7.1. Σκοπός - Εύρος Πολιτικής
7.1.1. Η Πολιτική Απομακρυσμένης Λογικής Πρόσβασης καθορίζει τη διαβάθμιση των επιπέδων πρόσβασης και θέτει τις απαιτήσεις για τον έλεγχο απομακρυσμένης πρόσβασης στα ΠΕΣ του υπόχρεου προσώπου.
7.1.2. Η Πολιτική Απομακρυσμένης Λογικής Πρόσβασης ισχύει για τους εργαζόμενους και συνεργάτες του υπόχρεου προσώπου, οι οποίοι στο πλαίσιο της εργασίας τους αποκτούν απομακρυσμένη πρόσβαση στα ΠΕΣ και στα σχετικά δεδομένα και τις πληροφορίες.
7.2. Απομακρυσμένη πρόσβαση εργαζομένων και συνεργατών του υπόχρεου προσώπου.
7.2.1. Η απομακρυσμένη πρόσβαση εργαζομένων και συνεργατών του υπόχρεου προσώπου στα ΠΕΣ του θα πρέπει να περιορίζεται στις περιπτώσεις που αυτό είναι απαραίτητο για τις επιχειρησιακές του ανάγκες.
7.2.2. Το υπόχρεο πρόσωπο οφείλει να διατηρεί αρχείο στο οποίο καταγράφονται τα ΠΕΣ στα οποία επιτρέπεται η απομακρυσμένη πρόσβαση, και οι τεχνικοί τρόποι απομακρυσμένης πρόσβασης εργαζομένων και συνεργατών του, για κάθε ΠΕΣ στο οποίο έχει επιτραπεί η απομακρυσμένη πρόσβαση.
7.2.3. Θα πρέπει να τηρείται αρχείο με τους εργαζομένους και συνεργάτες (ονοματεπώνυμο και ιδιότητα) του υπόχρεου προσώπου, οι οποίοι έχουν εξουσιοδοτηθεί για χρήση της απομακρυσμένης πρόσβασης. Στο εν λόγω αρχείο καταγράφονται τα δικαιώματα πρόσβασης που τους αντιστοιχούν για κάθε ΠΕΣ.
7.2.4. Η απομακρυσμένη πρόσβαση των εργαζομένων και συνεργατών του υπόχρεου προσώπου πραγματοποιείται με χρήση μηχανισμών ασφαλούς αυθεντικοποίησης και κρυπτογράφησης (π.χ. μέσω VPN).
7.2.5. Το υπόχρεο πρόσωπο πρέπει να εξασφαλίζει ότι κάθε σύνδεση εργαζομένων και συνεργατών του στα ΠΕΣ αυτού επιτρέπεται μόνο εφόσον η σύνδεση αυτή δεν παραβιάζει κάποιον από τους κανόνες ασφάλειας του δικτύου του.
7.2.6. Η απομακρυσμένη πρόσβαση των συνεργατών του υπόχρεου προσώπου θα πρέπει να επιτρέπεται μόνο για συγκεκριμένο χρονικό διάστημα και να γίνεται είτε με τη χρήση προσωρινών κωδικών οι οποίοι θα μεταβάλλονται μετά το πέρας του προκαθορισμένου χρονικού διαστήματος είτε με την απενεργοποίηση των λογαριασμών μετά το πέρας του διαστήματος αυτού.
7.2.7. Το υπόχρεο πρόσωπο οφείλει να επιτρέπει την απομακρυσμένη πρόσβαση των συνεργατών του στα συστήματά του μόνο κατόπιν έγκρισης των σχετικών αιτημάτων, στα οποία θα αναγράφεται ο λόγος της πρόσβασης, το σύστημα στο οποίο θα πραγματοποιηθεί η πρόσβαση καθώς και το χρονικό διάστημα που απαιτείται. Το υπόχρεο πρόσωπο οφείλει να τηρεί αρχείο με όλες τις πληροφορίες της παρούσας παραγράφου.
7.3. Διαδικασία Διαχείρισης Λογαριασμών Απομακρυσμένης Πρόσβασης
7.3.1. Το υπόχρεο πρόσωπο οφείλει να διαμορφώσει και να ακολουθεί συγκεκριμένη διαδικασία διαχείρισης των λογαριασμών απομακρυσμένης πρόσβασης των εργαζομένων και συνεργατών του, η οποία να είναι σύμφωνη με τις απαιτήσεις που αναφέρονται στην παράγραφο 7.2 του παρόντος άρθρου.
7.3.2. Το υπόχρεο πρόσωπο οφείλει να ελέγχει κατ’ ελάχιστον κάθε τρεις (3) μήνες α) την αντιστοίχιση των λογαριασμών απομακρυσμένης πρόσβασης και του αρχείου της παρ. 7.2.3 του παρόντος άρθρου, και β) την υλοποίηση των απαιτούμενων μεταβολών των κωδικών και απενεργοποιήσεων των λογαριασμών της παρ. 7.2.6 του παρόντος άρθρου, σε συμφωνία με τις αρχές της Πολιτικής Ελέγχου Εφαρμογής της Πολιτικής Ασφάλειας για τη Διασφάλιση του Απορρήτου των Επικοινωνιών του άρθρου 11 του παρόντος Κανονισμού.
