Nenhuma autorização formal para a criação do usuário não-públicos

De Safeval Wiki
Ir para: navegação, pesquisa

Os usuários públicos são aqueles utilizados para a identificação do público em geral, mas sem que isso represente quaisquer direitos sobre as funções críticas do sistema. Para que o usuário tenha um nível bem acima do público em geral, é necessário que haja um processo de autorização para este usuário.

A criação e atribuição de direitos aos usuários estão tarefas administrativas críticos para a segurança do sistema, para a criação de usuários fictícios pode invalidar os mecanismos que garantam a rastreabilidade e autenticidade.

O ponto principal é assegurar que o usuário que está a ser criado, corresponde exatamente a pessoa que recebe a palavra-passe. A autenticidade do utilizador do processo de criação é fundamental, porque, como o usuário "nasce" nesse momento para o sistema, não há nenhuma maneira o sistema pode garantir por si só, a autenticidade do mesmo.

Esse controle só pode ser implementada através de procedimentos externos, uma vez que o sistema não pode autenticar o usuário antes de seus fatores de autenticação são criados.

O controle deve ser implementado através dos seguintes mecanismos:

  1. Limitação dos direitos de "criar usuários" com o menor número possível de usuários ativos do sistema;
  2. Auditoria completa criação trilha para as funções de "criar usuários", "atribuir direitos" e "escolher senha";
  3. Segregação de funções, exigindo a aprovação por outro usuário administrativo, da criação do usuário;
  4. Exigência de confirmação por outros sistemas ou por um processo externo, no momento da criação de usuários, por exemplo, da validade do número de CPF ou ID;
  5. Exigência de algum tipo de registro físico de identidade (identidade, carteira de motorista, passaporte, etc.), no momento da criação do usuário, a escolha de senha e de cessão de seus direitos.