Proteger un sitio web

El desarrollo y el mantenimiento de su sitio web representan una parte importante de su presencia en internet. Los incidentes de ciberseguridad, como el robo de los datos de sus clientes, pueden tener un gran impacto en su empresa o su marca a múltiples niveles:

  • pérdida de reputación de la marca
  • interrupción de sus servicios
  • pérdida de confianza de sus clientes
  • demandas y sanciones reglamentarias

Los incidentes de ciberseguridad que afectan a las tiendas en línea pueden consistir en:

  • robo de los datos de los clientes
  • alteraciones de la información disponible en la plataforma de comercio electrónico
  • cierre del sitio web
  • filtración de información empresarial confidencial

Antes de cualquier violación de la seguridad, también es muy importante que tome nota de la información sensible que tiene en su sitio web. Debe considerar lo siguiente:

  • ¿Qué información es crítica para la misión de su empresa?
  • ¿Dónde está alojada?
  • ¿Cuánto se tardaría en restablecerla si es robada en caso de que se produzca un ataque?

También debe realizar una auditoría completa de sus sistemas, tomar nota de los componentes más importantes y establecer un seguimiento de todo. Asegúrese de que no es la única persona de su organización que conoce esta auditoría, y tenga también en cuenta que solo debe otorgarse acceso a todos los sistemas de datos en función de la necesidad.

Protección de la información de su sitio web

Es importante reflexionar sobre cómo afectan a su sitio web y sus servicios los aspectos fundamentales de la seguridad de la información —confidencialidad, integridad y disponibilidad— y determinar los requisitos relativos al nivel de servicio. Tenga en cuenta que estos requisitos pueden variar en función de los demás elementos que haya decidido integrar.

Si quiere que su sistema sea seguro, debe garantizar la protección de los siguientes componentes:

  • Confidencialidad: se refiere a la protección de información como números de tarjetas de crédito o débito y otra información personal de su divulgación a terceros no autorizados. Esto se puede hacer:
    • mediante el establecimiento de un mecanismo de autenticación adecuado (como soluciones de autenticación multifactoriales, que se basan en que el usuario facilite dos o más elementos para verificar su identidad)
    • mediante la utilización de conexiones encriptadas (HTTPS; protocolo de seguridad SSL) para garantizar que solo tengan acceso a la información sensible las personas adecuadas
  • Integridad: consiste en proteger la información para que no sea modificada por terceras partes no autorizadas y garantizar que sea exacta y fiable. Esto puede lograrse:
    • mediante una comprobación diaria de los ficheros modificados
    • mediante la planificación de comprobaciones de seguridad para su sitio web y sus servicios, con el fin de evitar los ataques
    • mediante la creación de un sistema de prevención de intrusiones
  • Disponibilidad: consiste en que, si usted aloja su propio sitio web, debe asegurarse de que esté disponible y operativo en todo momento. Puede lograrlo:
    • mediante la implantación de un sistema de alimentación eléctrica de reserva para emergencias
    • mediante un mantenimiento riguroso de todo el hardware

Cómo responder a los incidentes de seguridad

En caso de violación de la seguridad, es importante que se haya desarrollado un plan viable que recoja medidas y procedimientos específicos y concretos para el seguimiento de un incidente de seguridad. Los procedimientos deben abordar los siguientes aspectos:

  • quién asume la responsabilidad principal
  • cómo ponerse en contacto con el personal crítico
  • a qué datos, redes y servicios se debe dar prioridad para la recuperación
  • a quién se debe informar (propietarios de los datos, clientes o empresas asociadas) si se exponen sus datos o datos que afecten a sus redes

Si detecta una violación de la seguridad, siga estos pasos:

  • informe a sus clientes de lo ocurrido, de modo que puedan seguir depositando su confianza en usted
  • asegúrese de que todos los actores involucrados en su tienda en línea también estén informados. Debe designar a un informático principal permanente por si se detecta un problema de seguridad
  • determine la causa de la infracción, con pruebas documentadas que, en última instancia, puedan utilizarse ante un tribunal
  • si la violación de seguridad afecta a la información financiera, como datos de tarjetas de crédito, debe informar al proveedor que gestione sus transacciones financieras

También debe desarrollar una política de notificación de violaciones de la seguridad, que podría formar parte de su declaración de privacidad, y debe indicar cómo y cuándo informará a sus clientes en caso de filtración de sus datos personales. Además, debe tener en cuenta que, de conformidad con las normas del Reglamento general de protección de datos (RGPD), tiene la obligación de informar a la autoridad de control de protección de datos cuando tenga conocimiento de cualquier filtración de datos.

En el ámbito nacional, los equipos de respuesta a emergencias informáticas (CERT) son equipos de expertos en seguridad responsables de la gestión de los incidentes de seguridad (por ejemplo, la notificación y respuesta a las amenazas de seguridad). Pueden ofrecerle información sobre qué hacer y a quién recurrir para pedir ayuda si sufre cualquier tipo de ataque cibernético. También publican alertas sobre vulnerabilidades y amenazas en su país.

Cumplimiento de las normas de protección de datos

El Reglamento General de Protección de Datos contiene obligaciones para las empresas que recopilan, almacenan y gestionan datos personales. Los dos objetivos principales del RGPD son la transparencia e informar al público de cómo se utilizan sus datos.

Si desea obtener más información sobre las disposiciones generales del RGPD y cómo se aplican a su empresa, visite la subsección sobre protección de datos.

La parte de su tienda en línea a la que más concierne el RGPD es la declaración (o la política) de privacidad. Esta declaración es un documento público emitido por su empresa en el que esta explica cómo trata los datos personales y cómo aplica los principios de protección de datos. Si su sitio web recopila directamente datos personales de un usuario, debe mostrarse la declaración de privacidad en el momento en que lo haga.

La declaración de privacidad:

  • debe redactarse en un lenguaje conciso, transparente e inteligible
  • debe ser de fácil acceso
  • debe ofrecerse gratuitamente y cumplirse oportunamente

Obtenga información sobre lo que debe contener su declaración de privacidad

La declaración de privacidad mostrada en su tienda en línea debe contener la siguiente información:

  • identidad e información de contacto de su empresa, su representante designado y su delegado de protección de datos en
  • fines para los que su empresa trata los datos personales de los usuarios y los fundamentos jurídicos para hacerlo
  • los intereses legítimos de su empresa en el tratamiento de datos personales
  • todos los destinatarios de los datos de los usuarios
  • si los datos personales son transferidos a un país no perteneciente a la UE
  • período de conservación de los datos
  • derechos de los usuarios en relación con sus datos tratados, en concreto sus derechos:
    • a retirar el consentimiento en cualquier momento
    • a presentar una reclamación ante una autoridad de supervisión
  • si los datos personales de los usuarios se proporcionan sobre la base de obligaciones legales o contractuales
  • si existe un sistema de toma de decisiones automatizadas, que entre otras cosas, elabore perfiles con los datos (el proceso mediante el cual se analizan los datos ya recopilados para fines estadísticos)

La declaración de privacidad mostrada en su tienda en línea debe contener la siguiente información:

  • identidad e información de contacto de su empresa, su representante designado y su delegado de protección de datos
  • fines para los que su empresa trata los datos personales de los usuarios y los fundamentos jurídicos para hacerlo
  • los intereses legítimos de su empresa en el tratamiento de datos personales
  • todos los destinatarios de los datos de los usuarios
  • si los datos personales son transferidos a un país no perteneciente a la UE
  • período de conservación de los datos
  • los derechos de los usuarios en relación con sus datos tratados, en concreto:
    • su derecho a retirar el consentimiento en cualquier momento
    • su derecho a presentar una reclamación ante una autoridad de supervisión;
  • las categorías de los datos personales obtenidos por su empresa
  • si existe un sistema de decisiones automatizadas, que entre otras cosas, elabore perfiles con los datos

Las declaraciones de privacidad deben facilitarse por escrito y suministrarse electrónicamente (cuando proceda), y publicarse en una sección específica de su sitio web (por ejemplo:  Política de privacidad en ) y deben ser accesibles directamente desde cualquier página o subpágina del sitio.

Si desea obtener más información y asesoramiento útil sobre la elaboración de su política de privacidad, puede consultar estas orientaciones en prácticas.

Legislación de la UE

¿Necesitas recurrir a los servicios de asistencia?

Ponte en contacto con los servicios de asistencia especializados

¿Tiene preguntas sobre la gestión de una actividad empresarial transfronteriza? Por ejemplo, la exportación o la expansión a otro país de la UE. En ese caso, la Enterprise Europe Network puede proporcionarle asesoramiento gratuito.

Puede utilizar también el buscador de servicios de asistencia para encontrar la ayuda adecuada para usted.

Última comprobación: 03/06/2022
Compartir esta página