SAC 038: Punto de Contacto del Registrador para Cuestiones de Abuso



Documentos relacionados
Antecedentes Programa de Nuevos Dominios Genéricos de Alto Nivel (gtld)

Política de registro del dominio.bbva

CÓDIGO DE CONDUCTA DE DATOS PERSONALES

Módulo 7: Los activos de Seguridad de la Información

Condiciones de servicio de Portal Expreso RSA

COMISIÓN DE LAS COMUNIDADES EUROPEAS. Propuesta modificada de REGLAMENTO DEL PARLAMENTO EUROPEO Y DEL CONSEJO

Antecedentes Programa de Nuevos Dominios Genéricos de Alto Nivel (gtld)

Inter American Accreditation Cooperation ACREDITACIÓN DE LABORATORIOS O CERTIFICACIÓN ISO 9001?

ICANN Un mundo. Una Internet. Una conexión para todos.

Proceso de resolución de un nombre de dominio. Javier Rodríguez Granados

Aviso Legal. Entorno Digital, S.A.

Las presentes condiciones particulares completan las condiciones generales del servicio.

ESPECIFICACIONES TÉCNICAS DEL PROCESO DE ATENCIÓN AL CIUDADANO

Microsoft es una marca comercial registrada o una marca comercial de Microsoft Corporation en Estados Unidos y otros países.

Proceso de administración y escalación de problemas Guía de referencia

Programa de Nuevos Dominios Genéricos de Alto Nivel (gtld): Variantes de Nombres de Dominio Internacionalizados (IDN)

UN RECORRIDO POR LA FAMILIA ISO

Lista de la Verificación de la Gestión de la Seguridad y Salud Ocupacional 1

LISTA DE CHEQUEO NORMA NTC ISO 9001:2000 No. REQUISITOS EXISTE ESTADO OBSERVACIONES D: Documentado I: Implementado M: Mejorar SI NO D I M

Adopción SÍ NO PRÁCTICA. 1.- Del funcionamiento del Directorio.

Gestión y Desarrollo de Requisitos en Proyectos Software

Espacio de nombres de dominio. Javier Rodríguez Granados

Publicar datos de carácter personal en la web supone tratamiento automatizado de datos y exige consentimiento de los afectados.

DECLARACIÓN DE PRIVACIDAD DE FONOWEB

Por su parte el mencionado artículo 24, en su apartado 2, dice literalmente:

1. Que es un nombre de dominio? Es un conjunto de caracteres alfanuméricos utilizados para identificar una computadora determinada en Internet.

Estatuto de Auditoría Interna

Sistemas de gestión de la calidad Requisitos

Soporte Técnico de Software HP

Proceso: AI2 Adquirir y mantener software aplicativo

I INTRODUCCIÓN. 1.1 Objetivos

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

Operación 8 Claves para la ISO

Cómo trabaja el Atacante? El atacante trabaja en 5 pasos, los cuales son: Ethical-Hacker.net. Reconocimiento. Borrado de Huellas.

Mesa de Ayuda Interna

Código de Buenas Prácticas

Guía para Desarrollo de Sitios Web - Gobierno de Chile

TRABAJADORES AUTÓNOMOS. COORDINACIÓN DE ACTIVIDADES PREVENTIVAS

Gestión del Servicio de Tecnología de la información

REGLAMENTO COMITÉ DE AUDITORÍA COMPAÑÍA MUNDIAL DE SEGUROS S.A

OHSAS 18001: Sistema de Gestión de la Seguridad y Salud en el trabajo

POLITICA DE PRIVACIDAD.

Preguntas Frecuentes sobre Intermediarios

Cloud Security Alliance, Inc. (CSA) se atiene a los siguientes principios en relación al manejo de información personal en formato electrónico:

Actualización de la Norma ISO 9001:2008

Versión final 8 de junio de 2009

Para que la legislación modelo propuesta ofrezca mayor certidumbre y previsión, será necesario que aborde los siguientes temas:

0. Introducción Antecedentes

Sistemas de Gestión de Calidad. Control documental

CAPITULO III A. GENERALIDADES

MANEJO DE QUEJAS Y RECLAMOS

Capítulo IV. Manejo de Problemas

Qué es Google Calendar? Qué se puede hacer en Google Calendar?

UNIVERSIDAD DE ANTIOQUIA DIRECCIÓN DE DESARROLLO INSTITUCIONAL GESTIÓN INFORMÁTICA Agosto 24 de 2015

Organización Latinoamericana y del Caribe de Entidades Fiscalizadoras Superiores Secretaría Ejecutiva

Mantenimiento de Sistemas de Información

Instalación y mantenimiento de servicios de Internet. U.T.3.- Servicio DNS

LA IMPLANTACIÓN DEL PROCEDIMIENTO DE GESTIÓN DE QUEJAS Y SUGERENCIAS

Norma Internacional ISO 9001:2008: Sistemas de Gestión de la Calidad- Requisitos. 4. Sistema de Gestión de la Calidad

Elementos requeridos para crearlos (ejemplo: el compilador)

Nuevo texto ordenado de normas de la Comisión Nacional de Valores (R.G. 622/2013)

1 El plan de contingencia. Seguimiento

México, 2014 CONTENIDO INTRODUCCIÓN OBJETIVOS

LOGISTICA D E COMPRAS

Manual del Usuario. Sistema de Help Desk

En este sentido y en cumplimiento de las disposiciones de la Ley 25/2

Procedimiento de Sistemas de Información

PROCEDIMIENTO DE AUDITORIAS INTERNAS. CALIDAD INSTITUCIONAL Versión: 02

CURSO COORDINADOR INNOVADOR

Gestión de. Reclamos, Quejas y. Sugerencias

Curso TURGALICIA SISTEMA DE GESTIÓN DE SEGURIDAD Y SALUD EN EL TRABAJO OHSAS 18001:2.007

Ley Orgánica de Protección de Datos

e-commerce, es hacer comercio utilizando la red. Es el acto de comprar y vender en y por medio de la red.

Gestión de Permisos. Bizagi Suite. Copyright 2014 Bizagi

Certificación. Contenidos 1. Implantación del SGSI. 2. Auditoría y certificación. 3. La entidad de certificación. 4.

GUÍA METODOLÓGICA PARA LA REALIZACIÓN DE PROCEDIMIENTOS DOCUMENTADOS DE SISTEMAS DE GESTIÓN

Política de privacidad

REGISTRO DE PEDIDOS DE CLIENTES MÓDULO DE TOMA DE PEDIDOS E INTEGRACIÓN CON ERP

global trust Razones por las cuales debería emplearse un Laboratorio Acreditado? International Laboratory Accreditation Cooperation

ANEXO I EL EXPERTO TÉCNICO DE ENAC

SISTEMA DE PAPELES DE TRABAJO PARA AUDITORÍA SPT AUDIT

CONSTRUCCIÓN DEL PROCESO MESA DE AYUDA INTERNA. BizAgi Process Modeler

Instructivo Servicios de Celular

NORMAS PARA EL PATROCINIO COMERCIAL DE LAS ACTIVIDADES DE FORMACIÓN CONTINUADA DE LAS PROFESIONES SANITARIAS

Orden. Orden OJP /12/2011 DEPARTAMENTO DE JUSTICIA DE LOS ESTADOS UNIDOS OFICINA DE PROGRAMAS DE JUSTICIA

Las instituciones privadas de educación se caracterizan por brindar una. formación integral a la sociedad; la propuesta educativa que se hace a la

IAP TÉCNICAS DE AUDITORÍA APOYADAS EN ORDENADOR (TAAO)

Plan provincial de Producción más limpia de Salta

RESOLUCION No. 72 /2013

POLÍTICA DE PRIVACIDAD DE LA SEDE ELECTRÓNICA DE LA AUTORIDAD PORTUARIA DE VALENCIA

CRITERIOS DE ACREDITACIÓN. Programas de Computación Ciclo de Evaluaciones

Guía web: Cómo encontrar información relacionada con las NIT y su aplicación en Internet

Master en Gestion de la Calidad

Guía Sudoe - Para la elaboración y gestión de proyectos Versión Española Ficha 6.0 La selección de los proyectos

CAPITULO V. Conclusiones y recomendaciones. Este capítulo tiene como objetivo mostrar las conclusiones más significativas que se

6. RESPONSABILIDADES DE LOS PRESTADORES DE SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN

A. Compromiso de Ecolab con la Protección de la Privacidad de Datos

Transcripción:

25 de febrero de 2009 SAC 038: Punto de Contacto del Registrador para Cuestiones de Abuso Introducción y Antecedentes Los acuerdos actuales de Dominios Genéricos de Alto Nivel (gtld) de la Corporación para la Asignación de Números y Nombres en Internet (ICANN) requieren que los registros y los registradores operen un servicio Whois. La cláusula 3.3.11 del Acuerdo de Acreditación de Registradores (RAA) identifica la información de contacto que los registradores y sus agentes (revendedores) deben recabar de los registrantes cuando registran un nombre de dominio. La información de contacto comúnmente sirve como el primer medio de comunicación con un registrador de dominio o un operador (administrador) de un host de Internet (servidor) al que se le asigna una etiqueta de ese dominio. Las partes identificadas como contactos de un nombre de dominio pueden ser contactadas por una serie de razones variadas, incluyendo consultas generales (por ejemplo: empresariales), intentos para notificar al registrante acerca de una configuración errónea del Sistema de Nombres de Dominio (DNS) y consultas relacionadas con la posible implicación de un nombre de dominio en una actividad maliciosa, ilegal o delictiva. Los órganos de seguridad pública, Equipos de Respuesta para Emergencias Informáticas (CERTs), la comunidad anticrimen y antiphishing (intervinientes), las empresas que brindan servicios de protección de reputación en línea, los operadores de redes y los usuarios de Internet, pueden intentar ponerse en contacto con los registradores acreditados de la Corporación para la Asignación de Números y Nombres en Internet (ICANN) cuando no son capaces de comunicarse con el registrante de un nombre de dominio utilizando la información de contacto obtenida mediante los servicios de Whois. En el caso de los Dominios Genéricos de Alto Nivel (TLD), el registro Whois siempre debe identificar el nombre del registrador acreditado de la Corporación para la Asignación de Números y Nombres en Internet (ICANN) (el registrador patrocinador). De este modo, los usuarios deben siempre estar en condiciones de obtener el nombre del registrante que patrocina un nombre de dominio, al solicitar la información de registración del nombre de dominio a través de este servicio. Luego, el usuario debe buscar la información de contacto del personal del registrador encargado de cuestiones de abuso a partir de una o varias fuentes posibles. 1 Véase http://www.icann.org/en/registrars/ra-agreement-17may01.htm#3.3.1. 1

Existen múltiples listados y fuentes para ponerse en contacto con los registradores, pero no todas las partes alcanzadas a través de estas fuentes de información de contacto son capaces de procesar una queja/reclamo de abuso o de hacer frente a una denuncia delictiva. En los casos en que el registrador de un sitio web proporciona explícitamente un contacto para cuestiones de abuso, el interviniente a menudo accede a un agente del registrador adecuado para tratar con tales asuntos. Sin embargo, en los casos en que la información de contacto para cuestiones de abuso no es encontrada en forma prominente o fácil a partir del sitio web del registrador, los intentos de resolver una controversia o investigar una denuncia de abuso pueden demorarse mientras el usuario intenta localizar la información de contacto apropiada. Los usuarios también pueden acceder a la información de contacto del registrador que se encuentra en la lista pública de la Corporación para la Asignación de Números y Nombres en Internet (ICANN). Para el envío de notificaciones contractuales, los registradores deben proporcionar información de contacto primaria a la Corporación para la Asignación de Números y Nombres en Internet (ICANN). Sin embargo y por contrato, los registradores no están obligados a mantener información de contacto pública, ni tampoco están obligados a mantener un contacto separado para tratar cuestiones de abuso. Actualmente, la Corporación para la Asignación de Números y Nombres en Internet (ICANN) permite a los registradores brindar una alternativa pública de su información de contacto primaria (contractual) y la Corporación para la Asignación de Números y Nombres en Internet (ICANN) publica esta alternativa 2. Si los registradores eligen no proporcionar información pública separada, la Corporación para la Asignación de Números y Nombres en Internet (ICANN) publica la información de contacto primaria. Nuevamente, el punto de contacto identificado en la lista de la Corporación para la Asignación de Números y Nombres en Internet (ICANN) puede no ser el del personal idóneo para procesar un reclamo de abuso o denuncia delictiva. Problemática Los requisitos actuales para información de contacto de acceso público, pueden no satisfacer las necesidades de la comunidad debido a las siguientes razones: La información para varios tipos de puntos de contacto es publicada por los registradores. No todos ellos constituyen puntos de contacto apropiados para procesar reclamos de abuso o denuncias delictivas. El finalmente hallar el punto de contacto idóneo puede retrasar la investigación. Los usuarios que hacen preguntas o investigan abusos y actividades ilegales que posiblemente involucren un nombre de dominio, deben contar con que los registradores publiquen voluntariamente su información de contacto en una forma fácilmente accesible. Información anecdótica transmitida por el Comité Asesor de Seguridad y Estabilidad (SSAC), indica que: 2 Véase http://www.internic.net/regist.html. 2

a. No todos los registradores publican voluntariamente la información de contacto en sus sitios web, b. No toda la información de contacto publicada es precisa o completa, c. El personal al que se tiene acceso a través de determinada información de contacto publicada, puede ser incapaz de manejar consultas sobre abuso o puede no estar familiarizado con los procedimientos de escalada para que el investigador se pueda comunicar con un personal idóneo (por ejemplo, técnico), y d. No todos los registradores publican un contacto separado específicamente dedicado a cuestiones de abuso. Un contacto público puede estar disponible sólo durante un horario comercial específico, mientras que un contacto para cuestiones de abuso debe estar disponible 24 x 7. Las investigaciones de presuntas actividades delictivas o de abuso suelen requerir una respuesta a tiempo, si no una urgente. Por ejemplo: las investigaciones que conducen a la suspensión de un nombre de dominio utilizado en un ataque de suplantación de identidad "phishing", en apoyo de una actividad ilegal (alojamiento de pornografía infantil o venta ilegal de productos farmacéuticos por prescripción) deben idealmente ser procesados en cuestión de horas. En el caso de un ataque de "double flux" 3, minutos de retraso en su resolución brindan al atacante el tiempo suficiente para desviar su vector de ataque a otros nombres de dominio que haya registrado o a dominios sobre los que ha obtenido un control no autorizado. Recomendaciones El Comité Asesor de Seguridad y Estabilidad (SSAC) recomienda que los registradores y revendedores colaboren en la investigación y mitigación de los abusos y actividades ilegales, en los casos en que los atacantes explotan la resolución de nombres de dominio y servicios de registro. Recomendamos que la Organización de Apoyo para Nombres de Dominio (GNSO) considere lo siguiente y actúe en consecuencia: 1. Cada registrador debe proporcionar un contacto para cuestiones de abuso. El punto de contacto para cuestiones de abuso debe reaccionar en forma sensible/atenta y debe ser eficaz. El punto de contacto para cuestiones de abuso debe contestar el teléfono y enviar correos electrónicos con rapidez, las personas que procesan cuestiones relacionadas con el abuso deben tener la facultad de tomar acciones efectivas, y deben contar con una serie de criterios bien definidos para las medidas que han de tomar. La Organización de Apoyo para Nombres de Dominio (GNSO) debe considerar el establecimiento de criterios de disponibilidad y acceso para los puntos de contacto dedicados a cuestiones de 3 Véase el documento SAC 025, Alojamiento Fast Flux y Sistema de Nombres de Dominio (DNS), http://www.icann.org/committees/security/sac025.pdf 3

abuso (por ejemplo, 24x7 u horario normal de trabajo), así como la media de tiempo para responder a un reclamo. La Corporación para la Asignación de Números y Nombres en Internet (ICANN) y los registradores deben considerar un modo de evaluación para el cumplimiento de las métricas establecidas. Los registradores deben proporcionar a los denunciantes una manera bien definida y auditable para realizar el seguimiento de sus reclamos de abuso (por ejemplo, un sistema de obleas de seguimiento o alguno similar). La Organización de Apoyo para Nombres de Dominio (GNSO) debe estudiar cómo puede ser medido y evaluado el desempeño del registrador en cuanto a su cumplimiento. 2. Los registradores deben publicar la información de contacto para cuestiones de abuso. El registrador identificado como registrador patrocinador en la entrada de registro de Whois, debe tener un contacto para cuestiones de abuso listado en su sitio web en forma prominente. Para ayudar a la comunidad a localizar esta página, el Comité Asesor de Seguridad y Estabilidad (SSAC) recomienda que los registradores consideren el establecimiento de una convención de nomenclatura uniforme para facilitar (en forma rápida y automatizada) el descubrimiento de esta página; por ejemplo: http://www. <registar>. <TLD> /abuse.html. Los registradores deben brindar su información de contacto para cuestiones de abuso a la Corporación para la Asignación de Números y Nombres en Internet (ICANN), la cual debe publicar esta información en http://www.internic.net/regist.html. 3. La información del punto de contacto para cuestiones de abuso publicada por un registrador debe ser coherente con los detalles de contacto propuestos actualmente como una enmienda de la Sección 3.16 del Acuerdo de Acreditación de Registradores (RAA). Cada método de contacto (teléfono, correo electrónico, dirección postal) debe corresponder a un individuo u organización capaz de atender una demanda de abuso; por ejemplo: ningún contacto debe rechazar intencionalmente las presentaciones realizadas a través de correo postal o correo electrónico. La Organización de Apoyo para Nombres de Dominio (GNSO) debe identificar lo que constituye una adecuada información de contacto para cuestiones de abuso, además de cómo y dónde tal información ha de ser publicada. El Comité Asesor de Seguridad y Estabilidad (SSAC) llama la atención sobre el RFC 2142, Nombres de Buzón para Servicios Comunes, Roles y Funciones, y sugiere que los registradores hagan uso de las convenciones de nombres que allí se establecen. La información del punto de contacto para cuestiones de abuso debe estar disponible en un formato uniforme y legible por máquina. La Organización de Apoyo para Nombres de Dominio (GNSO) debe decidir si una o todas de estas opciones de publicación resultan adecuadas. 4

4. La Corporación para la Asignación de Números y Nombres en Internet (ICANN) y los registradores deben trabajar cooperativamente con la comunidad, para determinar las medidas adecuadas para salvaguardarse contra las denuncias falsas. La comunidad de registradores y la comunidad de usuarios deben trabajar y definir los detalles sobre lo que constituye un abuso y sobre qué protecciones han de suministrarse contra las denuncias/reclamos falsos. Di igual modo, las comunidades de registradores y usuarios han de establecer los criterios respecto a la rapidez con la cual las denuncias tienen que ser contestadas. La Organización de Apoyo para Nombres de Dominio (GNSO) debe realizar esta actividad como parte de un estudio más amplio sobre los abusos de registración. 5. Periódicamente, la Corporación para la Asignación de Números y Nombres en Internet (ICANN) debería verificar (en forma no menos frecuente que anualmente) que estos contactos sean exactos. El Comité Asesor de Seguridad y Estabilidad (SSAC) considera que el mejor servicio es brindado a la comunidad cuando los registradores y revendedores brindan la información de contacto en forma fácil de acceder; y el hecho de que esa accesibilidad sea a través de una lista única o base de datos ofrece a la comunidad los medios más convenientes para obtener tal información. Un repositorio único mantenido por la Corporación para la Asignación de Números y Nombres en Internet (ICANN), le ofrece a la Corporación para la Asignación de Números y Nombres en Internet (ICANN) un medio simple y directo para verificar que la información de contacto continúe siendo correcta y estando completa, a la vez que proporciona a la comunidad una demostración visible de que la Corporación para la Asignación de Números y Nombres en Internet (ICANN) y sus registradores acreditados se han comprometido a brindar una comunicación abierta y medios eficaces para consultas generales, incluyendo investigaciones sobre cuestiones de abuso. Esta recomendación se enfoca sobre los Dominios Genéricos de Alto Nivel (gtld) y registradores acreditados de la Corporación para la Asignación de Números y Nombres en Internet (ICANN). El Comité Asesor de Seguridad y Estabilidad (SSAC) observa que, si bien cada uno de los Dominios de Alto Nivel con Código de País (cctld) puede tener sus propios marcos conceptuales, contratos y acuerdos con los registradores, es deseable afrontar las cuestiones de abuso de manera uniforme y haciendo que la información de contacto para cuestiones de abuso sean accesibles a través de todos los dominios de alto nivel. El Comité Asesor de Seguridad y Estabilidad (SSAC) invita a los Dominios Genéricos de Alto Nivel con Código de País (cctld) a compartir su experiencia en el manejo de reclamos/denuncias sobre y a trabajar en cooperación con la Corporación para la Asignación de Números y Nombres en Internet (ICANN) para publicar información de contacto para cuestiones de abuso y hacerlo en forma coherente. El Comité Asesor de Seguridad y Estabilidad (SSAC) está dispuesto a colaborar con la Organización de Ayuda para Nombres de Dominio (GNSO) y la Organización de Apoyo para Nombres de Dominio con Código de País (ccnso) para estudiar estas cuestiones. 5

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback