Datos AMP

Datos AMP

Los datos estructurados de Google son fundamentales en la producción AMP.

Estos son los Datos Estructurados de Google

Las búsquedas en Google con datos estructurados coherentes destacan más que los demás: tienen estrellas mostrando un ranking, tiene una imagen, una fecha de inicio, un lugar concreto, un listado de grupos de música… Los datos estructurados y la información que muestra está presentada de una forma organizada y útil.

LOS DATOS ESTRUCTURADOS

Son etiquetas de marcado a nivel de HTML que asocian la información que queremos a un tipo de esquema de marcado previamente definido y estandarizado, permitiendo así categorizar la información.

Esta biblioteca HTML se encuentra en  Schema.org

Los datos estructurados son fundamentales a la hora de producir unas buenas directrices de AMP (Acelerador de Páginas para Móvil). Google ofrece soporte para conseguir que un sitio web se ajuste a los requisitos de Google. Consulta aquí la Información.

CREAR PÁGINAS CON DATOS ESTRUCTURADOS

GOGLE recomienda este proceso para la creación de páginas con datos estructurados:

  1. Siga las pautas de datos estructurados para su página y tipo de función . Por ejemplo, si su página es una receta, asegúrese de seguir las pautas técnicas para Recetas .
  2. Valide su código usando la herramienta de prueba de datos estructurados . Pegue su código en la herramienta y haga clic en el botón de validar.
    Consejo: para algunos tipos de resultados, la herramienta de prueba de datos estructurados le permite generar una vista de muestra de un resultado de sus datos. Para esos tipos, después de hacer clic en “validar” en la herramienta, si el código es válido, verá un botón “Vista previa”, que generará una muestra de resultados de búsqueda basados ​​en sus datos.
  3. Implemente páginas con sus datos estructurados y use Explorar como Google para probar cómo ve Google la página. Asegúrese de que su página sea accesible para Google y no esté bloqueada por robots, no-index o requisitos de inicio de sesión. Si la página se ve bien, use esa herramienta para solicitar un índice de la página. Lea aquí para descubrir cómo probar una página alojada en un servidor local o detrás de un firewall .
  4. Después de que Google haya indexado la página, busque los errores y los datos procesados ​​correctamente utilizando el informe de tarjetas enriquecidas (admite un subconjunto de tipos de datos estructurados ) o el informe de datos estructurados en Search Console. Lo ideal sería ver un aumento de los resultados enriquecidos (conocidos anteriormente como tarjetas enriquecidas) o tipos de datos estructurados y no aumentar las tasas de error.
    • Si ve que los datos estructurados se rastrean sin errores, actualice su mapa del sitio para que Google rastree esas páginas con regularidad.
    • Si encuentra problemas en sus datos estructurados, corríjalos, vuelva a realizar la prueba en Explorar como Google y solicite otro índice hasta que todo se vea bien en los informes. Luego despliega el resto de tus páginas.
  5. Controle periódicamente sus tasas de error utilizando el informe Rich Cards o Structured Data, especialmente después de liberar nuevas plantillas o actualizar su código.

Repara las páginas existentes

  1. Regístrese como propietario verificado de su sitio en Search Console. Si Search Console nota cambios dramáticos en las tasas de error, es posible que reciba una notificación por correo electrónico sobre el cambio.
  2. Haga un seguimiento periódico de sus páginas mediante el informe Rich Cards (admite un subconjunto de tipos de datos estructurados ) o el informe de datos estructurados en Search Console. Aquí hay algunas razones comunes para los errores:

    • Si ve un aumento en los errores , quizás haya desplegado una nueva plantilla que no funcione o su sitio interactúe con la plantilla existente de una manera nueva y mala.

    • Si ve una disminución total en los datos estructurados , verifique si la disminución repentina en los datos estructurados indexados se corresponde con un aumento en los errores. De lo contrario, quizás ya no incorpore datos estructurados en sus páginas, o las páginas no sean accesibles para Google (quizás las páginas estén bloqueadas por robots.txt o noindex). Probar la disponibilidad de la página con la herramienta Explorar como Google .


    Si profundiza en un error específico en el informe de tarjetas enriquecidas, debe proporcionar información sobre el error. La exploración en una página específica en el informe Datos estructurados debe proporcionar un enlace para probar una sola página con la Herramienta de prueba de datos estructurados .


  3. Repare su código y pruébelo con la herramienta de prueba de datos estructurados . Lea aquí para descubrir cómo probar una página alojada en un servidor local o detrás de un firewall .
  4. Desarrolle su solución y espere a que Google vuelva a rastrear su página. Recuerde que esto puede tomar algunos días.
Datos AMP

Cambridge Analytica

Esta empresa usa datos para cambiar el comportamiento de la audiencia. Enlace a sus divisiones comerciales para ver cómo funcionan sus procesos.

Una empresa que usa la minería de datos y el análisis con la comunicación estratégica para procesos electorales.

MARKETING BASADO EN DATOS

Combinan el análisis de predicción de datos, las ciencias que indican la generación de conductas personales, y la tecnología publicitaria de innovación.

Objetivos

  1. Medición del tamaño del mercado para el objetivo actual, y medición del mercado de «clientes similares» de suscriptores.
  2. Perfil socio-demográfico, compromiso político, geografía y personalidad para cada grupo
  3. Comparación y datos de contraste los dos grupos
  4. Brindar orientación de comunicación basada en la psicología de ejemplo para el objetivo final.

Esto es en pocas palabras una empresa que reorganiza sus objetivos utilizando Big Data a gran escala.

Ahora además es noticia el escándalo de Facebook que ha permitido que se vulneraran los datos privados de millones de ciudadanos de todo el mundo.

Las explicaciones en el Senado de EE.UU. siguen la costumbre de resumir en pocas palabras los objetivos de Facebook, que son:

  • La colaboración ciudadana.
  • La honestidad de las informaciones sociales.
  • La conducta psicológica en beneficio de la sociedad.

Sin embargo, aún que el CEO de Facebook Mark Z. haya pedido disculpas en esta Institución, la crisis no se ha solucionado, ni se han señalado los cauces para que Facebook no siga infringiendo la política de privacidad de sus usuarios.

Según algunos expertos en la materia, cuando un servicio tan importante como el que ofrece Facebook es gratuito, es probable que el producto sea el propio usuario. La gratuidad es un gancho muy difícil de soltar, agarra a los usuarios de forma fácil y los mantiene literalmente enganchados.

Servicios de Facebook

Para el usuario de a pie, elegir entre un servicio gratuito y otro de pago, no tiene más elección lógica que la de elegir el servicio gratuito. Facebook lo sabe, y por eso ofrece gratis sus servicios.

No sólo es Facebook, también el resto de redes sociales como Twitter, Instagram, etc. obtienen beneficios adicionales por otras vías, tales como acuerdos con terceras empresas que venden sus productos en sus plataformas o la comercialización de bienes virtuales con su propia moneda (“Facebook credits” en el caso de la red americana), ingresar dinero por la publicidad es el modelo preferido por este tipo de plataformas.

Facebook dispone de mucha información sobre los usuarios y los anunciantes la pueden usar a su favor para realizar segmentaciones muy acertadas en sus campañas. En todos los casos, los anuncios se pueden mostrar tanto en dispositivos móviles como en ordenadores.

Según datos de EE. UU., uno de cada cinco minutos que los usuarios pasan en sus dispositivos móviles está dedicado a Facebook o a Instagram.

En Europa se avecinan cambios con respecto a los datos privados. Desde el día 25 de mayo, en Europa entrará en vigor la nueva normativa GDPR, que regula la privacidad y el tratamiento de datos personales de los usuarios.

CLAVES DE LA NORMATIVA GDPR

  •  El objetivo del GDPR es proteger a todos los ciudadanos de la UE de la privacidad y las infracciones de datos.
  • Las empresas ajenas a la UE que procesan los datos de ciudadanos de la UE también deberán nombrar un representante en la UE.
  • En virtud de las organizaciones del GDPR que infrinjan el GDPR, se les puede imponer una multa de hasta el 4% de la facturación mundial anual o € 20 millones (el que sea mayor).
  • Las condiciones para el consentimiento se han fortalecido, y las empresas ya no podrán usar términos y condiciones ilegibles largos llenos de jerga legal, ya que la solicitud de consentimiento debe darse en una forma inteligible y de fácil acceso.
  • Parte de los derechos ampliados de los sujetos de datos esbozados por el GDPR es el derecho de los interesados ​​a obtener de la confirmación del controlador de datos si los datos personales que los conciernen se están procesando, dónde y con qué fin.
  • También conocido como borrado de datos, el derecho a ser olvidado le da derecho a que el responsable del tratamiento borre sus datos personales.
  • GDPR introduce la portabilidad de datos: el derecho de un sujeto de datos a recibir los datos personales que le conciernen, que previamente han proporcionado.
  • El responsable del tratamiento deberá aplicar las medidas técnicas y organizativas adecuadas … de manera efectiva … para cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados.
  • Actualmente, los controladores están obligados a notificar sus actividades de procesamiento de datos a las APD locales, lo que, para las multinacionales, puede ser una pesadilla burocrática, ya que la mayoría de los Estados miembros tienen requisitos de notificación diferentes.

 

Normas Web

Normas Web

En las Páginas o Sitios Web, el cumplir las normas es una de las reglas básicas y la más importante, ya que se trata de recomendaciones de tipo legal y que son de obligado cumplimiento por parte de los promotores de las Páginas Web.

Contenido legal y normativo en las páginas web

Las Normas Web

Un Sitio Web debe contener:

  • Normativa de uso del sitio web;
  • Aviso legal;
  • Política de privacidad.

Normativa de uso del sitio web

La normativa de uso es la información que el propietario de la página aporta al usuario respecto a:

  • El contenido del portal web que visita;
  • La finalidad del sitio;
  • Tratamiento de datos correspondiente;
  • Uso de cookies en el sitio web.

Esta información cumplirá, en el caso de que se realicen actividades económicas, lo indicado en la LSSI-CE (Ley 34/2002)

En cuanto al contenido del porta, se debe incluir el tipo de licencia y la información de derechos de autor (Código de Propiedad Intelectual) de la información contenida. Estos aspectos indican al usuario qué derechos tiene sobre el contenido web. Los tipos de licencia más comunes son Creative Commons, Copyleft y Copyright.

  • Copyright: Esta licencia es la más conocida porque es la que se usa en la mayoría de libros, películas y discos. Con esta licencia sólo el autor puede utilizar la obra creada y si un tercero desea utilizarla sólo podrá hacerlo con consentimiento del creador. Una vez adquirida la obra no se podrá distribuir, pues esta licencia sólo permite disponer de la obra para uso personal.
  • Copyleft: Este tipo de licencia permite el uso, la modificación y distribución del contenido de nuestra web, siempre que mantenga las mismas condiciones de utilización y difusión en las obras que se creen a partir de la original.
  • Creative Commons (CC): Hay diferentes tipos de licencias dentro de la CC pero todas ellas permiten la reproducción y distribución con la obligación de mencionar al autor de la obra. Según el tipo de CC usada se puede especificar entre otras cosas si se permite el uso comercial o crear un trabajo derivado del original.

Aviso legal

El aviso legal es otra información que debemos ofrecer al usuario de nuestra página web, si esta tiene fines comerciales, en cumplimiento con la LSSI-CE. Esta ley aplica a las actividades que se realicen por Internet, u otros medios telemáticos y persigan un fin económico, es decir, cuando el responsable del portal recibe ingresos, directos (por prestar un servicio o por la venta de un producto) o indirectos (publicidad mostrada en el sitio).

La ley indica que en el aviso legal debe constar, de una forma sencilla, directa y permanente la siguiente información de nuestra empresa:

  • Denominación social;
  • Código de Identificación Fiscal (CIF) o Número de identificación fiscal (NIF);
  • Domicilio y dirección de correo electrónico;
  • Los datos de inscripción del registro mercantil si fuese el caso.

No necesariamente en el aviso legal, pero también debemos indicar el precio de los productos o servicios con indicación de los impuestos y gastos de envío si los hubiese.

Por último, en el caso de que se lleven a cabo contratos online, se debe también informar, en un paso previo al proceso de contratación; de:

  • Los trámites que deben seguirse para contratar online;
  • Si el documento electrónico del contrato se va a archivar y de si será accesible;
  • Los medios técnicos para identificar y corregir errores en la introducción de datos;
  • Los idiomas en que podrá formalizarse el contrato.

Política de privacidad

Si tomamos datos personales en nuestra web, deberá contener una política de privacidad para cumplir con la LOPD (15/1999). Esta política tendrá además de información sobre los responsables del sitio web:

  • La existencia de un fichero o tratamiento de datos de carácter personal. Por ejemplo, «Clientes online».
  • La finalidad de la recogida de éstos. Por ejemplo, realizar compras online.
  • La identidad y dirección del responsable del tratamiento, en este caso nuestra empresa.
  • Si existe alguna cesión de esos datos, para lo que es necesario recabar el consentimiento dle usuario.
  • Dónde ejercer los derechos de acceso, rectificación, cancelación y oposición (ARCO), y la forma en la que se pueden ejercer los citados derechos.

Toda esta información debe quedar claramente reflejada, ser comprensible para nuestros visitantes, y estar accesible en la página web.

Para cumplir con la LOPD no basta con informar en la política de privacidad de lo indicado anteriormente, debemos cumplir con las medidas de seguridad recogidas en el Reglamento de Desarrollo de la LOPD.

 

Normas Web

Certificados Digitales

PARA QUE LOS INTENTOS DE FRAUDE NO TENGAN ÉXITO HAY QUE TOMAR MEDIDAS Y GENERAR CONFIANZA.

Conexiones Seguras con Certificado Digital

CERTIFICADOS DIGITALES

Los Certificados Digitales hacen que el visitante confíe en nuestro sitio web y sepan que su información está a salvo. Siempre que los visitantes realicen una compra de comercio electrónico, es necesario que el cliente perciba que protegemos la confidencialidad y autenticidad de las comunicaciones mediante los elementos característicos de una conexión segura: «candado» visible en la página, dirección «https», textos informativos, etc.

Todos estos elementos de conexión segura los aportan los Certificados Digitales. El Certificado Digital es una herramienta que identifica inequívocamente un sitio web, igual que un DNI identifica a un ciudadano español. Los Certificados Digitales son emitidos por entidades internacionales de prestigio que certifican que el sitio al que accedemos es auténtico y legítimo. Dichas entidades se denominan Autoridades de Certificación. Los Certificados Digitales nos aportan también la ventaja de que toda toda la información que fluye desde el usuario al servidor está cifrada mediante una clave de cifrado única asociada al certificado.

Reconoceremos la Autoridad de Certificación porque aparece el candado verde y el nombre de la identidad verificada que coincide con la del dominio. Pulsando sobre el candado podemos obtener la información sobre el certificado.

La compatibilidad de navegadores y dispositivos es la parte más importante en el funcionamiento de los Certificados Digitales SSL. Los certificados SSL recomendados son los que disponen de una compatibilidad con el 99,9% de los navegadores y dispositivos.

GARANTÍA

La Garantía de los Certificados Digitales es la cobertura que ofrece el emisor del certificado (la marca que lo ha emitido, por ejemplo Comodo, Symantec, ….) para tus clientes en caso de sufrir pérdidas económicas como consecuencia directa de confiar en un certificado emitido por negligencia suya.

FUNCIONAMIENTO DE LOS CERTIFICADOS DIGITALES

El funcionamiento es transparente para el usuario de nuestro sitio web. El navegador tendrá la información necesaria para interpretar la información transmitida mediante el certificado SSL instalado en el servidor Web que visita.

El procedimiento es el siguiente:

  1. El navegador accede a la web y comprueba el certificado para asegurarse de que conecta al sitio real y no a uno que pueda estar interceptando esta información.
  2. Determina el tipo de cifrado que el navegador y servidor pueden utilizar para «conectarse» entre ellos.
  3. El navegador del visitante y el servidor web intercambian códigos únicos que utilizarán a la hora de cifrar o descifrar la información que transmitirán entre ellos.
  4. El navegador y el servidor web empiezan a utilizar el cifrado. A partir de este momento ya aparece el candado (o también la barra verde en el navegador, dependiendo del certificado utilizado) y las páginas e información son transmitidos de forma segura.

FORZAR EL USO DE LOS CERTIFICADOS DIGITALES

Es recomendable forzar al navegador a usar siempre la conexión mediante https, para ello bastará añadir las siguientes líneas al archivo .htaccess en la carpeta «public«:

RewriteEngine On

RewriteBase /

RewriteCond %{SERVER_PORT} 80

RewriteRule ^(.*)$ https://www.tudominio.com/$1 [R,L]

TIPOS DE VALIDACIÓN DE CERTIFICADOS SLL

  • Validación por dominio. Los certificados SSL de validación de dominio cuentan con la emisión más rápida, pues solamente precisan de la verificación del dominio para completar el procedimiento.
  • Validación por empresa. Los certificados SSL de validación por empresa precisan de datos adicionales para completar su emisión, para ello será necesario validar el dominio mediante un correo electrónico, presentar documentos de empresa y responder a una llamada telefónica que realizará la empresa encargada de la emisión del certificado SSL contratado.
  • Validación extendida. os certificados SSL de Validación Extendida o Extended Validation (EV) proporcionan un alto grado de confianza a tus visitantes gracias a que mostrarán la barra verde en el momento de acceder a tu sitio web.

CERTIFICADOS DIGITALES WildCard

Los certificados SSL Wildcard te permitirán añadir seguridad SSL a todos los subdominios de tu dominio mediante un único certificado SSL, de esta manera, si tienes distintos subdominios podrán hacer uso del mismo certificado sin coste adicional.

CERTIFICADOS DIGITALES WildCard Multidominio

Los certificados multidominio te permitirán añadir seguridad SSL a múltiples dominios mediante un único certificado SSL, se trata de la opción más cómoda, de esta manera podrás añadir un certificado SSL a otro dominio con facilidad.

 

Normas Web

Métodos de Pago

En el caso de que nuestra página web incorpore la posibilidad de vender productos, es importante seleccionar un sistema de pago adecuado para que nuestros clientes se sientan cómodos y seguros con la compra.

Seguridad en los Métodos de Pago On Line

MÉTODOS DE PAGO

Disponemos de varias soluciones de pago online para nuestra página web: pago a contra-reembolso, transferencia bancaria, pago con tarjeta de crédito o a través de entidades intermedias entre las que destaca Paypal aunque existen otras como Google Wallet o Amazon Payments. Cada una de estos sistemas tiene sus ventajas y particularidades tanto para nuestro cliente como para nosotros:

PAGO CONTRAREEMBOLSO

Aunque el pago contrarrembolso no es una forma de pago online como tal, ya que el producto se abona en mano cuando llega el pedido, sí es una forma de pago que se ofrece habitualmente en Internet.

La ventaja para el usuario de este sistema es que le garantiza que sólo pagará por el producto si lo recibe y que no es necesario que envíe sus datos bancarios por Internet.

Sin embargo, nosotros como vendedores debemos tener en cuenta la posibilidad de que un cliente decida rechazar un producto que ha comprado y tengamos que hacer frente a los costes de mensajería, inventario, etc. Por ello puede ser necesario establecer un pequeño coste adicional, que nos cubra ante este tipo de imprevistos.

TRANSFERENCIA BANCARIA

Mediante la transferencia bancaria el comprador hace el pago directamente a través de su banco mediante una transferencia a una cuenta bancaria que le facilitamos.

Debemos tener en cuenta que algunos usuarios son reticentes a este tipo de pagos, imposibles de cancelar una vez se ha asentado el apunte en la cuenta destinatario. El plazo suele ser un día y además puede tener un coste asociado. El cliente puede ponerse en contacto con nosotros para recuperar el dinero por lo que debemos valorar sus ventajas e inconvenientes para nuestra estrategia de venta.

PAGOS CON TARJETA DE CRÉDITO

El pago con tarjeta es actualmente la opción más utilizada y traslada al cliente sensación de seguridad siempre que se realice mediante la pasarela de pago de una entidad bancaria. De este modo, nosotros nunca accederemos a los datos de la tarjeta, sino que dicha información será proporcionada exclusivamente al banco.

Para poder cobrar de esta forma debemos contactar con una entidad bancaria para la instalación de una plataforma segura de pago. Las comunicaciones de estos terminales de punto de venta o TPV virtuales van siempre cifradas (a través del protocolo TLS o Seguridad de la Capa de Transporte, de sus siglas en inglés Transport Layer Security) e incorporan medidas de seguridad adicionales proporcionadas por el banco, como tarjeta de coordenadas o código de confirmación por SMS al móvil (Short Message Service).

Otra ventaja es que para el cliente es la forma más fácil y rápida de pagar ya que el pago es aceptado al instante.PAGOS CON PAYPAL

El pago mediante entidades intermediarias es una opción cada vez más utilizada y aceptada por los clientes, siempre que se trate de entidades reputadas como Paypal o asociadas a grandes empresas como Google.

En este caso, el cliente realizará el pago a través de la entidad de intermediación y ésta nos lo remitirá a nosotros. Este tipo de servicios tienen un coste para el vendedor, por lo que deberá analizarse su conveniencia en función del volumen de ventas.

MEDIOS DE PAGO (INFORMACIÓN)

Seguridad Web

Seguridad Web

Cuando iniciemos nuestro proyecto, nuestra página web, podemos contratar un proveedor externo, o bien utilizar nuestros propios servicios. G Suite es la Aplicación más moderna y elaborada para realizar cualquier tipo de Proyecto. Podrás utilizar todas las herramientas con tu propio Nombre de Dominio.

Protege tu Web. Protege tu Empresa

SEGURIDAD WEB

Tanto en un caso como en el otro, la responsabilidad final de la información publicada en la página web es nuestra, y las repercusiones legales, económicas y de reputación también serán nuestras o de nuestra organización.

La Protección del Sitio Web

En primer lugar mantener la seguridad de la base de datos de nuestros clientes y de nuestra web, incluidos los documentos personales y privados que estén disponibles a través de cualquier medio.

Gestión Técnica

Adoptar medidas que impidan que inserten un phishing (modificando nuestra web o copiándola con claros propósitos de fraude).

Cualquier otro ataque que altere o modifique los contenidos del portal web, bien sean recursos, productos o servicios.

Para ello será necesario implementar algunas medidas de seguridad imprescindibles en nuestra web:

  • CAPTCHA. Con toda seguridad nuestra web permitirá realizar comentarios, enviar documentos o realizar consultas o sugerencias. El sistema de captcha impide que una máquina pueda actuar como si fuera un usuario físico, e infectar de comentarios maliciosos o spam, nuestros servicios. La captcha impide que los robots automáticos logren su objetivo, ya que no pueden interpretar los mensajes y responder a las solicitudes de seguridad del cuadro de seguridad de nuestra captcha. Esto permite asegurar que en nuestra bandeja de entrada del correo, sólo lleguen mensajes de personales de usuarios.
  • METADATOS. A la hora de publicar documentos que permitan su descarga, manuales, documentación, instrucciones, etc., es importante utilizar alguna herramienta que elimine los metadatos que estos documentos guardan, ya que pueden proporcionar información a un posible atacante sobre nombres de usuarios, equipos, directorios, etc. Actualmente los principales productos de ofimática como G Suite incorporan con total confidencialidad estas tareas.
  • ACTUALIZACIÓN DEL GESTOR DE CONTENIDOS. Es habitual que actualmente las páginas web estén basadas en los llamados gestores de contenidos (CMS), como Joomla!, Drupal, WordPress, etc. Se trata de herramientas que facilitan enormemente el proceso de creación y actualización y mantenimiento de una página web. Si este es nuestro caso es fundamental que mantengamos el gestor de contenido correctamente actualizado. Además, el gestor de contenidos (CMS) puede hacer uso de algún complemento (o plugin). Es conveniente que dichos complementos sean ampliamente utilizados en internet, lo que garantiza su soporte y frecuente actualización frente a posibles incidencias de funcionalidad y seguridad.

LAS CONTRASEÑAS SEGURAS

  • CONTRASEÑAS SEGURAS. Independientemente del gestor, debemos asegurarnos de que las claves que dan acceso al panel de control de la página web mediante el que creamos y actualizamos los contenidos se generan cumpliendo unos criterios mínimos de seguridad (al menos 8 caracteres y mayúsculas, minúsculas, números o símbolos). También es importante que estas contraseñas sean cambiadas regularmente. Además de las contraseñas es recomendable también modificar los nombres de los usuarios que vienen por defecto, como por ejemplo el caso de los administradores.
  • REGISTROS. Para poder investigar cualquier incidente relacionado con nuestra página web o incluso poner los registros a disposición judicial si se diera el caso, es necesario guardar un registro de cualquier interacción con la página web. Cualquier servidor web dispone por defecto de ésta funcionalidad, por lo que su activación es sencilla. Si la gestión del servidor la llevamos nosotros, seremos nosotros los responsables de guardar esos registros durante un período de tiempo conveniente. Si por el contrario, la gestión del servidor es externa, este aspecto deberá estar reflejado en nuestro contrato con el proveedor, especificando el tipo de registros que se guardan, durante cuánto tiempo y la forma de acceso a dichos registros.

COPIAS DE SEGURIDAD

  • COPIAS DE SEGURIDAD. Como cualquier elemento de nuestra organización, y más si nuestra página web presta servicios críticos para nuestro negocio (comercio electrónico, medio de contacto habitual con clientes, catálogo de productos, tarifas, etc.), debemos diseñar e implementar una política de copias de seguridad que salvaguarde toda la información de nuestra página web. 
  • Si la página web la gestionamos nosotros mismos, deberán incorporarse a la política de copias de seguridad todos los elementos que permitan el funcionamiento del portal web y no olvidándonos de las bases de datos asociadas si las hubiera.
  • Las copias de Protege tu web Página 7 de 17 seguridad deben guardarse en un lugar diferente al origen de los datos y verificar puntualmente que se realizan correctamente y que se pueden recuperar los datos. Si la página web es gestionada por un tercero, debemos incluir la realización de copias de seguridad periódicas de todos los elementos que conforman nuestro servicio web como parte de nuestro contrato con el proveedor. G Suite facilita enormemente esta tarea.

PRUEBAS

  • PRUEBAS. Si tenemos página web con una alta complejidad, puede ser importante disponer de dos entornos diferenciados que suelen recibir los nombres de producción y pruebas. Se trata de dos entornos iguales, con los mismos contenidos y la misma configuración.
  • Esto nos permitirá aplicar parches (en el entorno de pruebas) y comprobar el correcto funcionamiento de las nuevas modificaciones y funcionalidades antes de aplicar los cambios sobre la página web visible para los usuarios (el entorno de producción). En el caso de que tengamos externalizada nuestra página web, no debemos delegar totalmente la seguridad del portal en el proveedor, puesto que el impacto de cualquier problema de seguridad recaerá siempre sobre nuestra organización. Por eso es altamente recomendable leer con detenimiento el contrato que hemos aceptado.
  • DESARROLLO. Debemos ser capaces de integrar el ámbito de la seguridad a la hora de desarrollar nuestra página web, tanto si lo hacemos nosotros como si contratamos este servicio a un tercero. Es necesario hacer hincapié en aspectos de seguridad tan importantes como los funcionales y debemos establecer unos requisitos previos en el campo de la seguridad. Este ámbito es aún más importante si vamos a gestionar datos de nuestros clientes a través de la página web. Un ejemplo de estas metodologías de desarrollo seguro es el proyecto OWASP [Open Web Application Security Project, OWASP [https://www.owasp.org/]], una metodología accesible que se encuentra muy bien documentada.

LA RED

  • RED. Si el alojamiento de nuestra página web es interno, en instalaciones bajo nuestro control, debemos ubicar el servidor web en una subred aislada del resto de servidores internos de nuestra empresa. Para esto necesitamos crear una subred accesible desde el exterior y separada de nuestra red interna mediante segmentación de red. A esta subred se le llama DMZ o zona desmilitarizada. Desde la DMZ no se debe haber visibilidad de la red interna de nuestra organización.
  • Es decir, si nos conectamos físicamente a un servidor alojado en la DMZ no podremos acceder a un sistema de la red interna de la empresa. De esta manera, en caso de que nuestra página web sea atacada, no será posible que este ataque afecte al resto de la organización. Para conseguirlo el tráfico entre la DMZ y la red interna de la empresa debería ser filtrado mediante un cortafuegos. Si la página web es alojada por un tercero, su ubicación no es un riesgo para el resto de nuestra infraestructura, ya que ésta estará albergada en la red de nuestro proveedor y no tendrá ninguna conexión directa con nuestra red corporativa.

LAS CONEXIONES

  • CONEXIONES. Es posible que nuestra página web requiera conectarse a Internet para realizar sincronizaciones con otras páginas, redes sociales o por cualquier otra razón. Esto supone que la página web tendrá que establecer conexiones «hacia el exterior». Este tipo de comportamiento y de conexiones debe mantenerse bajo control, para así evitar que si el servidor que aloja la página web se ve comprometido, el atacante no será capaz de establecer conexiones al exterior, realizar ataques a otras empresas o utilizar nuestro sistema o nuestra página para fines ilegales.
  • Tanto si la gestión de la página web la llevamos nosotros como si la lleva un tercero, las conexiones hacia el exterior desde nuestra página web deberán estar administradas y controladas por una política de conexiones apropiada en el firewall correspondiente, idealmente mediante una política de lista blanca (permitiendo sólo aquellas conexiones autorizadas). G Suite permite controlar muy bien todos estos elementos.

LA MONITORIZACIÓN

  • MONITORIZACIÓN. Para la detección de cualquier tipo de ataque que nuestra web pueda sufrir, es una buena práctica la monitorización tanto del tráfico recibido como del tráfico generado. De este modo no sólo se pueden detectar posibles ataques sino también otras situaciones en las que la web haya sido comprometida. Si la página web la gestionamos nosotros mismos, es necesario instalar en nuestra red (si no las tenemos aún) ciertas herramientas como un sistema de detección de intrusos o IDS.
  • Este sistema de seguridad revisa el tráfico que se transmite a través de la red, identificando posibles comportamientos sospechosos: tráfico con patrones que responden a ataques, incremento excesivo de las comunicaciones o búsqueda de vulnerabilidades propias de los entornos web. Si la página web es gestionada por un tercero, debemos incluir ésta monitorización y supervisión del tráfico de red de nuestra página como parte del contrato de nivel de servicio con el proveedor. G Suite facilita enormemente estas tareas.

EL SISTEMA DE RESPALDO

  • SISTEMA DE RESPALDO. Para evitar que un incidente nos deje sin página web, podemos disponer de un sistema de respaldo de nuestra página web que nos permita ofrecer al usuario un conjunto de funcionalidades mínimas en caso de que falle la página web principal. 
  • Si la página web la gestionamos nosotros, podemos consultar con un proveedor externo o habilitar un servidor con menor potencia que se mantenga en modo pasivo hasta que sea necesario. Este servidor de respaldo no tiene que cubrir todas las funcionalidades del portal central, pero sí aquellas que nos permitan dar una respuesta y un punto de contacto con nuestros clientes.

LA AUDITORIA

  • AUDITORIA. Es recomendable que antes de publicar nuestra página web en Internet llevemos a cabo un análisis técnico de seguridad o auditoría técnica, tanto de nuestra página web como del servidor que la contiene. Esto es especialmente importante si nuestra página web no es meramente informativa, sino que va a gestionar datos de nuestros clientes.

Como parte de esta auditoría técnica, se deben llevar a cabo una serie de pruebas que incluyen, entre otras:

  • Análisis de visibilidad externa: Se comprueban las funcionalidades accesibles desde el exterior a nivel de servidor, el gestor de contenidos usado y los complementos utilizados. Se evalúa si es necesario que dichos complementos y funcionalidades estén habilitados y si no lo es, se deshabilitan para evitar que posibles atacantes puedan aprovecharlas en su beneficio.
  • Contenido del directorio web: Cualquier archivo o información almacenados en el directorio de nuestra web, es susceptible de ser accedido desde Internet, aunque no esté directamente enlazado desde nuestra página web. Es recomendable que el contenido del directorio donde se aloja nuestra página web, ya sea propio o de un tercero, sea revisado frecuentemente y que se evite almacenar en él cualquier información sensible.

LAS VULNERABILIDADES

  • Búsqueda de vulnerabilidades propias de los entornos y lenguajes de programación utilizados para crear la página web. A la hora de realizar esta búsqueda de vulnerabilidades, se puede utilizar la metodología OWASP entre otras. Entre las posibles vulnerabilidades que puede tener un portal, las más típicas son:
    • Cross-Site Scripting o XSS: La ejecución de un ataque de XSS, consiste en el envío de un código malicioso como parte de una petición aparentemente legítima. Los puntos de entrada más habituales son los formularios en línea. Una vez ejecutado el XSS, el atacante puede ser capaz de cambiar configuraciones de usuarios, secuestrar cuentas, envenenar cookies, exponer conexiones seguras, acceder a sitios restringidos y hasta instalar publicidad en la web víctima del ataque.
    • Inyección de SQL: Un ataque de inyección de SQL consiste en la ejecución de un comando malicioso de acceso o modificación de una base de datos como parte de una petición a una página web. Una Protege tu web Página 11 de 17 deficitaria validación de los datos de entrada en la web puede permitir la realización de consultas no autorizadas a la base de datos.

Estos análisis técnicos deben ser realizados por profesionales de la seguridad en sistemas informáticos y es recomendable que los lleve a cabo una empresa independiente que no haya participado en los procesos de desarrollo y gestión de nuestro sitio web.