Jornada de seguridad y

legislación web

José Miguel Cardona Pastor

Socio Director. Consultoría TI

AUREN

CISA, CISM, CISSP, CRISC, AMBCI, ITILv3, Auditor Jefe ISO 27001/ISO 20000

jmcardona@vlc.auren.es

16 de julio de 2014

Índice• Objetivos

• Contexto y Definiciones

• Caso práctico

• Leyes que nos afectan

• Generar confianza.

• Conclusiones.

Objetivos

¿Qué buscamos con esta Jornada?

• Revisión de la seguridad y normativas relevantes aplicables a webs.

• Indicar aspectos a tener en cuenta en nuestras webs.

• Plantear situaciones reales que nos pueden ocurrir.

• Evitar inconvenientes de nuestra presencia en Internet.

¿Cómo lo haremos?

• Repaso aspectos clave de legislación aplicable.

• Casos prácticos.

• Ejemplos

Definición de e-commerce

El comercio electrónico, también conocido como e-commerce

(electronic commerce en inglés), consiste en la compra y venta de

productos o de servicios a través de medios electrónicos, tales como

Internet y otras redes informáticas.

Contratación Electrónica

Un contrato electrónico es un contrato en el que la oferta y la aceptación se

transmiten por medio de equipos electrónicos de tratamiento y

almacenamiento de datos, conectados a una red de telecomunicaciones.

¿Qué ventajas me da internet?

• Facilidad para comunicarse con clientes, empresarios, organizaciones…

• Comodidad en las transacciones.

• Abierto las 24h todos los días del año.

• Mayor visibilidad de productos y servicios.

• Ofrecer productos más económicos.

• Menos complicaciones para los clientes.

• No se requiere una gran inversión.

• Crecimiento como marca.

• ¿Son todo ventajas?

Caso práctico

Quiero abrir una tienda online de camisetas…

• Llamo a mi amigo informático o contrato a una empresa

• Compra el dominio y sitio web donde alojar la página.

• Se pone a ello y tras un tiempo, la tienda online ya está en marcha!

• Ya tengo todo acordado con mis proveedores de camisetas.

• Pongo todos mis artículos con sus fotos y descripciones.

• No vendo nada, compro espacios de publicidad en varias webs.

Caso práctico

¿Qué tiene mi tienda online?

• La página principal.

• Categorías: niño/a, mujer y hombre.

• En cada una de las camisetas:

– Imagen.

– Tallas disponibles.

– Descripción.

• Formulario de contacto.

• Herramientas para analizar las visitas a mi web.

Caso práctico

¿Cómo se venden las camisetas?

• Elijo camiseta y le doy a comprar.

• Pide los datos necesarios para el envío.

• Se índica el precio de la camiseta.

• Se realiza el pago mediante tarjeta.

• Se envía un email de confirmación.

• El cliente se añade automáticamente al newsletter.

• Se envía el pedido.

Caso práctico

Esta todo montado y funciona……….por fin

¡¡¡¡¡¡A VENDER!!!!!

Caso práctico

Hasta que un día…

Un usuario me envía un email indicándome que quiere solicitar la cancelación

de sus datos personales. Como voy muy liado, no le doy importancia, tampoco

sé que quiere decir y lo ignoro

El usuario insiste otra vez….Se me olvida, pasa el tiempo y parece que no pasa

nada

Pero tres meses más tarde….todo se complica

Me llega una notificación de la Agencia Española de Protección de Datos con un

expediente sancionador derivado de aquel usuario al que no hice caso…….que

podría comerse las ganancias de estos meses!

Se trata de algo relativo a la Ley Orgánica de Protección de datos, pero ¿qué es

eso?

LOPD

¿Qué es?

Una Ley Orgánica española que busca garantizar y proteger todo lo relacionado

con el tratamiento de los datos personales, las libertades públicas y

los derechos fundamentales de las personas físicas.

¿Por qué es necesaria?

• La información es nuestro activo más importante.

• Mantenemos los datos actualizados.

• Evitamos una posible pérdida de información.

• Damos imagen de seriedad.

• Evitamos posibles sanciones.

LOPDDatos personales

Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de

cualquier otro tipo concerniente a personas físicas identificadas o

identificables.

Los datos se organizan en “ficheros”: Por ejemplo, los datos de clientes.

Los ficheros, derechos y deberes

• Inscribir los Ficheros en el Registro General de Protección de Datos.

• Informar y obtener consentimiento acerca del tratamiento.

• Adoptar medidas técnicas y organizativas (RD 1720/2007).

• Informar del ejercicio de los derechos de acceso, rectificación, cancelación y

oposición (ARCO)

LOPD

¿Qué es la AEPD?

La Agencia Española de Protección de Datos (www.agpd.es) es un ente de

derecho público (organismo oficial) cuyas funciones son:

Velar por el cumplimiento de la legislación sobre protección de datos personales y

controlar su aplicación.

Emitir las autorizaciones previstas por la Ley (P. ej.: transferencia internacional)

Dictar las instrucciones precisas para adecuar los tratamientos a los principios de

la ley 15/1999

Atender las peticiones y reclamaciones por las personas afectadas y proporcionar

información a las personas acerca de sus derechos.

Ejercer la potestad sancionadora

Velar por la publicidad de la existencia de los ficheros de datos con carácter

personal.

LOPDDebo plantearme varias preguntas sobre mi tienda online

• ¿Pido consentimiento para poder recoger datos?

• ¿Tengo registrado un fichero en la AEPD?

• ¿Tengo un apartado donde detalle mi ‘Política de privacidad’?

• ¿Doy la opción de modificar o borrar los datos registrados?

Es más…

• ¿Hago algo para evitar la posible pérdida de información?

• ¿La empresa/persona que me desarrolló la Web, tiene acceso a los datos de

mis clientes? ¿alguien más accede?

• ¿Dónde se alojan los datos de mis clientes?

• ¿Los cedo/transfiero a alguien más? Ej.: Empresa de transporte, empresa de

telemarketing

LOPD

¿Qué tipos de sanciones existen?

• Sanción leve

Cantidad: 900€ - 40.000€

Ejemplo: recopilar información sin informar previamente.

• Sanción grave

Cantidad: 40.001€ - 300.000€

Ejemplo: tener ficheros sin sus correspondientes medidas de seguridad.

• Sanción muy grave

Cantidad: 300.001€ - 600.000€

Ejemplo: Cesión de datos a terceros sin consentimiento previo.

Caso práctico

Siguen los problemas…..

Otro usuario mantiene que no se indica claramente los gastos de envío al hacer

el pedido en la Web o durante el proceso de compra (aunque sí estaba

desglosado en la factura) y se siente estafado

¡Amenaza con denunciarme si no se lo reintegro!

LSSI-CE

¿Qué es?

Una Ley española que busca la regulación del régimen jurídico de los servicios

de la sociedad de la información y de la contratación por vía electrónica, en lo

referente a:

• Las obligaciones de los prestadores de servicios.

• Las comunicaciones comerciales por vía electrónica.

• La información previa y posterior a la celebración de contratos electrónicos.

• Las condiciones relativas a su validez y eficacia.

• El régimen sancionador aplicable.

LSSI-CE

¿Cómo dar validez a nuestros contratos?

• Identidad e información de contacto.

• Informar sobre las características esenciales del bien o del servicio.

• Indicar el precio incluyendo impuestos.

• Indicar de los gastos de entrega.

• Indicar las modalidades de pago, entrega o ejecución.

• Comunicar la existencia de un derecho de desistimiento.

• Informar del coste de la comunicación a distancia.

• Plazo de validez de la oferta o del precio.

• En caso de contrato, indicar su duración.

LSSI-CE

En mi tienda online de camisetas

• ¿Aparecen en algún lugar mis datos de contacto?

• ¿Indico mi número de inscripción del registro mercantil?

• ¿En algún apartado indico las condiciones generales del servicio?

A la hora de comprar

No he indicado el precio de cada producto, el tipo de moneda, si incluye

impuestos o cuantía de los gastos de envío.

Y esto no es todo…

Caso práctico

Varios usuarios me instan repetidas veces por correo electrónico que no quiere

que le lleguen más correos de publicidad y me piden que deje de enviarles

publicidad.

Se quejan y me dicen que no me van a comprar más…..

¿Por qué he de dejar de enviarles publicidad si son mis clientes, me compraron

en su día y quiero que conozcan mis novedades?

Estoy totalmente perdido, ¿de dónde vienen todas estas exigencias?

LSSI-CE

Publicidad

• Da igual si aparece en nuestra propia web o en la de otro.

• Debe identificarse claramente a quién se anuncia.

• Tiene que aparecer claramente que lo que se muestra es publicidad

Email marketing

• Debe existir consentimiento o ser solicitado previamente.

• Puede oponerse de manera gratuita y sencilla en cada comunicación

• Debe aparecer la opción de darse de baja en cualquier momento (Ej.: Botón

o enlace de baja en correos electrónicos)

• Palabra “PUBLICIDAD” en el asunto

Caso práctico

Más noticias de la AEPD

Uso cookies en la web para poder tener estadísticas, pero no existe un cartel

de aviso ni pido consentimiento para instalarlas.

¡Recibo otro expediente sancionador de un usuario que directamente me ha

denunciado!

LSSI-CE

¿Qué es una cookie?

Es información enviada por un sitio web y almacenada en el navegador del

usuario, de manera que el sitio web puede consultar la actividad del usuario.

Política de cookies

• Cartel visible que advierta del uso de cookies:

– Indicando su finalidad.

– Indicando si son propias y/o de terceros.

– Pidiendo el consentimiento antes de instalarlas.

• Debe existir un apartado de Política de cookies accesible desde cualquier

parte de la web.

LSSI-CE

¿Qué tipos de sanciones existen?

• Sanción leve

Cantidad: hasta 30.000€

Ejemplo: envío de emails comerciales sin consentimiento del receptor.

• Sanción grave

Cantidad: 30.001€ - 150.000€

Ejemplo: no facilitar los datos identificativos de la empresa.

• Sanción muy grave

Cantidad: 150.001€ - 600.000€

Ejemplo: incumplimiento de órdenes administrativas.

Caso práctico

Devoluciones

Me devuelven una camiseta a los 10 días y yo no le devuelto el dinero porque

no estoy de acuerdo (7 días naturales que es el límite indicado en las

condiciones de mi Web y así lo comunico al usuario)

Estoy en mi derecho!... (¿lo estoy?)

Al tiempo, me llega una reclamación de Consumo….

Ley de Consumidores y Usuarios

Más aspectos a tener en cuenta

• El plazo de desistimiento es de 14 días naturales (antes 7 días hábiles)

• El plazo para desistir, en caso de no haber informado de su existencia, se

amplía a doce meses (antes 3 meses).

• Tengo 14 días naturales para poder devolver el dinero (antes 30 días).

• Debo tener accesible:

– Documento de información al consumidor y usuario sobre el desistimiento.

– Formulario de desistimiento.

¿Qué puede pasar si no lo cumplo?

• Habitualmente, sanciones entre 0 y 15.000€

• Casos muy graves: de 15.000€ a 600.000€

Caso práctico

Contacta conmigo una empresa que me indica que:

• Muchas imágenes de las camisetas son suyas.

• No les he pedido permiso para usarlas ni les he pagado (claro…. me las bajé

de Internet!!)

• Me piden que retire las imágenes y una compensación económica por su uso.

LPI – Ley de Propiedad Intelectual

¿Qué es la LPI?

Los Derechos de autor en España quedan descritos, representados y protegidos

a través de los artículos de la Ley de Protección Intelectual.

La propiedad intelectual de una obra literaria, artística o científica

corresponde al autor por el solo hecho de su creación.

En nuestra web de camisetas

• Debemos informar al titular de las marcas

• No podemos usar las imágenes hasta tener su aprobación.

• Podemos afrontar multas entre 30.000€ y 300.000€

Propiedad Industrial

¿Qué es la Propiedad Industrial?

Es la forma de proteger los derechos de exclusiva sobre determinadas

creaciones inmateriales y se protegen como derechos de propiedad.

¿Qué tipos de derechos hay?

• Diseños industriales.

• Marcas y Nombres Comerciales

• Patentes y modelos de utilidad.

• Topografías de semiconductores (esquemas de circuitos).

Medios de Pago

Proporcionar métodos de pago seguros

• Pago con tarjeta

– Pasarela de pago: Nuestra Web se conecta con el banco que valida el pago:

clave por SMS, número pin, CVV…

• Pago contra-reembolso

– Se paga cuando llega el pedido.

– No se dan datos bancarios por Internet.

• Pago a través de intermediarios (PayPal)

– Pagos a través de su página web.

– Protección en caso de fraude.

– Se lleva una pequeña comisión.

Medios de Pago

Pagos con Tarjeta de Crédito

• Si la compra la realiza el titular de la tarjeta está obligado a cumplir el

contrato (salvo que ejerza el derecho de desistimiento)

• En caso de incumplimiento de contrato la empresa puede reclamarle los

daños y perjuicios que le haya ocasionado dicha anulación

• Si una compra se carga de forma fraudulenta o indebida, el titular de dicha

tarjeta puede exigir la anulación inmediata del cargo (el reembolso

económico al usuario por parte de la empresa, debe realizarse a la mayor

brevedad posible)

• Muchas veces no es tan sencillo demostrar ciertos aspectos y es necesario que

los sistemas cuenten con registros de todas las acciones que realicen los

usuarios.

Medios de Pago

PCI-DSS

• Estándar internacional de seguridad informática para tarjetas de crédito

• No es una ley y su incumplimiento no está catalogado como acto ilegal pero

es exigido por los bancos para poder operar con ellos y hay severas sanciones

por parte de

• Afecta directamente a los partícipes industria del comercio electrónico

¿Cuánto me afecta el PCI DSS? Depende de:

1- Si el cliente introduce los datos de su tarjeta de crédito en los servidores de

una pasarela de pagos (banco)

2 - Si el cliente introduce los datos de su tarjeta de crédito en tu sitio Web o

servidor.

Caso práctico

Me comunican que mi web has sido hackeada

Posibles situaciones:

• ¡El hacker puede que tenga todos mis datos!

• Ha puesto en la página principal un mensaje burlándose.

• Empieza a llegar spam a todos mis clientes.

• Internet se llena de artículos hablando de mi caso.

• Los clientes dejan de comprarme.

• Mi prestigio es cero, puede que acabe cerrando la tienda online…

• Pueden llegarme más sanciones

¡Todo es culpa del informático! ¿o no?

Caso práctico

• El responsable soy yo, el propietario de la web y dueño

de la empresa.

• El informático realizaba un servicio, será culpa suya si:

– Puedo demostrar alguna negligencia

– Contractualmente se exigió algún mínimo

requisito de seguridad para proteger la Web

y no lo cumplió

Según el RD 1720/2007 podría ser sancionado administrativamente al no haber

no haber aplicado las correspondientes medidas de seguridad exigidas

RDLOPD

El Real Decreto 1720/2007 es el reglamento de la Ley Orgánica 15/1999 que

desarrolla tanto los principios de la ley, como las medidas de seguridad a

aplicar en los sistemas de información (tanto automatizados como no

automatizados) acorde al nivel de los datos que tratan.

RDLOPD

El responsable del fichero debe elaborar un Documento de Seguridad que

recogerá las medidas de índole técnica y organizativa acordes a la

normativa de seguridad vigente que será de obligado cumplimiento para el

personal con acceso a los sistemas de información.

El documento de seguridad deberá mantenerse en todo momento

actualizado y será revisado siempre que se produzcan cambios relevantes

en el sistema de información.

Además debemos adoptar unas medidas de seguridad:

Mi portal de usuarios debe pedir una contraseña y esta debe cumplir

ciertos requisitos

He de mantener copias de seguridad de los datos personales

Y muchas más que se desarrollan en el Reglamento…

Ley de Firma Electrónica

¿Qué es?

Es una Ley española que regula el uso de la Firma Electrónica. Ésta es el

equivalente electrónico de nuestra firma manuscrita.

¿Cuál es su objetivo?

• Obtener la identificación del firmante.

• Asegurar la integridad de los documentos.

• Garantizar el no repudio en el origen.

Ley de Firma Electrónica

¿Para qué nos puede servir?

• Firmar correos electrónicos.

• Firmar facturas electrónicas.

• Comunicaciones cifradas

Ley de Firma Electrónica

SSL

Es un protocolo criptográfico que proporciona comunicaciones seguras para

realizar transferencias por una red. Utiliza firmas electrónicas.

HTTPS

Es un protocolo para transferencia segura de datos vía Web. Lo utilizan

principalmente las entidades bancarias, las tiendas online y otros servicios que

necesiten enviar datos personales o contraseñas. Se basa en SSL.

Conclusiones

• Internet nos proporciona ventajas y desventajas para nuestro negocio.

• Existen numerosas leyes aplicables a nuestras webs que debemos tener en

cuenta.

• Su incumplimiento puede acarrearnos sanciones importantes.

• Con la LOPD damos imagen de responsabilidad y tenemos mayor calidad de

datos.

• Con la LSSICE obtenemos y proporcionamos garantías en nuestros negocios.

• Debemos buscar métodos para que el cliente se sienta seguro.

• Nunca debemos dejar de lado la seguridad de nuestra página web.

• Hemos de estar bien asesorarnos para estar cubiertos y minimizar riesgos

Ruegos y preguntas

¡Muchas gracias!

Referencia legislación española

Nombre

Ley Orgánica de Protección de Datos de

Carácter Personal

Ley Orgánica 15/1999, de 13

de diciembre.

Reglamento de desarrollo de la Ley Orgánica

15/1999, de 13 de diciembre, de protección

de datos de carácter personal.

Real Decreto 1720/2007, de 21

de diciembre

Ley de Servicios de la Sociedad de

Información y Comercio ElectrónicoLey 34/2002, de 11 de julio

Medidas de Impulso de la Sociedad de la

Información.

Ley 56/2007, de 28 de

diciembre

Ley General de TelecomunicacionesLey 32/2003, de 3 de

noviembre

Referencia legislación española

Nombre Actual

Texto refundido de la Ley General para la

Defensa de los Consumidores y Usuarios y

otras leyes complementarias

Real Decreto Legislativo

1/2007, de 16 de noviembre

Ley estatal de Defensa de Consumidores y

UsuariosLey 3/2014, de 27 de marzo

Ley de Propiedad IntelectualReal Decreto Legislativo

1/1996

Ley de Firma ElectrónicaLey 59/2003, de 19 de

diciembre

Bibliografía

Wikipedia

INTECO

Red.es

FACUA

AECEM

Anetcom

Junta de Castilla y León

El Derecho

Infocif

pcicouncil