Saltar al contenido
Documentación
Legal y cumplimiento
Política de seguridad y divulgación responsable

Política de seguridad y divulgación responsable

Documento en preparación — Esqueleto.

Medidas técnicas y organizativas de seguridad aplicadas al servicio jmail.com.es, y mecanismos de divulgación responsable de vulnerabilidades.

1. Medidas técnicas

Cifrado

  • En tránsito:
    • SMTP: STARTTLS obligatorio en SMTP submission (puertos 587 y 465). MTA-STS publicado por dominio.
    • IMAP / JMAP: TLS obligatorio (puerto 993 / HTTPS).
    • Webmail: HTTPS con HSTS habilitado.
  • En reposo:
    • Datos en FoundationDB: __PENDIENTE_DECLARAR__ (encryption-at-rest del cluster).
    • Blobs en Garage S3: __PENDIENTE__ — Garage soporta encryption-at-rest; verificar y declarar.
    • Backups: cifrados con clave gestionada por ICS.

Autenticación

  • Soporte de OAuth 2.0 y JMAP token auth.
  • Soporte de 2FA / OTP para cuentas de administración.
  • Política de contraseñas con verificador zxcvbn (rechaza débiles).
  • Sesiones revocables desde panel admin.

Aislamiento

  • Cada cliente vive en una subzona DNS dedicada (<cliente>.jmail.com.es).
  • Buckets de archivo __PENDIENTE__ describir nivel de aislamiento entre tenants en Stalwart.

Resistencia

  • Replicación geo-distribuida: 3 sitios OVH (vRack IPv6 privado).
  • FoundationDB: replicación triple por defecto.
  • Garage S3: replication factor 3 con distribución por sitio.
  • Backups: política __PENDIENTE__ (frecuencia, retención).

Anti-abuso

  • Rate-limit por cuenta y dominio.
  • Anti-spam entrante (Stalwart classifier + DNSBLs).
  • Anti-spam saliente (firma DKIM, monitorización listas).
  • Detección de exfiltración masiva (TODO en roadmap, ver standard archivo).

2. Medidas organizativas

  • Personal autorizado: solo personal técnico contratado por Internet CLOUD Services SL.
  • Auditoría: accesos a contenido de cliente registrados en log inalterable.
  • Formación: revisiones periódicas de buenas prácticas internas.
  • Confidencialidad: contratos de confidencialidad con todo el personal y subencargados.

3. Divulgación responsable de vulnerabilidades

Si descubres una vulnerabilidad de seguridad en jmail.com.es:

Contacto: security@jmail.com.es (o legal@tecnico.com.es como fallback)

Compromisos:

  • Acuse de recibo en __PENDIENTE__ horas hábiles.
  • No tomamos acciones legales contra investigadores que actúan de buena fe siguiendo este procedimiento.
  • Publicamos crédito al descubridor (si lo desea) tras corrección.
  • Plazo de corrección razonable según severidad (CVSS-based).

Reglas:

  • No realizar pruebas que afecten a usuarios reales.
  • No acceder, copiar ni modificar datos de terceros.
  • No publicar la vulnerabilidad antes del plazo coordinado.

security.txt

__PENDIENTE__ — publicar https://www.jmail.com.es/.well-known/security.txt siguiendo RFC 9116:

Contact: mailto:security@jmail.com.es
Expires: __PENDIENTE_FECHA__
Preferred-Languages: es, en
Canonical: https://www.jmail.com.es/.well-known/security.txt
Policy: https://www.jmail.com.es/docs/legal/seguridad/

4. Certificaciones y auditorías

Estado actual:

Certificación / normaEstado
RGPD✓ cumplimiento declarado
ISO 27001⏳ evaluación pendiente
ENS (Esquema Nacional de Seguridad)⏳ pendiente — necesario si vendemos a AAPP
SOC 2❌ no aplicable de momento (mercado ES-EU)

5. Incidentes de seguridad

__PENDIENTE_REDACTAR__ — política de gestión de incidentes:

  • Equipo de respuesta (CSIRT interno o externo).
  • Procedimiento de notificación a clientes afectados.
  • Plazo de 72 h para brechas de datos personales (RGPD art. 33).
  • Post-mortem público para incidentes mayores.

Última actualización: __PENDIENTE_FECHA__

Acuerdo de nivel de servicio (SLA)Subencargados de tratamiento