Políticas al desarrollar un software

Política de Seguridad Web de Wirelan SPA.

Reglamento General de Protección de Datos RGPD

• Certificado web: Si tenemos usuarios que hacen login en nuestra página o pueden interactuar con ella de alguna forma (formularios, comentarios,…), es necesario proteger los canales por los que se transmite información mediante el cifrado de las comunicaciones, adquiriendo un certificado web de confianza que es otorgado por el mismo CPANEL.
• Información del usuario: Si la web recoge información del cliente, el RGPD obliga a tomar estas medidas de seguridad:
  • No recabar más datos de los necesarios;
  • Tomar las medidas de seguridad adecuadas a los datos (autenticación, control de accesos, control de incidencias, gestión de soportes, copias de seguridad,…);
  • Solicitar el consentimiento explícito del usuario, en un lenguaje claro y conciso, para tratar sus datos personales;
  • Contar con una política de cookies;
  • Garantizar, indicando cómo ejecutarlos en el Aviso Legal, los derechos:
    • ARCO: acceso, rectificación, cancelación y oposición;
    • y otros derechos: limitación del tratamiento, portabilidad de los datos y a no ser objeto de decisiones individualizadas automatizadas, incluida la elaboración de perfiles.
• Desarrollo de terceros: Si contratamos el desarrollo de la web a un tercero, al solicitar el desarrollo debemos incluir requisitos de seguridad como: autenticación y cifrado de credenciales, cumplimiento legal, copias de seguridad, privacidad por diseño y por defecto, y solicitar que se utilicen metodologías de desarrollo seguro.
• Cumplimiento legal: La página web debe cumplir, además de con el RGPD, con otra legislación vigente:
  • Si la utilizamos con fines lucrativos, la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI), indicando con claridad:
    • Las condiciones de contratación o las condiciones de uso;
    • Lo relativo a las comunicaciones comerciales.
  • Si utilizamos contenidos de terceros, la Ley de Propiedad Intelectual (LPI, Copyright, Copyleft y Creative Commons).
• Alojamiento en servidor propio: Si tenemos un servidor web para la página web en nuestras instalaciones, comprobaremos que:
  • Se encuentran en la DMZ corporativa;
  • Dispone de medidas de seguridad perimetrales: cortafuegos y sistemas de prevención y detección de intrusiones (IDS/IPS, FIREWALL);
  • Dispone de medidas de seguridad contra malware;
  • Se han deshabilitado los servicios innecesarios (transferencia de ficheros, mantenimiento remoto,…);
  • El/los administradores utilizan dispositivos y canales seguros para administrar los servidores.
• Alojamiento en servidor externo: Si la web está alojada en un proveedor, revisaremos que el contrato incluya:
  • Cláusulas de confidencialidad;
  • Estipulación de quién es el encargado del tratamiento de datos si fuera necesario;
  • Inclusión de acuerdos de nivel de servicio con responsabilidades de seguridad (copias de respaldo, actualizaciones, auditorías,…);
  • Establecimiento de la propiedad del código fuente.
• Administración por terceros: Si la web la administra un tercero, debe existir un registro de la actividad de los administradores que podamos consultar y obtener en caso de fraude o de incidentes de seguridad.
• Configuración del CMS: Tanto si lo administramos nosotros como si lo hace un proveedor, para proteger el gestor de contenidos se deben aplicar y verificar las siguientes medidas de seguridad:
  • deshabilitar los módulos que no se utilicen;
  • eliminar el directorio de instalación;
  • cambiar el nombre del usuario «admin» y el prefijo de la base de datos;
  • utilizar CAPTCHA en los formularios (evitar spam);
  • eliminar metadatos de los documentos e imágenes;
  • vigilar los cambios en los contenidos y los accesos al panel de control;
• Acceso al panel de control: Independientemente del gestor de contenidos utilizado, debemos asegurar que las claves de acceso al panel de control se generan cumpliendo los criterios de seguridad [11]. Es recomendable:
  • cambiar los nombres y las contraseñas de todos los usuarios por defecto y deshabilitarlos si no se van a utilizar;
  • proteger al administrador (contraseñas fuertes y cambios frecuentes de contraseña, doble factor de autenticación,…);
  • utilizar comunicaciones seguras para administradores y usuarios;
• Limitación de accesos: Los servidores web se deben configurar (tanto en nuestras instalaciones como en las del proveedor) con un límite de accesos concurrentes para evitar ataques de denegación de servicio.
• Usuarios por defecto: Tendremos que eliminar o comprobar que se han eliminado los usuarios por defecto de las herramientas y software que soporta la web (servidores web, gestores de contenidos,…).
• Guardado de registros (logging): Para poder investigar cualquier incidente relacionado con nuestra web o incluso poner los registros a disposición judicial (si se diera el caso), es necesario guardar un registro de cualquier interacción con la página. Si la gestión del servidor la lleva el técnico de la empresa, será él quien guarde esos registros durante un período de tiempo conveniente. Si la gestión del servidor es externa, este aspecto deberá estar reflejado en el contrato con el proveedor, especificando el tipo de registros que se guardan, durante cuánto tiempo y la forma de acceso a dichos registros.
• Copias de seguridad: Tendremos que realizar copias periódicas de la web, incluida la BBDD, tanto si está alojada en un servidor propiedad de la empresa como si está en un servidor externo.
• Auditorías: También se realizarán auditorías externas para verificar la seguridad de la web.
• Software actualizado: La actualización del gestor de contenidos y sus complementos, además de la actualización del software del servidor, deben ser algunas de las tareas periódicas o puntuales a realizar, tanto si la gestión de la página web se desarrolla en la empresa como si la realiza un tercero. Por otra parte, se considera conveniente estar suscrito a los servicios de avisos o alertas de seguridad del propio fabricante del gestor de contenidos, así como de cualquier otro software que utilicemos, que nos indicará la existencia de actualizaciones puntuales.
• Protección frente al malware: Instalaremos un antivirus en todos los equipos y servidores de la empresa, que sirva tanto para el correo electrónico como para la navegación web. Lo actualizaremos periódicamente o puntualmente cuando sea necesario, configurándolo y comprobando que está activo.