Seguridad de los MUA
Texto del decreto
“De implementar servicios de webmail estos deben ser implementados sobre el protocolo HTTPS utilizando un certificado de seguridad válido, y deberán estar alojados dentro del territorio nacional.
Los titulares de cuentas de correo de dominios gubernamentales no podrán acceder a sus cuentas desde servicios webmail que no sean el provisto por el organismo.
Cuando la información a transmitir vía email represente un riesgo alto para el organismo se recomienda implementar un modelo de cifrado a nivel de mensaje.”
Aclaración
Un servicio de WebMail no deja de ser un MUA implementado en la Web y como todo MUA establece conexiones con el servidor de correo y realiza envío y recepción de mensajes. Además de esto también transmite información hacia el browser del usuario, transmisión que incluye los correos que el usuario recibe y envía. Es por esto último que es necesario proteger la confidencialidad de este tramo de la comunicación, entre el browser del cliente y el servicio Web y para esto se requiere el uso de SSL y la implementación de certificados digitales válidos y emitidos por una Autoridad Certificadora de confianza.
Hay que tener en cuenta que el servicio de WebMail podría estar implementado en un servidor diferente al servidor de correo y en consecuencia podría llegar a almacenar la información de los correos. Si tenemos en cuenta esto y que en el primer punto del decreto se requiere que los mails no sean almacenados fuera del territorio de la República Oriental del Uruguay, vemos que también aplica para los WebMail y es por esto que no se debe implementar ningún servicio de WebMail fuera de territorio nacional.