Blogs de l’ICANN

Lisez les blogs de l’ICANN pour vous tenir au courant des dernières activités d’élaboration de politiques, des événements régionaux et bien plus encore.

Práticas recomendadas para o registro e a administração de portfólios de nomes de domínio (parte II)

23 juin 2017
Par Carlos AlvarezCarlos Alvarez

Dando continuidade à nossa série sobre práticas recomendadas para o gerenciamento de registros de domínios (você pode ler a primeira entrada aqui), gostaria de oferecer algumas ideias sobre as práticas de registro de domínios de grandes organizações. Em geral, elas apresentam características positivas. Elas fornecem endereços de e-mail válidos para seus contatos do Whois, configuram o serviço flexível de resolução de nomes e utilizam códigos de status do EPP para combater o sequestro de nomes de domínio.

Muitas organizações e entidades governamentais seguem práticas e recomendações de registro de domínios como as descritas em documentos publicados pelo comitê consultivo de segurança e estabilidade (SSAC) da ICANN, como SAC044 e SAC040, para atenuar o risco de que seus nomes de domínio sejam mal utilizados ou explorados.

No entanto, também é preciso dizer que as iniciativas de atenuação de determinados riscos nem sempre estão presentes. As organizações devem estar cientes dos riscos que seus nomes de domínio enfrentam e ajustar suas práticas de registro existentes para proporcionar um ambiente mais seguro para suas próprias empresas, assim como uma experiência on-line mais segura e estável para seus clientes. Incentivamos as organizações a revisarem periodicamente seus registros de domínios e a incluir o gerenciamento de nomes de domínio e do DNS em geral em seus programas de gerenciamento de riscos.

Nesta publicação, faremos referência a práticas recomendadas relacionadas ao registrante real e o contato administrativo e quem eles devem e não devem ser.

Quem é o registrante real?

Actual Registrant

Cada nome de domínio é registrado de acordo com um contrato de registro entre um registrante e um registrador patrocinador. Nesta captura de tela, vocês podem ver dois campos que identificam quem é o registrante, conforme aparecem relacionados no resultado do WHOIS para o nome de domínio icann.org.

No que diz respeito aos registros de empresas, se o campo da organização do registrante indicar o nome de uma entidade jurídica existente, essa entidade jurídica será considerada registrante do nome de domínio. No entanto, quando o campo da organização do registrante está vazio, ou quando o nome indicado não corresponde a uma entidade jurídica real (como “Domain Admin”, por exemplo), o registrante real é o que está indicado no campo do nome do registrante.

Essa situação ocorre às vezes quando funcionários registram nomes para seus empregadores e não colocam as informações apropriadas nos campos correspondentes. Eles podem deixar o campo da organização do registrante em branco ou indicar o nome de seu departamento e seu próprio nome no campo reservado para o nome do registrante, o que os transforma nos registrantes reais dos domínios de suas empresas. Nesses casos, as organizações enfrentam o risco de que os registros sejam contestados por seus funcionários, que podem reivindicar os direitos sobre os domínios e tentar transferi-los, com o argumento de que a organização em questão não constitui uma das partes do contrato entre o registrador e o registrante.

Tendo esse risco em mente, por uma questão de prática recomendada, as organizações devem certificar-se de que seu nome jurídico esteja indicado no campo da organização do registrante e que um nome baseado em um cargo ou departamento esteja indicado no campo do nome do registrante.

Registrante terceiro ou contato administrativo.

Por outro lado, e eu gostaria de deixar claro que isto NÃO constitui um parecer jurídico (e você sempre deve procurar consultoria jurídica ao redigir ou revisar contratos), as organizações às vezes permitem que terceiros, como seu provedor de hospedagem, desenvolvedor da Web ou escritório de advocacia, sejam indicados como o registrante de seus domínios. Em geral, essa prática não é recomendada. Quando uma organização terceiriza o gerenciamento de seu portfólio de domínios, o ideal é que ela seja indicada como o registrante do domínio, mesmo que o gerente do portfólio seja indicado como contato administrativo, técnico ou de cobrança.

Permitir que um terceiro seja o registrante dos domínios de uma organização significa que esta NÃO será registrante do registro. Isso pode permitir a possibilidade de que um terceiro conteste o registro a fim de transferir os domínios a um registrador diferente e privar a organização e seus funcionários, clientes e empresas parceiras de usar os domínios – pelo menos enquanto a organização não obtiver consultoria jurídica, pagar as taxas jurídicas e iniciar os procedimentos correspondentes, sejam eles administrativos, como uma UDRP ou URS, ou judiciais, na jurisdição correspondente. E, mesmo depois de tudo isso, não há nenhuma garantia de que a organização realmente terá sucesso nos processos.

Bem, no que diz respeito a indicar o gerente do portfólio como o contato administrativo ou técnico, uma prática recomendada é estabelecer uma relação contratual (separada) entre a organização e esse terceiro (lembre que isto é a descrição de uma prática recomendada, e NÃO um aconselhamento jurídico). Do ponto de vista das operações técnicas e de segurança, a inclusão de cláusulas no contrato que atribuam o poder de gerenciar o nome de domínio é uma prática recomendada, inclusive a capacidade de, por exemplo, transferir o nome de domínio a um registrador diferente por ordem da organização, renovar ou permitir que o domínio expire, alterar os registros do servidor de nomes, definir o status do domínio ou alterar os dados de contato. O contrato também poderia especificar as circunstâncias nas quais o contato técnico ou administrativo poderia ou estaria obrigado a modificar qualquer aspecto do registro ou da operação do nome de domínio.

Esta prática recomendada inclui o acréscimo de cláusulas nesse contrato que estabeleçam as medidas operacionais que os contatos administrativo e técnico devem implementar ou executar para proteger os nomes de domínio da organização, inclusive as que se consideram apropriadas em caso de incidentes de segurança, como ataques de negação distribuída de serviço contra os servidores de nomes do domínio, o comprometimento do servidor que provoca alojamento de conteúdo sem a autorização do registrante, a criação não autorizada de subdomínios ou até mesmo a modificação não autorizada ou o acréscimo de registros de zona. Entre essas medidas operacionais, pode estar, por exemplo, o registro de denúncias junto ao registrador correspondente ou aos organismos de cumprimento da lei nas jurisdições apropriadas. Finalmente, como qualquer contrato, ele também deve definir as sanções para situações nas quais a parte indicada como contato administrativo ou técnico infrinja suas obrigações em relação à administração dos nomes de domínio.

Novamente, esta seção não constitui um aconselhamento jurídico, portanto, cabe a você procurar a consultoria jurídica apropriada ao considerar modos de abordar estas práticas recomendadas do ponto de vista técnico, operacional e contratual.

Nas próximas entradas, abordaremos as práticas recomendadas relacionadas aos códigos de status do EPP (o que é um código de status do EPP?), servidores de nomes e outros aspectos a serem levados em consideração ao gerenciar registros de domínios.

Authors

Carlos Alvarez

Carlos Alvarez

SSR Engagement Director (LAC)
Read biographyRead biography