Logo
ICANN
ICANN
Filtered Search

Are you sure you want to sign out from http://www.icann.org?

If you want to sign out from both http://www.icann.org and ICANN Account, click here.

Блоги ICANN

Читайте блоги ICANN, чтобы получать новости о деятельности в области формирования политики, региональных мероприятиях и других событиях.

Práticas recomendadas para o registro e a administração de portfólios de nomes de domínio (parte II)

23 июня 2017
Автор
Carlos Alvarez

Carlos Alvarez

Trust and Public Safety Engagement Director

Carlos’s work is currently focused on helping the Internet community address abuse of Domain Name System resources, by:

  • Providing subject matter expertise on contractual and policy matters with potential anti-abuse and consumer protection implications.
  • Trust-based collaboration with worldwide cyber law enforcement and the operational security community.
  • Capability building, via training law enforcement and other constituents involved in the operation or the security of the Internet identifiers.

He served in the past in ICANN's Contractual Compliance Team where he managed the team responsible for processing all registrar-related complaints worldwide. He also provided key subject matter expert advice and guidance to ICANN's Contractual Compliance Audit Program and to the gTLD registry-related work of the Compliance Team.

Prior to joining ICANN, Carlos participated in the International Attorneys Program at Holland & Knight in Miami and served as the head of the Legal & Business Affairs Division at Sony Music for Colombia, Ecuador, Venezuela and Peru. While in this position he was a member of the Andean legal committee of the IFPI (International Federation of the Phonographic Industry).

He was a pioneer in Latin America in matters related to software anti-piracy, information security from a legal perspective and cyber crime, initially through his work with the local law firm of the Business Software Alliance in Colombia since 1998. His articles on piracy and terrorism, cyber crime, botnets, digital evidence, criminal aspects related to the use of honeypots, legal aspects of information security standards, the Budapest Convention, and other related matters have been published in Colombia, Venezuela, Argentina, Mexico and Spain. He taught computer law, legal aspects of information security and intellectual property in two universities in Bogota and has lectured before many different audiences in the Americas, Europe and Asia, from students to c-level executives, as well as government representatives, regulators, law enforcement, and military and intelligence personnel.

He maintains working relationships with law enforcement cyber units from different countries and while still living in Bogota was a member of the local Electronic Commerce Subcommittee of the International Chamber of Commerce. Carlos is a former co-chair of the Messaging, Malware and Mobile Anti Abuse Working Group (M3AAWG)'s Anti-Phishing Special Interest Group and is a co-chair of M3AAWG's DNS Abuse Special Interest Group.

Carlos is an attorney graduated from the Universidad de los Andes in Bogota. He holds a Master of Laws degree from the University of Southern California Gould School of Law, and has studies on networking with TCP/IP from UCLA.

Dando continuidade à nossa série sobre práticas recomendadas para o gerenciamento de registros de domínios (você pode ler a primeira entrada aqui), gostaria de oferecer algumas ideias sobre as práticas de registro de domínios de grandes organizações. Em geral, elas apresentam características positivas. Elas fornecem endereços de e-mail válidos para seus contatos do Whois, configuram o serviço flexível de resolução de nomes e utilizam códigos de status do EPP para combater o sequestro de nomes de domínio.

Muitas organizações e entidades governamentais seguem práticas e recomendações de registro de domínios como as descritas em documentos publicados pelo comitê consultivo de segurança e estabilidade (SSAC) da ICANN, como SAC044 e SAC040, para atenuar o risco de que seus nomes de domínio sejam mal utilizados ou explorados.

No entanto, também é preciso dizer que as iniciativas de atenuação de determinados riscos nem sempre estão presentes. As organizações devem estar cientes dos riscos que seus nomes de domínio enfrentam e ajustar suas práticas de registro existentes para proporcionar um ambiente mais seguro para suas próprias empresas, assim como uma experiência on-line mais segura e estável para seus clientes. Incentivamos as organizações a revisarem periodicamente seus registros de domínios e a incluir o gerenciamento de nomes de domínio e do DNS em geral em seus programas de gerenciamento de riscos.

Nesta publicação, faremos referência a práticas recomendadas relacionadas ao registrante real e o contato administrativo e quem eles devem e não devem ser.

Quem é o registrante real?

Actual Registrant

Cada nome de domínio é registrado de acordo com um contrato de registro entre um registrante e um registrador patrocinador. Nesta captura de tela, vocês podem ver dois campos que identificam quem é o registrante, conforme aparecem relacionados no resultado do WHOIS para o nome de domínio icann.org.

No que diz respeito aos registros de empresas, se o campo da organização do registrante indicar o nome de uma entidade jurídica existente, essa entidade jurídica será considerada registrante do nome de domínio. No entanto, quando o campo da organização do registrante está vazio, ou quando o nome indicado não corresponde a uma entidade jurídica real (como “Domain Admin”, por exemplo), o registrante real é o que está indicado no campo do nome do registrante.

Essa situação ocorre às vezes quando funcionários registram nomes para seus empregadores e não colocam as informações apropriadas nos campos correspondentes. Eles podem deixar o campo da organização do registrante em branco ou indicar o nome de seu departamento e seu próprio nome no campo reservado para o nome do registrante, o que os transforma nos registrantes reais dos domínios de suas empresas. Nesses casos, as organizações enfrentam o risco de que os registros sejam contestados por seus funcionários, que podem reivindicar os direitos sobre os domínios e tentar transferi-los, com o argumento de que a organização em questão não constitui uma das partes do contrato entre o registrador e o registrante.

Tendo esse risco em mente, por uma questão de prática recomendada, as organizações devem certificar-se de que seu nome jurídico esteja indicado no campo da organização do registrante e que um nome baseado em um cargo ou departamento esteja indicado no campo do nome do registrante.

Registrante terceiro ou contato administrativo.

Por outro lado, e eu gostaria de deixar claro que isto NÃO constitui um parecer jurídico (e você sempre deve procurar consultoria jurídica ao redigir ou revisar contratos), as organizações às vezes permitem que terceiros, como seu provedor de hospedagem, desenvolvedor da Web ou escritório de advocacia, sejam indicados como o registrante de seus domínios. Em geral, essa prática não é recomendada. Quando uma organização terceiriza o gerenciamento de seu portfólio de domínios, o ideal é que ela seja indicada como o registrante do domínio, mesmo que o gerente do portfólio seja indicado como contato administrativo, técnico ou de cobrança.

Permitir que um terceiro seja o registrante dos domínios de uma organização significa que esta NÃO será registrante do registro. Isso pode permitir a possibilidade de que um terceiro conteste o registro a fim de transferir os domínios a um registrador diferente e privar a organização e seus funcionários, clientes e empresas parceiras de usar os domínios – pelo menos enquanto a organização não obtiver consultoria jurídica, pagar as taxas jurídicas e iniciar os procedimentos correspondentes, sejam eles administrativos, como uma UDRP ou URS, ou judiciais, na jurisdição correspondente. E, mesmo depois de tudo isso, não há nenhuma garantia de que a organização realmente terá sucesso nos processos.

Bem, no que diz respeito a indicar o gerente do portfólio como o contato administrativo ou técnico, uma prática recomendada é estabelecer uma relação contratual (separada) entre a organização e esse terceiro (lembre que isto é a descrição de uma prática recomendada, e NÃO um aconselhamento jurídico). Do ponto de vista das operações técnicas e de segurança, a inclusão de cláusulas no contrato que atribuam o poder de gerenciar o nome de domínio é uma prática recomendada, inclusive a capacidade de, por exemplo, transferir o nome de domínio a um registrador diferente por ordem da organização, renovar ou permitir que o domínio expire, alterar os registros do servidor de nomes, definir o status do domínio ou alterar os dados de contato. O contrato também poderia especificar as circunstâncias nas quais o contato técnico ou administrativo poderia ou estaria obrigado a modificar qualquer aspecto do registro ou da operação do nome de domínio.

Esta prática recomendada inclui o acréscimo de cláusulas nesse contrato que estabeleçam as medidas operacionais que os contatos administrativo e técnico devem implementar ou executar para proteger os nomes de domínio da organização, inclusive as que se consideram apropriadas em caso de incidentes de segurança, como ataques de negação distribuída de serviço contra os servidores de nomes do domínio, o comprometimento do servidor que provoca alojamento de conteúdo sem a autorização do registrante, a criação não autorizada de subdomínios ou até mesmo a modificação não autorizada ou o acréscimo de registros de zona. Entre essas medidas operacionais, pode estar, por exemplo, o registro de denúncias junto ao registrador correspondente ou aos organismos de cumprimento da lei nas jurisdições apropriadas. Finalmente, como qualquer contrato, ele também deve definir as sanções para situações nas quais a parte indicada como contato administrativo ou técnico infrinja suas obrigações em relação à administração dos nomes de domínio.

Novamente, esta seção não constitui um aconselhamento jurídico, portanto, cabe a você procurar a consultoria jurídica apropriada ao considerar modos de abordar estas práticas recomendadas do ponto de vista técnico, operacional e contratual.

Nas próximas entradas, abordaremos as práticas recomendadas relacionadas aos códigos de status do EPP (o que é um código de status do EPP?), servidores de nomes e outros aspectos a serem levados em consideração ao gerenciar registros de domínios.

Authors

Carlos Alvarez

Carlos Alvarez

Trust and Public Safety Engagement Director
Carlos Alvarez

Carlos Alvarez

Trust and Public Safety Engagement Director

Carlos’s work is currently focused on helping the Internet community address abuse of Domain Name System resources, by:

  • Providing subject matter expertise on contractual and policy matters with potential anti-abuse and consumer protection implications.
  • Trust-based collaboration with worldwide cyber law enforcement and the operational security community.
  • Capability building, via training law enforcement and other constituents involved in the operation or the security of the Internet identifiers.

He served in the past in ICANN's Contractual Compliance Team where he managed the team responsible for processing all registrar-related complaints worldwide. He also provided key subject matter expert advice and guidance to ICANN's Contractual Compliance Audit Program and to the gTLD registry-related work of the Compliance Team.

Prior to joining ICANN, Carlos participated in the International Attorneys Program at Holland & Knight in Miami and served as the head of the Legal & Business Affairs Division at Sony Music for Colombia, Ecuador, Venezuela and Peru. While in this position he was a member of the Andean legal committee of the IFPI (International Federation of the Phonographic Industry).

He was a pioneer in Latin America in matters related to software anti-piracy, information security from a legal perspective and cyber crime, initially through his work with the local law firm of the Business Software Alliance in Colombia since 1998. His articles on piracy and terrorism, cyber crime, botnets, digital evidence, criminal aspects related to the use of honeypots, legal aspects of information security standards, the Budapest Convention, and other related matters have been published in Colombia, Venezuela, Argentina, Mexico and Spain. He taught computer law, legal aspects of information security and intellectual property in two universities in Bogota and has lectured before many different audiences in the Americas, Europe and Asia, from students to c-level executives, as well as government representatives, regulators, law enforcement, and military and intelligence personnel.

He maintains working relationships with law enforcement cyber units from different countries and while still living in Bogota was a member of the local Electronic Commerce Subcommittee of the International Chamber of Commerce. Carlos is a former co-chair of the Messaging, Malware and Mobile Anti Abuse Working Group (M3AAWG)'s Anti-Phishing Special Interest Group and is a co-chair of M3AAWG's DNS Abuse Special Interest Group.

Carlos is an attorney graduated from the Universidad de los Andes in Bogota. He holds a Master of Laws degree from the University of Southern California Gould School of Law, and has studies on networking with TCP/IP from UCLA.

Последние статьи

Статьи автора

Расширенный поиск

Найти

Хотите получать больше аналогичных материалов?

Подписаться