Technický odbor v souladu s § 5 odst. 2 OŘ a s ohledem na § 13 odst. 1 písm. b) OŘ vyhlašuje následující pravidla pro zajištění kybernetické bezpečnosti:
§ 1 Úvodní ustanovení
(1) Uživatelem je každá osoba, která využívá technické systémy strany.
§ 2 Ochrana uživatelských účtů
(1) Uživatel chrání prostředky k prokázání své identity před zneužitím. Zejména nikomu neprozrazuje svá hesla a nepůjčuje bezpečnostní tokeny, generátory jednorázových hesel ani certifikáty.
(2) Pokud uživatel zjistí, že mohlo dojít k narušení bezpečnosti jeho účtu, je povinen tuto skutečnost neprodleně oznámit Technickému odboru.
(3) Pokud uživatel ztratí přístup ke svému sekundárnímu přihlašovacímu prostředku, může požádat Technický odbor o jeho odstranění. Ten žádosti vyhoví pouze v případě, že současně:
- a) žádost v Podatelně Technického odboru potvrdí některý z volených funkcionářů, členů Technického odboru nebo Koordinátorů krajských sdružení,
- b) nic nenasvědčuje tomu, že by se mohlo jednat o pokus o neoprávněné převzetí identity.
(4) Je-li uživatel členem strany, používá pro ochranu svého účtu také sekundární přihlašovací prostředek; část před středníkem se neuplatní v případě, že v tom uživateli brání objektivní skutečnosti nebo nemá potřebné znalosti.
(5) Disponuje-li uživatel oprávněním správce Fóra nebo může-li si ho na základě svých stávajících oprávnění sám opatřit (například zásahem do databáze), je povinen používat pro ochranu svého účtu také sekundární přihlašovací prostředek a to takový, který odpovídá standardu WebAuthn. Pokud takovým prostředkem nedisponuje, Technický odbor mu ho na požádání svěří.
(6) Disponuje-li uživatel v systému Piroplácení vyššími oprávněními než hospodář, zvýšenými oprávněními v systémech Lidé či Nalodění, přístupem do systému People, nebo je-li členem Kontrolní komise či Republikového předsednictva, je povinen používat pro ochranu svého účtu také sekundární přihlašovací prostředek. Pokud žádným nedisponuje, Technický odbor mu ho na požádání svěří.
(7) Způsobilost uživatele nabýt oprávnění, které by mu založilo povinnost využívat sekundární přihlašovací prostředek, není dotčena tím, že takovým prostředkem v danou chvíli nedisponuje. Uživatel je však povinen si jej po získání takového oprávnění bezodkladně opatřit.
§ 3 Ochrana technických systémů
(1) Uživatelé chrání technické systémy před zneužitím. Nenechávají svá přihlášená zařízení odemčená bez dohledu a nepřihlašují se ze zařízení, u nichž hrozí odcizení přístupových údajů.
(2) Uživatelé oprávnění spravovat přístupy do technických systémů dbají na to, aby ostatní uživatelé těchto systémů měli pouze taková oprávnění, jaká jim přísluší z titulu jejich rolí či funkcí.
Přechodná ustanovení
(1) Do 1. 2. 2021 je přípustné, aby uživatelé, kteří mají podle § 2 odst. 5 povinnost využívat sekundární přihlašovací prostředek odpovídající standardu WebAuthn, používali jako náhradu prostředek odpovídající standardu TOTP.