Sintesi Articolo 7
Le entità finanziarie devono includere nella loro policy di gestione delle chiavi crittografiche misure che coprano l’intero ciclo di vita delle chiavi, dalla generazione alla distruzione. Devono implementare controlli per proteggere le chiavi da perdita, accesso non autorizzato, divulgazione o modifica, basandosi su una valutazione dei rischi. Devono anche prevedere metodi per sostituire le chiavi in caso di compromissione. Inoltre, è richiesto di mantenere un registro aggiornato dei certificati e dispositivi correlati, assicurando il loro tempestivo rinnovo prima della scadenza.
- Le entità finanziarie includono nella politica di gestione delle chiavi crittografiche di cui all’articolo 6, paragrafo 2, lettera d), prescrizioni per la gestione delle chiavi crittografiche durante il loro intero ciclo di vita, compresi la generazione, il rinnovo, la conservazione, il backup, l’archiviazione, il recupero, la trasmissione, il ritiro, la revoca e la distruzione di tali chiavi crittografiche.
- Le entità finanziarie identificano e attuano controlli per proteggere le chiavi crittografiche durante il loro intero ciclo di vita per evitarne la perdita, l’accesso non autorizzato, la divulgazione e la modifica. Le entità finanziarie concepiscono tali controlli sulla base dei risultati della classificazione dei dati approvata e della valutazione dei rischi informatici.
- Le entità finanziarie elaborano e attuano metodi per sostituire le chiavi crittografiche in caso di perdita, compromissione o danneggiamento delle stesse.
- Le entità finanziarie creano e mantengono un registro per tutti i certificati e i dispositivi di archiviazione dei certificati almeno per le risorse TIC che supportano funzioni essenziali o importanti. Le entità finanziarie mantengono tale registro aggiornato.
- Le entità finanziarie garantiscono il tempestivo rinnovo dei certificati prima della loro scadenza.