Sintesi Articolo 20
Le entità finanziarie devono implementare policy e procedure di gestione delle identità per garantire un’identificazione e autenticazione univoca degli utenti e dei sistemi che accedono alle loro informazioni. Queste politiche devono includere l’assegnazione di identità univoche a tutto il personale e fornitori terzi, e la gestione del ciclo di vita degli account utente, dalla creazione alla cessazione. Le entità finanziarie devono conservare i registri delle identità assegnate anche dopo la fine dei rapporti contrattuali e, dove possibile, adottare soluzioni automatizzate per la gestione di questi processi.
- Nell’ambito del controllo dei diritti di gestione degli accessi, le entità finanziarie elaborano, documentano e attuano politiche e procedure di gestione delle identità che garantiscano l’identificazione e l’autenticazione univoca delle persone fisiche e dei sistemi che accedono alle informazioni delle entità finanziarie per consentire l’assegnazione dei diritti di accesso utente in conformità dell’articolo 21.
- Le politiche e le procedure di gestione delle identità di cui al paragrafo 1 contengono tutti gli elementi seguenti:
- a) fatto salvo l’articolo 21, primo comma, lettera c), a ciascun membro del personale dell’entità finanziaria o del personale dei fornitori terzi di servizi TIC che accede ai patrimoni informativi e alle risorse TIC dell’entità finanziaria è assegnata un’identità univoca corrispondente a un account utente univoco;
- b) un processo di gestione del ciclo di vita delle identità e degli account che gestisce la creazione, la modifica, il riesame e l’aggiornamento, la disattivazione temporanea e la cessazione di tutti gli account.
Ai fini della lettera a), le entità finanziarie conservano i registri di tutte le assegnazioni di identità. Tali registri sono conservati in seguito a una riorganizzazione dell’entità finanziaria o dopo la fine del rapporto contrattuale, fatti salvi gli obblighi di conservazione previsti dal diritto dell’Unione e nazionale applicabile.
Ai fini della lettera b), le entità finanziarie adottano, ove possibile e opportuno, soluzioni automatizzate per il processo di gestione del ciclo di vita delle identità.