El Consell de Govern de la Universitat d'Alacant, en la sessió ordinària del dia 28 de febrer de 2019, va aprovar per unanimitat la

NORMATIVA DE LA UNIVERSITAT D’ALACANT PER A LA CREACIÓ I ÚS DE CONTRASENYES

EXPOSICIÓ DE MOTIUS

Les contrasenyes, juntament amb l'identificador d'usuari, són el mitjà d'accés als diferents ordinadors i aplicacions de la Universitat d'Alacant, com ara UACloud, correu electrònic, Universitas XXI, com també a diferents serveis com REDUA o PCVIRTUAL. Per això és necessari que les contrasenyes que s'utilitzen com a mecanisme d'autenticació siguen segures per a evitar-ne la vulnerabilitat; es tracta que les persones usuàries creen el que es coneix com a contrasenyes robustes, basades en una sèrie de regles que en dificulten la vulnerabilitat i l'accés per part d'altres persones.

Igualment, és important complir amb unes regles que garantisquen la seguretat pròpia i la de les altres persones usuàris dels serveis de la Universitat d'Alacant amb la finalitat de protegir adequadament la seguretat, les dades personals i el bon funcionament del sistema.

Aquesta normativa regula la creació i l’ús de contrasenyes segures amb la finalitat de complir les finalitats assenyalades, establir les regles per a la creació i canvi de contrasenyes, com també les conductes que cal observar-ne en l'ús. La política de seguretat de la informació i les normes de seguretat de la informació fan necessari comptar amb aquesta normativa en l'àmbit d'actuació de la Universitat d'Alacant.

Article 1. Objecte

Aquesta normativa regula la creació i l’ús de contrasenyes segures quan la contrasenya siga el mecanisme d'autenticació usat per a l'accés a sistemes o serveis de la Universitat d'Alacant.

Article 2. Àmbit d'aplicació

1. Aquesta normativa és d'aplicació a totes els usuaris i usuàries dels sistemes d'informació de la Universitat d'Alacant.

2. A l'efecte d'aquesta normativa , s'entén per persona usuària qualsevol membre de la comunitat universitària, com també personal d'organitzacions privades externes, entitats col·laboradores o qualsevol altre amb algun tipus de vinculació amb la Universitat d'Alacant i que utilitze o tinga accés als sistemes d'informació.

Article 3. Regles per a la creació de contrasenyes segures

1. Les contrasenyes, juntament amb l'identificador de persona usuària, són el mitjà d'accés a ordinadors, aplicacions i serveis de la Universitat d'Alacant. Les contrasenyes que s'utilitzen com a mecanismes d'autenticació hauran de ser segures, i ho són aquelles que complisquen les regles establides en l'apartat 2 d’aquest article.

2. Les persones usuàries hauran d'aplicar les següents regles per a la creació de les contrasenyes:

a) Les contrasenyes hauran de tenir una longitud igual o superior a vuit caràcters.

b) Les contrasenyes hauran de tenir, com a mínim, un caràcter del menys tres d’estos quatre grups: majúscules, minúscules, signes i xifres, i no hauran de de tenir caràcters idèntics consecutius.

c) Les contrasenyes no hauran de ser igual a cap de les cinc últimes contrasenyes usades.

d) Les contrasenyes no hauran d’estar basades en dades pròpis que una altra persona puga endevinar o obtenir fàcilment, com ara nom, cognoms, data de naixement, número de telèfon i similars.

Article 4. Regles per a l'ús de les contrasenyes

En l'ús de les contrasenyes, les persones usuàries hauran d'observar les regles següents:

a) Les contrasenyes no poden ser anotades en paper ni de cap altra manera que puga comprometre’n la seguretat.

b) Les contrasenyes han de ser secretes. No han de ser lliurades ni comunicades a ningú.

c) Ningú està autoritzat a accedir als serveis interns de la Universitat d’Alacant utilitzant el nom d'usuari i la contrasenya d'altra persona usuàrias.

d) Les contrasenyes hauran de ser diferents a les usades en serveis d'altres proveïdors externs a la UA.

Article 5. Canvi de contrasenya

1. Les contrasenyes hauran de ser canviades immediatament sempre que la persona usuària entenga que ha quedat compromesa.

2. Sense perjudici d’això, en tot cas, les contrasenyes hauran de se canviades cada sis mesos.

Article 6. Avaluació i revisió de la normativa

1. Anualment, o amb una periodicitat menor si hi ha circumstàncies que així ho aconsellen, el Comitè de Seguretat de Tecnologies de la Informació avaluarà i revisarà aquesta normativa . L'avaluació i la revisió estaran orientades tant a la identificació d'oportunitats de millora en la gestió de la seguretat de la informació com a l'adaptació als canvis que hi haja hagut en el marc legal, infraestructura tecnològica, organització general i d’altres possibles que tinguen incidència en aquesta normativa .

2. Si com a conseqüència de l'avaluació i revisió anteriorment descrites fóra necessari modificar la normativa , aquesta modificació se sotmetrà a l'aprovació del Consell de Govern de la Universitat d'Alacant.

Disposició transitòria. En el termini de 3 mesos des de l'entrada en vigor d’aquesta normativa , les persones usuàries hauran d'adaptar les seues contrasenyes a allò que s’hi estableix. En cas contrari, no podran accedir als serveis fins que no generen una nova contrasenya.

Disposició final. Aquesta normativa entrarà en vigor l'endemà de la publicació en el BOUA, una vegada aprovada pel Consell de Govern.