Guía de implementación

SC 12 Servicios de Webmail sobre protocolo HTTPS y modelo de cifrado a nivel de mensaje si email de alto riesgo.

Requisito SC.12

Los servicios de Webmail deben implementarse sobre el protocolo HTTPS utilizando un certificado de seguridad válido. Cuando la información a transmitir vía email represente un riesgo alto para la organización, se recomienda implementar un modelo de cifrado a nivel de mensaje.

ObjetivoProteger la confidencialidad de este tramo de la comunicación, entre el navegador del cliente y el servicio Web y para esto se requiere el uso de SSL y la implementación de certificados digitales válidos y emitidos por una Autoridad Certificadora de confianza.
AlcanceCualquier organización
Referencia ISO 27001N/A
Guía de implementaciónUn servicio de Webmail es un MUA implementado en la Web. Un MUA establece conexiones con el servidor de correo y realiza envío y recepción de mensajes. Además de esto también transmite información hacia el browser del usuario, transmisión que incluye los correos que el usuario recibe y envía. 
Debe tenerse en cuenta que el servicio de Webmail podría estar implementado en un servidor diferente al servidor de correo y en consecuencia podría llegar a almacenar la información de los correos. 
Utilizar el protocolo HTTPS y certificados de seguridad válidos, para la implementación de servicios de Webmail
Se recomienda implementar un modelo de cifrado a nivel de mensaje para el envío de información de alto riesgo.
Administración CentralNo se debe implementar un servicio de Webmail fuera de territorio nacional.
Los titulares de cuentas de correo de dominios gubernamentales no podrán acceder a sus cuentas desde servicios Webmail que no sean el provisto por el organismo. Se debe revisar periódicamente que los accesos a las cuentas de correo de dominios gubernamentales no se realicen desde servicios de Webmail externos al organismo (Gmail, Yahoo, Hotmail, etc.).
Instituciones de salud

En caso de transferir datos relacionados a las historias clínicas de los usuarios o cualquier otro dato personal, las instituciones deben asegurarse de que:

  • Los servidores de correo electrónico y Webmail se encuentren alojados en países que “proporcionen niveles de protección adecuados de acuerdo a los estándares del Derecho Internacional o Regional en la materia” en cumplimiento con el artículo 23 de la ley 18.331, o 
  • Que se encuentren amparados por alguna excepción, como la contemplada en el punto 2 del artículo 23: “Intercambio de datos de carácter médico, cuando así lo exija el tratamiento del afectado por razones de salud o higiene públicas.”.
  • Además, se debe contemplar lo indicado en el requisito “SO.6 – Respaldar la información y realizar pruebas de restauración periódicas”, en el punto Instituciones de salud.
Guía de evidencia para auditoría
  • Servicios de Webmail que utiliza la organización, con información sobre dónde se encuentran implementados y sobre qué plataformas (para verificar que no se puede ingresar por http) así como los protocolos implementados (por ejemplo, HTTPS). 
  • Certificados de seguridad válidos (que no sean autofirmados).
  • Evidencia de que no se puedan chequear las cuentas institucionales desde otros sistemas Webmail (por ejemplo, verificación con el administrador del correo, del log del servidor en busca de entradas desde servicios externos).
  • Circular o nota donde se indica que está prohibido chequear las cuentas de correo institucionales desde otros servicios de correo. 
  • Chequeo de existencia de reenvío de correos institucionales a otras casillas de correo no pertenecientes al organismo. 
Normativa asociada

Decreto 92/014 (Anexo II) 

Ley 18.331: Protección de datos personales y habeas data

Etiquetas