Credenziali rete di Ateneo e posta elettronica

1. Premessa

L’Università Ca’ Foscari Venezia promuove l’utilizzo della Rete Informatica e Telematica, di Internet e della Posta Elettronica quali strumenti utili a perseguire con efficacia ed efficienza le proprie finalità istituzionali.

L’Università, quale datore di lavoro, è tenuta ad assicurare la funzionalità e il corretto impiego degli strumenti informatici di sua proprietà, definendone le modalità di utilizzo nell’organizzazione dell’attività lavorativa e adottando le misure necessarie a garantire la sicurezza, la disponibilità e l’integrità dei sistemi informativi, nel rispetto dei generali principi di proporzionalità, pertinenza, necessità e non eccedenza delle attività di controllo, applicando ogni opportuna misura, organizzativa e tecnologica, volta a prevenire il rischio di utilizzi impropri delle strumentazioni e delle banche dati di proprietà.

Il presente documento, stilato in conformità alla policy di utilizzo della rete da parte del GARR, regolamenta la concessione delle credenziali di accesso alla rete dati dell’Ateneo e l’attribuzione di caselle di posta elettronica con l'obiettivo di proteggere la riservatezza, l’integrità e la disponibilità di tutti gli elementi della rete informatica dell’Ateneo da accessi non autorizzati.

2. Account utente

L’accesso alla rete dati di Ateneo è gestito dall’Area Servizi Informativi e Telecomunicazioni (ASIT) dell’Ateneo ed è riservato agli studenti ed al personale docente, tecnico-amministrativo e bibliotecario che opera all'interno delle strutture appartenenti alla stessa Università, oltre che ad utenti temporanei esterni espressamente autorizzati (Utenti).

L'accesso ai servizi avviene mediante un codice di identificazione attribuito all’Utente (username) e una parola chiave (password).

L’Utente deve modificare la propria password al primo utilizzo e, successivamente, almeno ogni 180 giorni o immediatamente nei casi in cui sia compromessa scegliendone una che osservi le seguenti regole:

  • la password deve essere composta da almeno 8 caratteri alfanumerici;
  • l’Utente deve utilizzare nella composizione della propria password almeno un carattere numerico, un carattere maiuscolo, un carattere minuscolo;
  • la password non deve contenere parole o parti di parola di uso comune (es venez123) o sequenze comuni di caratteri o numeri (es 123456 qwerty aaaaa) e non deve essere stata utilizzata nei precedenti 12 mesi;
  • la password non deve contenere elementi agevolmente riconducibili all’Utente o riferimenti basati su informazioni facilmente deducibili, quali il proprio nome, il nome dei famigliari, la data di nascita, il codice fiscale;

La password ha durata di 180 giorni. Se non viene cambiata entro tale periodo utilizzando la procedura www.unive.it/newpass verrà disattivata e l'account bloccato fino alla riattivazione, che può avvenire tramite SMS o tramite l’account SPID dell’Utente (collegandosi al sito web www.unive.it/newpass). A tal proposito si raccomanda di inserire il proprio numero di cellulare nella procedura di rinnovo password o di dotarsi di un account SPID.

Per motivi di sicurezza gli utenti a cui scade la password e non hanno inserito il numero di telefono o non hanno a disposizione un account SPID dovranno recarsi presso l'ASIT personalmente per effettuare il riconoscimento ed il reset delle credenziali.

Gli account bloccati per scadenza password e non più riattivati dopo 12 mesi vengono definitivamente dismessi dagli Amministratori di Sistema.

L'Utente è responsabile della conservazione e della riservatezza delle proprie credenziali e, conseguentemente, rimane il solo responsabile per tutti gli usi ad esse connessi o correlati, (e per eventuali danni e conseguenze pregiudizievoli arrecati al gestore e/o a terzi).

L’Utente dovrà custodire diligentemente la propria password nonché adottare le necessarie cautele per preservarne la sicurezza e la segretezza:

  • l’Utente ha l’obbligo di mantenere la propria password riservata e non divulgarla a terzi né trascriverla su supporti fisici (es. fogli, post-it, agende, ecc.) facilmente accessibili a terzi;
  • l’Utente non deve permettere ad altri (es. colleghi, familiari, ecc.) di operare con il proprio identificativo utente.
  • l’Utente si impegna a modificare immediatamente la password ogni qualvolta ritenga che vi sia il rischio che questa sia facilmente conoscibile o sia stata effettivamente conosciuta da un terzo non autorizzato. In tale ultimo caso, l’Utente dovrà immediatamente informare l’ASIT utilizzando il sistema di ticketing del supporto utenti.

Gli account di accesso ai servizi informatici dell'Università Ca' Foscari di Venezia si suddividono in cinque gruppi:

  • account per il personale dipendente
  • account per gli studenti
  • account per gli ospiti
  • account degli amministratori di sistema
  • account di servizio

Ad ogni account sono associati dei diritti di accesso che dipendono dal ruolo dell'utente e dall’uso dell’account.

Agli Utenti sono attribuiti gli account secondo il gruppo di appartenenza. È possibile che un singolo Utente sia in possesso di account di diversi tipi (es. dipendenti iscritti a un corso di laurea), in questo caso, l'Utente dovrà utilizzare l'account corretto in base alla situazione.

Oltre all'account principale è possibile vengano attribuiti all’utente account aggiuntivi abilitati esclusivamente alla posta elettronica o per la gestione di siti web da utilizzare come account di ufficio o per servizi particolari. L’Utente a cui è stato attribuito un account di questo tipo ne è responsabile in maniera del tutto analoga rispetto all’account personale.

IDEM e EduGAIN

L’Università Ca’ Foscari Venezia aderisce al servizio IDEM (IDEntity Management per l'accesso federato), l'infrastruttura di autorizzazione a autenticazione della rete GARR.

IDEM è la prima Federazione italiana di infrastrutture di Autenticazione e Autorizzazione (AAI), ha lo scopo di consentire agli Utenti della comunità scientifica e accademica nazionale di accedere più facilmente a servizi e contenuti in rete messi a disposizione da organizzazioni diverse.

L’adesione a IDEM offre agli Utenti il vantaggio di utilizzare le sole credenziali istituzionali a tutte le risorse disponibili attraverso la Federazione.

Nell’ambito della Federazione IDEM, GARR agisce da coordinatore fornendo l’infrastruttura centrale e i servizi e sottoscrivendo i Contratti d’Adesione.

I servizi raggiungibili attraverso la Federazione sono resi disponibili dai membri e partner di IDEM. Il sistema, ad ogni richiesta di accesso ai servizi, fornirà al titolare del servizio specifico le seguenti informazioni:

  • nome e cognome dell'utente;
  • indirizzo e-mail;
  • identificativo anonimo, persistente, non riassegnabile, dell'utente (una stringa generata automaticamente dal sistema che non contiene informazioni dell'utente);
  • informazioni sull'affiliazione dell’utente presso l’organizzazione di appartenenza (consiste di un macro-profilo dell'utente, per esempio Student, Member, Staff, Affiliate, Alumn...);

per consentire al fornitore del servizio di individuare il corretto profilo di autorizzazione.

Da ottobre 2011 IDEM ha a sua volta aderito ad EduGain, ovvero la federazione europea delle federazioni nazionali. Le funzionalità e le regole sugli attributi sono le medesime di IDEM solo che l'offerta di servizi disponibili tramite l'autenticazione federata si allarga a livello europeo.

Credenziali

Il nome utente e l'indirizzo di posta elettronica hanno la seguente struttura in base alla tipologia di utenti:

  • Personale e collaboratori
    Username: nome.cognome
    email: nome.cognome@unive.it
  • Studenti
    Username: matricola
    email: matricola@stud.unive.it
  • Personale esterno (cooperative, agenzie ecc..)
    Username: nomeditta.nome.cognome
    (email non prevista)

Per il solo accesso alla rete internet attraverso la rete wireless di Ateneo agli ospiti possono essere assegnati degli account:

  • Ospiti personali
    Username: wifi00000
    (email non prevista)
  • Ospiti wifi
    Username: guest00000
    (email non prevista)
  • Ospiti biblioteche
    Username: ucf.000000
    (email non prevista)

Nel caso in cui l'utente abbia più nomi e/o cognomi generalmente vengono uniti senza spazi es: nome1 nome2 cognome1 cognome2 diventa nome1nome2.cognome1cognome2.

L'utente può decidere, al momento della richiesta dell'account, di escludere alcuni nomi o cognomi dal nome utente, inoltre, la procedura di creazione dell'account potrà guidare l'utente nella scelta di un username alternativo nel caso superi la lunghezza massima (di 20 caratteri) o di omonimie.

Non è possibile usare nomi di fantasia o alias.

3. Modalità di rilascio dell'account

Studenti

Agli studenti matricola e password vengono spedite via email al momento del perfezionamento dell'immatricolazione. L'account da studenti rimane attivo fino ai 6 mesi successivi al termine della carriera. Una volta terminata la carriera, username e password rimangono invariate ma i diritti di accesso diventano quelli da ex-studente. L'account non ha una durata stabilita.

Lo username corrisponde al numero di matricola. Nel caso lo studente abbia avuto nel corso delle sue carriere più numeri di matricola, l'username attuale è sempre l'ultimo rilasciato.

Personale dipendente e collaboratori

È compito dell'utente richiedere l'account utilizzando la procedura guidata disponibile alla pagina www.unive.it/account.

L'account può essere richiesto a partire dal giorno di inizio del rapporto.

Ogni account viene autorizzato da un responsabile individuato in base al ruolo e alla struttura di afferenza secondo la tabella visibile alla pagina https://static.unive.it/utenti/listaruoli.

È responsabilità di chi autorizza la richiesta dell’account il riconoscimento dell'utente e garantire l'appartenenza al ruolo per cui viene richiesto l'account.

L’autorizzazione può essere:

  • implicita (utente già inserito in un applicativo gestionale), in tal caso l’account verrà rilasciato immediatamente;
  • esplicita (non esiste un database di riferimento) in tal caso il responsabile dovrà autorizzare esplicitamente (tramite apposita procedura via email) il rilascio dell’account entro 14 giorni. In caso di mancata risposta l’autorizzazione si intenderà negata.

La durata dell'account dipende dal tipo del rapporto di lavoro.

Personale esterno (cooperative, agenzie ecc.)

Gli account di questo tipo vengono prodotti e gestiti direttamente da ASIT a cui il responsabile del rapporto con la ditta esterna dovrà fornire la lista degli utenti e la scadenza del contratto.

Ospiti

Gli utenti con ruolo di ospite e tutti gli altri ruoli non elencati nel paragrafo 5 non posso utilizzare la procedura di richiesta account in quanto generalmente non ne hanno diritto. L'account ospite si può ottenere in casi particolari (conferenze, biblioteche, ecc.) seguendo le indicazioni date di volta in volta.

Nel caso di necessità particolare e documentata di ottenere un account al di fuori dei ruoli stabiliti è necessario contattare direttamente l'ASIT che di concerto con la Direzione Generale o il Rettorato valuterà la possibilità di concedere l’account.

Rinnovo

Per gli account che hanno una durata prefissata, qualora l’utente continui ad avere necessità dell’account e ferma restando l'eleggibilità dell’utente, sarà necessario richiedere il rinnovo seguendo le indicazioni che verranno inviate via mail 30 giorni prima della disattivazione dell’account.

4. Scadenza e dismissione dell’account

Una volta scaduto l'account, i dati correlati verranno conservati per 1 anno per poter intervenire in caso di necessità o a fronte di richiesta di rinnovo tardivo. Trascorso tale periodo, l'account viene cancellato definitivamente e tutti i dati connessi con l’account (es. messaggi di email, documenti presenti sul google drive personale, ecc.) verranno cancellati definitivamente.

5. Ruoli e diritti di accesso

La tabella sottostante riporta i ruoli e i diritti di accesso che possono essere associati a ciascun account Utente.

Ruolo Area riservata Email Wifi/VPN Accesso biblioteche PC lezione frontale Durata
Borsisti Post Dott. 1 anno
Professori affiliati 1 anno
Visiting professors 1 anno
Ricercatori a tempo det-Tesoro rapporto + 1 anno
Ricercatori a tempo det-Legge 240/10 rapporto + 1 anno
Personale Tec. Amm.vo a Comando rapporto + 1 anno
Collaboratori Fondazione 1 anno
Professori straordinari a tempo determinato rapporto + 1 anno
Docenti Emeriti 1 anno
Componenti Organi Collegiali 1 anno
Volontari servizio civile 1 anno
Dottorandi rapporto + 1 anno
Ricercatori Universitari rapporto + 1 anno
Assistenti universitari rapporto + 1 anno
Collaboratori esterni rapporto + 1 anno
Dirigenti a contratto rapporto + 1 anno
Lettori di scambio 1 anno
Dipendenti in Comando 1 anno
Personale Tec. Amm.vo a tempo indet. rapporto + 1 anno
Personale Tec. Amm.vo a tempo det. rapporto + 1 anno
Professori Associati rapporto + 1 anno
Personale esterno 1 anno
Professori Ordinari rapporto + 1 anno
Lettori di madre lingua rapporto + 1 anno
Dirigenti rapporto + 1 anno
Professori a contratto rapporto + 1 anno
Supplente esterno-docente di altra Università rapporto + 1 anno
Collaboratore IDPA-CNR 1 anno
Docenti SIE 1 anno
Collaboratori didattici CLA
Collaboratori CISET
Ambasciatori Scuole Superiori
Ospiti 1 anno
Assegnisti 1 anno
Personale in quiescenza a vita
Cultori della materia 1 anno
Stagisti 1 anno
Tutor Specialistici 1 anno
Tutor informativi 1 anno
Visiting researcher 1 anno
Studenti rapporto + 6 mesi
Ex studenti a vita

6. Revoca delle credenziali di autenticazione

In caso d’interruzione del rapporto di lavoro o di collaborazione degli Utenti prima della normale scadenza contrattuale o del pensionamento, l’Area Risorse Umane ovvero la segreteria del Dipartimento che ha conferito il contratto dovrà immediatamente richiedere all’Ufficio Supporto e Sviluppo Tecnologico di ASIT aprendo un ticket da www.unive.it/aiuto alla voce “Autenticazione e password”, di interrompere i relativi account di accesso. Gli account saranno disattivati tempestivamente.

In ogni caso, gli account degli Utenti saranno inoltre sospesi o bloccati:

  • trascorsi sei mesi dall’ultimo login dell’Utente (tranne che per gli account utilizzati per la manutenzione).
  • nel caso in cui vengano rilevate dai sistemi dell’Ateneo o segnalate attività dannose per l’Ateneo o che violino qualsiasi regolamento dell’Ateneo o norma della legislazione Italiana.

Qualora venga rilevato dai sistemi dell’Ateneo o segnalata ad ASIT l’uso improprio dell’account utente, fatti i dovuti controlli, gli amministratori di sistema, oltre alla sospensione delle credenziali, procederanno con la segnalazione alla segreteria studenti o ad ARU per le verifiche e le eventuali azioni disciplinari.

7. Account di amministrazione di sistema

Agli Amministratori di sistema sono assegnati degli account personali con privilegi specifici sui server e sull’infrastruttura di rete dell’Ateneo.

Gli account degli Amministratori di sistema devono essere utilizzati esclusivamente quando si svolgono funzioni di gestione dei sistemi informatici dell’Ateneo. Nel caso che un dipendente a cui sia stata assegnata una password per account di amministrazione di sistema termini l’impiego presso l’Università Ca’ Foscari Venezia o sia assegnato ad altri ruoli, tutte le password per account di sistema a lui note devono essere cambiate.

L’account dell’amministratore locale deve essere rinominato su tutti i server dell’Ateneo. La password dell’account dell’amministratore locale al termine delle procedure di installazione dovrà essere cambiata e impostata con una password di tipo complesso e cambiata ogni novanta (90) giorni su tutti i server e le postazioni del dominio.

Le password degli account utilizzate dagli amministratori di sistema per le loro attività lavorative devono essere cambiate ogni 90 giorni.

Nel caso si sospetti un accesso non autorizzato a qualunque account di sistema, amministrativo o dell’utente, tutte le password potenzialmente compromesse dovranno essere modificate.

8. Account di servizio

Alcuni servizi software per il loro funzionamento devono essere dotati di un account lì dove tecnicamente fattibile, a questi account saranno applicate le stesse regole richieste per gli account standard compresa la lunghezza della password e la complessità. In caso contrario, l’Amministratore di sistema che abilita il servizio dovrà procedere alla generazione random di una password estremamente complessa (almeno 128 caratteri e rispondente ai requisiti standard elle password complesse), ad assegnarla al servizio e distruggere eventuali supporti su cui è stata scritta. La password così generata non sarà nota a nessuno e non sarà cambiata se non strettamente necessario ad esempio a causa della riconfigurazione del servizio. L’elenco degli account di servizio utilizzati verrà mantenuto aggiornato dagli amministratori di sistema ed esibito in caso di eventuali controlli.

9. Verifica degli account

L’Università Ca’ Foscari Venezia al fine di garantire il corretto funzionamento delle risorse informatiche aziendali, effettuerà attività di verifica periodica dell’attribuzione degli account utente, esclusivamente finalizzate a individuare e rimuovere eventuali account non più necessari o privilegi autorizzativi in eccesso attribuiti erroneamente agli utenti.

A tal riguardo si ricorda che gli account rilasciati a utenti il cui ruolo non è gestito in database ufficiali dell’Ateneo vanno rinnovati di anno in anno e i responsabili dovranno esplicitamente autorizzare il rinnovo.

Con la stessa frequenza verranno verificati gli account dei database e quelli di sistema siano essi riconducibili a una singola persona che a un servizio o ad una applicazione. Qualora gli account saranno riconducibili ad una specifica persona è richiesto, se tecnicamente possibile, di impostare la scadenza dell’account a 90 o 180 giorni a seconda dei privilegi attribuiti e del tipo di informazioni trattate.

Sempre con cadenza almeno annuale saranno verificati gli account appartenenti al gruppo degli amministratori di dominio per verificare l’appropriatezza del privilegio.

Last update: 28/03/2018