Checklist de seguridad en los

negocios en internetnegocios en internetBeatriz Martínez Cándano

1/12/20141/12/2014

1

Sobre míSobre mí• Lead Auditor en Seguridad de la Información con mas de 200

jornadas de auditoría (colaboro con entidades como Applus+ ABSjornadas de auditoría (colaboro con entidades como Applus+, ABS, EQA, Dekra, TÜV…)

• CISA, CISM y CRISC por ISACA

• Miembro numerario de CriptoredMiembro numerario de Criptored

• Directora de Proyecto del equipo de Seguridad M45• Socia fundadora de SIGEA, empresa consultora asturiana de

seguridad de la información, gestión de la privacidad y gobernanza TIC.

• Más info en http://es.linkedin.com/in/beacandano/

¿Negocio en Internet?¿Negocio en Internet?

¿Una página web informativa?¿Un catálogo?¿Una tienda de comercio¿Una tienda de comercio

electrónico?¿Un blog?

ÍndiceÍndiceS id d l l ti• Seguridad legal y normativa

– LOPD– LSSI– LPI– Cookies– Niveles de servicio– Novedades

• Seguridad técnica• Métodos de pago online

R t• Ruegos y preguntas

Seguridad legalSeguridad legal

• Protección de datos y privacidad: LOPD• Servicios de información y comercio electrónico: LSSICE• Propiedad intelectual e industrial: LOPD• Propiedad intelectual e industrial: LOPD• Cookies: Directiva Europea• Acuerdos de nivel de servicio: SLA o ANS• Novedades: Reglamento Europeo y PIA o EIPD

LOPDLOPD Cláusulas informativas: Privacidad y Protección de Datos Cláusulas informativas: Privacidad y Protección de Datos

Cláusulas de uso de datos

El interesado debe dar su consentimiento El interesado debe estar informado sobre:

Finalidad de los datos Identificación del responsable Derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) Confidencialidad y calidad de los datos Encargos y cesiones, en caso de existir.

Pol de privacidad y LOPDPol. de privacidad y LOPD Identificación del responsable

“Empresa como responsable del fichero garantiza el cumplimiento de la normativa vigente en materia de “Empresa, como responsable del fichero, garantiza el cumplimiento de la normativa vigente en materia de protección de datos personales, reflejada en la Ley Orgánica 15/1999 de 13 de diciembre, de Protección de Datos de Carácter Personal y en el Real Decreto 1720/2007…”

Finalidad de los datos “Atención de solicitudes realizadas por los usuarios, inclusión en la agenda de contactos, la prestación de

servicios, la gestión de la relación comercial…”

Derechos ARCO “Para hacer uso del ejercicio de estos derechos, el usuario deberá dirigirse mediante comunicación escrita,

aportando documentación que acredite su identidad (DNI o pasaporte), a la siguiente dirección: Empresa A, Calle: X Nº Y, Código postal: Z, Ciudad: V, Provincia: W o la dirección que sea sustituida en el Registro General de Protección de Datos. Dicha comunicación deberá reflejar la siguiente información: Nombre y

llid d l i l ti ió d li it d l d i ili l d t dit ti ”apellidos del usuario, la petición de solicitud, el domicilio y los datos acreditativos. …”

Confidencialidad y calidad de los datos Cesiones Cesiones

“La Empresa informa a los usuarios de que sus datos personales no serán cedidos a terceras organizaciones, con la salvedad de que dicha cesión de datos este amparada en una obligación legal o cuando la prestación de un servicio implique la necesidad de una relación contractual con un encargado de tratamiento ”tratamiento…

LOPDLOPD

LSSICELSSICE Ley 34/2002 Ley 34/2002 Comercio electrónico Contratación en línea Información y publicidad Servicios de intermediación S d b i f b Se debe informar sobre:

Denominación social (CIF, Domicilio…) Precios e impuestos Datos de la inscripción registral del nombre de dominio El contenido del portal web que visita. La finalidad del sitio. Las responsabilidades que asume el creador del sitio. Las responsabilidades que asume el visitante al hacer uso del sitio web. Códigos de conducta a los que se esté adheridog

P Intelectual/IndustrialP. Intelectual/Industrial Registrar nuestra marca (nacional comunitaria internacional) Registrar nuestra marca (nacional, comunitaria, internacional). Registrar un nombre de dominio. Registrar nuestro sitio Web y los elementos protegidos por derecho

de autor en las oficinas de derecho de autor o en sitios como “safecreative.com”.

Hacer saber al público que el contenido de mi sitio está protegido Hacer saber al público que el contenido de mi sitio está protegido. Firmar el pie de página con el Copyright Copyleft, Creative Commons… Incluir un área de Aviso legal o Condiciones de uso Incluir un área del tipo http://confianza midominio com Incluir un área del tipo http://confianza.midominio.com

Añadir marcas de agua a las imágenes. Saber de qué soy propietario y de qué no.y y q

P IntelectualP. Intelectual ¿Quién es el titular de los derechos de Propiedad Intelectual? ¿Quién es el titular de los derechos de Propiedad Intelectual?

Programas / modo de navegación: La empresa.

Fotografías: Empresas que venden bases de datos de fotografías.

Gráficos: Diseñadores gráficos Gráficos: Diseñadores gráficos.

Diseño: Diseñador web.

Es muy importante que la empresa sepa:

De qué es propietariaq p pQué está autorizada a utilizar

De qué manera

P IntelectualP. Intelectual Si la web de nuestra empresa ha sido creada por empleados Si la web de nuestra empresa ha sido creada por empleados

durante su tiempo de trabajo, la empresa poseerá los derechos de autor.

Si la web de nuestra empresa ha sido creada diseñadores externos, son ellos los titulares de los derechos de P.I. sobre las obras que crean, salvo que se disponga lo contrario mediante contrato.

Es muy importante que la empresay p q p

Suscriba un acuerdo que regule la Propiedad Intelectual del sitio web.

P IntelectualP. Intelectual Elementos que debe contener un acuerdo de desarrollo web: Elementos que debe contener un acuerdo de desarrollo web:

Alcance de la tarea: Diseño, programación, dominio, consultoría…. Titularidad del material elaborado por el desarrollador: Código gráficos diseño Titularidad del material elaborado por el desarrollador: Código, gráficos, diseño,

programas…. Titularidad del material proporcionado por la empresa: Manuales, procesos, logos…. Derechos de la empresa sobre el material que proporcione el diseñador: Sublicencias,

f tuso futuro... Autorizaciones en caso de material de terceros: Imágenes, logos…. Titularidad de los programas que permiten visualizar el contenido: Java, Citrix…. Posibilidad de reutilización del diseño: ¿Es posible que el diseñador utilice nuestro Posibilidad de reutilización del diseño: ¿Es posible que el diseñador utilice nuestro

diseño para otros? Garantías: Autorizaciones, exenciones de responsabilidad…. Mantenimiento y actualización: Diseño, programación, dominio, consultoría…. Confidencialidad: Duración, datos, información, tiempo…. Responsabilidades: Enlaces no autorizados, uso de imágenes…. Otros: Jurisdicción, indemnización, derecho aplicable..

COOKIESCOOKIES Real Decreto-Ley 13/2012 que modifica el artículo 22 de la LSSI Si t b tili ki Si nuestra web utiliza cookies para:

Fines publicitarios Analizan la actividad de los usuarios Estadísticas de navegación

Se debe informar sobre: ¿Qué son?¿ ¿Cuáles usa nuestra web y para qué sirven? ¿Quién las gestiona o instala? ¿Cómo se desinstalan o se rechazan?¿ ¿Qué ocurre si el usuario sigue navegando?

Información clara y visible A t d l i Aceptadas por el usuario Es suficiente con pedir el consentimiento en la primera visita Se entiende que, si el usuario sigue navegando, da consentimientoSe entiende que, si el usuario sigue navegando, da consentimiento

COOKIESCOOKIESPermite conocer el

_utmz Google Analytics

Permite conocer el comportamiento del visitante, medir el rendimiento del nuestro sitio y

generar estadísticas de visitas a nuestra

web. Identifica la fuente de donde Caduca a los 6 mesesyprocede la visita

(otro website o un buscador) y se

actualiza cada vez que los datos se envían a Google

Analytics.

is_unique statcounter.com

Nos permiten contar las visitas a

nuestra página y las fuentes de tráfico que las originan Así Caducan a los 5 año

Si usted quiere eliminar de su navegador las cookies de nuestra web, aquí tiene instrucciones para hacerlo según los distintos navegadores existentes:· Internet Explorer originan. Así

pretendemos medir y mejorar el

rendimiento de nuestro sitio

Internet Explorer· Google Chrome· Firefox· Safari· Otros: Por lo general, para eliminar las cookies de su

d d b á i l navegador deberá ir al menú Preferencias o Configuración del navegador y buscar la sección Privacidad. Allí encontrará opciones para gestionar sus cookies y otros datos almacenados por los sitios web que visita, así como configurar el comportamiento de su navegador al tratar las cookies.

SLA / ANSSLA / ANS Condiciones técnicas Condiciones técnicas Horarios del servicio Coste por hora Servicios incluidos y excluidos Tiempo de disponibilidad C l li ti i iti i id i Canal para realizar peticiones o emitir incidencias Canal para reclamaciones Penalizaciones por incumplimiento Penalizaciones por incumplimiento

Reglamento EuropeoReglamento Europeo Directiva comunitaria en fase de retoques finales

Derogará las leyes de protección de datos nacionales

Establece la figura del Delegado de Protección de Datos

M did d id d i il l LOPD Medidas de seguridad similares a la LOPD

Obligatoriedad de reportar incidentes graves de pérdida de datosg p g p

Obligatoriedad de realizar análisis de impacto a la privacidadPIA o EIPDPIA o EIPD

Información al usuario mediante iconos

Iconos informativosIconos informativos

PIA o EIPDPIA o EIPD

Seguridad técnicaSeguridad técnica

12 M d i t12 Mandamientos

Seguridad técnicaSeguridad técnica

1. Ubicación de la web

– Si está en nuestra red, en una zona aislada del resto de servidores para que no hayadel resto de servidores para que no haya visibilidad.

Seguridad técnicaSeguridad técnica

2. Monitorizar el tráfico

- Generado desde y hacia nuestra página web- Detectar cualquier tipo de ataque- Detectar cualquier tipo de ataque.

Seguridad técnicaSeguridad técnica

3. Controlar las conexiones al exterior

- Actualizaciones de plugins- Sincronizaciones con otras páginas- Sincronizaciones con otras páginas

Seguridad técnicaSeguridad técnica

4. Política de backups

- Que salvaguarde el diseño- Que salvaguarde las bases de datos- Que salvaguarde las bases de datos- Que nos obligue a probar que funciona

Seguridad técnicaSeguridad técnica

5. Actualizar nuestro CMS

- Joomla, Drupal, Wordpress..- Eludir el rastreo de sistemas automáticos- Eludir el rastreo de sistemas automáticos.- Minimizar el uso de complementos y plugins.- Que nos obligue a probar que funciona- Que nos obligue a probar que funciona

Seguridad técnicaSeguridad técnica

6. Controlar nuestro sistema de passwords

- Las contraseñas deben ser complejas.- Deben ser cambiadas periódicamente- Deben ser cambiadas periódicamente.- No utilizar usuarios genéricos.- No utilizar las que vienen por defecto- No utilizar las que vienen por defecto.

Seguridad técnicaSeguridad técnica

7. Guardar los registros de aceso (logs)

- Para poder investigar cualquier anomalía.- Para poder investigar cualquier ataque- Para poder investigar cualquier ataque.- Para utilizarlo como prueba ante un juicio.

Seguridad técnicaSeguridad técnica

8. Análisis técnico de visibilidad

- Para comprobar qué funcionalidad está accesible desde el exterior

- Para comprobar qué funcionalidades por defecto de nuestro CMS están activas.

Seguridad técnicaSeguridad técnica

9. Saber qué está almacenado en el directorio

- Imágenes- Bases de datos accesibles- Bases de datos accesibles- Backups- Ficheros de configuración- Ficheros de configuración

Seguridad técnicaSeguridad técnica

10. Contratar desarrolladores solventes

- Requisitos previos de seguridad- Metodologías de desarrollo seguro (OWASP)- Metodologías de desarrollo seguro (OWASP)

Seguridad técnicaSeguridad técnica

11. Realizar análisis de SEGURIDAD

- Cross Site Scripting - Convertirnos en foco de SPAM

-

- Convertirnos en foco de SPAM- Cambiar configuraciones de usuarios,

- SQL-Injection- SQL-Injection- OWASP

Seguridad técnicaSeguridad técnica

12. Usar sistemas CAPTCHA en formularios

- Evitar ,convertirnos en foco de SPAM- Evitar robots que fuerzan ataques DOS

-

- Evitar robots que fuerzan ataques DOS

Métodos de pago onlineMétodos de pago online

REEMBOLSO

- Garantiza al cliente que sólo pagará por el producto si lo recibe.

- No es necesario que el cliente envíe sus datos por Internet.

Métodos de pago onlineMétodos de pago online

PAGO CON TARJETA

- Siempre mediante pasarela bancaria.- El comercio nunca tiene datos de tarjetas.j

Métodos de pago onlineMétodos de pago online

ENTIDADES INTERMEDIARIAS

- Google, Paypal...- Comisión para el intermediario. .p

Métodos de pago onlineMétodos de pago online

TRANSFERENCIA SEGURA

- Generar CONFIANZA- Emitidas por Autoridades de Certificaciónp

¿Preguntas?¿Preguntas?

beatriz@sigea.eshttp://es.linkedin.com/in/beacandano/

htt //t itt /b dhttp://twitter.com/beacandano

37

Muchas gracias!

Beatriz Martínez Cándano1/12/2014

38