E-commerce — Estándares de seguridad.

Imágen de http://www.websitemagazine.com

Cuando de la seguridad de tus clientes se trata, las empresas deben de poner especial atención a todos los detalles que implican. Tu reputación depende de eso, al fin y al cabo, ¿quién querría comprar en una tienda que expone tus datos personales o los datos de tus tarjetas?

El primer paso es que tu tienda cuente con la información mínima necesaria a la vista para que tu cliente se sienta con la confianza de realizar la compra en tu sitio. Según la página de la PROFECO:

• El proveedor debe informar claramente su identidad, denominación legal y datos de ubicación física (dirección, teléfono y fax), para que el ciberconsumidor pueda hacer alguna reclamación en caso de que se presente un problema.
• El proveedor por internet está obligado a brindar una descripción veraz de las características de los productos, para que el consumidor pueda tomar una decisión de compra bien informada.
• En el caso de los proveedores mexicanos en línea, los precios deben estar expresados en moneda nacional y, en caso de existir cargos adicionales por envío de los productos, se deben señalar claramente, junto con las condiciones y formas de pago.
• El portal debe declarar sus políticas de privacidad. Esto es importante porque es probable que se requiera al ciberconsumidor que revele datos de carácter privado, como el número de la tarjeta de crédito.
• También deben estipularse con claridad las políticas de devolución de mercancías, así como las garantías, las condiciones generales de la transacción, restricciones para la compra de bienes y servicios (como es el caso de ubicación geográfica, de tiempo, por tipo de producto o cantidad a adquirir).

De acuerdo a la normativa mexicana es necesario que todas las páginas de internet cuenten con la siguiente información a la vista de sus consumidores

Política de privacidad

Una política de privacidad o póliza de privacidad es un documento legal que plantea cómo una organización retiene, procesa y maneja los datos del usuario o cliente. Esta es mayormente usada en un sitio de internet, donde el usuario crea una cuenta. La póliza de privacidad es un contrato en el cual susodicha organización promete mantener la información personal del usuario. Cada organización del internet tiene su propia póliza de privacidad, y cada una de ellas varía. Es la responsabilidad del usuario leerla, para asegurarse de que no hay condiciones por las cuales se lleve a cabo un intercambio de información del usuario, la cual puede ser vista como una violación de privacidad.

Debe contener de manera clara los siguientes puntos:

• Información que es recogida
• Uso de la información recogida
• Cookies
• Enlaces a Terceros
• Control de su información personal

Un buen ejemplo de su uso lo puedes encontrar la página del CONASAMI

Y para comenzar con tu propia politica puedes hacer uso de plantillas.

Uso de cookies

Una cookie es un pequeño fragmento de texto que los sitios web que visitas envían al navegador y que permite que el sitio web recuerde información sobre tu visita, como tu idioma preferido y otras opciones, lo que puede facilitar tu próxima visita y hacer que el sitio te resulte más útil. Las cookies desempeñan un papel muy importante, ya que sin ellas el uso de la Web sería una experiencia mucho más frustrante.

Dado que es información generada a partir de un usuario es que se comienza la regulación de su uso en todas las páginas web. Básicamente, la Ley marca que hay dos tipos de cookies, unas de ellas requieren autorización por parte del usuario, por lo que es necesario un aviso en la propia página web, y las otras no.

Aquellas cookies que no requieren ningún tipo de autorización son las que son estrictamente necesarias para el funcionamiento de la página web a nivel técnico. No es necesario solicitar permiso, pues sin ellas la página web no podría funcionar. Un ejemplo de estas es el carrito de la compra. Y lo mismo ocurre con las cookies necesarias para iniciar un servicio solicitado por el usuario. Este último caso podría ser el del inicio de sesión. Si el usuario solicita que se recuerde su contraseña, es necesario utilizar una cookie, por lo que aquí no hay que solicitar una autorización expresa. No obstante, aunque no hay que solicitar dicha autorización, sí que es necesario que aparezca el uso de estas cookies en el aviso legal de la página web.

Sin embargo, hay otras cookies para las cuales no basta simplemente con que se incluya la información en la sección de aviso legal, sino que también es necesario que se solicite autorización para utilizarse. Hay tres tipos de cookies que están en esta situación:

- Cookie sin capacidad de identificación del usuario: Estas cookies, aunque no identifican al usuario, si no están incluidas en el grupo anterior, es necesario que soliciten el permiso al propio usuario.

- Cookie con capacidad de identificación del usuario: Es obvio que estas cookies, que son las que podrían resultar más intrusivas, requieren de una autorización del usuario. Nos identifican y pueden almacenar información sobre nosotros que se puede utilizar más tarde. Si en tu navegador se ha instalado una cookie publicitaria, es posible que ahora sepa que tú estás leyendo un articulo de Medium y no es raro que más tarde encuentres en Internet publicidad relacionada , gracias a los datos que ha obtenido anteriormente. Además, cookies de este tipo pueden saber dónde has hecho Me Gusta, qué artículos has leído, e incluso cuántos productos has comprado en una tienda online.

- Cookie aceptada en la configuración del navegador: Tampoco se salvan las cookies que hemos preaceptado en la configuración del navegador. Nosotros podemos configurar Chrome, Firefox, Explorer, o el navegador que sea, para aceptar de manera predeterminada una serie de cookies. Aun así, las páginas web están obligadas a informar al usuario y pedir autorización para el uso de estas.

Al igual que con la politica de privacidad, tu distio debe tener una sección done liste que cookies se estan utilizando y cual es su uso final. Un buen ejemplo es la página de google.

PCI Compilance

El Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (Payment Card Industry Data Security Standard) o PCI DSS fue desarrollado por un comité conformado por las compañías de tarjetas (débito y crédito) más importantes, comité denominado PCI SSC (Payment Card Industry Security Standards Council) como una guía que ayude a las organizaciones que procesan, almacenan y/o transmiten datos de tarjetahabientes (o titulares de tarjeta), a asegurar dichos datos, con el fin de evitar los fraudes que involucran tarjetas de pago débito y crédito.

Las compañías que procesan, guardan o trasmiten datos de tarjetas deben cumplir con el estándar o arriesgan la pérdida de sus permisos para procesar las tarjetas de crédito y débito (Perdida de franquicias), enfrentar auditorías rigurosas o pagos de multas. Los Comerciantes y proveedores de servicios de tarjetas de crédito y débito, deben validar su cumplimiento al estándar en forma periódica.

Requisitos

La versión actual de la normatividad (3.2) especifica 12 requisitos para el cumplimiento, organizados en 6 secciones relacionadas lógicamente, que son llamadas “objetivos de control.”

Los objetivos de control y sus requisitos son los siguientes:

Desarrollar y Mantener una Red Segura

• Requisito 1: Instalar y mantener una configuración de cortafuegos para proteger los datos de los propietarios de tarjetas.
• Requisito 2: No usar contraseñas del sistema y otros parámetros de seguridad predeterminados provistos por los proveedores.

Proteger los Datos de los propietarios de tarjetas.

• Requisito 3: Proteger los datos almacenados de los propietarios de tarjetas.
• Requisito 4: Cifrar los datos de los propietarios de tarjetas e información confidencial transmitida a través de redes públicas abiertas.

Mantener un Programa de Gestión de Vulnerabilidades

• Requisito 5: Usar y actualizar regularmente un software antivirus.
• Requisito 6: Desarrollar y mantener sistemas y aplicaciones seguras.

Implementar Medidas sólidas de control de acceso

• Requisito 7: Restringir el acceso a los datos tomando como base la necesidad del funcionario de conocer la información.
• Requisito 8: Asignar una identificación única a cada persona que tenga acceso a un computador.
• Requisito 9: Restringir el acceso físico a los datos de los propietarios de tarjetas.

Monitorizar y probar regularmente las redes

• Requisito 10: Rastrear y monitorizar todo el acceso a los recursos de la red y datos de los propietarios de tarjetas.
• Requisito 11: Probar regularmente los sistemas y procesos de seguridad

Mantener una Política de Seguridad de la Información

• Requisito 12: Mantener una política que contemple la seguridad de la información

Todo este proceso es muy costoro y consume demasado tiempo como para que un comerciante de mediano a pequeño pueda llevarlo, lo más común es que se deje en manos de los procesadores de pago como Paypal, Conecta por nombrar a algunos.

Mantenerte en el negocio del comercio electrónico depende mucho de que cuides a tus clientes como cuidarias de ti mismo, no porque no tengas los productos en físico quiere decir que estes a salvo de un atraco o de que un mal manejo de información te lleve a afectar a tus consumidores.

¡Hasta la próxima!

Referencias:

Comercio Electrónico

Cómo utiliza Google las cookies - Privacidad y Condiciones - Google

¿Qué son las cookies y por qué aparecen tantos avisos en las web?

PCI DSS - Wikipedia, la enciclopedia libre