SICUREZZA DEGLI ACCESSI. Il controllo dell’accesso alle informazioni avviene tramite credenziali di autenticazione rilasciate individualmente. Le credenziali sono personali e non cedibili, sono assegnate in base alla necessità di accedere ai dati o ai sistemi aziendali, sulla base del principio del “minimo privilegio”. Alle password sono imposte regole di robustezza, ovvero devono essere costruite in modo da non essere facilmente 'indovinabili' (password guessing). Agli utenti sono impartite istruzioni per la custodia delle stesse. Hanno una durata massima di 6 mesi, salvo che per le persone con la nomina ad Amministratore di sistema, ai sensi dei provvedimenti del Garante per la protezione dei dati personali, la cui password dura un mese. Per i sistemi più critici è prevista l'autenticazione forte tramite token e certificati di autenticazione. Analoghe regole valgono per i cosiddetti PIN dei dispositivi con a bordo certificati digitali (smart card, Business Key etc.). I sistemi di autenticazione garantiscono che l'utilizzo delle credenziali sia conforme alle politiche di sicurezza stabilite dal sistema di gestione della sicurezza, incluso l'enforcing delle regole di formazione delle password. I dati dei clienti memorizzati sui sistemi InfoCert sono accessibili solo da parte del cliente stesso, tramite utenze personali a lui assegnate all'atto della sottoscrizione del servizio. L'autorizzazione è strettamente legata al servizio, per cui utenze relative a servizi diversi ma afferenti allo stesso cliente, a meno di diversa richiesta del cliente stesso, NON condividono gli stessi diritti di accesso.
SICUREZZA DEGLI ACCESSI. 5.1 Il Cliente è responsabile della sicurezza e dell'uso appropriato della username e password che saranno utilizzati per la connessione al Servizio. Deve adottare tutti i provvedimenti necessari per assicurare che gli stessi siano usati propriamente e che username e password siano mantenute segrete e non rivelate ad alcuna persona non autorizzata.