GDPR: Garante privacy, ecco le FAQ sulla conservazione delle password

Nei giorni scorsi la nostra Autorità Garante ha pubblicato le risposte ad alcune FAQ concernenti le Linee guida elaborate di concerto con l’Agenzia per la cybersicurezza nazionale (ACN), per quanto riguarda la conservazione delle password  (https://www.gpdp.it/temi/cybersecurity/password/conservazione-delle-password).

Il documento si rivolge a tutti i titolari e i responsabili del trattamento che conservano credenziali di autenticazione di utenti dei propri servizi all’interno di sistemi informatici. Nel dettaglio, l’Authority evidenzia:

le fattispecie in presenza delle quali trova applicazione il provvedimento (-il trattamento riguarda le password di un numero significativo di utenti; -il trattamento riguarda le password di utenti che possono accedere a banche dati di particolare rilevanza o dimensioni; il trattamento riguarda le password di specifiche tipologie di utenti che sistematicamente trattano, con l’ausilio di strumenti informatici, dati appartenenti a categorie particolari o relativi a condanne penali e reati);

ricorrendo una o più delle predette condizioni, sono tenuti all’adozione di adeguate misure tecniche di protezione delle password, a titolo esemplificativo e non esaustivo, i gestori delle identità digitali SPID e CieID; i gestori di posta elettronica certificata; società e aziende che forniscono servizi ICT; istituti di credito; società finanziarie; imprese assicurative, etc.

le linee guida in materia di funzioni crittografiche per la conservazione delle password si applicano anche in caso di utilizzo di una procedura di autenticazione a più fattori (c.d. strong authentication), come una OTP  (One Time Password – consegnata via SMS o generata su un dispositivo fisico o un’app, oppure una smart card con certificato digitale).