¿Cuál es una forma segura de transferir una copia de un documento confidencial?

Navega tus respuestas
6

Una institución acreditada y claramente identificada me pidió, por razones legítimas, enviar por correo electrónico un escaneo del pasaporte. Sin embargo, considero que el pasaporte es un documento confidencial y estoy bastante reacio a usar el correo electrónico con ese fin, por motivos de seguridad genéricos / generales. Otro caso, por ejemplo, podría ser una factura, un contrato confidencial y demás.

Además de enviar por fax, ¿cuáles son las alternativas seguras y viables para transferir la copia de documentos confidenciales a través de la web?

    
pregunta XavierStuvw 22.09.2017 - 21:11
fuente

3 respuestas

8

si puede comunicarse con el destinatario por otro medio además del correo electrónico, una forma fácil de enviar contenido de forma segura a través del correo electrónico es colocar el contenido (imágenes, documentos, etc.) en un contenedor cifrado (un archivo zip, 7zip, .rar) que Está protegido con una contraseña segura y no fácil de adivinar. Luego, después de enviar el correo electrónico, póngase en contacto con el destinatario y proporcione la contraseña.

Es importante mencionar que este método se basa en el secreto del segundo canal para proporcionar acceso al contenido enviado por correo electrónico, por lo que una llamada directa y un sms generalmente están bien.

    
respondido por el Jorge Alvarenga 22.09.2017 - 22:29
fuente
3

Siempre que confíe en esta institución y que sean quienes dicen ser, simplemente recomendaría el cifrado. Cifre el correo electrónico si su aplicación de correo electrónico lo admite y el destinatario lo admite. Si no puede cifrar todo el correo electrónico, al menos debería poder cifrar un archivo comprimido de la imagen y proporcionar la contraseña utilizada para descifrarlo en un correo electrónico diferente, o idealmente enviar la contraseña por correo electrónico. Otro método, como un mensaje de texto. Sin embargo, no convierta la contraseña en algo que use regularmente (debe ser una contraseña creada específicamente para este documento).

Una idea es que una institución de este tipo debería tener una forma segura ya configurada para recibir dichos documentos. Como aparentemente no lo hacen, eso levanta una bandera roja. Asegúrate de que realmente estás tratando con quién crees que estás tratando. Por ejemplo, si recibió una llamada telefónica o algo que lo solicitó, y no lo inició, es probable que sea una estafa. Un pasaporte probablemente sería muy útil para un ladrón de identidad.

    
respondido por el Jonathan 22.09.2017 - 22:35
fuente
0

Haz esto: Abra el correo electrónico donde la institución le solicitó el pasaporte. Haga clic derecho y seleccione "Mostrar encabezados" o algo similar.

Luego marque el encabezado "Received:" en la parte superior, y camine hacia abajo. Ignore los encabezados con 127.*.*.* IP, 192.168.*.* IP o una dirección entre 172.16.*.* a 172.31.*.* (ya que generalmente se trata de una comunicación interna entre filtros de spam, motores de antivirus y otro software de manejo de correo local para su proveedor) .

Cuando haya llegado al primer encabezado público, lea si se utilizó el cifrado.

Ejemplo de correo encriptado: 

Received: from THE_REPUTABLE_INSTITUTION (THE_REPUTABLE_INSTITUTION [THEIR_IP])
    (using TLSv1.2 with cipher ECDHE-RSA-AES256-SHA (256/256 bits))
    (No client certificate requested)
    by YOUR_EMAIL_PROVIDER (Postfix) with ESMTPS id C98D076010F
    for <YOUR_EMAIL>; Wed, 20 Sep 2017 09:10:45 +0200 (CEST)

Ejemplo de un correo no cifrado: 

Received: from THE_REPUTABLE_INSTITUTION (THE_REPUTABLE_INSTITUTION [THEIR_IP])
    by YOUR_EMAIL_PROVIDER (Postfix) with SMTP id 1359D7600C2
    for <YOUR_EMAIL>; Sat, 16 Sep 2017 21:03:38 +0200 (CEST)

Ahora, cuando haya verificado que el correo electrónico está encriptado en tránsito, solo envíe el pasaporte. (En realidad, me costó mucho encontrar un correo electrónico no cifrado en mi buzón con más de 200 correos electrónicos, así es como se ha convertido hoy en día el cifrado del correo electrónico común)

Este no es un método 100% infalible, ya que el correo puede estar cifrado de una sola manera, por ejemplo, su proveedor de correo recibe pero no envía correo cifrado, o la institución envía correo cifrado pero no recibe uno.

Pero debería ser suficiente para sus propósitos. Si no ha recibido un correo de ellos, simplemente envíe un correo electrónico. Como beneficio adicional, pídales que "reenvíen su correo electrónico original como archivo adjunto a usted", incluso puede ver si recibieron el correo electrónico cifrado.

Tenga en cuenta que este método solo se puede utilizar para comunicaciones no reguladas, por ejemplo, cuando no SE REQUIERE para asegurar la comunicación, pero QUIERE. Si hay regulaciones para asegurar la comunicación, por ejemplo, PCI-DSS o HIPAA o similar, entonces el correo electrónico generalmente está específicamente prohibido, sin importar si está encriptado o no, y luego puede leer en las regulaciones cómo se debe transferir la información. Por lo general, a través del correo electrónico registrado, a menos que sea urgente, se permite el envío de faxes.

    
respondido por el sebastian nielsen 22.09.2017 - 21:28
fuente

Lea otras preguntas en las etiquetas

¿Existen razones objetivas para usar un usuario / contraseña dedicado en lugar de proveedores de identidad dentro de una organización grande? ¿Pegar accidentalmente la contraseña en el campo URL del navegador la envía a través de la red?