Estándar de seguridad del correo electrónico

Temas:

Standards

14 de diciembre de 2011

Volver arriba

Objetivo

Esta norma establece los requisitos mínimos para garantizar la seguridad de la información enviada por correo electrónico.

Volver arriba

Descripción general

Las agencias estatales dependen del correo electrónico para comunicarse con los ciudadanos. El estado envía y recibe millones de correos electrónicos diariamente. El correo electrónico sin cifrar no ofrece un método seguro para transmitir información confidencial. La información confidencial enviada por correo electrónico en texto plano puede ser leída por personas no autorizadas.

Volver arriba

Alcance

Esta norma establece los requisitos mínimos para el uso seguro del correo electrónico en la transmisión de información confidencial.

Esta norma se aplica a todas las agencias según lo define el Capítulo 8A, Sección 101 del Código de Iowa. Se recomienda a las agencias que no participan que sigan las directrices contenidas en esta y otras políticas, normas, directrices, procesos y procedimientos a nivel empresarial.

Volver arriba

Definiciones

  • Información confidencial : La información confidencial incluye:
  1. Información personal definida por el Código de Iowa 715c. La información personal incluye el nombre/inicial y el apellido de una persona en combinación con uno o más de los siguientes:
    1. Número de seguro social.
    2. Número de licencia de conducir.
    3. Número de identificación único. Por ejemplo: Carné de estudiante del estado de Iowa; Carné de Medicaid.
    4. Número de cuenta financiera, número de tarjeta de crédito o número de tarjeta de débito en combinación con cualquier código de seguridad, código de acceso o contraseña requeridos.
    5. Identificador electrónico único o código de enrutamiento, en combinación con cualquier código de seguridad, código de acceso o contraseña requeridos.
    6. Datos biométricos únicos, como una huella dactilar, una imagen de la retina o del iris, u otra representación física o digital única de datos biométricos.
  2. Cualquier información o registro considerado confidencial según la Sección 22.7 del Capítulo 22 del Código de Iowa, también conocido como la Ley de Registros Públicos de Iowa.
  3. Toda la información de salud protegida para las agencias cubiertas por la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA).
  4. Toda la información protegida de la tarjeta de crédito según lo define el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI-DSS).
  5. Cualquier otra información que, de perderse, divulgarse, corromperse o ser accedida por medios no autorizados, violaría la ley estatal o federal.
  6. Toda la información definida como confidencial por contrato/acuerdo con socios comerciales, clientes, proveedores u otras entidades de la agencia.
  • Cuentas de correo electrónico personales : Cuentas de correo electrónico no proporcionadas por una agencia estatal (es decir, cuentas distintas de user@iowa.gov o user@agency.state.ia.us).
Volver arriba

Actualizaciones

Esta norma se revisará al menos cada dos años y se actualizará según sea necesario.

Volver arriba

Estándar de seguridad de correo electrónico empresarial

  1. Información confidencial : Los correos electrónicos salientes de la agencia serán analizados en busca de información confidencial. Los correos electrónicos con información confidencial enviados por personal no autorizado serán bloqueados.
  2. Cifrado : Todos los mensajes de correo electrónico de la agencia que contengan información confidencial, ya sea en el cuerpo del mensaje o como archivo adjunto, deberán estar cifrados.
  3. Información Tributaria Federal (ITF) : La información tributaria federal no debe transmitirse por correo electrónico.
  4. Información de la tarjeta de crédito : Los números de cuenta principales (PAN) sin cifrar no deben enviarse por correo electrónico.
  5. Cuentas de correo electrónico personales : La información confidencial de la agencia no deberá transmitirse utilizando cuentas de correo electrónico personales.
  6. Seguridad del cliente : Se implementará lo siguiente en los clientes de correo electrónico:
    1. Desactivar la apertura automática de mensajes.
    2. Desactivar la carga automática de imágenes en los mensajes.
    3. Desactivar la descarga y el procesamiento automáticos de contenido activo.
  7. Capacitación : Los empleados, contratistas, pasantes y voluntarios de la agencia recibirán capacitación anual sobre prácticas seguras de correo electrónico.
  8. Correo electrónico del cliente : Las agencias deberán instruir a los clientes para que no envíen información confidencial a la agencia a través de correo electrónico no cifrado.
Volver arriba

Fecha de entrada en vigor

Esta norma entrará en vigor el 14 de diciembre de 2011.

Volver arriba

Aplicación

Esta norma se aplicará de conformidad con el Código Administrativo de Iowa 11—25.11(8A).

Volver arriba

Diferencia

El Código Administrativo de Iowa, sección 11 - 25.11(2), contempla excepciones a las normas de seguridad. Las solicitudes de excepción a cualquiera de los requisitos de esta política deberán presentarse por escrito al Director de Seguridad de la Información antes de su implementación.

Volver arriba