ANEXO II Medidas de seguridad\4 Marco operacional [op]4 Marco operacional [op]\4.2 Control de acceso [op.acc]4.2 Control de acceso [op.acc]\4.2.1 Identificación [op.acc.1]

4.2.1 Identificación [op.acc.1]

dimensiones

A T

nivel

bajo

medio

alto

 

aplica

=

=

 

La identificación de los usuarios del sistema se realizará de acuerdo con lo que se indica a continuación:

 

1. Se podrán utilizar como identificador único los sistemas de identificación previstos en la normativa de aplicación.

 

2. Cuando el usuario tenga diferentes roles frente al sistema (por ejemplo, como ciudadano, como trabajador interno del organismo y como administrador de los sistemas) recibirá identificadores singulares para cada uno de los casos de forma que siempre queden delimitados privilegios y registros de actividad.

 

3. Cada entidad (usuario o proceso) que accede al sistema, contará con un identificador singular de tal forma que:

a)      Se puede saber quién recibe y qué derechos de acceso recibe.

b)      Se puede saber quién ha hecho algo y qué ha hecho.

 

4. Las cuentas de usuario se gestionarán de la siguiente forma:

a)      Cada cuenta estará asociada a un identificador único.

b)      Las cuentas deben ser inhabilitadas en los siguientes casos: cuando el usuario deja la organización; cuando el usuario cesa en la función para la cual se requería la cuenta de usuario; o, cuando la persona que la autorizó, da orden en sentido contrario.

c)      Las cuentas se retendrán durante el periodo necesario para atender a las necesidades de trazabilidad de los registros de actividad asociados a las mismas. A este periodo se le denominará periodo de retención.

 

5. En los supuestos contemplados en el Capítulo IV relativo a "Comunicaciones Electrónicas", las partes intervinientes se identificarán de acuerdo a los mecanismos previstos en la legislación europea y nacional en la materia, con la siguiente correspondencia entre los niveles de la dimensión de autenticidad de los sistemas de información a los que se tiene acceso y los niveles de seguridad (bajo, sustancial, alto) de los sistemas de identificación electrónica previstos en el Reglamento n.º 910/2014, del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE:

        Si se requiere un nivel BAJO en la dimensión de autenticidad (anexo I): Nivel de seguridad bajo, sustancial o alto (artículo 8 del Reglamento n.º 910/2014)

        Si se requiere un nivel MEDIO en la dimensión de autenticidad (anexo I): Nivel de seguridad sustancial o alto (artículo 8 del Reglamento n.º 910/2014)

        Si se requiere un nivel ALTO en la dimensión de autenticidad (anexo I): Nivel de seguridad alto (artículo 8 del Reglamento n.º 910/2014).

 

principio