¿Es segura la página web de tu empresa? El ataque a tu cara en internet puede suponer tanto pérdidas directamente económicas como la destrucción de tu reputación online. Aquí te presentamos una guía simplificada con algunas de las directivas que te ayudarán a mantener tu web segura. ¿Necesitas poner a punto tu web? Escríbenos y te ayudamos con tu página web.

 

Aspectos técnicos

Existen ciertos riesgos que debemos identificar y evitar para que la página web cumpla correctamente su función. Una de las primeras decisiones que debes tomar es sobre quién realizará la gestión de la página web. Independientemente de quién realice la gestión y mantenimiento de la página web, existen determinadas consideraciones y aspectos a tener en cuenta para garantizar su protección y seguridad, sí que nos ayudarán a evitar riesgos como:

  • La sustracción de la base de datos de clientes de nuestra web o de documentos privados de la extranet (si disponemos de ella)
  • La alteración de nuestro portal para insertar un phishing (cambiando el aspecto de nuestra web para simular a otra empresa) o algún tipo de malware
  • La manipulación o modificación de los contenidos del portal web, por ejemplo los precios, la descripción de productos, los medios de pago, los datos bancarios para realizar la transferencia o los datos de contacto de nuestra empresa

Para que ninguno de los escenarios anteriores llegue a materializarse en la web de la organización, es necesario valorar los siguientes aspectos y aplicar medidas de seguridad adecuadas.

Uso de captcha

¿Tu página permite realizar comentarios? ¿Tienes un sistema de valoración para tus servicios o productos? ¿Permite la interacción con el usuario? Si es el caso, deberías valorar el uso de sistemas captcha. Estos sistemas impiden que una máquina pueda actuar como si fuera un usuario introduciendo comentarios, valoraciones o reclamaciones de forma automática. ¿Por qué? Además de por reputación e higiene de tu web, los comentarios que pueden incluir spam tanto malicioso o publicitario.

Para ello un captcha presenta un contenido que difícilmente puede ser interpretado por una máquina y nos pide que sea tecleado, de esa manera que se asegura que es un humano el que está al otro lado.

 

 

Eliminación de metadatos

¿Tienes descargables en tu página web? Folletos, infografías, manuales y otras documentaciones contienen en sus metadatos información sobre nombres de usuarios, equipos, directorios, etc. Esta información puede hacer vulnerable a tu empresa pues proporciona datos interesantes para un potencial ataque. No te preocupes: la mayoría de productos que se utilizan para generarlos – como Office 365 -, tienen funcionalidades para eliminarlos.

Revisa los documentos que ya tengas en la web y asegúrate de que los nuevos materiales no contengan información que pueda comprometer tu ciberseguridad.

 

Actualización del gestor de contenidos

¿Tu página está basada en un CMS (gestor de contenidos)? Los más populares son WordPress, Joomla!, y Drupal. Por su flexibildad, seguridad y facilidad de uso para el usuario, son una de las opciones más comunes a la hora de tener una página web. Por ejemplo, casi 1 de cada 3 páginas está construida sobre WordPress… ¡a nivel mundial! Los CMS son actualizados constantemente para poner arreglo a ataques frecuentes o vunerabilidades, por lo que es fundamental tenerlos actualizados.

Estos sistemas también suelen hacer uso de plugins (o complementos), que mejoran sus funcionalidades. Además de ser fundamental instalar sólo plugin de confianza, éstos deberán estar también actualizados para hacer frente a posibles incidencias de funcionalidad y seguridad.

 

 

Contraseñas seguras

Tanto como si tu página tiene un gestor de contenido como si está hecha ad hoc, la protección de las claves de acceso al panel de control han de guardarse como oro en paño. Por otro lado, y volviendo a los accesos a tu web:

  • Utiliza contraseñas con características mínimas de seguridad (mínimo de caracteres, alternancia de mayúsculas y minúsculas, el incluir números y símbolos, etc…). La mayoría de CMS fuerzan al usuario a utilizar claves de estas caracterísicas.
  • Recuerda cambiar tus contraseñas periódicamente (como todas las contraseñas).
  • Deshabilita los usuarios que no vayas a utilizar
  • Modifica los nombres de usuario obvios/por defecto

 

 

Backup o copia de seguridad

Al igual que en otros materiales de tu empresa, tener un backup o copia de seguridad o copia de restauración que se ejecute periódicamente es fundamental; es decir, deberías tener una política de backup. Y más si tu web presta servicios críticos como ecommerce, medio de contacto habitual con clientes, catálogo de productos o consulta de tarifas.

Las principales razones de la pérdida de información de las páginas web son los ciberataques, seguido de errores fatales generados por los propios usuarios (al actualizar sin comprobar correctamente la compatibilidad, por ejemplo). En keykumo contamos también con un sistema de respaldo que vuelve a poner en funcionamiento la página si existen caídas o incidencias, de modo que no pierdas ningún cliente o potencial cliente por tener tu web caída.

 

 

Monitorización del tráfico

Además de para controlar los ingresos que genera nuestra web, monitorizar el tráfico recibido y generado es una buena práctica para prevenir posibles ataques. Por otro lado, es muy recomendable instalar un cortafuegos de aplicación web o Web Application Firewall (WAF). Estos cortafuegos son sistemas de seguridad específicos para los servidores de aplicaciones que funcionan detrás de algunas páginas web. Su función es prevenir y detener ataques específicos que no son detectados como tales por un cortafuegos de red.

 

 

Pagos online

¿Tu empresa permite pagos online? Este es un tema de especial sensibilidad que nos permite diferentes soluciones: pago a contra-reembolso, transferencia bancaria, pago con tarjeta de crédito o a través de entidades intermedias (de Google Walley a Amazon Payments pasando por la mundialmente conocida Paypal).  Cada opción acarrea una serie de puntos positivos y negativos que debes valorar, tanto a nivel de seguridad como de experiencia de usuario.

 

Sistemas de pago tradicionales

Contrarrembolso

No es una forma de pago online pero algunas tiendas – pocas – lo siguen ofreciendo. En esta modalidad, el producto se abona en mano cuando llega el pedido:

  • Inconvenientes: la posibilidad de que un cliente decida rechazar un producto que ha comprado y tengamos que hacer frente a los costes de mensajería, inventario, etc. La complejidad logística. Un modelo que no encaja con la experiencia de compra que prefieren la mayoría de usuarios

Transferencia bancaria

Poco frecuentes, por los riesgos que implica para el comprador (pocas posibilidades de cancelar una vez se ha asentado el apunte en la cuenta destinatario).

  • Inconvenientes: plazos de entrada de dinero, costes asociados a la transferencia, forma de pago opaca al consumidor. En resumen, poco atractivo para el consumidor ecommerce.

 

 

Pago con tarjeta

La opción más utilizada – aunque pierde fuerza año tras año frente a las entidades intermediarias. Tenemos que asegurarnos que este tipo de compra se haga a través de una pasarela de pago segura. Existen plataformas y plugin especialmente diseñados para el pago con tarjeta, ya que el desarrollo de una pasarela de pago segura e independiente implica una serie de riesgos en seguridad con datos muy sensibles.

En cualquier caso, las comunicaciones de estos terminales de punto de venta o TPV virtuales van siempre cifradas (a través del protocolo TLS o Seguridad de la Capa de Transporte, de sus siglas en inglés Transport Layer Security) e incorporan medidas de seguridad adicionales proporcionadas por el banco, como tarjeta de coordenadas o código de confirmación por SMS al móvil (Short Message Service).

 

 

Entidades intermediarias

Esta es la opción que más crece por la seguridad que ofrece a los consumidores. En este caso, el cliente realiza el pago a través de la entidad intermediadora y ésta te lo remitirá. Este tipo de servicios tienen un coste para el vendedor, por lo que deberá analizarse su conveniencia en función del volumen de ventas.

 

Certificado SSL

El auge de Internet ha traído de la mano numerosos fraudes: desde estafas en compras online al intento de capturar datos sensibles, pasando por infecciones masivas a equipos. Por eso, es fundamental que nuestra página web sea confiables: que nuestros usuarios y potenciales clientes sientan que su información está a salvo.  ¡Ojo! Esto no es sólo aplicable a los negocios ecommerce: la reputación lo es todo, independientemente de que tu empresa venda online o no.

¿Y qué mejor forma de conseguirlo que una conexión segura? Para ello existen los certificados digitales: una herramienta que identifica inequívocamente un sitio web, igual que un DNI identifica a un ciudadano español. ¿Tiene mi web certificado SSL? Podemos comprobar que es una página web que va cifrada (ya que el protocolo es https://) y que dispone de un certificado digital de confianza. Esto lo reconocemos porque aparece el candado y el nombre de la identidad verificada coincide con la del dominio. Pulsando sobre el candado podemos obtener la información sobre el certificado. Puedes aprender más sobre los certificados SSL y conseguir uno aquí.

 

Razones para tener un certificado SSL

Además de la seguridad, existen más razones por las que instalar un certificado SSL.

  • Velocidad de carga. HTTP2 es el nuevo estándar que ofrece de media un 17% más de velocidad. La mayoría de servidores ya lo utilizan (si el tuyo todavía no, deberías plantearte cambiar de hosting) pero para poder utilizarlo tu web necesita tener un certificado de seguridad instalado ya que HTTP2 solamente funciona en conexiones seguras https
  • Mejora tu SEO. Google lleva avisando desde 2017: las páginas sin protocolo SSL sufrirán penalizaciones en posicionamiento. Se prevé una situación similar a la vivida en 2015 con el mobilegeddon, cuando todas las páginas sin adaptación a móvil sufrieron importantes pérdidas en SEO a pesar de los constantes avisos de Google.
  • Confianza online. A partir de julio, todas las páginas sin HTTPs son marcadas como no seguras por Chrome y Google. ¿Qué imagen percibirá un potencial cliente si al acceder a tu página web es señalada como potencialmente peligrosa?

 

Cumplimiento legal

Según la normativa española y europea vigente a día de hoy, el propietario de la página (tu empresa o tú) que realice actividad económica, tiene que aportar información al usuario sobre diferentes aspectos. El no cumplimiento de esta serie de obligaciones conlleva cuantiosas multas. Este tema es complejo, por lo que sólo lo trataremos con algunas pinceladas. Si quieres saber más, lo explicamos al detalle aquí (y te ofrecemos una auditoría gratuita).

 

El aviso legal

¿Qué es el aviso legal?

Una información que, por ley (LSSI-CE), tienes que ofrecer al usuario de tu web si tienes fines comerciales. Esta ley aplica a las actividades que se realicen por Internet u otros medios telemáticos y persigan un fin económico, es decir, cuando el responsable del portal recibe ingresos, directos (por prestar un servicio o por la venta de un producto) o indirectos (publicidad mostrada en el sitio).

¿Qué tiene que incluir el aviso legal?

La ley indica que en el aviso legal debe constar, como mínimo y de una forma sencilla, directa y permanente la siguiente información de nuestra empresa:

  • Denominación social
  • Código de Identificación Fiscal (CIF) o Número de identificación fiscal (NIF)
  • Domicilio y dirección de correo electrónico
  • Los datos de inscripción del registro mercantil (si fuese el caso)

Por último, en el caso de que se lleven a cabo contratos online, se debe también informar, en un paso previo al proceso de contratación, de:

  • Los trámites que deben seguirse para contratar online
  • Si el documento electrónico del contrato se va a archivar y de si será accesible
  • Los medios técnicos para identificar y corregir errores en la introducción de datos
  • Los idiomas en que podrá formalizarse el contrato

 

 

Política de privacidad

¿Qué es la política de privacidad de la web? ¿Qué tiene que incluir?

Si desde nuestra web tomamos datos personales – por ejemplo, el envío de datos a través de un formulario -, deberá contener una política de privacidad para cumplir con la directiva europea GDPR (o RGPD). Esta política tendrá además de información sobre los responsables del sitio web:

  • La existencia de un tratamiento de datos de carácter personal.
  • La finalidad de la recogida de éstos.
  • La identidad y dirección del responsable del tratamiento, en este caso tu empresa.
  • Si existe alguna cesión de esos datos, para lo que es necesario recabar el consentimiento explícito del usuario.
  • Dónde ejercer los derechos de ser informado, derecho de acceso, derecho de rectificación, derecho a supresión (derecho al olvido), derecho a la limitación del tratamiento, derecho a la portabilidad, derecho de oposición (o a la exclusión voluntaria) y el derecho a no someterse a la toma de decisiones automatizadas incluyendo la elaboración de perfiles.

Toda esta información debe quedar claramente reflejada, ser comprensible para nuestros visitantes, y estar accesible en la página web.

 

 

Cumplir la GDPR en mi web

Para cumplir con la GDPR no basta con informar en la política de privacidad de lo indicado anteriormente, debemos cumplir con las medidas de seguridad recogidas en dicho Reglamento. Conoce cómo cumplir la GDPR (te ofrecemos una auditoría gratuita) .

 

 

Política de cookies

¿Qué son las cookies?

Un aspecto particular a tener en cuenta es la normativa de cookies. De hecho, muchas páginas desglosan la política de privacidad y la política de cookies, como veremos más adelante. Si las cookies son utilizadas para la comunicación entre el equipo del usuario y la red, o son utilizadas para prestar un servicio solicitado por el usuario, es suficiente con mencionar dicho aspecto en la política de privacidad o en el aviso legal.

¿Qué tiene que incluir la política de cookies?

Si utilizas las cookies para realizar estadísticas de navegación, para analizar la actividad de los usuarios o para fines publicitarios, debes aplicar el Real Decreto Ley 13/2012 que modifica el artículo 22 de la LSSI.

En estos casos es necesario incluir la siguiente información:

  • Qué son las cookies
  • Para qué se utilizan en la página web
  • Quién las instala y gestiona
  • Cómo pueden ser rechazadas por el usuario, indicando algunos pasos explicativos para que el visitante sepa rechazarlas en el navegador que utilice

De nuevo toda esta información se debe facilitar al visitante de forma clara y visible, y debe ser aceptada por el usuario. Es suficiente con pedir el consentimiento en la primera visita. En cualquier caso, siempre que se haya informado convenientemente, se asume que da el consentimiento si el usuario sigue navegando.

¿Necesitas ayuda con algún aspecto de tu web?  Escríbenos y te ayudamos con tu página.