1 Obblighi degli utenti
1.1 Responsabilità
Gli utenti devono accedere ai servizi collegandosi al portale INAIL autenticandosi con credenziali costituite da codice fiscale e password; in alternativa, è ammesso l’utilizzo della CNS.
È responsabilità di ogni utente che si avvale delle applicazioni INAIL garantire la corretta gestione delle credenziali di accesso e, in particolare, salvaguardare la segretezza della password, in accordo alla presente linea guida ed alle istruzioni ricevute con la nomina ad incaricato del trattamento ai sensi del D.Lgs. 196/03.
La password personale è uno strumento che tutela l’utente dagli utilizzi illeciti dei propri privilegi di accesso ai servizi e alle informazioni; nel contempo, garantisce l’utente, la Pubblica Amministrazione ed INAIL dall’utilizzo illecito del servizio da parte di terzi non autorizzati. La scelta (affidata agli utenti) di password sicure, seguita da una gestione mirata a preservarne la riservatezza, è il modo migliore per garantire la tutela della parte di patrimonio informativo che ognuno ha la responsabilità di gestire.
Di seguito sono fornite le indicazioni per la costruzione, l’utilizzo e la gestione della password di accesso ai servizi INAIL volte a chiarire le attività a carico dei singoli utenti.
1.2 Regole per la costruzione della password
Il sistema di autenticazione obbliga l’utente a modificare direttamente la password al primo accesso e a provvedere al cambio password periodicamente. L’utente deve attenersi ad alcune semplici regole per la costruzione e gestione della password:
• la lunghezza delle password deve essere di almeno 8 caratteri;
• le password devono essere costruite utilizzando i caratteri numerici, alfabetici, lettere maiuscole o minuscole e segni di interpunzione;
• le password devono contenere almeno un carattere numerico;
• occorre evitare l’utilizzo di termini facilmente riconducibili al proprietario della password stessa (per esempio nome, cognome, data di nascita, nome dei familiari, date di ricorrenze personali, sigle aziendali di Funzioni Organizzative e progetti, la propria user-id di accesso ad altri sistemi informatici, la matricola);
• evitare l’utilizzo di termini di uso eccessivamente comune o facili da ricordare (per esempio nomi di personaggi famosi dello sport, della politica, del cinema o dei fumetti, nomi dei mesi, dei giorni della settimana, delle stagioni, degli stati, delle città).
1.3 Utilizzo e Conservazione della Password
1.3.1 Regole di riservatezza delle password
È necessario adottare un comportamento di riservatezza per le credenziali di accesso al portale INAIL per l’utilizzo delle applicazioni accessibili da esso.
Non è consentito:
• comunicare le credenziali di autenticazione (codice identificativo e password) o condividerle con altre persone;
• consentire a terzi l’accesso al sevizio con le proprie credenziali utente;
• accedere al servizio utilizzando le credenziali di un altro utente.
1.3.2 Primo accesso
Al primo accesso, ad ogni utente è richiesta la registrazione mediante l’inserimento di dati anagrafici. Tra i dati anagrafici assume significatività ai fini della sicurezza l’indicazione dell’indirizzo email, perché permette di ricevere su richiesta una nuova password nel caso di smarrimento. Agli utenti è data possibilità di aggiornare in seguito i propri dati anagrafici ogni qualvolta ritenuto opportuno, utilizzando la funzionalità di “Modifica Anagrafica” nella sezione “Profilo”. Al termine della registrazione, l’utente è obbligato a cambiare la password provvisoria iniziale.
1.3.3 Utilizzo e Conservazione
La password deve essere custodita dal legittimo proprietario con la massima accuratezza, per assicurare che nessuno possa venirne a conoscenza. In particolare, è importante non scrivere la password su fogli, biglietti, o supporti digitali non sicuri.
L’utente deve inoltre prestare attenzione a non lasciare incustodita la propria postazione di lavoro dopo aver aperto una sessione di lavoro.
1.3.4 Sostituzione della password
L’utente è obbligato a sostituire la password, mediante la funzionalità “Cambia Password” nella sezione “Profilo”, nei seguenti casi:
- qualora la password sia rivelata a terzi;
- in tutti i casi in cui la segretezza della password si sospetta essere stata compromessa.
Qualora l’utente abbia dimenticato la password, può richiedere la generazione di una nuova parola chiave, mediante la funzione “password dimenticata”. La nuova password sarà inviata all’indirizzo di posta elettronica indicata nella scheda anagrafica.
1.4 Scadenza della password
La password ha un periodo massimo di validità di 90 giorni, passati i quali l’utente deve modificarla. L’utente può comunque effettuare il cambio della password in qualunque momento senza attendere la scadenza.
2 Ulteriori obblighi degli amministratori delle utenze
Come già accennato, gli Amministratori delle Utenze hanno il compito di creare utenze e/o di assegnare i Ruoli di accesso ai servizi. Oltre agli obblighi definiti per tutti gli utenti nel capitolo precedente, gli Amministratori sono tenuti ad attenersi alle indicazioni fornite di seguito.
2.1 Verifica della sussistenza delle condizioni per l’abilitazione degli utenti
Un Amministratore di Utenze può rilasciare un’utenza di accesso ai servizi INAIL nei confronti di un suo Subdelegato o di un Incaricato solo qualora vi siano le condizioni di accesso al trattamento in conformità con il D.Lgs.196/03 e nel rispetto degli accordi con INAIL. L’Amministratore deve in ogni caso identificare l’utente e provvedere a comunicargli le credenziali garantendone la segretezza.
2.2 Disattivazione delle Utenze
Gli Amministratori devono disattivare le utenze in caso di cambio di mansione, trasferimento, pensionamento o qualsiasi altro evento che implichi la perdita della necessità di accesso alle applicazioni INAIL.
2.3 Verifiche Periodiche
Gli Amministratori delle Utenze sono tenuti a verificare periodicamente e con cadenza almeno annuale la sussistenza delle esigenze che hanno portato all’attivazione delle utenze abilitate, provvedendo, se necessario, alla disattivazione.
La documentazione relativa alle verifiche periodiche svolte, in particolare le liste di utenze con i rispettivi profili aggiornate, deve essere archiviata e conservata per un tempo congruo anche per poterla esibire in caso di eventuali accertamenti o di verifiche ispettive come previsto dal Provvedimento del 27 novembre 2008 del Garante per la Protezione dei dati Personali.
