Polticas de Uso de Cuentas de Usuario del SistemaPropsito Dar a conocer las polticas generales para el uso de las cuentas (usuario - contrasea) de acceso a los Sistemas de PCI. Alcance El alcance de estas polticas incluye a todo usuario de sistema que tenga un rol, cuyas actividades sean de administracin del sistema, de gestin o cualquier otro acceso que est permitido. Poltica General 1. El uso de la cuenta de usuario es responsabilidad de la persona a la que est asignada.2. La cuenta de usuario se proteger mediante una contrasea. La contrasea asociada a la cuenta de usuario, deber seguir los Criterios para la Construccin de Contraseas Seguras descrito ms abajo.3. Las cuentas de usuario (usuario y contrasea) son sensibles a maysculas y minsculas, es decir que estas deben ser tecleadas como estn.4. No compartir la cuenta de usuario con otras personas: compaeros de trabajo, amigos, familiares, etc.5. Si otra persona demanda hacer uso de la cuenta de usuario hacer referencia a estas polticas. De ser necesaria la divulgacin de la cuenta de usuario y su contrasea asociada, deber solicitarlo por escrito y dirigido al Administrador del Sistema.6. Si se detecta o sospecha que las actividades de una cuenta de usuario puede comprometer la integridad y seguridad de la informacin, el acceso a dicha cuenta ser suspendido temporalmente y ser reactivada slo despus de haber tomado las medidas necesarias a consideracin del Administrador del Sistema.7. Tipos de Cuentas de Usuario Para efectos de las presentes polticas, se definen dos tipos de cuentas de usuario: 1. Cuenta de Usuario de Sistema de Informacin: todas aquellas cuentas que sean utilizadas por los usuarios para acceder a los diferentes sistemas de informacin. Estas cuentas permiten el acceso para consulta, modificacin, actualizacin o eliminacin de informacin, y se encuentran reguladas por los roles de usuario del Sistema. 2. Cuenta de Administracin de Sistema de Informacin: corresponde a la cuenta de usuario que permite al administrador del Sistema realizar tareas especficas de usuario a nivel directivo, como por ejemplo: agregar/modificar/eliminar cuentas de usuario del sistema.8. Todas las contraseas para acceso al Sistema con carcter administrativo debern ser cambiadas al menos cada 6 meses.9. Todas las contraseas para acceso al Sistema de nivel usuario debern ser cambiadas al menos cada 12 meses.10. Todas las contraseas debern ser tratadas con carcter confidencial.11. Las contraseas de ninguna manera podrn ser transmitidas mediante servicios de mensajera electrnica instantnea ni va telefnica.12. Si es necesario el uso de mensajes de correo electrnico para la divulgacin de contraseas, estas debern transmitirse de forma cifrada.13. Se evitar mencionar y en la medida de lo posible, teclear contraseas en frente de otros.14. Se evitar el revelar contraseas en cuestionarios, reportes o formas.15. Se evitar el utilizar la misma contrasea para acceso a los sistemas operativos y/o a las bases de datos u otras aplicaciones.16. Se evitar el activar o hacer uso de la utilidad de Recordar Contrasea o Recordar Password de las aplicaciones.17. No se almacenarn las contraseas en libretas, agendas, post-it, hojas sueltas, etc. Si se requiere el respaldo de las contraseas en medio impreso, el documento generado deber ser nico y bajo resguardo.18. No se almacenarn las contraseas sin encriptacin, en sistemas electrnicos personales (asistentes electrnicos personales, memorias USB, telfonos celulares, agendas electrnicas, etc).19. Si alguna contrasea es detectada y catalogada como no segura, deber darse aviso al(los) usuario(s) para efectuar un cambio inmediato en dicha contrasea.Criterios en la construccin de contraseas seguras Una contrasea segura deber cumplir con las siguientes caractersticas: La longitud debe ser al menos de 8 caracteres. Contener caracteres tanto en maysculas como en minsculas. Puede tener dgitos y caracteres especiales como _, -, /, *, $, , , =, +, etc. No debe ser una palabra por s sola, en ningn lenguaje, dialecto, jerga, etc. No debe ser un palndromo (ejemplo: agasaga) No debe ser basada en informacin personal, nombres de familia, etc. Procurar construir contraseas que sean fciles de recordar o deducir. Algunos ejemplos de contraseas NO seguras por si solas: Nombres de familiares, mascotas, amigos, compaeros de trabajo, personajes, etc Cualquier palabra de cualquier diccionario, trminos, sitios, compaas, hardware, software, etc. Cumpleaos, aniversarios, informacin personal, telfonos, cdigos postales, etc. Patrones como 1234?, aaabbb, qwerty, zyxwvuts, etc. Composiciones simples como: MINOMBRE1, 2minombre, etc.