La Política de seguretat en la informació de la UPF estableix que s’hauran de desenvolupar normatives específiques per al desplegament de determinades mesures de seguretat.

Atesa la importància que les contrasenyes d’accés als serveis tenen per garantir la seguretat de la informació, es considera necessari disposar d’una normativa específica al respecte, que defineixi els àmbits de responsabilitat dels usuaris i dels administradors dels sistemes TIC de la UPF.

Article 1. Drets dels usuaris

1.Tots els usuaris de les TIC de la UPF tenen dret a disposar de credencials (codi d’usuari i contrasenya) d’accés als serveis que utilitzin.

2.Aquestes credencials seran individualitzades, llevat de casos excepcionals on sigui tècnicament inviable.

Article 2. Deures dels usuaris

1.És responsabilitat dels usuaris tenir cura de les seves contrasenyes de manera que no puguin ser utilitzades per altres persones.

2. És responsabilitat dels usuaris canviar la seva contrasenya, un cop l’han utilitzada per accedir al servei concret, quan el Servei d’Informàtica els hi entrega per primera vegada.

3. Els usuaris hauran de canviar les seves contrasenyes periòdicament; una vegada a l’any com a mínim.

4. Per tal de millorar-ne la seguretat, els usuaris hauran de triar contrasenyes que incloguin lletres i números. Aquestes contrasenyes tindran una llargada mínima de vuit caràcters i podran tenir mesures de seguretat addicionals en funció de l’anàlisi de riscos que el Servei d’Informàtica hagi efectuat sobre el servei concret al qual s’apliqui la contrasenya.

Article 3. Obligacions de la Universitat

1. La Universitat oferirà als seus usuaris mecanismes que permetin el canvi de contrasenya sense que hagi de ser coneguda per terceres persones.

2. El personal del Servei d’Informàtica entregarà una nova contrasenya a l’usuari en cas d’oblit o de bloqueig.  Aquesta contrasenya serà de caire temporal i haurà de ser canviada per l’usuari en el primer ús que en faci.

3.L’emmagatzematge de les contrasenyes dels usuaris es farà sempre de manera encriptada facilitant-ne l’accés únicament per a funcions de validació de les connexions.

4.El disseny dels serveis TIC de la Universitat es farà de tal manera que es minimitzi el número de contrasenyes que els usuaris hagin de recordar.  Hi haurà credencials diferents només en aquells casos en què sigui aconsellable per motius de seguretat o en què sigui tècnicament inevitable.
 
5.El Servei d’Informàtica habilitarà mecanismes automàtics de bloqueig dels comptes dels usuaris en cas que hi hagi indicis d’utilització fraudulenta o intents d’usos no permesos (com per exemple, intents repetits de connexió amb contrasenyes aleatòries).
 
6.Per a cada servei TIC que posi a disposició dels usuaris, el Servei d’Informàtica haurà de proporcionar informació sobre els criteris de qualitat de les contrasenyes (llargada mínima, freqüència de canvi, criteris de no reutilització de contrasenyes antigues, etc.) així com els mecanismes previstos per modificar-les o restablir-les.

El Servei d’Informàtica haurà d’habilitar mecanismes per assegurar el canvi de contrasenya quan l’entrega per primera vegada, un cop l’usuari l’ha utilitzada.

8.El Servei d’Informàtica haurà d’habilitar mecanismes per assegurar el canvi de les contrasenyes amb una antiguitat superior a un any.

Disposició addicional

El Servei d’Informàtica disposarà d’un any a partir de l’aprovació d’aquesta Normativa pel Consell de Govern per aplicar-la als serveis TIC que ofereix actualment.