Dnia 2012-05-03, czw o godzinie 17:57 +0100, Sarenka pisze:
On Thu, 03 May 2012 15:46:57 +0200, Mariusz Kropiwnicki wrote:
Dnia 2012-05-03, czw o godzinie 12:18 +0100, Sarenka pisze:
A ustawa dopuszcza, by to użytkownik sam zmieniał hasło (nie rzadziej, niż co 30 dni) - jednak musi być o tym adnotacja w systemie.
Nie w systemie, tylko w "Instrukcji Zarządzania Systemem Informatycznym" albo w "Polityce Bezpieczeństwa" - a najlepiej w obu :)
Inaczej - w instrukcji i/albo w polityce musi widnieć taki wpis a fakt zmiany hasła musi być odnotowywany - nie koniecznie wewnątrz systemu (ale trzymanie papierków z podpisami jest dość uciążliwe)
IMHO dotyczy to wyłącznie PIERWSZEGO hasła, którego otrzymanie user powinien potwierdzić na piśmie (tam gdzie podpisuje że zapoznał się z instrukcją i PB i został przeszkolony z zakresu ochrony danych), później nie ma już takiego wymogu.
Jeżeli już się mamy czepiać do lms'a to większym problemem niż hasła jest brak ewidencji przypadków udostępniania danych osobowych - to musi być w formie elektronicznej - oczywiście jak ktoś o tym wie, to w 5 sekund zrobi sobie "protezę" na bazie helpdesku... jeśli o tym wie :)