SC.12 Servicios de Webmail con HTTPS y certificado válido. Si el email implica alto riesgo, usar cifrado de mensajes | Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento

Pasar al contenido principal

SC.12 Servicios de Webmail con HTTPS y certificado válido. Si el email implica alto riesgo, usar cifrado de mensajes

Requisito SC.12	Servicios de Webmail con HTTPS y certificado válido. Si el email implica alto riesgo, usar cifrado de mensajes
Objetivo	Proteger la confidencialidad de este tramo de la comunicación, entre el navegador del cliente y el servicio Web y para esto se requiere el uso de SSL y la implementación de certificados digitales válidos y emitidos por una Autoridad Certificadora de confianza.
Controles	Nivel 1 SC.12-1: el servicio de Webmail de la organización se implementa exclusivamente sobre el protocolo HTTPS. SC.12-2: el acceso al Webmail institucional está restringido únicamente al servicio provisto por la organización, prohibiendo el acceso a cuentas institucionales desde Webmail externos. SC.12-3: los certificados digitales utilizados para el servicio de Webmail son válidos, vigentes y emitidos por una Autoridad Certificadora de confianza. Nivel 2 SC.12-4: las configuraciones del servicio de Webmail bloquean el uso de protocolos inseguros o versiones obsoletas de TLS/SSL. SC.12-5: se revisan periódicamente los registros de acceso para verificar que no existan conexiones desde servicios de Webmail externos no autorizados. SC.12-6: se generan alertas ante intentos de acceso no autorizados al Webmail. Nivel 3 SC.12-7: cuando corresponda según la clasificación de la información transmitida vía email, se utiliza cifrado a nivel de mensaje (por ejemplo, S/MIME o PGP, etc). SC.12-8: los titulares de cuentas institucionales reciben instrucciones y capacitación sobre el uso seguro del Webmail y la prohibición de acceso desde servicios externos. Nivel 4 SC.12-9: se realizan auditorías periódicas para verificar el cumplimiento de las restricciones de acceso y la vigencia de los certificados digitales. SC.12-10: se realizan pruebas técnicas para validar el cifrado de las comunicaciones y la correcta configuración de seguridad del servicio de Webmail.
Guía de implementación	Un servicio de Webmail es un MUA implementado en la Web. Un MUA establece conexiones con el servidor de correo y realiza envío y recepción de mensajes. Además de esto también transmite información hacia el browser del usuario, transmisión que incluye los correos que el usuario recibe y envía. Debe tenerse en cuenta que el servicio de Webmail podría estar implementado en un servidor diferente al servidor de correo y en consecuencia podría llegar a almacenar la información de los correos. Utilizar el protocolo HTTPS y certificados de seguridad válidos, para la implementación de servicios de Webmail. Se recomienda implementar un modelo de cifrado a nivel de mensaje para el envío de información de alto riesgo. Los titulares de cuentas de correo de dominios gubernamentales no podrán acceder a sus cuentas desde servicios Webmail que no sean el provisto por el organismo. Se debe revisar periódicamente que los accesos a las cuentas de correo de dominios gubernamentales no se realicen desde servicios de Webmail externos al organismo (Gmail, Yahoo, Hotmail, etc.).
Instituciones de salud	En caso de transferir datos relacionados a las historias clínicas de los usuarios o cualquier otro dato personal, las instituciones deben asegurarse de que: Los servidores de correo electrónico y Webmail se encuentren alojados en países que “proporcionen niveles de protección adecuados de acuerdo a los estándares del Derecho Internacional o Regional en la materia” en cumplimiento con el artículo 23 de la ley 18.331, o Que se encuentren amparados por alguna excepción, como la contemplada en el punto 2 del artículo 23: “Intercambio de datos de carácter médico, cuando así lo exija el tratamiento del afectado por razones de salud o higiene públicas.”. Además, se debe contemplar lo indicado en el requisito “SO.6 – Respaldar la información y realizar pruebas de restauración periódicas”, en el punto Instituciones de salud.
Instituciones Emisoras de Dinero Electrónico (IEDE)	No aplica
Guía de evidencia para auditoría	Servicios de Webmail que utiliza la organización, con información sobre dónde se encuentran implementados y sobre qué plataformas (para verificar que no se puede ingresar por http) así como los protocolos implementados (por ejemplo, HTTPS). Certificados de seguridad válidos (que no sean autofirmados). Evidencia de que no se puedan chequear las cuentas institucionales desde otros sistemas Webmail (por ejemplo, verificación con el administrador del correo, del log del servidor en busca de entradas desde servicios externos). Circular o nota donde se indica que está prohibido chequear las cuentas de correo institucionales desde otros servicios de correo. Chequeo de existencia de reenvío de correos institucionales a otras casillas de correo no pertenecientes al organismo.
Normativa asociada	Ley N° 18.331: Protección de datos personales y habeas data

Etiquetas

Gestión y auditoría de Seguridad de la Información Marco de Referencia Política Digital del Uruguay Políticas de Ciberseguridad Ciberseguridad Herramientas para la ciudadanía Herramientas para organismos Política Digital del Uruguay