protege tu web€¦ · contenidos del portal web, por ejemplo los precios, la descripción de...

PROTEGE TU EMPRESA

Coleccioacuten

PROTEGETU WEB

1Protege tu web

IacuteNDICEIacuteNDICE1- INTRODUCCIOacuteN 03

11 iquestCOacuteMO PROTEGER NUESTRA WEB 04

2- ASPECTOS TEacuteCNICOS 0521 USO DE SISTEMAS CAPTCHA 06

22 ELIMINACIOacuteN DE METADATOS 07

23 ACTUALIZACIOacuteN DEL GESTOR DE CONTENIDOS 08

24 CONTRASENtildeAS ROBUSTAS Y SEGURA 09

25 GUARDADO DE REGISTROS (LOGGING) 10

26 COPIAS DE SEGURIDAD 11

27 ENTORNOS DE PRODUCCIOacuteN Y PRUEBASA 12

28 METODOLOGIacuteA DE DESARROLLO SEGURO 13

29 UBICACIOacuteN DE LA PAacuteGINA WEB DENTRO DE NUESTRA RED 14

210 CONEXIONES HACIA EL EXTERIOR 15

211 MONITORIZACIOacuteN DEL TRAacuteFICO 16

212 SISTEMA DE RESPALDO 17

213 AUDITORIacuteA TEacuteCNICA 18

3- MEacuteTODOS DE PAGO ONLINE 20

4- CERTIFICADOS DIGITALES 22

5- CUMPLIMIENTO LEGAL Y NORMATIVO 2451 NORMATIVA DE USO DEL SITIO WEBA 25

52 AVISO LEGAL 26

53 POLIacuteTICA DE PRIVACIDAD 27

531 Cookies 28

6- REFERENCIAS 29

2Protege tu web

IacuteNDICEIacuteNDICE DE FIGURASIlustracioacuten 1 Ejemplo de certificado confiable 22

Ilustracioacuten 2 Informacioacuten del certificado 23

3Protege tu web

INTRODUCCIOacuteN

Hoy en diacutea disponer de una paacutegina web es una necesidad de casi cualquier negocio nos permite tener presencia en Internet y ofrecer nuestros servicios de manera global Ademaacutes puede servir para solucionar dudas de potenciales clientes y convertirse en un medio adicional de comunicacioacuten con ellos

El incremento del comercio electroacutenico durante los uacuteltimos antildeos juega un papel vital en la im-portancia de las paacuteginas web de nuestras corporaciones La seguridad de este medio ha adquiri-do una especial relevancia tanto por las implicaciones econoacutemicas como de reputacioacuten e imagen

El nuacutemero de compras a traveacutes de tiendas virtuales va en aumento conforme los clientes van adquiriendo maacutes confianza en los mecanismos de pago Para ello es importante que las em-presas responsables de las tiendas online dispongan de mecanismos de pago seguro

Otro aspecto que debemos considerar para mejorar la confianza de nuestros clientes es la utilizacioacuten de certificados digitales y el cifrado de las conexiones al igual que mostrar la informacioacuten sobre nuestro comercio de la manera maacutes detallada y accesible posible No hay nada que genere maacutes recelos en un posible cliente que una paacutegina web donde no podemos localizar la informacioacuten referente al propietario ya que eso tiende a transmitir una sensacioacuten de inseguridad y desconfianza al usuario que nos visita

A la hora de poner en marcha una paacutegina web podemos alojarla bien en nuestra propia organizacioacuten bien en un proveedor externo Tanto en un caso como en el otro la res-ponsabilidad uacuteltima de la informacioacuten publicada en la paacutegina web y disponible para nuestros clientes es nuestra y en caso de que ocurra un incidente de seguridad las repercusiones le-gales econoacutemicas y de reputacioacuten impactaraacuten sobre nuestra organizacioacuten Por tanto no son aspectos que podamos dejar libremente a criterio del proveedor

1

4Protege tu web

iquestCOacuteMO PROTEGER NUESTRA WEBPara proteger adecuadamente nuestra paacute-gina web independientemente de si la alo-jamos en un proveedor externo o en nues-tra propia organizacioacuten debemos tener en cuenta las siguientes consideraciones des-de cuatro puntos de vista diferentes

aspectos teacutecnicos

meacutetodos de pago online

certificados digitales

cumplimiento legal y normativo

iquestCOacuteMO PROTEGER NUESTRA WEB11

5Protege tu web

ASPECTOS TEacuteCNICOS2Existen ciertos riesgos que debemos iden-tificar y evitar para que la paacutegina web cumpla correctamente su funcioacuten Una de las primeras decisiones que debemos to-mar es sobre quieacuten realizaraacute la gestioacuten de la paacutegina web que podemos ser nosotros mismos o externalizarla Es conveniente evaluar los pros y contras de cada opcioacuten y determinar cuaacutel de ellas nos conviene

Independientemente de quieacuten realice la gestioacuten y mantenimiento de la paacutegina web existen determinadas consideraciones y aspectos a tener en cuenta para garanti-zar su proteccioacuten y seguridad siacute que nos ayudaraacuten a evitar riesgos como

La sustraccioacuten de la base de datos de clientes de nuestra web o de documen-tos privados de la extranet (si dispone-mos de ella)

La alteracioacuten de nuestro portal para insertar un phishing (cambiando el as-pecto de nuestra web para simular a otra empresa) o alguacuten tipo de malware

La manipulacioacuten o modificacioacuten de los contenidos del portal web por ejemplo los precios la descripcioacuten de productos los medios de pago los datos bancarios para realizar la transferencia o los datos de contacto de nuestra empresa

Para que ninguno de los escenarios ante-riores llegue a materializarse en la web de la organizacioacuten es necesario valorar los siguientes aspectos y aplicar medidas de seguridad adecuadas

6Protege tu web

Si nuestra paacutegina web permite realizar comentarios o cualquier tipo de interac-cioacuten con el usuario (sistema de valoracioacuten de productos o servicios sugerencias o re-clamaciones etc) debemos valorar el uso de sistemas captcha Estos sistemas impi-den que una maacutequina pueda actuar como si fuera un usuario introduciendo comen-tarios valoraciones o reclamaciones de for-ma automaacutetica Comentarios que pueden incluir spam malicioso o publicitario

Para ello un captcha presenta un conteni-do que difiacutecilmente puede ser interpretado por una maacutequina y nos pide que sea te-cleado de esa manera que se asegura que es un humano el que estaacute al otro lado

Tanto si la gestioacuten de la paacutegina web la lleva-mos nosotros como un tercero debemos valorar la conveniencia del uso de estos mecanismos seguacuten el contenido de nues-tra paacutegina web

USO DE SISTEMAS CAPTCHA21

7Protege tu web

Si vamos a publicar documentos descarga-bles como folletos manuales u otra docu-mentacioacuten en formatos ofimaacuteticos es im-portante que utilicemos alguna herramienta para eliminar los metadatos que estos do-cumentos guardan ya que pueden propor-cionar informacioacuten a un posible atacante sobre nombres de usuarios equipos directorios etc Actualmente los principa-les productos de ofimaacutetica incorporan fun-cionalidades para realizar esta tarea

Nosotros mismos como generadores de los documentos a publicar en nuestra web debemos ser los que revisemos la correcta eliminacioacuten de metadatos antes de su publi-cacioacuten independientemente de quien sea el encargado de la gestioacuten de la paacutegina web

ELIMINACIOacuteN DE METADATOS22

8Protege tu web

Es habitual que actualmente las paacutegi-nas web esteacuten basadas en los llamados gestores de contenidos (CMS) como Joomla Drupal Wordpress etc Se trata de herramientas que facilitan enormemen-te el proceso de creacioacuten y actualizacioacuten y mantenimiento de una paacutegina web Si este es nuestro caso es fundamental que man-tengamos el gestor de contenido correcta-mente actualizado

Cuando se descubre una vulnerabilidad nueva en un CMS los ciberdelincuentes realizan sondeos mediante sistemas auto-maacuteticos en busca de paacuteginas con esas ver-siones vulnerables

Ademaacutes el gestor de contenidos (CMS)

puede hacer uso de alguacuten complemento (o plugin) Es conveniente que dichos com-plementos sean ampliamente utilizados en internet lo que garantiza su soporte y fre-cuente actualizacioacuten frente a posibles inci-dencias de funcionalidad y seguridad

Tanto si la gestioacuten de la paacutegina web la lle-vamos nosotros como un tercero la ac-tualizacioacuten del gestor de contenidos y sus complementos ademaacutes de la actuali-zacioacuten del software del servidor debe-raacuten ser algunas de las tareas perioacutedicas a realizar Por otra parte es conveniente estar suscrito a un servicio de avisos de seguri-dad del propio fabricante del gestor de con-tenidos y de otro software que utilicemos

ACTUALIZACIOacuteN DEL GESTOR DE CONTENIDOS

23

9Protege tu web

Independientemente del gestor debemos asegurarnos de que las claves que dan acceso al panel de control de la paacutegina web mediante el que creamos y actualiza-mos los contenidos se generan cumplien-do unos criterios miacutenimos de seguridad (al menos 8 caracteres y mayuacutesculas mi-nuacutesculas nuacutemeros o siacutembolos) Tambieacuten es importante que estas contrasentildeas sean cambiadas regularmente

Este punto es particularmente importante ya que existen programas automaacuteticos que detectan el gestor de contenidos que utili-zamos y comprueban si la clave de acceso es la que viene establecida por defecto Es recomendable cambiar las contrasentildeas de todos los usuarios por defecto de los gestores de contenidos e incluso deshabi-litarlos si no se van a utilizar Ademaacutes de las contrasentildeas es recomendable tambieacuten modificar los nombres de los usuarios que vienen por defecto como por ejemplo el caso de los administradores

CONTRASENtildeAS ROBUSTAS Y SEGURAS24

10Protege tu web

Para poder investigar cualquier incidente relacionado con nuestra paacutegina web o inclu-so poner los registros a disposicioacuten judicial si se diera el caso es necesario guardar un registro de cualquier interaccioacuten con la paacutegina web Cualquier servidor web dispo-ne por defecto de eacutesta funcionalidad por lo que su activacioacuten es sencilla

Si la gestioacuten del servidor la llevamos no-sotros seremos nosotros los responsa-bles de guardar esos registros durante un periacuteodo de tiempo conveniente Si por el contrario la gestioacuten del servidor es exter-na este aspecto deberaacute estar reflejado en nuestro contrato con el proveedor especi-ficando el tipo de registros que se guardan durante cuaacutento tiempo y la forma de acce-so a dichos registros

GUARDADO DE REGISTROS (LOGGING)25 GUARDADO DE REGISTROS (LOGGING)25

11Protege tu web

Como cualquier elemento de nuestra or-ganizacioacuten y maacutes si nuestra paacutegina web presta servicios criacuteticos para nuestro ne-gocio (comercio electroacutenico medio de contacto habitual con clientes cataacutelogo de productos tarifas etc) debemos disentildear e implementar una poliacutetica de copias de seguridad que salvaguarde toda la infor-macioacuten de nuestra paacutegina web

Si la paacutegina web la gestionamos nosotros mismos deberaacuten incorporarse a la poliacutetica de copias de seguridad todos los elementos que permitan el funcionamiento del portal web y no olvidaacutendonos de las bases de da-tos asociadas si las hubiera Las copias de seguridad deben guardarse en un lugar diferente al origen de los datos y verificar puntualmente que se realizan correctamen-te y que se pueden recuperar los datos

Si la paacutegina web es gestionada por un ter-cero debemos incluir la realizacioacuten de co-pias de seguridad perioacutedicas de todos los elementos que conforman nuestro servi-cio web como parte de nuestro contrato con el proveedor

COPIAS DE SEGURIDAD26 COPIAS DE SEGURIDAD26

12Protege tu web

Si tenemos paacutegina web con una alta com-plejidad puede ser importante disponer de dos entornos diferenciados que sue-len recibir los nombres de produccioacuten y pruebas (o preproduccioacuten) Se trata de dos entornos iguales con los mismos conteni-dos y la misma configuracioacuten Esto nos per-mitiraacute aplicar parches (en el entorno de pruebas) y comprobar el correcto funcio-namiento de las nuevas modificaciones y funcionalidades antes de aplicar los cambios sobre la paacutegina web visible para los usuarios (el entorno de produccioacuten)

Si la paacutegina web la gestionamos nosotros seremos nosotros los responsables de montar y gestionar ambos entornos Mien-tras que si la paacutegina web la gestiona un tercero seraacute responsabilidad de nuestro proveedor cumplir con los requisitos de gestioacuten de ambos entornos

En el caso de que tengamos externalizada nuestra paacutegina web no debemos dele-gar totalmente la seguridad del portal en el proveedor puesto que el impacto de cualquier problema de seguridad recaeraacute siempre sobre nuestra organizacioacuten

PRUEBAS

PRODUCCIOacuteN

ENTORNOS DE PRODUCCIOacuteN Y PRUEBA27

13Protege tu web

Debemos ser capaces de integrar el aacutem-bito de la seguridad a la hora de desarro-llar nuestra paacutegina web tanto si lo hace-mos nosotros como si contratamos este servicio a un tercero Es necesario hacer hincapieacute en aspectos de seguridad tan im-portantes como los funcionales y debemos establecer unos requisitos previos en el campo de la seguridad Este aacutembito es auacuten maacutes importante si vamos a gestionar datos de nuestros clientes a traveacutes de la paacutegina web

Utilizando metodologiacuteas de desarrollo se-guro a la hora de construir nuestra paacutegina web nos aseguramos de que nuestra paacutegi-na web cumple con unos requisitos miacuteni-mos en cuanto a seguridad de la informa-cioacuten Un ejemplo de estas metodologiacuteas de desarrollo seguro es el proyecto OWASP [1] una metodologiacutea accesible que se en-cuentra muy bien documentada

METODOLOGIacuteA DE DESARROLLO SEGURO28

14Protege tu web

Si el alojamiento de nuestra paacutegina web es interno en instalaciones bajo nuestro control debemos ubicar el servidor web en una subred aislada del resto de servi-dores internos de nuestra empresa Para esto necesitamos crear una subred accesi-ble desde el exterior y separada de nues-tra red interna mediante segmentacioacuten de red A esta subred se le llama DMZ o zona desmilitarizada

Desde la DMZ no debe haber visibilidad de la red interna de nuestra organizacioacuten Es decir si nos conectamos fiacutesicamente a un servidor alojado en la DMZ no podremos acceder a un sistema de la red interna de la empresa De esta manera en caso de que nuestra paacutegina web sea atacada no seraacute posible que este ataque afecte al res-to de la organizacioacuten

Para conseguirlo el traacutefico entre la DMZ y la red interna de la empresa deberiacutea ser filtrado mediante un cortafuegos

Si la paacutegina web es alojada por un tercero su ubicacioacuten no es un riesgo para el res-to de nuestra infraestructura ya que eacutesta estaraacute albergada en la red de nuestro pro-veedor y no tendraacute ninguna conexioacuten di-recta con nuestra red corporativa

UBICACIOacuteN DE LA PAacuteGINA WEB DENTRO DE NUESTRA RED

29

15Protege tu web

Es posible que nuestra paacutegina web re-quiera conectarse a Internet para realizar sincronizaciones con otras paacuteginas redes sociales o por cualquier otra razoacuten Esto supone que la paacutegina web tendraacute que es-tablecer conexiones laquohacia el exteriorraquo

Este tipo de comportamiento y de cone-xiones debe mantenerse bajo control para asiacute evitar que si el servidor que aloja la paacute-gina web se ve comprometido el atacante no seraacute capaz de establecer conexiones al exterior realizar ataques a otras empresas o utilizar nuestro sistema o nuestra paacutegina para fines ilegales

Tanto si la gestioacuten de la paacutegina web la lle-vamos nosotros como si la lleva un terce-ro las conexiones hacia el exterior desde nuestra paacutegina web deberaacuten estar admi-nistradas y controladas por una poliacutetica de conexiones apropiada en el firewall corres-pondiente idealmente mediante una po-liacutetica de lista blanca (permitiendo soacutelo aquellas conexiones autorizadas)

CONEXIONES HACIA EL EXTERIOR210

16Protege tu web

Para la deteccioacuten de cualquier tipo de ata-que que nuestra web pueda sufrir es una buena praacutectica la monitorizacioacuten tanto del traacutefico recibido como del traacutefico generado De este modo no soacutelo se pue-den detectar posibles ataques sino tam-bieacuten otras situaciones en las que la web haya sido comprometida

Si la paacutegina web la gestionamos nosotros mismos es necesario instalar en nuestra red (si no las tenemos auacuten) ciertas herramientas como un sistema de deteccioacuten de intru-sos o IDS Este sistema de seguridad revisa el traacutefico que se transmite a traveacutes de la red identificando posibles comportamientos sospechosos traacutefico con patrones que res-ponden a ataques incremento excesivo de las comunicaciones o buacutesqueda de vulnera-bilidades propias de los entornos web

Ademaacutes es muy recomendable instalar un cortafuegos de aplicacioacuten web o Web Application Firewall (WAF) Estos corta-fuegos son sistemas de seguridad especiacutefi-cos para los servidores de aplicaciones que funcionan detraacutes de algunas paacuteginas web Su funcioacuten es prevenir y detener ataques especiacuteficos que no son detectados como tales por un cortafuegos de red

Si la paacutegina web es gestionada por un ter-cero debemos incluir eacutesta monitorizacioacuten y supervisioacuten del traacutefico de red de nuestra paacutegina como parte del contrato de nivel de servicio con el proveedor

MONITORIZACIOacuteN DEL TRAacuteFICO211

17Protege tu web

Para evitar que un incidente nos deje sin paacutegina web podemos disponer de un sis-tema de respaldo de nuestra paacutegina web que nos permita ofrecer al usuario un con-junto de funcionalidades miacutenimas en caso de que falle la paacutegina web principal

Si la paacutegina web la gestionamos nosotros podemos consultar con un proveedor ex-terno o habilitar un servidor con menor potencia que se mantenga en modo pasi-vo hasta que sea necesario Este servidor de respaldo no tiene que cubrir todas las funcionalidades del portal central pero siacute aquellas que nos permitan dar una res-puesta y un punto de contacto con nues-tros clientes

Es recomendable que dicho servidor no comparta la infraestructura principal del servidor principal dado que en casos como la caiacuteda del suministro eleacutectrico o la red ambos sistemas se veriacutean afectados

Si la paacutegina web la gestiona un tercero este aspecto y sus particularidades deberaacuten es-tar recogidos en el acuerdo de servicio con el proveedor

No debemos olvidar que todos los aspectos de seguridad a los que el proveedor se com-prometa asiacute como muchos otros deben fi-gurar en el documento de contratacioacuten

SISTEMA DE RESPALDO212

18Protege tu web

Es recomendable que antes de publicar nuestra paacutegina web en Internet llevemos a cabo un anaacutelisis teacutecnico de seguridad o auditoriacutea teacutecnica tanto de nuestra paacutegina web como del servidor que la contiene Esto es especialmente importante si nuestra paacutegina web no es meramente informativa sino que va a gestionar datos de nuestros clientes

Como parte de esta auditoriacutea teacutecnica se deben llevar a cabo una serie de pruebas que inclu-yen entre otras

Anaacutelisis de visibilidad externa Se comprueban las funcionalidades accesibles desde el exterior a nivel de servidor el gestor de contenidos usado y los complementos utilizados Se evaluacutea si es necesario que dichos complementos y funcionalidades esteacuten habilitados y si no lo es se deshabilitan para evitar que posibles atacantes puedan aprovecharlas en su beneficio

Contenido del directorio web Cualquier archivo o informacioacuten almacenados en el di-rectorio de nuestra web es susceptible de ser accedido desde Internet aunque no esteacute directamente enlazado desde nuestra paacutegina web

Es recomendable que el contenido del directorio donde se aloja nuestra paacutegina web ya sea propio o de un tercero sea revisado frecuentemente y que se evite almacenar en eacutel cualquier informacioacuten sensible

AUDITORIacuteA TEacuteCNICA213

19Protege tu web

Buacutesqueda de vulnerabilidades propias de los entornos y lenguajes de programacioacuten utilizados para crear la paacutegina web A la hora de realizar esta buacutesqueda de vulnerabilida-des se puede utilizar la metodologiacutea OWASP [1] entre otras Entre las posibles vulnera-bilidades que puede tener un portal las maacutes tiacutepicas son

raquo Cross-Site Scripting o XSS La ejecucioacuten de un ataque de XSS consiste en el enviacuteo de un coacutedigo malicioso como parte de una peticioacuten aparentemente legiacutetima Los puntos de entrada maacutes habituales son los formularios en liacutenea Una vez ejecutado el XSS el atacante puede ser capaz de cambiar configuraciones de usuarios secuestrar cuentas envenenar cookies exponer conexiones seguras acceder a sitios restringidos y hasta instalar publici-dad en la web viacutectima del ataque

raquo Inyeccioacuten de SQL Un ataque de inyeccioacuten de SQL consiste en la ejecucioacuten de un co-mando malicioso de acceso o modificacioacuten de una base de datos como parte de una peti-cioacuten a una paacutegina web Una deficitaria validacioacuten de los datos de entrada en la web puede permitir la realizacioacuten de consultas no autorizadas a la base de datos

Estos anaacutelisis teacutecnicos deben ser realizados por profesionales de la seguridad en sistemas informaacuteticos y es recomendable que los lleve a cabo una empresa independiente que no haya participado en los procesos de desarrollo y gestioacuten de nuestro sitio web

20Protege tu web

MEacuteTODOS DE PAGO ONLINE3En el caso de que nuestra paacutegina web incor-pore la posibilidad de vender productos es importante seleccionar un sistema de pago adecuado para que nuestros clientes se sientan coacutemodos y seguros con la compra

Disponemos de varias soluciones de pago online para nuestra paacutegina web pago a contra-reembolso transferencia bancaria pago con tarjeta de creacutedito o a traveacutes de entidades intermedias entre las que des-taca Paypal aunque existen otras como Google Wallet o Amazon Payments Cada una de estos sistemas tiene sus ventajas y particularidades tanto para nuestro cliente como para nosotros

Aunque el pago contrarrembolso no es una forma de pago online como tal ya que el producto se abona en mano cuando llega el pedido siacute es una forma de pago que se ofrece habitualmente en Internet

La ventaja para el usuario de este sistema es que le garantiza que soacutelo pagaraacute por el producto si lo recibe y que no es necesario que enviacutee sus datos bancarios por Internet

Sin embargo nosotros como vendedores debemos tener en cuenta la posibilidad de que un cliente decida rechazar un produc-to que ha comprado y tengamos que hacer frente a los costes de mensajeriacutea inventa-rio etc Por ello puede ser necesario es-tablecer un pequentildeo coste adicional que nos cubra ante este tipo de imprevistos

Mediante la transferencia bancaria el comprador hace el pago directamen-te a traveacutes de su banco mediante una transferencia a una cuenta bancaria que le facilitamos

Debemos tener en cuenta que algunos usuarios son reticentes a este tipo de pa-gos imposibles de cancelar una vez se ha asentado el apunte en la cuenta destina-tario El plazo suele ser un diacutea y ademaacutes

euro

21Protege tu web

puede tener un coste asociado El cliente puede ponerse en contacto con nosotros para recuperar el dinero por lo que debe-mos valorar sus ventajas e inconvenientes para nuestra estrategia de venta

El pago con tarjeta es actualmente la opcioacuten maacutes utilizada y traslada al clien-te sensacioacuten de seguridad siempre que se realice mediante la pasarela de pago de una entidad bancaria De este modo nosotros nunca accederemos a los datos de la tarjeta sino que dicha informacioacuten seraacute proporcionada exclu-sivamente al banco

Para poder cobrar de esta forma debemos contactar con una entidad bancaria para la instalacioacuten de una plataforma segura de pago Las comunicaciones de estos termi-nales de punto de venta o TPV virtuales van siempre cifradas (a traveacutes del protocolo TLS o Seguridad de la Capa de Transporte de sus siglas en ingleacutes Transport Layer Security) e incorporan medidas de seguridad adiciona-les proporcionadas por el banco como tar-

jeta de coordenadas o coacutedigo de confirma-cioacuten por SMS al moacutevil (Short Message Service)

Otra ventaja es que para el cliente es la for-ma maacutes faacutecil y raacutepida de pagar ya que el pago es aceptado al instante

El pago mediante entidades inter-mediarias es una opcioacuten cada vez maacutes utilizada y aceptada por los clien-tes siempre que se trate de entidades reputadas como Paypal o asociadas a grandes empresas como Google

En este caso el cliente realizaraacute el pago a traveacutes de la entidad intermediadora y eacutesta nos lo remitiraacute a nosotros Este tipo de ser-vicios tienen un coste para el vendedor por lo que deberaacute analizarse su convenien-cia en funcioacuten del volumen de ventas

22Protege tu web

CERTIFICADOS DIGITALES4Los casos de intento de fraude en Inter-net se incrementan a la vez que aumenta el uso de este medio para realizar compras o acciones donde se tengan que facilitar datos confidenciales especialmente banca-rios

Para que estos intentos de fraude no sean exitosos hay que tomar medidas y ade-maacutes generar la confianza necesaria para que los visitantes y clientes sientan que su informacioacuten estaacute a salvo Siempre que en la visita esteacute implicada una compra es necesario que el cliente perciba que pro-tegemos la confidencialidad y autenticidad de las comunicaciones mediante los ele-mentos caracteriacutesticos de una conexioacuten segura laquocandadoraquo visible en la paacutegina di-reccioacuten laquohttpsraquo textos informativos etc

Todos estos elementos de conexioacuten se-

INCIBE

INSTITUTO NACIONAL DE TECNOLOGIacuteAS DE LA COMUNICACIOacuteN SA [ES] httpswwwincibees

Ilustracioacuten 1Ejemplo de certificado confiable

gura los aporta un certificado digital una herramienta que identifica inequiacutevo-camente un sitio web igual que un DNI identifica a un ciudadano espantildeol Los certificados digitales son emitidos por entidades internacionales de presti-gio que certifican que el sitio al que ac-cedemos es auteacutentico y legiacutetimo Dichas entidades se denominan Autoridades de Certificacioacuten Un certificado digital nos aporta tambieacuten la ventaja de que toda las comunicaciones entre el usuario y nuestro servidor estaacuten cifradas mediante una clave de cifrado uacutenica asociada al certificado Por ello es fundamental la instalacioacuten de este tipo de certificados en cualquier paacutegina de comercio electroacutenico

Un ejemplo de una paacutegina con un certifica-do confiable es el siguiente

23Protege tu web

Podemos comprobar que es una paacutegina web que va cifrada (ya que el protocolo es https) y que dispone de un certificado digital de confianza Esto lo reconocemos porque aparece el candado y el nombre de la identidad verificada coincide con la del dominio Pulsando sobre el candado podemos obtener la informacioacuten sobre el certificado

Ilustracioacuten 2Informacioacuten del certifido

24Protege tu web

CUMPLIMIENTO LEGAL Y NORMATIVO5En cualquier paacutegina web el cumplimiento legal y normativo tiene un papel especial-mente importante ya que en este caso no se trata de recomendaciones sino de im-perativos legales

Nuestra web deberaacute contener al menos

normativa de uso del sitio web

aviso legal

poliacutetica de privacidad

25Protege tu web

La normativa de uso es la informacioacuten que el propietario de la paacutegina aporta al usua-rio respecto a

el contenido del portal web que visita

la finalidad del sitio

tratamiento de datos correspondiente

uso de cookies en el sitio web

Esta informacioacuten cumpliraacute en el caso de que se realicen actividades econoacutemicas lo indicado en la LSSI-CE (Ley 342002) [3]

En cuanto al contenido del portal se debe incluir el tipo de licencia y la informacioacuten de derechos de autor [5] de la informa-cioacuten contenida Estos aspectos le indican al usuario queacute derechos tiene sobre el contenido web Los tipos de licencia maacutes comunes son Creative Commons Copyleft y Copyright

Copyright Esta licencia es la maacutes co-nocida porque es la que se usa en la mayoriacutea de libros peliacuteculas y discos Con esta licencia soacutelo el autor puede utilizar la obra creada y si un terce-ro desea utilizarla soacutelo podraacute hacerlo con consentimiento del creador Una vez adquirida la obra no se podraacute dis-tribuir pues esta licencia soacutelo permite disponer de la obra para uso personal

Copyleft Este tipo de licencia permi-

te el uso la modificacioacuten y distribucioacuten del contenido de nuestra web siempre que mantenga las mismas condiciones de utilizacioacuten y difusioacuten en las obras que se creen a partir de la original

Creative Commons (CC) [6] Hay dife-rentes tipos de licencias dentro de la CC pero todas ellas permiten la reproduc-cioacuten y distribucioacuten con la obligacioacuten de mencionar al autor de la obra Seguacuten el tipo de CC usada se puede especificar entre otras cosas si se permite el uso comercial o crear un trabajo derivado del original

NORMATIVA DE USO DEL SITIO WEB51

26Protege tu web

El aviso legal es otra informacioacuten que de-bemos ofrecer al usuario de nuestra paacutegi-na web si esta tiene fines comerciales en cumplimiento con la LSSI-CE [3] Esta ley aplica a las actividades que se realicen por Internet u otros medios telemaacuteticos y per-sigan un fin econoacutemico es decir cuando el responsable del portal recibe ingresos directos (por prestar un servicio o por la venta de un producto) o indirectos (publici-dad mostrada en el sitio)

La ley indica que en el aviso legal debe constar de una forma sencilla directa y permanente la siguiente informacioacuten de nuestra empresa

denominacioacuten social

coacutedigo de Identificacioacuten Fiscal (CIF) o Nuacutemero de identificacioacuten fiscal (NIF)

domicilio y direccioacuten de correo elec-troacutenico

los datos de inscripcioacuten del registro mercantil si fuese el caso

No necesariamente en el aviso legal pero tambieacuten debemos indicar el precio de los productos o servicios con indicacioacuten de los impuestos y gastos de enviacuteo si los hubiese

Por uacuteltimo en el caso de que se lleven a cabo contratos online se debe tambieacuten informar en un paso previo al proceso de contratacioacuten de

los traacutemites que deben seguirse para contratar online

si el documento electroacutenico del contra-to se va a archivar y de si seraacute accesible

los medios teacutecnicos para identificar y corregir errores en la introduccioacuten de datos

los idiomas en que podraacute formalizarse el contrato

AVISO LEGAL52

27Protege tu web

Nuestra paacutegina web si desde ella toma-mos datos personales deberaacute contener una poliacutetica de privacidad para cumplir con el RGPD [2] Esta poliacutetica tendraacute ademaacutes de informacioacuten sobre los responsables del sitio web

La existencia de un tratamiento de da-tos de caraacutecter personal Por ejemplo laquoClientes onlineraquo

La finalidad de la recogida de eacutestos Por ejemplo realizar compras online

La identidad y direccioacuten del responsa-ble del tratamiento en este caso nues-tra empresa

Si existe alguna cesioacuten de esos datos para lo que es necesario recabar el consentimiento del usuario

Doacutende ejercer los derechos de ser infor-mado derecho de acceso derecho de rectificacioacuten derecho a supresioacuten (dere-cho al olvido) derecho a la limitacioacuten del tratamiento derecho a la portabilidad derecho de oposicioacuten (o a la exclusioacuten voluntaria) y el derecho a no someterse a la toma de decisiones automatizadas incluyendo la elaboracioacuten de perfiles

Toda esta informacioacuten debe quedar cla-ramente reflejada ser comprensible para nuestros visitantes y estar accesible en la paacutegina web

Para cumplir con el RGPD no basta con informar en la poliacutetica de privacidad de lo indicado anteriormente debemos cumplir con las medidas de seguridad recogidas en dicho Reglamento [2]

POLIacuteTICA DE PRIVACIDAD53

28Protege tu web

Un aspecto particular a tener en cuenta es la normativa de cookies [4]

Si las cookies son utilizadas para la comuni-cacioacuten entre el equipo del usuario y la red o son utilizadas para prestar un servicio solicitado por el usuario es suficiente con mencionar dicho aspecto en la poliacutetica de privacidad o en el aviso legal

Si utilizamos las cookies para realizar es-tadiacutesticas de navegacioacuten para analizar la actividad de los usuarios o para fines publicitarios debemos aplicar el artiacuteculo 22 de la LSSI [3]

En estos casos es necesario incluir la si-guiente informacioacuten

queacute son las cookies

para queacute se utilizan en la paacutegina web

quieacuten las instala y gestiona

coacutemo pueden ser rechazadas por el usuario indicando algunos pasos ex-plicativos para que el visitante sepa re-chazarlas en el navegador que utilice

De nuevo toda esta informacioacuten se debe facilitar al visitante de forma clara y visi-ble y debe ser aceptada por el usuario Es suficiente con pedir el consentimien-to en la primera visita En cualquier caso siempre que se haya informado conve-nientemente se asume que da el con-

sentimiento si el usuario sigue navegan-do

COOKIES531

29Protege tu web

REFERENCIAS6[Ref - 1] Open Web Application Security Project OWASP - httpswwwowasporg

[Ref - 2] INCIBE Ganar en competitividad cumpliendo el RGPD una guiacutea de aproxi-macioacuten para el empresario - httpswwwincibeessitesdefaultfilescontenidosguiasdoc

[Ref - 3] BOE Ley 342002 de 11 de julio de servicios de la sociedad de la informacioacuten y de comercio electroacutenico - httpswwwboeesbuscarpdf2002BOE-A-2002-13758-con-solidadopdf

[Ref - 4] AEPD Guiacutea sobre el uso de las cookies - httpswwwaepdesmediaguiasguia-cookiespdf

[Ref - 5] BOE Legislacioacuten Coacutedigos Propiedad Intelectual - httpswwwboeeslegisla-cioncodigoscodigophpid=87ampmodo=1ampnota=0amptab=2

[Ref - 6] Licencias Creative Commons - httpscreativecommonsorglicenseslang=es_ES

1Protege tu web

IacuteNDICEIacuteNDICE1- INTRODUCCIOacuteN 03

11 iquestCOacuteMO PROTEGER NUESTRA WEB 04

2- ASPECTOS TEacuteCNICOS 0521 USO DE SISTEMAS CAPTCHA 06

22 ELIMINACIOacuteN DE METADATOS 07

23 ACTUALIZACIOacuteN DEL GESTOR DE CONTENIDOS 08

24 CONTRASENtildeAS ROBUSTAS Y SEGURA 09

25 GUARDADO DE REGISTROS (LOGGING) 10

26 COPIAS DE SEGURIDAD 11

27 ENTORNOS DE PRODUCCIOacuteN Y PRUEBASA 12

28 METODOLOGIacuteA DE DESARROLLO SEGURO 13

29 UBICACIOacuteN DE LA PAacuteGINA WEB DENTRO DE NUESTRA RED 14

210 CONEXIONES HACIA EL EXTERIOR 15

211 MONITORIZACIOacuteN DEL TRAacuteFICO 16

212 SISTEMA DE RESPALDO 17

213 AUDITORIacuteA TEacuteCNICA 18

3- MEacuteTODOS DE PAGO ONLINE 20

4- CERTIFICADOS DIGITALES 22

5- CUMPLIMIENTO LEGAL Y NORMATIVO 2451 NORMATIVA DE USO DEL SITIO WEBA 25

52 AVISO LEGAL 26

53 POLIacuteTICA DE PRIVACIDAD 27

531 Cookies 28

6- REFERENCIAS 29

2Protege tu web



3Protege tu web

INTRODUCCIOacuteN






1

4Protege tu web







5Protege tu web







6Protege tu web





7Protege tu web




8Protege tu web







23

9Protege tu web




10Protege tu web




11Protege tu web





12Protege tu web




PRUEBAS

PRODUCCIOacuteN


13Protege tu web




14Protege tu web






29

15Protege tu web





16Protege tu web






17Protege tu web







18Protege tu web







19Protege tu web





20Protege tu web








euro

21Protege tu web








22Protege tu web




INCIBE





23Protege tu web



24Protege tu web




aviso legal


25Protege tu web













26Protege tu web













AVISO LEGAL52

27Protege tu web










28Protege tu web











COOKIES531

29Protege tu web







2Protege tu web



3Protege tu web

INTRODUCCIOacuteN






1

4Protege tu web







5Protege tu web







6Protege tu web





7Protege tu web




8Protege tu web







23

9Protege tu web




10Protege tu web




11Protege tu web





12Protege tu web




PRUEBAS

PRODUCCIOacuteN


13Protege tu web




14Protege tu web






29

15Protege tu web





16Protege tu web






17Protege tu web







18Protege tu web







19Protege tu web





20Protege tu web








euro

21Protege tu web








22Protege tu web




INCIBE





23Protege tu web



24Protege tu web




aviso legal


25Protege tu web













26Protege tu web













AVISO LEGAL52

27Protege tu web










28Protege tu web











COOKIES531

29Protege tu web







3Protege tu web

INTRODUCCIOacuteN






1

4Protege tu web







5Protege tu web







6Protege tu web





7Protege tu web




8Protege tu web







23

9Protege tu web




10Protege tu web




11Protege tu web





12Protege tu web




PRUEBAS

PRODUCCIOacuteN


13Protege tu web




14Protege tu web






29

15Protege tu web





16Protege tu web






17Protege tu web







18Protege tu web







19Protege tu web





20Protege tu web








euro

21Protege tu web








22Protege tu web




INCIBE





23Protege tu web



24Protege tu web




aviso legal


25Protege tu web













26Protege tu web













AVISO LEGAL52

27Protege tu web










28Protege tu web











COOKIES531

29Protege tu web







4Protege tu web







5Protege tu web







6Protege tu web





7Protege tu web




8Protege tu web







23

9Protege tu web




10Protege tu web




11Protege tu web





12Protege tu web




PRUEBAS

PRODUCCIOacuteN


13Protege tu web




14Protege tu web






29

15Protege tu web





16Protege tu web






17Protege tu web







18Protege tu web







19Protege tu web





20Protege tu web








euro

21Protege tu web








22Protege tu web




INCIBE





23Protege tu web



24Protege tu web




aviso legal


25Protege tu web













26Protege tu web













AVISO LEGAL52

27Protege tu web










28Protege tu web











COOKIES531

29Protege tu web







5Protege tu web







6Protege tu web





7Protege tu web




8Protege tu web







23

9Protege tu web




10Protege tu web




11Protege tu web





12Protege tu web




PRUEBAS

PRODUCCIOacuteN


13Protege tu web




14Protege tu web






29

15Protege tu web





16Protege tu web






17Protege tu web







18Protege tu web







19Protege tu web





20Protege tu web








euro

21Protege tu web








22Protege tu web




INCIBE





23Protege tu web



24Protege tu web




aviso legal


25Protege tu web













26Protege tu web













AVISO LEGAL52

27Protege tu web










28Protege tu web











COOKIES531

29Protege tu web







6Protege tu web





7Protege tu web




8Protege tu web







23

9Protege tu web




10Protege tu web




11Protege tu web





12Protege tu web




PRUEBAS

PRODUCCIOacuteN


13Protege tu web




14Protege tu web






29

15Protege tu web





16Protege tu web






17Protege tu web







18Protege tu web







19Protege tu web





20Protege tu web








euro

21Protege tu web








22Protege tu web




INCIBE





23Protege tu web



24Protege tu web




aviso legal


25Protege tu web













26Protege tu web













AVISO LEGAL52

27Protege tu web










28Protege tu web











COOKIES531

29Protege tu web







7Protege tu web




8Protege tu web







23

9Protege tu web




10Protege tu web




11Protege tu web





12Protege tu web




PRUEBAS

PRODUCCIOacuteN


13Protege tu web




14Protege tu web






29

15Protege tu web





16Protege tu web






17Protege tu web







18Protege tu web







19Protege tu web





20Protege tu web








euro

21Protege tu web








22Protege tu web




INCIBE





23Protege tu web



24Protege tu web




aviso legal


25Protege tu web













26Protege tu web













AVISO LEGAL52

27Protege tu web










28Protege tu web











COOKIES531

29Protege tu web







8Protege tu web







23

9Protege tu web




10Protege tu web




11Protege tu web





12Protege tu web




PRUEBAS

PRODUCCIOacuteN


13Protege tu web




14Protege tu web






29

15Protege tu web





16Protege tu web






17Protege tu web







18Protege tu web







19Protege tu web





20Protege tu web








euro

21Protege tu web








22Protege tu web




INCIBE





23Protege tu web



24Protege tu web




aviso legal


25Protege tu web













26Protege tu web













AVISO LEGAL52

27Protege tu web










28Protege tu web











COOKIES531

29Protege tu web







9Protege tu web




10Protege tu web




11Protege tu web





12Protege tu web




PRUEBAS

PRODUCCIOacuteN


13Protege tu web




14Protege tu web






29

15Protege tu web





16Protege tu web






17Protege tu web







18Protege tu web







19Protege tu web





20Protege tu web








euro

21Protege tu web








22Protege tu web




INCIBE





23Protege tu web



24Protege tu web




aviso legal


25Protege tu web













26Protege tu web













AVISO LEGAL52

27Protege tu web










28Protege tu web











COOKIES531

29Protege tu web







10Protege tu web




11Protege tu web





12Protege tu web




PRUEBAS

PRODUCCIOacuteN


13Protege tu web




14Protege tu web






29

15Protege tu web





16Protege tu web






17Protege tu web







18Protege tu web







19Protege tu web





20Protege tu web








euro

21Protege tu web








22Protege tu web




INCIBE





23Protege tu web



24Protege tu web




aviso legal


25Protege tu web













26Protege tu web













AVISO LEGAL52

27Protege tu web










28Protege tu web











COOKIES531

29Protege tu web







11Protege tu web





12Protege tu web




PRUEBAS

PRODUCCIOacuteN


13Protege tu web




14Protege tu web






29

15Protege tu web





16Protege tu web






17Protege tu web







18Protege tu web







19Protege tu web





20Protege tu web








euro

21Protege tu web








22Protege tu web




INCIBE





23Protege tu web



24Protege tu web




aviso legal


25Protege tu web













26Protege tu web













AVISO LEGAL52

27Protege tu web










28Protege tu web











COOKIES531

29Protege tu web







12Protege tu web




PRUEBAS

PRODUCCIOacuteN


13Protege tu web




14Protege tu web






29

15Protege tu web





16Protege tu web






17Protege tu web







18Protege tu web







19Protege tu web





20Protege tu web








euro

21Protege tu web








22Protege tu web




INCIBE





23Protege tu web



24Protege tu web




aviso legal


25Protege tu web













26Protege tu web













AVISO LEGAL52

27Protege tu web










28Protege tu web











COOKIES531

29Protege tu web







13Protege tu web




14Protege tu web






29

15Protege tu web





16Protege tu web






17Protege tu web







18Protege tu web







19Protege tu web





20Protege tu web








euro

21Protege tu web








22Protege tu web




INCIBE





23Protege tu web



24Protege tu web




aviso legal


25Protege tu web













26Protege tu web













AVISO LEGAL52

27Protege tu web










28Protege tu web











COOKIES531

29Protege tu web







14Protege tu web






29

15Protege tu web





16Protege tu web






17Protege tu web







18Protege tu web







19Protege tu web





20Protege tu web








euro

21Protege tu web








22Protege tu web




INCIBE





23Protege tu web



24Protege tu web




aviso legal


25Protege tu web













26Protege tu web













AVISO LEGAL52

27Protege tu web










28Protege tu web











COOKIES531

29Protege tu web







15Protege tu web





16Protege tu web






17Protege tu web







18Protege tu web







19Protege tu web





20Protege tu web








euro

21Protege tu web








22Protege tu web




INCIBE





23Protege tu web



24Protege tu web




aviso legal


25Protege tu web













26Protege tu web













AVISO LEGAL52

27Protege tu web










28Protege tu web











COOKIES531

29Protege tu web







16Protege tu web






17Protege tu web







18Protege tu web







19Protege tu web





20Protege tu web








euro

21Protege tu web








22Protege tu web




INCIBE





23Protege tu web



24Protege tu web




aviso legal


25Protege tu web













26Protege tu web













AVISO LEGAL52

27Protege tu web










28Protege tu web











COOKIES531

29Protege tu web







17Protege tu web







18Protege tu web







19Protege tu web





20Protege tu web








euro

21Protege tu web








22Protege tu web




INCIBE





23Protege tu web



24Protege tu web




aviso legal


25Protege tu web













26Protege tu web













AVISO LEGAL52

27Protege tu web










28Protege tu web











COOKIES531

29Protege tu web







18Protege tu web







19Protege tu web





20Protege tu web








euro

21Protege tu web








22Protege tu web




INCIBE





23Protege tu web



24Protege tu web




aviso legal


25Protege tu web













26Protege tu web













AVISO LEGAL52

27Protege tu web










28Protege tu web











COOKIES531

29Protege tu web







19Protege tu web





20Protege tu web








euro

21Protege tu web








22Protege tu web




INCIBE





23Protege tu web



24Protege tu web




aviso legal


25Protege tu web













26Protege tu web













AVISO LEGAL52

27Protege tu web










28Protege tu web











COOKIES531

29Protege tu web







20Protege tu web








euro

21Protege tu web








22Protege tu web




INCIBE





23Protege tu web



24Protege tu web




aviso legal


25Protege tu web













26Protege tu web













AVISO LEGAL52

27Protege tu web










28Protege tu web











COOKIES531

29Protege tu web







21Protege tu web








22Protege tu web




INCIBE





23Protege tu web



24Protege tu web




aviso legal


25Protege tu web













26Protege tu web













AVISO LEGAL52

27Protege tu web










28Protege tu web











COOKIES531

29Protege tu web







22Protege tu web




INCIBE





23Protege tu web



24Protege tu web




aviso legal


25Protege tu web













26Protege tu web













AVISO LEGAL52

27Protege tu web










28Protege tu web











COOKIES531

29Protege tu web







23Protege tu web



24Protege tu web




aviso legal


25Protege tu web













26Protege tu web













AVISO LEGAL52

27Protege tu web










28Protege tu web











COOKIES531

29Protege tu web







24Protege tu web




aviso legal


25Protege tu web













26Protege tu web













AVISO LEGAL52

27Protege tu web










28Protege tu web











COOKIES531

29Protege tu web







25Protege tu web













26Protege tu web













AVISO LEGAL52

27Protege tu web










28Protege tu web











COOKIES531

29Protege tu web







26Protege tu web













AVISO LEGAL52

27Protege tu web










28Protege tu web











COOKIES531

29Protege tu web







27Protege tu web










28Protege tu web











COOKIES531

29Protege tu web







28Protege tu web











COOKIES531

29Protege tu web







29Protege tu web







protege tu web€¦ · contenidos del portal web, por ejemplo los precios, la descripción de...

Documents