Devo passare al controllo in background. La società che fornisce il servizio al cliente si chiama Verification, Inc. Verification, Inc. afferma di avere un piano di sicurezza dei dati, certificazione ISO e clienti federali statunitensi.
Sono rimasto sorpreso dall'apprendere che l'azienda fornisce un sistema basato sul Web e invia il nome utente e la password tramite e-mail in chiaro a sistemi esterni. Ad esempio, la società invierà e-mail di invito a un account AOL o Mindspring.
So che l'invio tramite e-mail della password viola le pratiche del NIST. Ad esempio, viola la Authenticator Management IA-5 di SP800-53 e probabilmente IA-6. Inoltre, viola le pratiche di gestione di SP800-118.
Qualcuno sa se inviare per e-mail una password in testo semplice è una pratica accettabile con qualsiasi ISO? La sensibilità dei dati influisce sulla gestione sotto ISO?