Regl. · n.º 1774
Reglamento (UE) 2024/1774
 Abrir lector completo

Art. 21

Control de acceso

En vigor desde 13 mar 2024
Artículo 21 Control de acceso Dentro de su control de los derechos de gestión de accesos, las entidades financieras elaborarán, documentarán y aplicarán una política que incluya todos los aspectos siguientes: a) la asignación de derechos de acceso a los activos de TIC sobre la base de los principios de «necesidad de conocer», «necesidad de uso» y «mínimo privilegio», también para el acceso a distancia y de emergencia; b) la separación de funciones con el fin de impedir el acceso injustificado a datos esenciales o la asignación de combinaciones de derechos de acceso que puedan utilizarse para eludir los controles; c) una disposición sobre responsabilidad de los usuarios que limite en la medida de lo posible el uso de cuentas de usuario genéricas y compartidas y garantice que, en todo momento, los usuarios sean identificables cuando realicen acciones en los sistemas de TIC; d) una disposición sobre las restricciones de acceso a los activos de TIC que establezca controles y herramientas para impedir el acceso no autorizado; e) procedimientos de gestión de cuentas para la concesión, modificación o revocación de derechos de acceso en relación con las cuentas de usuario y las cuentas genéricas, incluidas las cuentas de administrador genéricas, que incluyan disposiciones sobre todos los aspectos siguientes: i) asignación de funciones y responsabilidades para la concesión, revisión y revocación de los derechos de acceso, ii) asignación de acceso privilegiado, de emergencia y de administrador sobre la base del principio de «necesidad de uso» o con carácter ad hoc para todos los sistemas de TIC, iii) retirada de los derechos de acceso sin demora indebida al término de la relación laboral o cuando el acceso ya no sea necesario, iv) actualización de los derechos de acceso cuando se requiera introducir cambios y al menos una vez al año para todos los sistemas de TIC que no sustenten funciones esenciales o importantes y al menos cada seis meses para los sistemas de TIC que sustenten funciones esenciales o importantes; f) métodos de autenticación, incluidos todos los aspectos siguientes: i) el uso de métodos de autenticación que sean acordes con la clasificación establecida de conformidad con el artículo 8, apartado 1, del Reglamento (UE) 2022/2554 y con el perfil de riesgo general de los activos de TIC, y que tengan en cuenta las prácticas punteras, ii) el uso de métodos de autenticación sólidos de conformidad con las prácticas y técnicas punteras para el acceso a distancia a la red de la entidad financiera, el acceso privilegiado y el acceso a los activos de TIC que sustenten funciones esenciales o importantes o a los activos de TIC que sean de acceso público; g) medidas de control del acceso físico que incluyan lo siguiente: i) la identificación y el registro de las personas físicas autorizadas a acceder a los locales, los centros de datos y las zonas sensibles designadas determinadas por la entidad financiera en los que se encuentren los activos de TIC y de información, ii) la concesión de derechos de acceso físico a los activos de TIC esenciales únicamente a las personas autorizadas, de conformidad con los principios de «necesidad de conocer» y «mínimo privilegio» y con carácter ad hoc, iii) el seguimiento del acceso físico a los locales, los centros de datos y las zonas sensibles designadas determinadas por la entidad financiera en los que se encuentren los activos de TIC, los activos de información o ambos, iv) la revisión de los derechos de acceso físico para garantizar la rápida revocación de los derechos que no sean necesarios. A efectos de la letra e), inciso i), las entidades financieras establecerán el período de conservación teniendo en cuenta los objetivos empresariales y de seguridad de la información, los motivos por los que se consigna el hecho de que se trate en los registros y los resultados de la evaluación del riesgo relacionado con las TIC. A efectos de la letra e), inciso ii), las entidades financieras utilizarán, en la medida de lo posible, cuentas específicas para la realización de tareas administrativas en los sistemas de TIC. Cuando sea factible y adecuado, las entidades financieras implementarán soluciones automatizadas para la gestión del acceso privilegiado. A efectos de la letra g), inciso i), la identificación y el registro serán acordes con la importancia de los locales, los centros de datos y las zonas sensibles designadas y con el carácter esencial de las operaciones que se realicen en ellos o los sistemas de TIC que se encuentren en ellos. A efectos de la letra g), inciso iii), el seguimiento será acorde con la clasificación establecida de conformidad con el artículo 8, apartado 1, del Reglamento (UE) 2022/2554 y con el carácter esencial de la zona a la que se acceda.
Historial de versiones

Este artículo no ha sufrido modificaciones desde su publicación.

Tus anotaciones

Pro

eli:reg_del:2024:1774:oj#art-21

Volver a la ficha de la norma
Inicio
Buscar
Mis Consultas
Tienda
Perfil