Tengo que pasar por la verificación de antecedentes. La compañía que proporciona el servicio al cliente se llama Verifications, Inc. Verifications, Inc. afirma tener un plan de seguridad de datos, certificación ISO y clientes federales de los EE. UU.
Me sorprendió saber que la compañía proporciona un sistema basado en la web y envía el nombre de usuario y la contraseña a través de correo electrónico de texto sin formato a sistemas externos. Por ejemplo, la compañía enviará correos electrónicos de invitación a una cuenta de AOL o Mindspring.
Sé que enviar una contraseña por correo electrónico viola las prácticas del NIST. Por ejemplo, viola la administración del autenticador IA-5 de SP800-53 y posiblemente IA-6. También viola las prácticas de manejo de SP800-118.
¿Alguien sabe si enviar por correo electrónico una contraseña de texto sin formato es una práctica aceptable bajo cualquier ISO? ¿La sensibilidad de los datos afecta el manejo bajo la ISO?