logo-print

Άρθρο 6 - Απόφαση 165/2011 Αρχής Διασφάλισης του Απορρήτου των Επικοινωνιών - Πολιτική Λογικής Πρόσβασης

ΗΜΕΡΟΜΗΝΙΑ ΙΣΧΥΟΣ:

18/05/2012

Υπό κωδικοποίηση
Διαδίκτυο & τεχνητή νοημοσύνη στο ελληνικό δίκαιο

ΓΕΩΡΓΙΟΣ ΖΕΚΟΣ

ΝΕΕΣ ΤΕΧΝΟΛΟΓΙΕΣ & ΔΙΚΑΙΟ

Γενικός Κανονισμός για την Προστασία των Προσωπικών Δεδομένων και Ευθύνη για Αποζημίωση

6.1. Σκοπός - Εύρος Πολιτικής

6.1.1. Η Πολιτική Λογικής Πρόσβασης καθορίζει τη διαβάθμιση των επιπέδων πρόσβασης και θέτει τις απαιτήσεις για τον έλεγχο πρόσβασης στα ΠΕΣ του υπόχρεου προσώπου.

6.1.2. Η Πολιτική Λογικής Πρόσβασης ισχύει για τους εργαζόμενους και συνεργάτες του υπόχρεου προσώπου, οι οποίοι στο πλαίσιο της εργασίας τους αποκτούν πρόσβαση στα ΠΕΣ και στα σχετικά δεδομένα και τις πληροφορίες.

6.2. Γενικές Απαιτήσεις

6.2.1. Για την απόκτηση πρόσβασης σε ένα ΠΕΣ χρησιμοποιούνται κατάλληλοι μηχανισμοί ελέγχου πρόσβασης και αυθεντικοποίησης των εργαζομένων και συνεργατών του υπόχρεου προσώπου. Κατ’ ελάχιστον, ο έλεγχος πρόσβασης και αυθεντικοποίησης επιτυγχάνεται με τη χρήση ενός λογαριασμού πρόσβασης που αποτελείται από ένα ζεύγος ονόματος χρήστη και κωδικού πρόσβασης, ή άλλου μηχανισμού που εξασφαλίζει αντίστοιχο επίπεδο ασφάλειας. Το υπόχρεο πρόσωπο οφείλει να διατηρεί αρχείο που αναφέρει αναλυτικά τους μηχανισμούς ελέγχου πρόσβασης και αυθεντικοποίησης για κάθε ΠΕΣ.

6.2.2. Σε κάθε εργαζόμενο και συνεργάτη του υπόχρεου προσώπου εκχωρείται προσωπικός λογαριασμός πρόσβασης ανά ΠΕΣ, ούτως ώστε να είναι δυνατή η αντιστοίχιση συγκεκριμένου προσώπου με τις ενέργειες που τελούνται σε κάθε ΠΕΣ. Το υπόχρεο πρόσωπο οφείλει να διατηρεί αρχείο με την αντιστοίχιση των λογαριασμών πρόσβασης των εργαζόμενων και συνεργατών στους οποίους αυτοί έχουν αποδοθεί, ούτως ώστε να είναι δυνατό να διαπιστώνεται με βεβαιότητα ποιος είναι ο κάτοχος κάθε λογαριασμού πρόσβασης και για ποιο χρονικό διάστημα.

6.2.3. Η δημιουργία κοινών ή/και προκαθορισμένων λογαριασμών πρόσβασης πρέπει να αποφεύγεται. Σε περίπτωση που αυτό δεν είναι εφικτό, θα πρέπει να δικαιολογείται και, σε κάθε περίπτωση, να εξασφαλίζεται η αντιστοίχιση του συγκεκριμένου φυσικού προσώπου που αποκτά πρόσβαση σε ένα ΠΕΣ με τις ενέργειες που τελούνται σε αυτό, με άλλον κατάλληλο μηχανισμό, ο οποίος θα τεκμηριώνεται σε αρχείο που οφείλει να διατηρεί το υπόχρεο πρόσωπο.

6.2.4. Το υπόχρεο πρόσωπο οφείλει να διατηρεί αρχείο στο οποίο καταγράφονται οι κατηγορίες των χρηστών και τα δικαιώματα πρόσβασης αυτών για κάθε ΠΕΣ.

6.2.5. Το υπόχρεο πρόσωπο οφείλει να τηρεί αρχείο καταγραφής των προσβάσεων των χρηστών των ΠΕΣ σε αυτά, στο οποίο καταγράφονται, κατ’ ελάχιστον, το όνομα χρήστη που απέκτησε την πρόσβαση, και η ημερομηνία και ώρα εκκίνησης και τερματισμού της πρόσβασης.

6.2.6. Το υπόχρεο πρόσωπο οφείλει να καταγράφει σε αρχείο τους τρόπους πρόσβασης των εργαζομένων και συνεργατών του σε δεδομένα επικοινωνίας των συνδρομητών ή χρηστών των παρεχόμενων δικτύων ή υπηρεσιών. Κάθε πρόσβαση σε δεδομένα επικοινωνίας των συνδρομητών ή χρηστών των παρεχόμενων δικτύων ή υπηρεσιών πρέπει να καταγράφεται και να αιτιολογείται.

6.3. Γενικές Διαδικασίες Πολιτικής Λογικής Πρόσβασης

Το υπόχρεο πρόσωπο οφείλει να διαμορφώσει και να ακολουθεί τις παρακάτω διαδικασίες:

6.3.1. Διαδικασία Διαχείρισης Χρηστών ΠΕΣ

6.3.1.1. Στη Διαδικασία Διαχείρισης Χρηστών ΠΕΣ πρέπει να περιγράφεται με σαφήνεια ο τρόπος προσθήκης νέων χρηστών ΠΕΣ, η διαγραφή χρηστών ΠΕΣ καθώς και η απονομή και μεταβολή των δικαιωμάτων ή επιπέδων πρόσβασης.

6.3.1.2. Για κάθε μία εκ των ενεργειών που αναφέρονται στην παράγραφο 6.3.1.1 του παρόντος πρέπει να προβλέπεται υποχρεωτικά η προηγούμενη έγκριση από αρμόδιο εργαζόμενο του υπόχρεου προσώπου.

6.3.1.3. Στη Διαδικασία Διαχείρισης Χρηστών ΠΕΣ πρέπει να προβλέπεται η υποχρέωση τήρησης αρχείου των αιτήσεων που αφορούν σε κάθε μεταβολή στην κατάσταση πρόσβασης των χρηστών ΠΕΣ.

6.3.1.4. Στη Διαδικασία Διαχείρισης Χρηστών ΠΕΣ πρέπει να προβλέπεται η υποχρέωση τήρησης αρχείου με το ιστορικό όλων των δικαιωμάτων ή επιπέδων πρόσβασης των λογαριασμών που έχουν εγκριθεί και ενεργοποιηθεί στα ΠΕΣ του υπόχρεου προσώπου (ενδεικτικά ανά ΠΕΣ: λογαριασμός πρόσβασης, δικαιώματα/επίπεδο πρόσβασης αυτού, χρονικό διάστημα ισχύος).

6.3.2. Διαδικασία Ελέγχου Ορθής Εφαρμογής της Πολιτικής Λογικής Πρόσβασης

6.3.2.1. Στη Διαδικασία Ελέγχου Ορθής Εφαρμογής της Πολιτικής Λογικής Πρόσβασης πρέπει να περιγράφονται με σαφήνεια οι περιοδικοί έλεγχοι που πραγματοποιούνται, σε συμφωνία με τις αρχές της Πολιτικής Ελέγχου Εφαρμογής της Πολιτικής Ασφάλειας για τη Διασφάλιση του Απορρήτου των Επικοινωνιών του άρθρου 11 του παρόντος Κανονισμού, αναφορικά με:

(α) Τον έλεγχο των δικαιωμάτων πρόσβασης των χρηστών ΠΕΣ, ήτοι, εάν το δικαίωμα πρόσβασης εκάστου χρήστη είναι πράγματι αυτό που του απεδόθη.

(β) Τον έλεγχο των λογαριασμών πρόσβασης, ήτοι, την αντιπαραβολή του αρχείου που περιλαμβάνει τις εγκεκριμένες αιτήσεις (παρ.6.3.1.4 του παρόντος άρθρου) με τους λογαριασμούς που προκύπτουν από έκαστο ΠΕΣ.

(γ) Τον δειγματοληπτικό έλεγχο των αρχείων καταγραφής πρόσβασης (access logs) για την ανακάλυψη ενδεχομένων μη αιτιολογημένων προσβάσεων.

6.4. Δημιουργία και Διαχείριση Λογαριασμών Πρόσβασης

6.4.1. Σχετικά με τη δημιουργία και διαχείριση των λογαριασμών πρόσβασης, το υπόχρεο πρόσωπο οφείλει να διατηρεί (ανά ΠΕΣ ή συγκεντρωτικά) τα ακόλουθα:

(α) αρχείο με περιγραφή των κανόνων σύμφωνα με τους οποίους γίνεται η δημιουργία ενός ονόματος χρήστη,

(β) αρχείο με περιγραφή των κανόνων σύμφωνα με τους οποίους γίνεται η δημιουργία ενός κωδικού πρόσβασης,

(γ) διαδικασία σύμφωνα με την οποία αποδίδεται με ασφάλεια σε κάθε εργαζόμενο και συνεργάτη του υπόχρεου προσώπου το όνομα χρήστη και ο κωδικός πρόσβασης που τον αφορά,

(δ) διαδικασία σύμφωνα με την οποία επιτυγχάνεται η τακτική αλλαγή των κωδικών πρόσβασης και εν γένει η διαχείρισή τους,

(ε) αρχείο με περιγραφή των όρων χρήσης των κωδικών πρόσβασης από τους εργαζόμενους και συνεργάτες του υπόχρεου προσώπου,

(στ) διαδικασία σύμφωνα με την οποία διενεργείται έλεγχος για την ορθή εφαρμογή των παραπάνω κανόνων και διαδικασιών, σε συμφωνία με τις αρχές της Πολιτικής Ελέγχου Εφαρμογής της Πολιτικής Ασφάλειας για τη Διασφάλιση του Απορρήτου των Επικοινωνιών του άρθρου 11 του παρόντος Κανονισμού.

6.4.2. Για την υλοποίηση των υποχρεώσεων της παραγράφου 6.4.1 του παρόντος, το υπόχρεο πρόσωπο οφείλει να λαμβάνει υπόψη τις παρακάτω απαιτήσεις:

6.4.2.1. Τα ονόματα χρήστη δεν πρέπει να υποδηλώνουν τον ρόλο στο ΠΕΣ των εργαζομένων και συνεργατών του υπόχρεου προσώπου (ενδεικτικά, δεν πρέπει να είναι παράγωγα της λέξης admin).

6.4.2.2. Οι χρησιμοποιούμενοι κωδικοί πρόσβασης θα πρέπει να είναι ισχυροί και να έχουν δημιουργηθεί με τρόπο που να αποτρέπει τον προσδιορισμό τους με εύκολο τρόπο. Ειδικότερα, οι κωδικοί πρόσβασης πρέπει να δημιουργούνται με συνδυασμό δύο (2) τουλάχιστον διαφορετικών ειδών χαρακτήρων (αριθμοί, γράμματα, ειδικοί χαρακτήρες). Οι κωδικοί πρόσβασης θα πρέπει να έχουν υποχρεωτικά ένα επαρκές ελάχιστο μήκος, να απαγορεύεται η χρήση πρόσφατων κωδικών στη διαδικασία αλλαγής τους και να μην ακολουθούνται συγκεκριμένα υποδείγματα κατά τη δημιουργία τους.

6.4.2.3. Οι κωδικοί πρόσβασης θα πρέπει να αλλάζουν περιοδικά, σε συχνότητα που καθορίζεται ρητά ανά ΠΕΣ και αναφέρεται σε αρχείο που οφείλει να διατηρεί το υπόχρεο πρόσωπο. Το υπόχρεο πρόσωπο οφείλει να χρησιμοποιεί και να καταγράφει στο εν λόγω αρχείο τους τρόπους με τους οποίους επιβάλλει την περιοδική αλλαγή των κωδικών πρόσβασης. Σε χαρακτηριστικές περιπτώσεις όπως είναι, ενδεικτικά, η αφαίρεση χρήστη ΠΕΣ ή η παραβίαση ενός λογαριασμού πρόσβασης, θα πρέπει να προβλέπεται η άμεση αλλαγή του αντίστοιχου κωδικού πρόσβασης.

6.4.2.4. Στην περίπτωση επαναλαμβανόμενης εισαγωγής λανθασμένων κωδικών πρόσβασης (ενδεικτικά, μετά από τρεις συνεχόμενες αποτυχημένες απόπειρες εισαγωγής του) ο λογαριασμός πρόσβασης θα αδρανοποιείται ή θα μπορεί να χρησιμοποιηθεί μόνο μετά την πάροδο ενός προκαθορισμένου χρονικού διαστήματος.

6.5. Ειδικές Απαιτήσεις σχετικά με τους Συνδρομητές ή Χρήστες των Παρεχομένων Δικτύων ή Υπηρεσιών

6.5.1. Το υπόχρεο πρόσωπο οφείλει να διατηρεί αρχείο που αναφέρει αναλυτικά τους μηχανισμούς ελέγχου πρόσβασης και αυθεντικοποίησης που χρησιμοποιούνται για την πρόσβαση των συνδρομητών ή χρηστών του στις υπηρεσίες ή/και τα δίκτυα που παρέχει.

6.5.2. Το υπόχρεο πρόσωπο οφείλει να διαμορφώσει και να ακολουθεί συγκεκριμένη διαδικασία διαχείρισης των λογαριασμών πρόσβασης των συνδρομητών ή χρηστών στις υπηρεσίες ή/και τα δίκτυα που παρέχει, στην οποία θα περιγράφεται κατ’ ελάχιστον με σαφήνεια ο τρόπος προσθήκης και κατάργησης λογαριασμών πρόσβασης, καθώς και η απόδοση του ονόματος χρήστη και του κωδικού πρόσβασης στους συνδρομητές ή χρήστες των παρεχομένων δικτύων ή υπηρεσιών. Κατά τη δημιουργία ή επανέκδοση του κωδικού πρόσβασης, το υπόχρεο πρόσωπο οφείλει να τον δημιουργεί με τρόπο που να αποτρέπει τον εύκολο προσδιορισμό του. Οφείλει επίσης να ενημερώνει με κάθε πρόσφορο μέσο τους συνδρομητές ή χρήστες των παρεχομένων δικτύων ή υπηρεσιών σχετικά με την αναγκαιότητα αλλαγής του κωδικού πρόσβασης, καθώς και σχετικά με ενδεδειγμένους κανόνες δημιουργίας ισχυρών κωδικών πρόσβασης.

6.5.3. Το υπόχρεο πρόσωπο οφείλει να διαθέτει διαδικασία σύμφωνα με την οποία διενεργείται περιοδικός έλεγχος σχετικά με την αλλαγή του κωδικού πρόσβασης που αυτό αποδίδει στους συνδρομητές ή χρήστες των παρεχομένων δικτύων ή υπηρεσιών και εξασφαλίζει την εκ νέου ενημέρωσή τους σχετικά με την αναγκαιότητα αλλαγής των κωδικών πρόσβασης σε περίπτωση που δεν έχουν προβεί στην σχετική αλλαγή, σύμφωνα με την Πολιτική Ελέγχου Εφαρμογής της Πολιτικής Ασφάλειας για τη Διασφάλιση του Απορρήτου των Επικοινωνιών του άρθρου 11 του παρόντος Κανονισμού.

6.5.4. Σε περίπτωση που το υπόχρεο πρόσωπο προσφέρει τη δυνατότητα στους συνδρομητές ή χρήστες των παρεχομένων δικτύων ή υπηρεσιών να αποκτήσουν πρόσβαση σε δεδομένα επικοινωνίας τους (ενδεικτικά, εξερχόμενες κλήσεις, ηλεκτρονικό ταχυδρομείο) μέσω συγκεκριμένης ιστοθέσης, οφείλει να χρησιμοποιεί τους ευρέως αποδεκτούς μηχανισμούς ασφαλούς αυθεντικοποίησης και κρυπτογράφησης και να περιγράφει αυτούς σε σχετικό αρχείο το οποίο οφείλει να διατηρεί.

6.5.5. Το υπόχρεο πρόσωπο οφείλει να ενημερώνει τους συνδρομητές ή χρήστες των παρεχομένων δικτύων ή υπηρεσιών, τουλάχιστον κατά την σύναψη της μεταξύ τους σύμβασης, με έντυπη ή ηλεκτρονική ενημέρωση, αλλά και σε εύκολα προσβάσιμο σημείο του ιστοτόπου του, σχετικά με τους κανόνες ενδεδειγμένης χρήσης για την προστασία των κωδικών πρόσβασης που κατέχουν. Οι κανόνες αυτοί θα πρέπει να λαμβάνουν υπόψη τις ευρέως αποδεκτές και διεθνείς πρακτικές.

Πολιτική Δικονομία ΙΙΙ - Β έκδοση

ΝΙΚΟΛΑΟΣ ΝΙΚΑΣ

ΑΣΤΙΚΟ ΔΙΚΟΝΟΜΙΚΟ ΔΙΚΑΙΟ / ΕΝΔΙΚΑ ΜΕΣΑ ΚΑΙ ΑΝΑΚΟΠΕΣ

Οι υποχρεώσεις διατροφής στο ιδιωτικό διεθνές δίκαιο

ΒΑΣΙΛΕΙΟΣ ΚΟΥΡΤΗΣ

ΔΗΜΟΣΙΟ & ΙΔΙΩΤΙΚΟ ΔΙΕΘΝΕΣ ΔΙΚΑΙΟ - ΔΙΕΘΝΕΙΣ ΣΧΕΣΕΙΣ