SC.12 Servicios de Webmail con HTTPS y certificado válido. Si el email implica alto riesgo, usar cifrado de mensajes
Requisito SC.12 | Servicios de Webmail con HTTPS y certificado válido. Si el email implica alto riesgo, usar cifrado de mensajes |
---|---|
Objetivo | Proteger la confidencialidad de este tramo de la comunicación, entre el navegador del cliente y el servicio Web y para esto se requiere el uso de SSL y la implementación de certificados digitales válidos y emitidos por una Autoridad Certificadora de confianza. |
Controles | Nivel 1
Nivel 2
Nivel 3
Nivel 4
|
Guía de implementación | Un servicio de Webmail es un MUA implementado en la Web. Un MUA establece conexiones con el servidor de correo y realiza envío y recepción de mensajes. Además de esto también transmite información hacia el browser del usuario, transmisión que incluye los correos que el usuario recibe y envía. Debe tenerse en cuenta que el servicio de Webmail podría estar implementado en un servidor diferente al servidor de correo y en consecuencia podría llegar a almacenar la información de los correos. Utilizar el protocolo HTTPS y certificados de seguridad válidos, para la implementación de servicios de Webmail. Se recomienda implementar un modelo de cifrado a nivel de mensaje para el envío de información de alto riesgo. Los titulares de cuentas de correo de dominios gubernamentales no podrán acceder a sus cuentas desde servicios Webmail que no sean el provisto por el organismo. Se debe revisar periódicamente que los accesos a las cuentas de correo de dominios gubernamentales no se realicen desde servicios de Webmail externos al organismo (Gmail, Yahoo, Hotmail, etc.). |
Instituciones de salud | En caso de transferir datos relacionados a las historias clínicas de los usuarios o cualquier otro dato personal, las instituciones deben asegurarse de que:
|
Instituciones Emisoras de Dinero Electrónico (IEDE) | No aplica |
Guía de evidencia para auditoría |
|
Normativa asociada | Ley N° 18.331: Protección de datos personales y habeas data |