Determinar la siguiente política de uso de criptografía y control criptográfico, cuyo propósito es proteger el acceso a la información personal o aquella clasificada como reservada, secreta o confidencial, mediante el cifrado tanto de la información almacenada como en tránsito.
a)Política:
i. Aplica a los datos contenidos en bases de datos, documentos electrónicos, correos electrónicos, respaldos en medios magnéticos, dispositivos extraíbles, dispositivos móviles, información almacenada en la nube, credenciales de acceso y la transferencia de los mismos.
ii. Deberán aplicarse herramientas criptográficas que cifren dicha información haciéndola ilegible a los que no dispongan de la clave de cifrado, de forma de garantizar la confidencialidad e integridad de la misma.
iii. Deberá utilizarse firma digital reconocida para garantizar la autenticidad y asegurar el no repudio en aquellos documentos o correos electrónicos que así lo requieran.
iv. Deberá utilizarse certificados de dominio para garantizar la seguridad en la transferencia de información en los servicios publicados en internet e intranet. Dichos certificados deberán estar avalados por las entidades de certificación internacional de forma de que puedan verificarse mediante los navegadores o aplicaciones que interactúan con los mismos.
v. La información intercambiada con servicios de terceras partes que pueda contener credenciales de usuario, información personal o clasificada como reservada, confidencial o secreta, deberá transferirse utilizando canales seguros o cifrando los datos contenidos.
vi. En todos los casos se deben utilizar algoritmos y herramientas de cifrado robustos basados en estándares internacionales, que se encuentren vigentes, sin reportes de problemas de seguridad, de carácter abierto y de especificación pública (conocidos y evaluados ampliamente). Se recomienda además el uso de sistemas de cifrado asimétrico en detrimento de los sistemas de cifrado simétrico.
b) Definiciones:
i. Nube: término que se utiliza para describir una red mundial de servidores y servicios diseñados para almacenar, administrar datos, ejecutar aplicaciones o entregar contenido. Puede implementarse como nube pública, que comparte recursos y ofrece servicios a través de internet; una nube privada, que no se comparte y ofrece servicios a través de una red interna privada, una nube híbrida, que comparte servicios entre nubes públicas y privadas;: una nube comunitaria, que comparte recursos entre organizaciones, como instituciones gubernamentales.
ii. Firma digital o Firma Electrónica Avanzada: tiene idéntica validez y eficacia que la firma autógrafa consignada en documento público o en documento privado con firmas certificadas, por lo que no requiere acuerdo previo para su uso. Además, provee garantías de Integridad, Autenticidad y No repudio sobre los documentos intercambiados, de acuerdo a lo establecido en la Ley Nº 18.600 del 21 de setiembre de 2009.
iii. Cifrado: mecanismo de protección de acceso y transferencia de la información mediante algoritmos criptográficos.
c) Roles y responsabilidades:
i. El área de Seguridad Informática es responsable de asegurar su cumplimiento.
ii. Es responsabilidad de las Gerencias de Tecnología de la Información y Tecnología para Ciudades Inteligentes, la correcta implementación de esta política.