seguridad de datos

Hola, a ver si algun profesional m puede ayudar con esto:
tengo una serie de dudas a la hora de entender y saber cuales son los terminos y requisitos de seguridad que debe tener una web o portal. por ejemplo un portal en el que se requieran datos personales para algunas actividades, etc.
En principio mis dudas serian las siguientes:
Seguridad de datos LOPD-LSSI ¿que significa esto?
W3C-CSS;W3C-XHTML; WAI-AA WCAG 1.0 ¿que significa?
¿cualquier persona puede ofrecer estos servicios, es decir, hay algun requisito especifico para poder ofrecer este servicio de seguridad?. Por otra parte es que creo que estoy escuchando que el tema este de seguridad de internet es un poco complejo y que no todos los informáticos o profesional estan aptos para ofrecer estos servicios ¿lo entiendo mal?.
Esto es un tema nuevo para mi asi que espero me haya explicado bien.
Gracias a todos por vuestra ayuda, un saludo.

Hola

Bueno, ciertamente tienes un pequeño gran lio.

W3C es el organismo que establece las recomendaciones oficiales de los lenguajes y tecnologías relacionadas con Internet. Entre ellos, HTML, XHTML, CSS, WCAG, etc. No tiene nada que ver con la seguridad.

(X)HTML es el lenguaje de las páginas web; si en cualquier navegador piedes ver el código fuente de una página, aparte del contenido que puedes leer normalmente, verás otro monton de cosas, eso son las etiquetas del html. Sirve para indicarle al navegador donde y como debe mostrarse la información, sin entrar en detalles estéticos. No tiene nada que ver con la seguridad.

CSS son hojas de estilo en cascada y se usan para dar un formato visual a la estructura html. No tiene nada que ver con la seguridad.

WCAG son las normas de accesibilidad que debe cumplir un sitio web si quieres que gente con diferentes tipos de discapacidades puedan accedr a la información que ofreces. En realidad también sirven para la gente sin discapacidades, pero vamos, eso ya es otro tema. No tiene nada que ver con la seguridad.

LOPD es la ley española encargada de la normativa de seguridad de datos. No solo cubre el área de Internet, si no cualquier procesamiento de datos.

LSSI es la normativa encargada de la reglamentación del tratamiento de datos en Internet.

Sobre si cualquier persona puede ofrecer estos servicios, bueno, si, cualquiera puede hacer una página web y cualquiera puede decir que cumple con las recomendaciones del w3c, lo mismo que cumplir con las normativas de protección de datos. Sin embargo, la gran mayoría de las páginas web no cumplen con los estándares, a pesar de que quien la cree diga que si e igualmente muchísimas páginas y aplicaciones web no están realmente preparadas para la protección adecuada de los datos.

Otro detalle a tener en cuenta, es que en España, parte del proceso implica hacer un registro de las bases de datos en el organismo pertinente y firmar un documento en el que te comprometes a protegerlos de forma adecuada.

Sobre la complejidad de la seguridad,. ciertamente es un tema complejo, más no complicado; muchos elementos forma parte de una adecuada seguridad, entre ellos, un servidor web bien configurado, medidas de seguridad por parte de la empresa de hosting, buenas prácticas de programación en las páginas, tanto en el código de cliente (navegador), como en el de servidor, etc, etc.

Uno de los mayores problemas con el tema de la seguridad, es que no puedes pedir referencias anteriores, especialmente si no peudes leer el código de programación. Evaluar un sistema como seguro o no, requiere de ciertos conocimientos en diversas áreas, por lo que si necesitas un nivel mínimo, debes asegurarte de contratar a alguien que pueda hacer las cosas bien o un tercero que pueda analizar ese tema previo al desarrollo de la aplicación.

Conste que mis palabras no buscan asustarte, como digo, no es un tema complicado si se tienen los conocimientos, pero si puede resultar complejo dependiendo de las circunstancias.

Espero no haber desbarruntado mucho y que esto te haya sido de utilidad. Si tienes alguna otra duda o necesitas alguna aclaración de lo expuesto, solo menciónalo.

Felicidad

Muchas gracias, creo que me has informado a la perfección. Era justamente la información que necesitaba para empezar a moverme. Otra pregunta si no te importa.
Entiendo entonces que la seguridad de una web es importante a medida que el portal web es importante (segun el tamaño,las gestiones, etc..). Por ejemplo, si se trata de una web donde hay parte de chat, foro, cursos, participaciones, etc...¿sería conveniente o relativamente conveniente?, es decir entraría la posibilidad de no cumplir estos requisitos sin más o sería más bien conveniente que los cumpliera.
gracias de nuevo, me has ayudado mucho. Disculpa mi insistencia con el tema

Hola

La seguridad es siempre importante.

Cuando un sitio web tiene solo páginas html, sin ningún tipo de programación de servidor, la seguridad depende del proveedor del hosting, es decir, la empresa en la que alojas la página; en general, estos sitios cumplen con un nivel mínimo muy razonable, aunque no siempre es el caso.

Si el sitio web consta de programación, es decir, el caso que planteas, la seguridad es muy importante, aunque solo hubiera una página en el sitio.

Cuando se usa programación, hay muchos elementos que se ven afectados y a su vez afectan la seguridad del sitio, por ejemplo, el uso de la información que el usuario escribe en formularios debe ser cuidadosamente verificada y filtrada antes de usarla a fin de evitar vulnerabilidades y ataques. Por ejemplo, cada vez que escribes un mensaje en un foro, como estos que escribimos, todo lo que ponemos, debe ser analizado y filtrado para evitar que haya malfuncionamientos en el sistema; no solo por ataques, si no por descuidos, un script mal programado es vulnerable a muchos problemas, aun sin mala voluntad.

Otro elemento importante, es que si un script es vulnerable, estás dejando abierta una puerta abierta para que otros sitios alojados en la misma máquina sean atacados. Es un riesgo potencial, pero no por eso menos real.

Otra cosa es la seguridad referente a la ley, de hecho esta es la parte más fácil de cumplir ya que solo implica burocracia, pero igual que contratas abogados o gestores para hacerlo y ellos tienen experiencia, lo mismo hay que hacer con Internet.

Lograra una buena seguridad es más difícil que cumplir la burocracia.

Sobre cumplirla o no, bueno, la burocracia tiene el inconveniente de que si no la cumples, un día cualquiera puede haber una investigación, denuncia o similar y tendrías que pagar una multa por no haberla cumplido. Pero como digo, que eso no te preocupe, es la parte más sencilla; y reuerda que solo debes almacenar los datos imprescindibles de cada usuario.

Sobre cumplir con tener un sitio seguro, esto es moral y técnicamente importante. Moralmente porque si los datos que tienes almacenados se filtran estás perjudicando a alguien, aunque solo sea porque reciba correo basura. Técnicamente, porque aumenta la calidad del sitio, da seguridad a tus usuarios e impide problemas en el servidor.

Resumen; asegúrate de que el sitio sea lo más seguro posible y cumple con la burocracia necesaria.

Si tienes más preguntas, no dudes en plantearlas, cuanto más informada estés, mejor.

Felicidad

P.D.
Esto asumiendo que el sitio del que hablas no será un pequeño portal de comunidad de un grupo de amigos sobre el cantante de moda, en cuyo caso la seguridad es necesitada igual, pero la burocracia es mucho menos importante.

Bien gracias Patomas, fantastico. me lo has aclarado casi perfectamente, gracias de nuevo, un saludo

Pantomas, una cosa más entonces por favor.
Entiendo de lo que me dices que en un portal de las fans de un cantante seria la seguridad relativamente necesaria pero si se tratara el portal de un organismo oficial, por ejemplo sería importantisimo. Asi lo debo valorar entonces?. Gracias, gracias, gracias de nuevo

Tema movido desde el foro de Accesibilidad y Usabilidad

Hola:

En el caso de la LOPD la importancia de la seguridad depende del tipo de datos que guardes de los usuarios, me explico; no es lo mismo, por ejemplo, una base de datos que guarde los datos del nombre y correo de otra que guarde el historial médico. Es decir, cuanta mayor intimidad reflejen esos datos mayor será el nivel de seguridad que debes asegurar.

Debes tener en cuenta que es una ley que se debe aplicar incluso a las bases de datos de un sistema informático de una empresa (clientes, por ejemplo) sin acceso a internet en cuyo caso el nivel de seguridad se reduce a garantizar que el personal que accede a esa base de datos no haga pública la información contenida.

Y siempre, como ya indicó perfectamente Patomas, deberás registrar tu base de datos en el organismo pertinente aunque desconozco cuales son los requisitos de una base de datos web porque no sé como se aplica en este caso el ámbito territorial.

Saludos.