Pasahitzak sortu eta erabiltzeko arautegia
1. Helburua
Arautegi honen helburua da pasahitz sendoen sorrera eta erabilera arautzea, EHUren zenbait sistema edo zerbitzutara sartzeko autentifikazio mekanismoa hori denean.
Arautegi hau, hala balegokio eta legokiokeen neurrian, Segurtasun Eskema Nazionala (SEN) arautzen duen maiatzaren 3ko 311/2022 Errege Dekretuaren II. eranskinean aurreikusitako segurtasun-neurrien aplikazioarekin osatu beharko da.
2. Aplikazio eremua
Arau hau EHUren jarduera eremu osoan aplikatu behar da, edukiak unibertsitatearen Informazioaren Segurtasun Politikan definitutako gidalerro orokorragoetatik eratorritako edukiak izanik. Arau hau nahitaez bete beharko dute EHUko zerbitzuak modu iraunkorrean edo aldi baterako erabiltzen dituzten erabiltzaile guztiek, bai eta kanpoko erakundeetako langileek ere, EHUren informazio sistemen erabiltzaile direnean edo berorietarako sarbidea dutenean.
Arautegi hau EHUko IKTen Segurtasun Batzordeak onartu du eta, horrela, ezarri dira unibertsitateak erabiltzaileen eskura jartzen dituen informazio tratamendurako baliabideak behar bezala erabiltzeko jarraibide orokorrak, nork bere eginkizunak bete ditzan eta, hurrenez hurren, deskribatutako betebeharrak gain hartu eta hurrengo epigrafeetan xedatutakoa betetzeko konpromisoa bere egin dutelarik.
3. Arautegia
3.1 Pasahitzen erabilera
Oro har, EHUko aplikazio eta sistema informatiko guztiek mekanismo batzuk izango dituzte, bertara sartzeko baimena duten pertsonak zalantzarik gabe eta banan-banan identifikatzeko. Baldintza honek baztertu egiten du EHUren informazio sistemetan taldeko identifikatzaileak edo identifikatzaile generikoak erabiltzeko aukera.
3.2 Pasahitzetan oinarritutako autentifikazioa
EHUn hiru kontu mota bereizten dira, zeinek bere funtzionalitate espezifikoekin:
- Erabiltzaileen kontuak
- Aplikazio kontuak (software edo makina batek erabiliak)
- Administrazio kontuak (ekipoak eta/edo softwarea administratzeko erabiliak)
Horiek guztiek pasahitza sortzeko jarraibideak bete beharko dituzte, pasahitzak erabiltzeko eta sortzeko prozeduran jasotakoak (sarbide murriztua). Neurri horiek EHUko sistemetan ezarri beharko dira, bertan zehazten diren ezaugarriak bete daitezen. Konfigurazio bidez kontrolatu edo kudeatu ezin diren sistema, aplikazio eta abarretan, halaber, bete beharko dira baldintza hauek, eta erabiltzailearen azken erantzukizuna izango da horiek betetzea.
Sistemetako eta/edo aplikazioetako kontu pribilegiatuetara sartzeko pasahitzak eta sarbide identifikatzailea bere kontu pertsonalean erabilitakoen desberdinak izango dira, eta sistemaren administratzaileak kontu/erabiltzailearen korrespondentzia erregistratuko du.
3.3 Pasahitza aldatzea edo berreskuratzea
Pasahitzen kudeatu edo aldatzeko, xede horretarako gaitutako prozedurei jarraituko zaie.
Erabiltzaile batek ulertzen badu bere pasahitza konprometituta geratu dela edo hirugarren baimenduei laga diela lan edo mantentze arrazoiengatik, berehalakoan ordeztu beharko du, konprometitu ez den beste batekin.
Erabiltzaile bati kontua edo pasahitza sortu edo aldatu zaionean, segituan aldatu beharko du pasahitza, kontua blokeatuta egongo delarik hura aldatu arte.
Segurtasun neurri gisa, EHUk baleki erabiltzaile baten pasahitza jabari publikokoa dela, pasahitza aldatu egingo da eta erabiltzaileari aldaketa horren berri emango zaio ezarritako bideetatik.
4. Erantzukizunak
EHUko erabiltzaile guztiek erantzukizuna dute zein bere eginkizunen garapenari eragiten dioten arauak ezagutzeko, bai eta ez-betetzeak izan ditzakeen ondorioen berri izatekoa ere.
5. Arautegia ez betetzea
Arautegi hau ez betetzeak, hala balegokio, egindako arau haustearen ondoriozko diziplina erantzukizuna lekarke, aplikatu beharreko arautegian aurreikusitako arau hausteen, zehapenen eta prozeduraren araubideari jarraiki. Aurrekoari kalterik egin gabe, unibertsitateak, xede horretarako izapidetutako prozeduraren ondoren, eskatuko du ez betetze horren ondorioz ondasunetan eta eskubideetan eragindako kalte-galerak ordain daitezen, administrazio publikoen zerbitzuko agintari eta langileen ondare erantzukizuna arautzen duten xedapenekin bat etorriz.
6. Berrikuspena eta ebaluazioa
EHUren IKTrako (Informazioaren eta Komunikazioaren Teknologiak) Segurtasun Batzordeari dagokio segurtasun arautegi hori kudeatzea, aldi berean honako hauek egiteko eskumena izanik:
- Arauak aplikatzerakoan sortutako zalantzak interpretatzea.
- Arautegia berrikustea, edukia eguneratzeko beharrezkoa denean edo berrikusteko ezarritako gehieneko epeak betetzean.
- Eraginkortasuna egiaztatzea.
Berrikusteko beharra gomendatuko luketen inguruabarrak egonez gero, segurtasun arautegi hau berrikusiko da eta, aldaketarik egonez gero, EHUko Segurtasun Batzordeak onartu beharko du.
Berrikuspena bideratuko da informazioaren segurtasunaren kudeaketa hobetzeko aukerak identifikatzera, bai eta lege esparruan, azpiegitura teknologikoan, antolaketa orokorrean eta abarretan izandako aldaketetara egokitzera ere.
Informazioaren Segurtasuneko arduraduna izango da onartutako dokumentu honen bertsioa zaindu eta zabaltzeko erantzukizuna.
7. Erreferentziak
Barnekoak:
- Informazioaren Segurtasun Politika, Gobernu Kontseiluak 2013ko martxoaren 21ean onartutakoa
- Pasahitzak erabiltzeko eta sortzeko prozedura
Kanpokoak:
- Segurtasun Eskema Nazionala arautzen duen 311/2022 Errege Dekretua, maiatzaren 3koa
- CCN-STIC dokumentuak eta gidak
| Bertsioa | Onartu da |
|---|---|
| 1.0 | 2024ko azaroak 20 |