Come già detto, la password deve rispettare il principio generale dell’art. 32 del GDPR.

Se la password dovesse servire per la protezione di dati sensibili o giudiziari, deve essere cambiata almeno ogni 3 mesi. Non è possibile stabilire a priori una tipologia di password valida sempre e comunque, cioè applicabile indistintamente a tutti i sistemi. Occorre definire più tipologie di password, da utilizzare, al limite, per gruppi omogenei di sistemi. Una password sicura, in ogni caso, non può prescindere dall’essere sufficientemente lunga, con caratteri speciali, senza riferimenti personali dell’utilizzatore e dev’essere cambiata periodicamente. Definire delle tipologie di password è una pratica fondamentale per essere compliance al GDPR.

Domanda

Una password ogni quanto deve essere cambiata?