Post on 05-Dec-2014
description
transcript
Jornada de seguridad y
legislación web
José Miguel Cardona Pastor
Socio Director. Consultoría TI
AUREN
CISA, CISM, CISSP, CRISC, AMBCI, ITILv3, Auditor Jefe ISO 27001/ISO 20000
jmcardona@vlc.auren.es
16 de julio de 2014
Índice• Objetivos
• Contexto y Definiciones
• Caso práctico
• Leyes que nos afectan
• Generar confianza.
• Conclusiones.
Objetivos
¿Qué buscamos con esta Jornada?
• Revisión de la seguridad y normativas relevantes aplicables a webs.
• Indicar aspectos a tener en cuenta en nuestras webs.
• Plantear situaciones reales que nos pueden ocurrir.
• Evitar inconvenientes de nuestra presencia en Internet.
¿Cómo lo haremos?
• Repaso aspectos clave de legislación aplicable.
• Casos prácticos.
• Ejemplos
Definición de e-commerce
El comercio electrónico, también conocido como e-commerce
(electronic commerce en inglés), consiste en la compra y venta de
productos o de servicios a través de medios electrónicos, tales como
Internet y otras redes informáticas.
Contratación Electrónica
Un contrato electrónico es un contrato en el que la oferta y la aceptación se
transmiten por medio de equipos electrónicos de tratamiento y
almacenamiento de datos, conectados a una red de telecomunicaciones.
¿Qué ventajas me da internet?
• Facilidad para comunicarse con clientes, empresarios, organizaciones…
• Comodidad en las transacciones.
• Abierto las 24h todos los días del año.
• Mayor visibilidad de productos y servicios.
• Ofrecer productos más económicos.
• Menos complicaciones para los clientes.
• No se requiere una gran inversión.
• Crecimiento como marca.
• ¿Son todo ventajas?
Caso práctico
Quiero abrir una tienda online de camisetas…
• Llamo a mi amigo informático o contrato a una empresa
• Compra el dominio y sitio web donde alojar la página.
• Se pone a ello y tras un tiempo, la tienda online ya está en marcha!
• Ya tengo todo acordado con mis proveedores de camisetas.
• Pongo todos mis artículos con sus fotos y descripciones.
• No vendo nada, compro espacios de publicidad en varias webs.
Caso práctico
¿Qué tiene mi tienda online?
• La página principal.
• Categorías: niño/a, mujer y hombre.
• En cada una de las camisetas:
– Imagen.
– Tallas disponibles.
– Descripción.
• Formulario de contacto.
• Herramientas para analizar las visitas a mi web.
Caso práctico
¿Cómo se venden las camisetas?
• Elijo camiseta y le doy a comprar.
• Pide los datos necesarios para el envío.
• Se índica el precio de la camiseta.
• Se realiza el pago mediante tarjeta.
• Se envía un email de confirmación.
• El cliente se añade automáticamente al newsletter.
• Se envía el pedido.
Caso práctico
Esta todo montado y funciona……….por fin
¡¡¡¡¡¡A VENDER!!!!!
Caso práctico
Hasta que un día…
Un usuario me envía un email indicándome que quiere solicitar la cancelación
de sus datos personales. Como voy muy liado, no le doy importancia, tampoco
sé que quiere decir y lo ignoro
El usuario insiste otra vez….Se me olvida, pasa el tiempo y parece que no pasa
nada
Pero tres meses más tarde….todo se complica
Me llega una notificación de la Agencia Española de Protección de Datos con un
expediente sancionador derivado de aquel usuario al que no hice caso…….que
podría comerse las ganancias de estos meses!
Se trata de algo relativo a la Ley Orgánica de Protección de datos, pero ¿qué es
eso?
LOPD
¿Qué es?
Una Ley Orgánica española que busca garantizar y proteger todo lo relacionado
con el tratamiento de los datos personales, las libertades públicas y
los derechos fundamentales de las personas físicas.
¿Por qué es necesaria?
• La información es nuestro activo más importante.
• Mantenemos los datos actualizados.
• Evitamos una posible pérdida de información.
• Damos imagen de seriedad.
• Evitamos posibles sanciones.
LOPDDatos personales
Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de
cualquier otro tipo concerniente a personas físicas identificadas o
identificables.
Los datos se organizan en “ficheros”: Por ejemplo, los datos de clientes.
Los ficheros, derechos y deberes
• Inscribir los Ficheros en el Registro General de Protección de Datos.
• Informar y obtener consentimiento acerca del tratamiento.
• Adoptar medidas técnicas y organizativas (RD 1720/2007).
• Informar del ejercicio de los derechos de acceso, rectificación, cancelación y
oposición (ARCO)
LOPD
¿Qué es la AEPD?
La Agencia Española de Protección de Datos (www.agpd.es) es un ente de
derecho público (organismo oficial) cuyas funciones son:
Velar por el cumplimiento de la legislación sobre protección de datos personales y
controlar su aplicación.
Emitir las autorizaciones previstas por la Ley (P. ej.: transferencia internacional)
Dictar las instrucciones precisas para adecuar los tratamientos a los principios de
la ley 15/1999
Atender las peticiones y reclamaciones por las personas afectadas y proporcionar
información a las personas acerca de sus derechos.
Ejercer la potestad sancionadora
Velar por la publicidad de la existencia de los ficheros de datos con carácter
personal.
LOPDDebo plantearme varias preguntas sobre mi tienda online
• ¿Pido consentimiento para poder recoger datos?
• ¿Tengo registrado un fichero en la AEPD?
• ¿Tengo un apartado donde detalle mi ‘Política de privacidad’?
• ¿Doy la opción de modificar o borrar los datos registrados?
Es más…
• ¿Hago algo para evitar la posible pérdida de información?
• ¿La empresa/persona que me desarrolló la Web, tiene acceso a los datos de
mis clientes? ¿alguien más accede?
• ¿Dónde se alojan los datos de mis clientes?
• ¿Los cedo/transfiero a alguien más? Ej.: Empresa de transporte, empresa de
telemarketing
LOPD
¿Qué tipos de sanciones existen?
• Sanción leve
Cantidad: 900€ - 40.000€
Ejemplo: recopilar información sin informar previamente.
• Sanción grave
Cantidad: 40.001€ - 300.000€
Ejemplo: tener ficheros sin sus correspondientes medidas de seguridad.
• Sanción muy grave
Cantidad: 300.001€ - 600.000€
Ejemplo: Cesión de datos a terceros sin consentimiento previo.
Caso práctico
Siguen los problemas…..
Otro usuario mantiene que no se indica claramente los gastos de envío al hacer
el pedido en la Web o durante el proceso de compra (aunque sí estaba
desglosado en la factura) y se siente estafado
¡Amenaza con denunciarme si no se lo reintegro!
LSSI-CE
¿Qué es?
Una Ley española que busca la regulación del régimen jurídico de los servicios
de la sociedad de la información y de la contratación por vía electrónica, en lo
referente a:
• Las obligaciones de los prestadores de servicios.
• Las comunicaciones comerciales por vía electrónica.
• La información previa y posterior a la celebración de contratos electrónicos.
• Las condiciones relativas a su validez y eficacia.
• El régimen sancionador aplicable.
LSSI-CE
¿Cómo dar validez a nuestros contratos?
• Identidad e información de contacto.
• Informar sobre las características esenciales del bien o del servicio.
• Indicar el precio incluyendo impuestos.
• Indicar de los gastos de entrega.
• Indicar las modalidades de pago, entrega o ejecución.
• Comunicar la existencia de un derecho de desistimiento.
• Informar del coste de la comunicación a distancia.
• Plazo de validez de la oferta o del precio.
• En caso de contrato, indicar su duración.
LSSI-CE
En mi tienda online de camisetas
• ¿Aparecen en algún lugar mis datos de contacto?
• ¿Indico mi número de inscripción del registro mercantil?
• ¿En algún apartado indico las condiciones generales del servicio?
A la hora de comprar
No he indicado el precio de cada producto, el tipo de moneda, si incluye
impuestos o cuantía de los gastos de envío.
Y esto no es todo…
Caso práctico
Varios usuarios me instan repetidas veces por correo electrónico que no quiere
que le lleguen más correos de publicidad y me piden que deje de enviarles
publicidad.
Se quejan y me dicen que no me van a comprar más…..
¿Por qué he de dejar de enviarles publicidad si son mis clientes, me compraron
en su día y quiero que conozcan mis novedades?
Estoy totalmente perdido, ¿de dónde vienen todas estas exigencias?
LSSI-CE
Publicidad
• Da igual si aparece en nuestra propia web o en la de otro.
• Debe identificarse claramente a quién se anuncia.
• Tiene que aparecer claramente que lo que se muestra es publicidad
Email marketing
• Debe existir consentimiento o ser solicitado previamente.
• Puede oponerse de manera gratuita y sencilla en cada comunicación
• Debe aparecer la opción de darse de baja en cualquier momento (Ej.: Botón
o enlace de baja en correos electrónicos)
• Palabra “PUBLICIDAD” en el asunto
Caso práctico
Más noticias de la AEPD
Uso cookies en la web para poder tener estadísticas, pero no existe un cartel
de aviso ni pido consentimiento para instalarlas.
¡Recibo otro expediente sancionador de un usuario que directamente me ha
denunciado!
LSSI-CE
¿Qué es una cookie?
Es información enviada por un sitio web y almacenada en el navegador del
usuario, de manera que el sitio web puede consultar la actividad del usuario.
Política de cookies
• Cartel visible que advierta del uso de cookies:
– Indicando su finalidad.
– Indicando si son propias y/o de terceros.
– Pidiendo el consentimiento antes de instalarlas.
• Debe existir un apartado de Política de cookies accesible desde cualquier
parte de la web.
LSSI-CE
¿Qué tipos de sanciones existen?
• Sanción leve
Cantidad: hasta 30.000€
Ejemplo: envío de emails comerciales sin consentimiento del receptor.
• Sanción grave
Cantidad: 30.001€ - 150.000€
Ejemplo: no facilitar los datos identificativos de la empresa.
• Sanción muy grave
Cantidad: 150.001€ - 600.000€
Ejemplo: incumplimiento de órdenes administrativas.
Caso práctico
Devoluciones
Me devuelven una camiseta a los 10 días y yo no le devuelto el dinero porque
no estoy de acuerdo (7 días naturales que es el límite indicado en las
condiciones de mi Web y así lo comunico al usuario)
Estoy en mi derecho!... (¿lo estoy?)
Al tiempo, me llega una reclamación de Consumo….
Ley de Consumidores y Usuarios
Más aspectos a tener en cuenta
• El plazo de desistimiento es de 14 días naturales (antes 7 días hábiles)
• El plazo para desistir, en caso de no haber informado de su existencia, se
amplía a doce meses (antes 3 meses).
• Tengo 14 días naturales para poder devolver el dinero (antes 30 días).
• Debo tener accesible:
– Documento de información al consumidor y usuario sobre el desistimiento.
– Formulario de desistimiento.
¿Qué puede pasar si no lo cumplo?
• Habitualmente, sanciones entre 0 y 15.000€
• Casos muy graves: de 15.000€ a 600.000€
Caso práctico
Contacta conmigo una empresa que me indica que:
• Muchas imágenes de las camisetas son suyas.
• No les he pedido permiso para usarlas ni les he pagado (claro…. me las bajé
de Internet!!)
• Me piden que retire las imágenes y una compensación económica por su uso.
LPI – Ley de Propiedad Intelectual
¿Qué es la LPI?
Los Derechos de autor en España quedan descritos, representados y protegidos
a través de los artículos de la Ley de Protección Intelectual.
La propiedad intelectual de una obra literaria, artística o científica
corresponde al autor por el solo hecho de su creación.
En nuestra web de camisetas
• Debemos informar al titular de las marcas
• No podemos usar las imágenes hasta tener su aprobación.
• Podemos afrontar multas entre 30.000€ y 300.000€
Propiedad Industrial
¿Qué es la Propiedad Industrial?
Es la forma de proteger los derechos de exclusiva sobre determinadas
creaciones inmateriales y se protegen como derechos de propiedad.
¿Qué tipos de derechos hay?
• Diseños industriales.
• Marcas y Nombres Comerciales
• Patentes y modelos de utilidad.
• Topografías de semiconductores (esquemas de circuitos).
Medios de Pago
Proporcionar métodos de pago seguros
• Pago con tarjeta
– Pasarela de pago: Nuestra Web se conecta con el banco que valida el pago:
clave por SMS, número pin, CVV…
• Pago contra-reembolso
– Se paga cuando llega el pedido.
– No se dan datos bancarios por Internet.
• Pago a través de intermediarios (PayPal)
– Pagos a través de su página web.
– Protección en caso de fraude.
– Se lleva una pequeña comisión.
Medios de Pago
Pagos con Tarjeta de Crédito
• Si la compra la realiza el titular de la tarjeta está obligado a cumplir el
contrato (salvo que ejerza el derecho de desistimiento)
• En caso de incumplimiento de contrato la empresa puede reclamarle los
daños y perjuicios que le haya ocasionado dicha anulación
• Si una compra se carga de forma fraudulenta o indebida, el titular de dicha
tarjeta puede exigir la anulación inmediata del cargo (el reembolso
económico al usuario por parte de la empresa, debe realizarse a la mayor
brevedad posible)
• Muchas veces no es tan sencillo demostrar ciertos aspectos y es necesario que
los sistemas cuenten con registros de todas las acciones que realicen los
usuarios.
Medios de Pago
PCI-DSS
• Estándar internacional de seguridad informática para tarjetas de crédito
• No es una ley y su incumplimiento no está catalogado como acto ilegal pero
es exigido por los bancos para poder operar con ellos y hay severas sanciones
por parte de
• Afecta directamente a los partícipes industria del comercio electrónico
¿Cuánto me afecta el PCI DSS? Depende de:
1- Si el cliente introduce los datos de su tarjeta de crédito en los servidores de
una pasarela de pagos (banco)
2 - Si el cliente introduce los datos de su tarjeta de crédito en tu sitio Web o
servidor.
Caso práctico
Me comunican que mi web has sido hackeada
Posibles situaciones:
• ¡El hacker puede que tenga todos mis datos!
• Ha puesto en la página principal un mensaje burlándose.
• Empieza a llegar spam a todos mis clientes.
• Internet se llena de artículos hablando de mi caso.
• Los clientes dejan de comprarme.
• Mi prestigio es cero, puede que acabe cerrando la tienda online…
• Pueden llegarme más sanciones
¡Todo es culpa del informático! ¿o no?
Caso práctico
• El responsable soy yo, el propietario de la web y dueño
de la empresa.
• El informático realizaba un servicio, será culpa suya si:
– Puedo demostrar alguna negligencia
– Contractualmente se exigió algún mínimo
requisito de seguridad para proteger la Web
y no lo cumplió
Según el RD 1720/2007 podría ser sancionado administrativamente al no haber
no haber aplicado las correspondientes medidas de seguridad exigidas
RDLOPD
El Real Decreto 1720/2007 es el reglamento de la Ley Orgánica 15/1999 que
desarrolla tanto los principios de la ley, como las medidas de seguridad a
aplicar en los sistemas de información (tanto automatizados como no
automatizados) acorde al nivel de los datos que tratan.
RDLOPD
El responsable del fichero debe elaborar un Documento de Seguridad que
recogerá las medidas de índole técnica y organizativa acordes a la
normativa de seguridad vigente que será de obligado cumplimiento para el
personal con acceso a los sistemas de información.
El documento de seguridad deberá mantenerse en todo momento
actualizado y será revisado siempre que se produzcan cambios relevantes
en el sistema de información.
Además debemos adoptar unas medidas de seguridad:
Mi portal de usuarios debe pedir una contraseña y esta debe cumplir
ciertos requisitos
He de mantener copias de seguridad de los datos personales
Y muchas más que se desarrollan en el Reglamento…
Ley de Firma Electrónica
¿Qué es?
Es una Ley española que regula el uso de la Firma Electrónica. Ésta es el
equivalente electrónico de nuestra firma manuscrita.
¿Cuál es su objetivo?
• Obtener la identificación del firmante.
• Asegurar la integridad de los documentos.
• Garantizar el no repudio en el origen.
Ley de Firma Electrónica
¿Para qué nos puede servir?
• Firmar correos electrónicos.
• Firmar facturas electrónicas.
• Comunicaciones cifradas
Ley de Firma Electrónica
SSL
Es un protocolo criptográfico que proporciona comunicaciones seguras para
realizar transferencias por una red. Utiliza firmas electrónicas.
HTTPS
Es un protocolo para transferencia segura de datos vía Web. Lo utilizan
principalmente las entidades bancarias, las tiendas online y otros servicios que
necesiten enviar datos personales o contraseñas. Se basa en SSL.
Conclusiones
• Internet nos proporciona ventajas y desventajas para nuestro negocio.
• Existen numerosas leyes aplicables a nuestras webs que debemos tener en
cuenta.
• Su incumplimiento puede acarrearnos sanciones importantes.
• Con la LOPD damos imagen de responsabilidad y tenemos mayor calidad de
datos.
• Con la LSSICE obtenemos y proporcionamos garantías en nuestros negocios.
• Debemos buscar métodos para que el cliente se sienta seguro.
• Nunca debemos dejar de lado la seguridad de nuestra página web.
• Hemos de estar bien asesorarnos para estar cubiertos y minimizar riesgos
Ruegos y preguntas
¡Muchas gracias!
Referencia legislación española
Nombre
Ley Orgánica de Protección de Datos de
Carácter Personal
Ley Orgánica 15/1999, de 13
de diciembre.
Reglamento de desarrollo de la Ley Orgánica
15/1999, de 13 de diciembre, de protección
de datos de carácter personal.
Real Decreto 1720/2007, de 21
de diciembre
Ley de Servicios de la Sociedad de
Información y Comercio ElectrónicoLey 34/2002, de 11 de julio
Medidas de Impulso de la Sociedad de la
Información.
Ley 56/2007, de 28 de
diciembre
Ley General de TelecomunicacionesLey 32/2003, de 3 de
noviembre
Referencia legislación española
Nombre Actual
Texto refundido de la Ley General para la
Defensa de los Consumidores y Usuarios y
otras leyes complementarias
Real Decreto Legislativo
1/2007, de 16 de noviembre
Ley estatal de Defensa de Consumidores y
UsuariosLey 3/2014, de 27 de marzo
Ley de Propiedad IntelectualReal Decreto Legislativo
1/1996
Ley de Firma ElectrónicaLey 59/2003, de 19 de
diciembre
Bibliografía
Wikipedia
INTECO
Red.es
FACUA
AECEM
Anetcom
Junta de Castilla y León
El Derecho
Infocif
pcicouncil