SC 12 Servicios de Webmail sobre protocolo HTTPS y modelo de cifrado a nivel de mensaje si email de alto riesgo.
Requisito SC.12 | Los servicios de Webmail deben implementarse sobre el protocolo HTTPS utilizando un certificado de seguridad válido. Cuando la información a transmitir vía email represente un riesgo alto para la organización, se recomienda implementar un modelo de cifrado a nivel de mensaje. |
Objetivo | Proteger la confidencialidad de este tramo de la comunicación, entre el navegador del cliente y el servicio Web y para esto se requiere el uso de SSL y la implementación de certificados digitales válidos y emitidos por una Autoridad Certificadora de confianza. |
Alcance | Cualquier organización |
Referencia ISO 27001 | N/A |
Guía de implementación | Un servicio de Webmail es un MUA implementado en la Web. Un MUA establece conexiones con el servidor de correo y realiza envío y recepción de mensajes. Además de esto también transmite información hacia el browser del usuario, transmisión que incluye los correos que el usuario recibe y envía. Debe tenerse en cuenta que el servicio de Webmail podría estar implementado en un servidor diferente al servidor de correo y en consecuencia podría llegar a almacenar la información de los correos. Utilizar el protocolo HTTPS y certificados de seguridad válidos, para la implementación de servicios de Webmail Se recomienda implementar un modelo de cifrado a nivel de mensaje para el envío de información de alto riesgo. |
Administración Central | No se debe implementar un servicio de Webmail fuera de territorio nacional. Los titulares de cuentas de correo de dominios gubernamentales no podrán acceder a sus cuentas desde servicios Webmail que no sean el provisto por el organismo. Se debe revisar periódicamente que los accesos a las cuentas de correo de dominios gubernamentales no se realicen desde servicios de Webmail externos al organismo (Gmail, Yahoo, Hotmail, etc.). |
Instituciones de salud | En caso de transferir datos relacionados a las historias clínicas de los usuarios o cualquier otro dato personal, las instituciones deben asegurarse de que:
|
Guía de evidencia para auditoría |
|
Normativa asociada | Decreto 92/014 (Anexo II) Ley 18.331: Protección de datos personales y habeas data |