54. člen
(varnost gesel)
(1)
Ne sme se uporabljati gesel, ki:
(2)
Uporabniki ne smejo uporabljati istih gesel za službeno in zasebno uporabo.
(3)
Gesla, ki so bila ali se zanje sumi, da so bila razkrita ali ukradena, je treba nemudoma spremeniti. Če bi dolgotrajnejša pogosta uporaba istega gesla povečevala tveganje za njegovo razkritje ali krajo, je treba geslo občasno spreminjati.
(4)
Vsa gesla uporabniških računov so osebna in se ne smejo deliti z drugimi osebami.
(5)
Vsa gesla se obravnavajo kot podatki informacijskega premoženja, ki je uvrščeno v varnostni razred Z3. Nešifrirana gesla razen začasnih se ne smejo vključiti v sporočilo e-pošte ali sporočila drugih sporočilnih sistemov. Gesla razen začasnih se ne smejo razkriti po telefonu. Gesla se ne smejo zapisovati in hraniti na prosto dostopnih mestih v pisarni. Gesla se ne smejo hraniti v datoteki na računalniškem sistemu ali prenosni napravi v nešifrirani obliki. Začasna gesla, ki se dodelijo uporabniku, mora uporabnik spremeniti v najkrajšem možnem času.
(6)
Aplikacije morajo zagotoviti avtentikacijo vsakega posameznega uporabnika in ne skupin. Aplikacije ne smejo hraniti gesel v nešifrirani obliki ali obliki, ki bi bila preprosto povračljiva. Aplikacije ne smejo pošiljati gesel prek omrežja v nešifrirani obliki.