sistemi. Per l’amministrazione dei sistemi possono essere molto pi\u00f9 utili sistemi come le password One-Time che vengono generate per un singolo accesso, il 2FA sempre con Authenticator o dove possibile con passkey, FIDO ecc.<\/p>\n\n\n\n
Pu\u00f2 essere molto utile controllare se la propria mail o la propria password siano state hackerate in passato, puoi controllare sul sito https:\/\/haveibeenpwned.com\/<\/a> inserendo la tua mail per vedere quando e su che sito la tua mail o la tua password sono state hackerate<\/p>\n\n\n\n Con l\u2019obiettivo di innalzare il livello di sicurezza, sia dei fornitori di servizi digitali sia degli sviluppatori di software, che nel dicembre 2023<\/strong> l\u2019Agenzia per la cybersicurezza nazionale (ACN)<\/strong> e il Garante per la protezione dei dati personali<\/strong> hanno messo a punto specifiche linee guida in materia di conservazione delle password<\/a>,<\/strong> fornendo importanti indicazioni sulle misure tecniche da adottare.<\/p>\n\n\n\n Le Linee Guida sono rivolte a tutte le imprese e le amministrazioni che, in qualit\u00e0 di titolari o responsabili del trattamento, conservano sui propri sistemi le password dei propri utenti, le quali si riferiscono a un numero elevato di interessati (es. gestori dell\u2019identit\u00e0 digitale SPID o CieID, gestori PEC, gestori di servizi di posta elettronica, banche, assicurazioni, operatori telefonici, strutture sanitarie, etc.), a soggetti che accedono a banche dati di particolare rilevanza o dimensioni (es. dipendenti di pubbliche amministrazioni), oppure a tipologie di utenti che abitualmente trattano dati sensibili o giudiziari (es. professionisti sanitari, avvocati, magistrati).<\/p>\n\n\n\n Gli obblighi sono rivolti anche alle imprese che svolgono servizi ICT per imprese e pubbliche amministrazioni per cui devono conservare le password di accesso.<\/strong><\/p>\n\n\n\n Tra questi figurano:<\/p>\n\n\n\n CONSIGLIAMO inoltre <\/strong>per le pubbliche amministrazioni e le aziende pi\u00f9 grandi, di redigere adeguata documentazione in tal senso.<\/p>\n\n\n\n Laddove vengano invece adottate misure tecniche diverse da quelle individuate nelle citate linee guida, i titolari del trattamento, in ossequio al principio di responsabilizzazione (artt. 5, par. 2, e 24 del Regolamento), devono essere in grado di comprovare che tali misure garantiscono comunque un livello di sicurezza adeguato al rischio per i diritti e le libert\u00e0 delle persone fisiche;<\/p>\n\n\n\n L\u2019adozione delle misure tecniche raccomandate nelle linee guida, o di misure che garantiscono un analogo livello di sicurezza, consente di mitigare in modo significativo i rischi per gli interessati in caso di violazione dei dati personali avente ad oggetto le password medesime.<\/p>\n\n\n\n Come indicato anche nelle \u201cLinee guida 01\/2021 su esempi riguardanti la notifica di una violazione dei dati personali\u201d (spec. caso n. 6), adottate dal Comitato europeo per la protezione dei dati il 14 dicembre 2021, tenuto conto di quanto previsto dall\u2019art. 34, par. 3, lett. a), del Regolamento (UE) 2016\/679, se sono state adottate tecniche crittografiche allo stato dell\u2019arte per proteggere le password degli utenti e non sono state coinvolte anche altre tipologie di dati personali, la violazione pu\u00f2 non presentare rischi per i diritti e le libert\u00e0 degli interessati e quindi pu\u00f2 non essere obbligatorio notificarla al Garante e comunicarla agli interessati coinvolti (artt. 33 e 34 del Regolamento (UE) 2016\/679), fermo restando che la violazione deve essere comunque adeguatamente documentata (art. 33, par. 5, del Regolamento (UE) 2016\/679).<\/p>\n\n\n\n Dato che la Clanto Services per espletare i proprio servizi verso imprese e pubbliche amministrazione potrebbe avere accesso a password di amministrazione dei sistemi ICT e degli utenti, di seguito le misure adottate per la conservazione delle password.<\/p>\n\n\n\n La societ\u00e0 utilizza un proprio password manager per la conservazione delle password con algoritmi di cifratura in linea con le linee guida di ACN e GPDP.<\/p>\n\n\n\n Tutti i dipendenti del fornitore che devono poter effettuare l’accesso sono dotati di un proprio accesso al Password Manager con accessi vincolati all’effettiva esigenza. Password personali di accesso:<\/p>\n\n\n\nCome posso rendere gli accessi pi\u00f9 sicuri?<\/h3>\n\n\n\n
\n
OBBLIGHI sulla conservazione delle password<\/h2>\n\n\n\n
\n
Misure alternative alla crittografia per la conservazione delle password<\/h3>\n\n\n\n
Come comportarsi in caso di violazione dei dati personali avente a oggetto password a cui erano state applicate adeguate misure tecniche di protezione?<\/h3>\n\n\n\n
Misure tecniche adottate dal fornitore Clanto Services per la gestione e la conservazione delle password<\/h2>\n\n\n\n
Ogni dipendente \u00e8 dotato una chiave di accesso hardware per gli accessi sensibili (passkey, FIDO ecc.) <\/p>\n\n\n\n