Seguridad de las comunicaciones (SC)
Comprende los siguientes requisitos:
SC.1 Los portales Web institucionales de los organismos de la Administración Central y sus dependencias deben identificarse con la extensión “gub.uy” y “mil.uy”, según corresponda.
SC.2 Los portales Web institucionales de Unidades Ejecutoras, aplicaciones, portales y sitios Web correspondientes a proyectos y programas, sitios promocionales y temáticos, incluyendo zonas restringidas de acceso mediante usuario y contraseña disponibles para ciudadanos y funcionarios del organismo (contenidos Web), deberán ser subdominios del dominio del inciso correspondiente.
SC.3 El portal del organismo jerarca deberá hacer referencia a todos los dominios y subdominios que se correspondan con todos los contenidos Web que le reporten.
SC.4 Los nombres de dominio del organismo o dependencias serán sus iniciales, su acrónimo, o el nombre con el cual se los conoce públicamente. Deberá justificarse que la denominación elegida sea la más representativa.
SC.5 La información de contacto de los responsables de los dominios y subdominios deberá ser comunicada a Agesic y actualizada en períodos de seis meses.
SC.6 Establecer acuerdos de no divulgación.
SC.7 Los servidores de correo electrónico (MTA) de dominios gubernamentales deben alojarse dentro del territorio nacional, y no se permite su implementación sobre tecnologías que no garanticen dicho requerimiento.
SC.8 Garantizar que los correos electrónicos en tránsito entre dos MTAs, o entre un MUA y un MTA, no comprometa la confidencialidad de la información cuando esto sea posible.
SC.9 La implementación de canales de comunicación cifrados entre MTA de dominios gubernamentales es obligatoria y deberá implementarse utilizando protocolos seguros. Los MTA de dominios gubernamentales deberán interrumpir el intento de entrega o recepción de mensajes si este canal cifrado no se puede negociar.
SC.10 La implementación de canales de comunicación cifrados con protocolos seguros entre MTA de dominios gubernamentales y un MTA de terceros deberá ser el método preferido de comunicación. Cuando el establecimiento de estos canales cifrados no sea posible, se podrá establecer un canal en texto claro.
SC.11 La implementación de canales de comunicación cifrados entre MUA y MTA de dominios gubernamentales es mandatorio, y deberá implementarse utilizando protocolos seguros. Los MTA de dominios gubernamentales no deberán aceptar la descarga o entrega de correos por parte de MUA si este canal cifrado no se puede negociar. Los MTA no deberán aceptar la descarga o consulta de correos electrónicos sobre canales en texto claro.
SC.12 Los servicios de Webmail deben implementarse sobre el protocolo HTTPS utilizando un certificado de seguridad válido. Cuando la información a transmitir vía email represente un riesgo alto para la organización, se recomienda implementar un modelo de cifrado a nivel de mensaje.
SC.13 Debe existir segregación a nivel de servicios de información.
SC.14 Mantener la seguridad de la información durante su intercambio dentro o fuera de la organización.
SC.15 Todo sitio Web que contenga u oficie de enlace a un trámite en línea debe tener un firewall de aplicación Web (Web Application Firewall – WAF).
