Normativa internacional sobre DMARC y la seguridad del correo electrónico

La autenticación, los informes y la conformidad de mensajes basados en dominios ( DMARC ) es un protocolo importante creado para reducir los riesgos asociados con la suplantación de correo electrónico y phishing Los reguladores del correo electrónico de todo el mundo exigen o recomiendan cada vez más DMARC implementación con Sender Policy Framework ( SPF ) y DomainKeys Identified Mail ( DKIM ) para mejorar la seguridad del correo electrónico.

DMARC está pasando de ser una medida de seguridad opcional a un requisito fundamental. Aunque todavía no es obligatorio en todo el mundo, muchos lo consideran cada vez más esencial. La implementación de DMARC no solo ayuda a las organizaciones a cumplir las normas del sector, sino que también refuerza las defensas frente a las amenazas del correo electrónico.

Las tablas siguientes ofrecen una visión detallada de las normativas internacionales de seguridad del correo electrónico y los mandatos DMARC. Estas reglas y recomendaciones proceden de diversos grupos, como autoridades gubernamentales, reguladores del sector y organizaciones de cumplimiento específicas del sector.

Gobierno

Gobiernos de todo el mundo están incorporando cada vez más regulaciones sobre DMARC para mejorar la seguridad del correo electrónico tanto en el sector público como en el privado. Su objetivo es proteger las infraestructuras críticas, asegurar las comunicaciones y reducir la ciberdelincuencia.

Regulación 

Región 

Qué significa 

Mandato para DMARC
(SÍ / NO)
Canadá

Los correos electrónicos del gobierno deben implementar SPF , DKIM , y un DMARC política de p=quarantine o p=reject .

DBO
Directiva Operativa Vinculante 18-01

Estados Unidos

Las agencias federales deben hacer cumplir STARTTLS, SPF , DKIM , y DMARC con un p=reject política.

California SIMM
Manual de gestión de la información del Estado de California - 5315A

Estados Unidos (California)
Las agencias estatales deben implementar DMARC para protección contra amenazas de correo electrónico.

MS-ISAC
Centro Multiestatal de Análisis e Intercambio de Información

Estados Unidos

Configuración de DMARC, SPF y DKIM para mejorar la ciberseguridad.

No

Dinamarca
Todas las agencias gubernamentales deben implementar a DMARC política de p=reject .

Irlanda
Los organismos de servicio público deben hacer cumplir SPF , DKIM , y DMARC .

No

Argentina
Las agencias gubernamentales deben implementar STARTTLS, DANE, SPF , DKIM , y DMARC .

Reino Unido
Los departamentos gubernamentales deben implementar Gracias, DMARC , DKIM , y SPF .

India
Implementar SPF , DKIM , y DMARC para una mayor seguridad del correo electrónico.

No

NZISM
Manual de seguridad de la información de Nueva Zelanda v3.8

Nueva Zelanda
Las agencias gubernamentales deben utilizar DMARC con una política de p=reject , SPF , y DKIM .

Ruanda
Las instituciones financieras deben implementar SPF , DKIM , y DMARC .

Ruanda
Las instituciones públicas deberían implementar DMARC para bloquear la suplantación de correo electrónico.

No

Normativa: Política de correo electrónico del Gobierno canadiense

Región: Canadá

Qué significa: Los correos electrónicos del gobierno deben implementar SPF , DKIM , y un DMARC política de p=quarantine o p=reject .

Obligatorio para DMARC :

Reglamento: DBO - Directiva Operativa Vinculante 18-01

Región: Estados Unidos

Lo que significa: Las agencias federales deben hacer cumplir STARTTLS, SPF , DKIM , y DMARC con un p=reject política.

Obligatorio para DMARC :

Normativa: California SIMM - Manual de gestión de la información del Estado de California - 5315A

Región: Estados Unidos (California)

Lo que significa: Las agencias estatales deben implementar DMARC para protección contra amenazas de correo electrónico.

Obligatorio para DMARC :

Reglamento: MS-ISAC - Centro Multiestatal de Análisis e Intercambio de Información

Región: Estados Unidos

Qué significa: Configurar DMARC , SPF , y DKIM Para mejorar la ciberseguridad.

Obligatorio para DMARC : No

Reglamento: Mandato del Gobierno danés

Región: Dinamarca

Lo que significa: Todas las agencias gubernamentales deben implementar a DMARC política de p=reject .

Obligatorio para DMARC :

Normativa: Norma irlandesa de ciberseguridad del sector público

Región: Irlanda

Qué significa: Los organismos de servicio público deben hacer cumplir SPF , DKIM , y DMARC .

Obligatorio para DMARC : No

Normativa: Mandato del Gobierno neerlandés

Región: Países Bajos

Qué significa: Las agencias gubernamentales deben implementar STARTTLS, DANE, SPF , DKIM , y DMARC .

Obligatorio para DMARC :

Normativa: Política de correo electrónico seguro del Gobierno británico

Región: Reino Unido

Qué significa: Los departamentos gubernamentales deben implementar Gracias, DMARC , DKIM , y SPF .

Obligatorio para DMARC :

Normativa: Guía de seguridad del correo electrónico del Gobierno indio

Región: India

Qué significa: Implementar SPF , DKIM , y DMARC para una mayor seguridad del correo electrónico.

Obligatorio para DMARC : No

Reglamento: NZISM - Manual de Seguridad de la Información de Nueva Zelanda v3.8

Región: Nueva Zelanda

Qué significa: Las agencias gubernamentales deben utilizar DMARC con una política de p=reject , SPF , y DKIM .

Obligatorio para DMARC :

Reglamento: Mandato del sector financiero de Ruanda

Región: Ruanda

Qué significa: Las instituciones financieras deben implementar SPF , DKIM , y DMARC .

Obligatorio para DMARC :

Normativa: Norma de seguridad del correo electrónico del sector público de Ruanda

Región: Ruanda

Qué significa: Las instituciones públicas deben implementar DMARC para bloquear la suplantación de correo electrónico.

Obligatorio para DMARC : No

Reguladores y cumplimiento

Varios organismos reguladores y de cumplimiento de la normativa han introducido requisitos de seguridad del correo electrónico para proteger la información sensible y garantizar la continuidad de la actividad empresarial.

Regulación

Región 

Qué significa 

Mandato para DMARC
(SÍ / NO)

CCPA
Ley de Privacidad del Consumidor de California

Estados Unidos (California)

Hace cumplir la protección de datos del cliente; DMARC Ayuda a proteger la información confidencial.

No

CIS
Centro para la Seguridad en Internet controles críticos de seguridad

Estados Unidos
Implementar DMARC para reducir los ataques de suplantación de identidad por correo electrónico.

No

FedRAMP
Programa Federal de Gestión de Riesgos y Autorizaciones DMARC

Estados Unidos
Los proveedores de servicios en la nube deben aplicar una p=reject DMARC política.

CMMC
Certificación del Modelo de Madurez de Ciberseguridad

Estados Unidos

Las empresas que trabajan con el Departamento de Defensa (DoD) deben proteger la información confidencial. DMARC mejora la seguridad, reduciendo el riesgo de fugas de información.

No

NIST CSF
Instituto Nacional de Normas y Tecnología Marco de Ciberseguridad

Estados Unidos
Las organizaciones deben reducir los riesgos de ciberseguridad implementando soluciones como DMARC .

No

GDPR
Reglamento General de Protección de Datos

Unión Europea

Es una obligación para las empresas a proteger los datos personales. Al proteger los datos de correo electrónico de accesos no autorizados, DMARC contribuye al cumplimiento del GDPR.

No

Francia
Los administradores de correo electrónico deben implementar SPF , DKIM , y DMARC .

No

Alemania
Los ISP deberían utilizar DMARC , SPF , y DKIM para combatir el Spam y phishing .

No

Portugal

Las organizaciones deberían implementar DMARC para dominios activos y estacionados.

No

Escocia

Las organizaciones del sector público deberían implementar medidas de ciberseguridad como DMARC .

No

Reino Unido
Los correos electrónicos del sector público deben utilizar TLS y DMARC para cifrar y autenticar el correo electrónico.

Australia

Configuración de SPF, DKIM y DMARC con una política p=reject para reducir las amenazas del correo electrónico.

No

ECC
Controles esenciales de ciberseguridad de Arabia Saudí

Arabia Saudí
Las organizaciones deben implementar Fuerte protección del correo electrónico, que incluye SPF , DKIM , y DMARC .

POPIA
Ley de Protección de Datos Personales

Sudáfrica
Tomar medidas razonables para evitar el acceso no autorizado a la información personal. DMARC puede mejorar la protección de datos sensibles.

No

Requisitos para remitentes masivos de Google y Yahoo

Internacional

Las organizaciones que envían más de 5.000 correos electrónicos al día deben autenticar los dominios con TLS, DKIM, SPF y una política DMARC de p=none como mínimo.

Internacional

Las empresas que envían más de 5000 correos electrónicos por día a dominios de Microsoft deben implementar SPF , DKIM , y un DMARC política de al menos p=none .

ISO/IEC
Organización Internacional de Normalización / Comisión Electrotécnica Internacional 27001

Internacional

Las organizaciones deben gestionar eficazmente los riesgos de seguridad de la información para cumplir con la norma ISO/IEC 27001. Implementación DMARC Puede ayudar a las empresas a cumplir.

No

Normativa: CCPA - Ley de Privacidad del Consumidor de California

Región: Estados Unidos (California)

Qué significa: Refuerza la protección de datos del cliente; DMARC Ayuda a proteger la información confidencial.

Obligatorio para DMARC : No

Normativa: CIS - Centro para la Seguridad en Internet controles críticos de seguridad

Región: Estados Unidos

Qué significa: Implementar DMARC para reducir los ataques exitosos de suplantación de correo electrónico.

Obligatorio para DMARC : No

Regulación: FedRAMP – Programa Federal de Gestión de Riesgos y Autorizaciones DMARC

Región: Estados Unidos

Qué significa: Los proveedores de servicios en la nube deben aplicar un p=reject DMARC política.

Obligatorio para DMARC :

Explicación de la normativa: CMMC - Certificación del Modelo de Madurez de Ciberseguridad

Región: Estados Unidos

Qué significa: Las empresas que trabajan con el Departamento de Defensa (DoD) deben proteger la información confidencial. DMARC mejora la seguridad, reduciendo el riesgo de fugas de información.

Obligatorio para DMARC : No

Normativa: NIST CSF - National Institute of Standards and Technology Cybersecurity Framework (Marco de Ciberseguridad del Instituto Nacional de Normalización y Tecnología)

Región: Estados Unidos

Qué significa: Las organizaciones deben reducir los riesgos de ciberseguridad implementando soluciones como DMARC .

Obligatorio para DMARC : No

Reglamento: GDPR - Reglamento General de Protección de Datos

Región: Unión Europea

Qué significa: Exige que las empresas protejan los datos personales. Al proteger los datos de correo electrónico del acceso no autorizado, DMARC ayuda con el cumplimiento del RGPD.

Obligatorio para DMARC : No

Normativa: Orientaciones sobre la seguridad del correo electrónico en Francia

Región: Francia

Qué significa: Los administradores de correo electrónico deben implementar SPF , DKIM , y DMARC .

Obligatorio para DMARC : No

Normativa: Orientaciones sobre seguridad de los PSI en Alemania

Región: Alemania

Qué significa: Los ISP deberían utilizar DMARC , SPF , y DKIM para combatir el Spam y phishing .

Obligatorio para DMARC : No

Reglamento: Recomendaciones de Portugal en materia de ciberseguridad

Región: Portugal

Qué significa: Las organizaciones deberían implementar DMARC para dominios activos y estacionados.

Obligatorio para DMARC : No

Normativa: Plan de acción de ciberresiliencia de Escocia

Región: Escocia

Qué significa: Las organizaciones del sector público deben implementar medidas de ciberseguridad como DMARC .

Obligatorio para DMARC : No

Normativa: Seguridad del correo electrónico en el sector público británico

Región: Reino Unido

Qué significa: Los correos electrónicos del sector público deben utilizar TLS y DMARC para cifrar y autenticar el correo electrónico.

Obligatorio para DMARC :

Normativa: Directrices australianas sobre ciberseguridad

Región: Australia

Qué significa: Configurar SPF , DKIM , y DMARC con un p=reject Política para reducir las amenazas del correo electrónico.

Obligatorio para DMARC : No

Reglamento: ECC - Controles esenciales de ciberseguridad de Arabia Saudí

Región: Arabia Saudí

Qué significa: Las organizaciones deben implementar Fuerte protección del correo electrónico, que incluye SPF , DKIM , y DMARC .

Obligatorio para DMARC :

Reglamento: POPIA - Ley de protección de datos personales

Región: Sudáfrica

Qué significa: Tomar medidas razonables para evitar el acceso no autorizado a la información personal. DMARC Puede mejorar la protección de datos confidenciales.

Obligatorio para DMARC : No

Reglamento: Requisitos de envío masivo de Google y Yahoo

Región: Internacional

Qué significa: Las organizaciones que envían más de 5000 correos electrónicos al día deben autenticar los dominios con TLS, DKIM , SPF , y un DMARC política de p=none Como mínimo.

Obligatorio para DMARC :

Reglamento: Requisitos de Microsoft para los remitentes de grandes volúmenes

Región: Internacional

Qué significa: Las empresas que envían más de 5000 correos electrónicos por día a dominios de Microsoft deben implementar SPF , DKIM , y un DMARC política de al menos p=none .

Obligatorio para DMARC :

Normativa: ISO/IEC - Organización Internacional de Normalización/Comisión Electrotécnica Internacional 27001

Región: Internacional

Qué significa: Las organizaciones deben gestionar eficazmente los riesgos de seguridad de la información para cumplir con la norma ISO/IEC 27001. Implementación DMARC Puede ayudar a las empresas a cumplir.

Obligatorio para DMARC : No

Finanzas

El sector financiero es uno de los principales objetivos de los ciberdelincuentes, por lo que la seguridad del correo electrónico es una prioridad absoluta. Los organismos reguladores del sector financiero han introducido directrices y mandatos para salvaguardar los datos de los clientes y las transacciones financieras.

Regulación

Región 

Qué significa 

Mandato para DMARC
(SÍ / NO)

PCI DSS
Norma de seguridad de datos del sector de las tarjetas de pago v4.0

Internacional
Requiere mecanismos automatizados para detectar y protegerse contra phishing . DMARC , SPF , y DKIM Se recomiendan las mejores prácticas.

No

GLBA
Norma de confidencialidad de la información financiera de los consumidores de la Ley Gramm-Leach-Bliley

Estados Unidos
Requiere que las instituciones financieras protejan los datos de los clientes; DMARC Puede ayudar a mejorar las defensas.

No

Normativa: PCI DSS - Estándar de seguridad de datos del sector de tarjetas de pago v4.0

Región: Internacional

Qué significa: Requiere mecanismos automatizados para detectar y proteger contra phishing . DMARC , SPF , y DKIM Se recomiendan las mejores prácticas.

Obligatorio para DMARC : No

Normativa: GLBA - Privacy of Consumer Financial Information Rule de la Ley Gramm-Leach-Bliley

Región: Estados Unidos

Lo que significa: Requiere que las instituciones financieras protejan los datos de los clientes; DMARC Puede ayudar a mejorar las defensas.

Obligatorio para DMARC : No

Áreas de salud y cuidados médicos

La seguridad del correo electrónico es fundamental en el sector sanitario, donde es fundamental proteger los datos confidenciales de los pacientes. Se recomienda o exige a los profesionales sanitarios que... implementar DMARC para proteger sus dominios y mantener la confianza de los pacientes.

Regulación

Región 

Qué significa 

Mandato para DMARC
(SÍ / NO)
Reino Unido
Las organizaciones acreditadas por el NHS deben implementar un servicio de correo electrónico que admite DMARC .

HIPAA
Ley de Portabilidad y Responsabilidad de los Seguros Sanitarios (Health Insurance Portability and Accountability Act)

Estados Unidos

Garantiza la privacidad y seguridad de los datos de los pacientes; DMARC Puede aumentar la protección al reducir el éxito. phishing intentos.

No

Normativa: Política de seguridad del correo electrónico del NHS británico

Región: Reino Unido

Qué significa: Las organizaciones acreditadas por el NHS deben implementar un servicio de correo electrónico que admite DMARC .

Obligatorio para DMARC :

Normativa: HIPAA - Ley de Portabilidad y Responsabilidad de los Seguros Sanitarios

Región: Estados Unidos

Qué significa: Garantiza la privacidad y seguridad de los datos del paciente; DMARC Puede aumentar la protección al reducir el éxito. phishing intentos.

Obligatorio para DMARC : No

Por qué DMARC asuntos

DMARC es vital para autenticar las comunicaciones por correo electrónico. Al alinear SPF y DKIM con DMARC políticas, las organizaciones pueden reducir el riesgo de éxito phishing y ataques de suplantación de identidad. Los reguladores del correo electrónico exigen o recomiendan DMARC Destacar su papel crucial en la protección contra las ciberamenazas.

La adopción de DMARC , SPF , y DKIM La seguridad varía según el mundo, pero el mensaje es claro: proteger las comunicaciones por correo electrónico es fundamental. A medida que evolucionan las ciberamenazas, también lo hacen los estándares y las normativas. Las organizaciones deben adoptar estas medidas para salvaguardar su reputación, cumplir con los requisitos y proteger los datos de sus clientes.

¿Quieres saber más sobre la regulación de DMARC ?

Hemos publicado un blog sobre todo lo que los proveedores de servicios administrados (MSP) y los proveedores de servicios de seguridad administrados (MSSP) deben saber sobre DMARC mandatos globales.

Recursos

Título del Video

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Cras et lacus suscipit mi tristique dignissim. In sit amet interdum dui, ac ullamcorper diam. Nunc a est eu orci egestas cursus at in ante. Vestibulum ligula urna, ultrices vitae velit quis.