La política define tres niveles de seguridad y privacidad. El primer nivel (level 1) contiene los requerimientos básicos de los servicios, definidos como menos seguros y de menos seguridad y privacidad que los del nivel 2 (level 2). Alcanzar los requerimientos del nivel 3 (level 3) sera el mayor desafió a implementar por los colectivos técnicos y será, en la mayoría de los casos la mejor forma de proteger nuestros datos. La siguiente descripción de niveles signigica también dar una mirada a las diferencias claves entre los distintos niveles. Para más detalles mira en la lista de requerimientos específicos. Hay que tener en cuenta que a mayor nivel, más duro es de lograr o verificar para el usuario.
-## Resumen Nivel_1_
+## Resumen Nivel 1
+
* Todas las conexiones de servicios estan encriptadas por defecto. Si se ofrece una alternativa no-encriptada, entonces debe avisarse de forma visible a lxs user.
* Los mails enviados a traves del servicio puede incluir identificación e información del usuario ( por ej. la dirección IP del ""host que envia"" ).
* Solo los datos que no estan accesibles de forma pública tienen que almacenarse de forma encriptada.
* Es posible que los registros de los usuarios se guarden sin encriptación. //* Los registros de los usuarios se pueden guardar sin encriptación.
* Se revisa por lxs administradorxs, el cumplimiento de la politica del servidor por lo menos una vez al año.
-## Resumen Nivel_2_
+## Resumen Nivel 2
+
* La conexión entre usuarias y los servivios que usen estan siempre encripatdas.
* Los correos no contienen información identificable de las usuarias.
* Ninguna información identificable de las usuarias es almacenada en los logs.
* El sistema operativo del servicio solamente y su configuración solamente están almacenadas encriptadamente.
* La conformidad con la politica es revisada por las administradoras al menos una vez cada seis meses.
-## Resumen Nivel_3_
+## Resumen Nivel 3
+
* Todos los servicios están támbién disponibles con servicio de ocultación Tor
* Los logos no son almacenados
* El cumplimiento de esta política es revisada por los administradores al menos una vez cada tres meses.
## ¿Que hacer en caso de incendio?
-Nivel 1
+### Nivel 1
* Asegurate de contar con canales de comunicación con las usuarias si el servidor se cae. Por ejemplo, un correo electrónico externo, un teléfono, o una página web alojada en otro lugar.
* Si el servidor añade la dirección IP del usuario cuando envía un correo electrónico a través de su servicio , el usuario debe ser informado acerca de ello.
* Usa StartTLS siempre que puedas para intercambiar correos con otros servidores.
* El servidor debe contar con su propio certificado SSL firmado por una o varias autoridades certificadoras. Vean el documento de mejores practicas para los detalles.
-Nivel 2
+### Nivel 2
* El servidor no debe añadir la dirección IP de una persona usuaria enviando un correo electronico a través de su servicio en ningún lugar del correo.
* El uso de TLS es obligatorio con otros servidores cumplidores del nivel 2. Los certificados se verifican con un fingerprint (huella digital).
-NIVEL 3
+### Nivel 3
* El correo también esta disponible como un servicio oculto enclavado de Tor.
## Webmail
-Nivel 1
+### Nivel 1
* Las conexiones entre el servidor y el usuario están siempre encriptadas.
* Si la dirección de IP del usuario aparece en los encabezamientos de email, este hecho es visiblemente marcado como inseguro.
-Nivel 2
+### Nivel 2
* Todas las sesiones tienen que estar almacenadas como cookies. Las sesiones IDs no pueden estar en la URL.
* La dirección IP del usuario no aparece en ningun encabezamiento de email.
-Nivel 3
+### Nivel 3
* Debido a que cliente-lado scripting, como Javascript, puede revelar la dirección IP del usuario (esto es porque las usuarias de Tor generalmente las inutiliza), Webmail es funcional sin él.
* La sesión de algoritmo ID y las cookies no utilizan o almacenar la dirección de IP de la usuaria, tampoco en texto sencillo o en alguna forma confusa. Las sesiones no estan restringidas a direcciones de IP (ya que esto impediría el acceso con herramientas de anonimato como Tor).
## Certificados y llaves para servicios encriptados basados en stream
-Nivel 1
+### Nivel 1
* La comunicación basada en stream solo usa un kit de parametros criptográficos bien establecidos (ciphers, mensajes resumidos, algoritmos de encriptación asimétrica, etc). Mira los documentos de buenas prácticas para más detalles.
-Nivel 2
+### Nivel 2
* Las llaves privadas sólo son almacenadas de manera encriptada.
-Nivel 3
+### Nivel 3
* Las llaves privadas son sólo almacenadas encriptado y fuera del sitio.
## Sistema de archivos y almacenamiento
-Nivel 1
+### Nivel 1
* Los datos de usuarias que no son accesibles públicamente se almacenan encriptados, utilizando una frase de pasword fuerte. Mira los documentos de buenas prácticas para más detalles. Esto incluye correos, bases de datos, listas de archivos, sitios web restringidos y otros..
-Nivel 2
+### Nivel 2
+
* La memoria de intercambio se almacena encriptadamente.
* El sistema operativo y su configuración se almacenada encriptadamente con una frase de password fuerte. Mira los documentos de buenas prácticas para más detalles.
-Nivel 3
+### Nivel 3
* La memoria de intercambio está encriptada con una llave aleatoria en el boot.
## Registros
-Nivel 1
+### Nivel 1
* Los registros son almacenados encriptadamente sólo en la memoria.
-Nivel 2
+### Nivel 2
* Los registros son anonimizados y no contienen ninguna información que puede identificar las actividades de la usuaria.
-Nivel 3
+### Nivel 3
* Ninguna clase de registro son almacenados.
## Usuarias
-Nivel 1
+### Nivel 1
* Se aconseja a las usuarias sobre buenas contraseñas buenas y politicas. Mira los documentos de buenas prácticas para más detalles.
-Nivel 2
+### Nivel 2
* Las usuarias están forzadas a utilizar contraseñas fuertes, medidas generalmente por una contraseña aceptada por un algoritmo de fuerza. Mira los documentos de buenas prácticas para más detalles.
* Las cuentas de la terminal para usuarias estan sólo en vservers, cajas separadas, o sandboxes similares. Ninguna usuaria tiene un login en un servidor que proporcione servicios sensibles. Mira los documentos de buenas prácticas para más detalles.
-Nivel 3
+### Nivel 3
* Las cuentas de la terninal están aisladas de otras usuarias: cada cuenta de usuaria en la terminal existe en un entorno chrooted que no tiene ninguna visibilidad en entornos de otras usuarias (archivos, procesos, etc.).
## Evaluación de conformidad de la política
-Nivel1
+### Nivel1
* Auto-evaluación periódica anual: comprobar al menos cada doce meses que los requisitos supuestos para ser conseguidos están.
-Nivel 2
+### Nivel 2
* Auto-evaluación semi-Anual: comprobar al menos cada seis meses que los requisitos supuestos son conseguidos.
-Nivel 3
+### Nivel 3
* Auto-evaluación trimestral: comprobar al menos cada tres meses que los requisitos supuestos son conseguidos.
Key fingerprint = CE8B A231 83EC 5CB6 9760 E02F 8BC0 E739 D064 5843 uid
## Compromiso de los proveedores para privacidad
+
El archivo firmado es aquí.
projects / policy.git / commitdiff