¿Que poner en el documento de seguridad de un website?

#1 (**permalink**) 23/09/2008, 08:15

A ver si alguien con experiencia me puede resolver esta duda en cuanto a la aplicación de la Ley de protección de datos(Lopd) en un sitio web .........lo normal es que los datos personales que se recogen en una web se alojen en el servidor y todo se gestione desde alli, incluido el correo electronico. Mi pregunta es la siguiente....¿que tenemos que pone en el documento de seguridad si todas las medidas de seguridad estan en el servidor y no dependen de nosotros?....¿completamos el documento de seguridad normalmente y advertimos de que es otro el que aplica las medidas?

Por favor, si alguien ya se ha enfrentado a esto que nos cuente como se resuelve este "entuerto"

Gracias

HookerSP · #2 (**permalink**) 23/09/2008, 23:52

Tienes un formato de documento de seguridad en la web de la agencia. En cuanto a "qué poner" ......... pues como está de protegido el servidor, si el acceso es libre, si esta en un sitio cerrado o en la cafeteria, ................ depende, hay muchas cosas.

Hooker

#3 (**permalink**) 07/10/2008, 17:18

Me contesto a mi mismo..... Hoy he estado en una conferencia que organiza la Agencia Española de Protección de Datos en Valencia y ha quedado "mas o menos claro" que cuando contratamos un sevicio de Hosting para alojar un sitio web, el proveedor del servicio es "encargado del tratamiento" de los datos que se alojan en el servidor y debe tener implantadas las medidas de seguridad previstas en el Reglamento de la Lopd, INCLUIDO EL DOCUMENTO DE SEGURIDAD.

Por lo tanto, el propietario del website, en la medida que solo controla el acceso al servidor, debe tener su propio documento de seguridad y debe aplicar y documentar las medidas de seguridad que correspondan al uso que el y sus colaboradores hacen del servidor y de los datos alojados (que suelen ser las referidas al acceso al servidor ; identificación de usuarios, asignación de contraseñás, permisos de usuarios, etc, etc, etc) y debe remitirse al documento de seguridad del proveedor del hosting en cuanto a las medidas que le corresponden aplicar a este en cuanto a la gestión del servidor ( copias de seguridad, registro de accesos, registro de incidencias, etc, etc, etc)

chelsae · #4 (**permalink**) 08/10/2008, 19:45

Además la empresa de hosting debe firmarte un contrato como encargada del tratamiento ya sea por escrito o de alguna forma en la que se puede acreditar la celebración.

También debes dar de alta en el fichero registrado en la agencia a tu empresa de alojamiento como encargada del tratamiento.

Muchas empresas de alojamiento de medio pelo se negarán a firmarte dicho contrato con lo que incumplirás la LOPD.

Dr.Insano · #5 (**permalink**) 10/10/2008, 05:55

Y si la empresa a la que le contratas el hosting es en realidad un revendedor?

#6 (**permalink**) 10/10/2008, 09:08

Un revendedor es un comisionista que hace de intermediario en la venta, pero a la hora de determinar responsabilidades no realiza ningun tratamiento de datos......el encargado del tratamiento, y, por lo tanto, con quien habria que firmar el contrato es con la empresa de Hosting. Esto es practicamente ilusorio porque el hosting "esta escondido" tras el revendedor o es un hosting situado en un pais sin normativa sobre protección de datos por lo que "pasan de nosotros". Sin embargo, el titular del sitio web sigue siendo responsable del fichero y debe cumplir con la Lopd, por lo que cualquier proyecto importante debemos alojarlo directamente en empresas de Hosting serias situadas en paises que ofrezcan un nivel de proteccion equivalente a la Lopd. Aqui en España hay bastantes empresas de hosting que incluso aportan al cliente el modelo de contrato ya adaptado a la ley.