RTS Articolo 20 – Gestione delle identità

Sintesi Articolo 20

Le entità finanziarie devono implementare policy e procedure di gestione delle identità per garantire un’identificazione e autenticazione univoca degli utenti e dei sistemi che accedono alle loro informazioni. Queste politiche devono includere l’assegnazione di identità univoche a tutto il personale e fornitori terzi, e la gestione del ciclo di vita degli account utente, dalla creazione alla cessazione. Le entità finanziarie devono conservare i registri delle identità assegnate anche dopo la fine dei rapporti contrattuali e, dove possibile, adottare soluzioni automatizzate per la gestione di questi processi.

  1. Nell’ambito del controllo dei diritti di gestione degli accessi, le entità finanziarie elaborano, documentano e attuano politiche e procedure di gestione delle identità che garantiscano l’identificazione e l’autenticazione univoca delle persone fisiche e dei sistemi che accedono alle informazioni delle entità finanziarie per consentire l’assegnazione dei diritti di accesso utente in conformità dell’articolo 21.
  2. Le politiche e le procedure di gestione delle identità di cui al paragrafo 1 contengono tutti gli elementi seguenti:
    • a) fatto salvo l’articolo 21, primo comma, lettera c), a ciascun membro del personale dell’entità finanziaria o del personale dei fornitori terzi di servizi TIC che accede ai patrimoni informativi e alle risorse TIC dell’entità finanziaria è assegnata un’identità univoca corrispondente a un account utente univoco;
    • b) un processo di gestione del ciclo di vita delle identità e degli account che gestisce la creazione, la modifica, il riesame e l’aggiornamento, la disattivazione temporanea e la cessazione di tutti gli account.

Ai fini della lettera a), le entità finanziarie conservano i registri di tutte le assegnazioni di identità. Tali registri sono conservati in seguito a una riorganizzazione dell’entità finanziaria o dopo la fine del rapporto contrattuale, fatti salvi gli obblighi di conservazione previsti dal diritto dell’Unione e nazionale applicabile.

Ai fini della lettera b), le entità finanziarie adottano, ove possibile e opportuno, soluzioni automatizzate per il processo di gestione del ciclo di vita delle identità.

Tutti gli articoli