Seguridad

Multas de hasta 600.000 euros por transferir datos de clientes fuera de la UE

Multas de hasta 600.000 euros por transferir datos de clientes fuera de la UE

LOPD - Email Marketing

Recientemente, el Tribunal de Justicia Europeo (TJUE) ha invalidado el acuerdo conocido como “Safe Harbour”, el cual autorizaba a compañías estadounidenses a transferir a sus servidores en Estados Unidos datos personales de sus usuarios y clientes ubicados en Europa. Esto ha provocado que las empresas que utilizan plataformas como Dropbox, Google Drive, Google Apps, Google Analytics, Google Adsense, MailChimp u otros servicios en la nube tengan un problema a la hora de cumplir con sus obligaciones legales, y la Agencia Española de Protección de Datos (AEPD) ya ha advertido del asunto.

 

“Con fecha 6 de octubre del presente año, el Tribunal de Justicia de la Unión Europea (TJUE), ha declarado inválida la decisión de la Comisión 200/520/CE que establece el nivel adecuado de protección de las garantías para las transferencias internacionales de datos a EEUU ofrecidas por el acuerdo de Puerto Seguro, por lo que las transferencias no pueden ampararse en esa base legal”, explica la carta enviada por la AEPD.

 

Los expertos en esta área ya están avisando sobre los problemas y graves sanciones que puede traer el almacenar datos privados en proveedores americanos: si su empresa utiliza proveedores de email marketing americanos, está incumpliendo la LOPD y se arriesga a recibir multas desde 300.001 euros a 600.000 euros por transferir datos privados fuera de la UE (Reglamento de Protección de Datos, Título Sexto de la LOPD).

 

De esta forma, la AEPD ha requerido a todas las compañías que dejen de usar estos servicios salvo que cumplan una de estas tres opciones: contar con la autorización del Director de la Agencia, contar con el consentimiento informado de todas las personas cuyos datos se vean afectados o utilizar alguna de las excepciones previstas en el artículo 34 de la Ley Orgánica 15/1999, como lo puede ser por ejemplo realizar una transferencia para auxilio judicial o un diagnóstico médico.

 

Todas aquellas empresas que utilicen plataformas tecnológicas que realicen transferencias de datos de ciudadanos europeos a terceros países (incluido EEUU) tienen hasta el 29 de enero para cumplir con la nueva normativa o ser multadas.

 

“En el caso de que se tenga previsto continuar realizando transferencias internacionales de datos a EEUU, país que no proporciona un nivel de protección equivalente al que presta la Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal (LOPD), deberán encontrar legitimación en otros instrumentos como las Cláusulas Contractuales Tipo adoptadas por las decisiones de la Comisión Europea 2001/497/CE, 2004/415/CE y 2010/87/UE y, en su caso, en las excepciones previstas en el artículo 34 de la LOPD que pudieran ser aplicables. En consecuencia, se le requiere para que a la mayor brevedad y en todo caso antes del 29 de enero de 2016, informe al Registro General de Protección de Datos sobre la continuidad de las transferencias y, en su caso, sobre su adecuación a la normativa de protección de datos”.

 

Están afectadas las empresas españolas que usan, para guardar o tratar información con datos personales de sus clientes, servicios como por ejemplo Dropbox, Google Drive, Google Apps, Google Analytics, Google Adsense, MailChimp (para gestionar el envío de emails comerciales), Facebook, Flickr, Instagram e incluso Twitter.

 

 

Fin del soporte para la versión 11.48 de cPanel

Fin del soporte para la versión 11.48 de cPanel

A partir de Enero del 2016, la versión 11.48 de cPanel y WHM dejará de recibir soporte técnico, como son las actualizaciones, parches de seguridad o nuevas instalaciones desde el soporte de cPanel.

Fin del soporte para la versión 11.48 de cPanel

De acuerdo con las políticas de cPanel, esta versión continuará funcionando sin problemas en los servidores ya instalados. Sin embargo, no habrá mas actualizaciones de seguridad a partir de Enero del 2016.

Recomendamos a todos nuestros clientes que actualicen su versión de cPanel a las versiones 11.50 o 11.52.

Si eres cliente de nerion no dudes en indicarnos cualquier problema que puedas encontrarte a la hora de actualizar tu cPanel, si no lo eres puedes contactar directamente con el servicio técnico de cPanel. Simplemente debes de abrirles un nuevo ticket en su página web de soporte.

 

Anulado el acuerdo de Safe Harbor entre EU y EEUU

Anulado el acuerdo de Safe Harbor entre EU y EEUU

¿Qué es el acuerdo de Safe Harbor?

Un safe harbor es una disposición de una ley o reglamento que especifica que cierta conducta no viola una norma.

En 1998, la Unión Europea comenzo a regular el derecho a la intimidad de los europeos en Internet a través de legislaciones sobre la protección de datos, en España se encuentra regulada mediante la Ley Orgánica de Protección de Datos. Esta legislación obliga a las empresas de Internet a declarar los datos personales que almacen y su prohibición de que estos datos sean exportados entre países, excepto entre paises de la Unión Europea.

Fueron muchos los países que se fueron añadiendo a las legislaciones seguras, pero no fue el caso de Estados Unidos. La legislación que regula el derecho de la intimidad en Estados Unidos es bastante débil comparada con la de la Union Europea por lo que la transferencia de datos entre Estados Unidos y la Unión Europea estaba prohibido. Esto perjudicaba a los negocios de internet de Estados Unidos en Europea, por lo que en el año 2000 la Comisión Europea firmó un acuerdo de Safe Harbor para no dejar fuera a importantes empresas norteamericanas.

Tras esto, Estados Unidos no tuvo que hacer ningún cambio en su sistema legal, unicamente se adaptaron las empresas para considerarlas “puertos seguros”.

¿Por qué se ha anulado?

Todo comenzó en Silicon Valley cuando unos de los abogados de Facebook visitó una Universidad de derecho en la que se encontraba estudiando Max Schrems. Max comenzó a interrogar al abogado y pronto se dió cuenta de que tenía muy poca idea sobre las leyes de privacidad europeas, decidio entonces realizar su tesis sobre este tema.

En 2011, utilizó una serie de mecanismos legales por los cuales consiguio toda la información personal que tenía Facebook sobre su persona, le enviaron más de 1000 folios. Con su investigación, Max demostró que la red social no cumplía con el derecho de privacidad vigente en la Unión Europea. En ese momento creó europe-v-facebook.org,  y elevó el caso a la justicia con varias demandas.

Anulado el acuerdo de Safe Harbor entre EU y EEUU

Max Schrems con sus más de 1000 folios de información personal

En 2013, estalló el escandolo de Edward Snowden donde se descubrió que la NSA espiaba los servidores de las grandes compañias de Internet. Max presentó este hecho ante las autoridades irlandesas para demostrar que sus datos personales, transferidos desde la filial irlandesa de Facebook a los servidores de Estados Unidos, no cuentan con la protección necesaria que indica la ley. Irlanda desestimo el caso porque existia un acuerdo de Safe Harbor entre Bruselas y Washington.

Aun así el tribunal supremo de Irlanda decidió consultar al tribunal de justicia de la Unión Europea, donde el 6 de Octubre del 2015 llegó a la siguiente resolución:

“El Tribunal de Justicia declara inválida la Decisión de la Comisión que declaró que Estados Unidos garantiza un nivel de protección adecuado de los datos personales”.

Luxemburgo ha culpado a la comisión Europea de no verificar que el acuerdo alcanzado en el año 2000 con Estados Unidos garantizase la protección de los derechos fundamentales de privacidad de los ciudadanos europeos.

En otras palabras, gracias a la lucha llevada a cabo por Max Schrems se ha conseguido tumbar una normativa que permitia a Facebook , y a otras más de 4000 empresas, incumplir el derecho a la privacidad de los europeos.

Esperamos que nuestro artículo Anulado el acuerdo de Safe Harbor entre EU y EEUU te haya gustado, de ser así no dudes en comentar y compartirlo.

7 + 1 Consejos Esenciales que salvarán a nuestro WordPress II

Muchas veces nos hemos preguntado cómo hacer más seguro nuestro WordPress ante posibles infecciones por lo que queremos seguir compartiendo con vosotros los 7 + 1 Consejos Esenciales que salvarán a nuestro WordPress II

Para los fieles seguidores del blog de nerion, para las mentes inquietas que siempre quieren aprender cosas nuevas y para cualquier usuario que su WordPress le reporte quebraderos de cabeza con su web y proveedor, continuamos con el artículo que dejamos abierto de la anterior vez. En este artículo aprenderemos nuevos consejos esenciales a tener en cuenta, a la hora de manejarnos y securizar mejor nuestro blog o web.

7 + 1 Consejos Esenciales que salvarán a nuestro WordPress II

¿Cómo puedo securizar mi página web?

   Invitamos leer los consejos de seguridad 1) y 2) recomendados en la Parte 1 de este tutorial en este link

       7 + 1 Consejos  Esenciales que salvarán a nuestro WordPress

 

 

 

 

 

3) Establecer una contraseña suficientemente segura

¡No estamos descubriendo el mundo! Disponiendo de unas contraseñas sencillas o cortas haremos más fácil que puedan descubrir nuestros accesos y que usuarios malintencionados se autentiquen como si fuéramos nosotros. Con esta vulnerabilidad los hackers pueden conseguir acceso directo a nuestra zona de gestión y disponer de datos confidenciales o manipular nuestra web para su beneficio lo cual puede resultar en desastre.

La regla es evitar utilizar passwords o claves que consistan en palabras de diccionario o patrones fáciles de adivinar. (Por ejemplo admin123, dani234 etc). A la hora de crear un password nos aseguraremos que puedan tener al menos un carácter especial como ‘@’, ‘$’, ‘#’ etc. Además se recomienda incluir algún número.

Hablando de un grado óptimo de securización y siguiendo los consejos de administradores de sistemas se puede contemplar el cambiar cada cierto tiempo de contraseña (idealmente meses, o cada año). Esta medida simplemente la exponemos para que la conozcáis, pero no está entre los 7 + 1 Consejos Esenciales que salvarán a nuestro WordPress II. Profundizaremos sobre ella seguramente en nuestros futuros Blogs de ¡los 7 + 1 Consejos de Experto que salvarán a nuestro WordPress!

QUÉ BUSCAMOS:

Principalmente el no ponerles las cosas aún más fáciles a los hackers. Realmente es una medida más y no combinada con otras puede no ser efectiva. Una contraseña por muy fuerte y difícil que sea, si tenemos infectado nuestro ordenador o nos conectamos a una red pública de no confianza nos la pueden “olisquear” y averiguarla de forma íntegra. Así mismo, WordPress no actualizados pueden suponer agujeros de seguridad por otras vías.

Aún con todo se hace imprescindible tener unas contraseñas adecuadas.

DUDA RAZONABLE:

Nos puede quedar la duda de cómo securizar mejor nuestra contraseña de cara a evitar que la descubran de forma sencilla y por tanto evitar accesos no deseados.

Según formulas matemáticas de algoritmos de crackeo (desencriptación) de contraseñas, es mucho más complicado averiguar un password de este tipo: soyDaniEmpleadoDeNerion3, que por ejemplo D4ni_n3r#ion o que una contraseña aleatoria estilo hT5#nPpW. El motivo es sobre todo por la longitud de la misma que es de las principales bazas a favor que tenemos para demorar o evitar lo máximo posible que decodifiquen nuestras claves. Que decir cabe que si ya combinamos ambas técnicas de utilizar una frase que recordemos junto con otros caracteres como “soy_Dani4#Empleado#De_Nerion6” ¡Bravo!, ya de 10.

¡Fijaros que conseguimos no sólo que sea más complicada de averiguar si no mucho más fácil de tenerla presente en la memoria!

NOTA:

Recomendamos encarecidamente ser muy precavidos a la hora de conectar con tus datos personales a través de redes WI-FI públicas, sobre todo de sitios concurridos, desde las que puedan obtener nuestros datos. En caso de duda informarse previamente preguntando al hotel o proveedor de la red WI-FI a la que conectemos.

Se puede ver a al experto Javier Lázaro, CEO de nerion hablando sobre ello en televisión y radio en el siguiente enlace.

4) Limita los Intentos de Acceso de tu WordPress / Blog

No será la primera que nos pueda ocurrir que los hackers intentan “colarse” en nuestra web (generalmente como administrador “admin” con permisos totales de gestión) para tomar el control total o parcial de la misma.

Para intentar parar estos ataques de fuerza bruta en nuestro WordPress (o cualquier otro) es recomendable limitar el número de accesos al mismo. Ante esto se puede limitar el acceso añadiendo una barrera adicional de protección de Usuario y Contraseña mediante reglas HTACCESS, de las que en nerion hacemos uso.

Si se prefiere se puede elegir descargar e instalar el plugin de WordPress llamado “Limit Login Attempts” que nos hará este trabajo. Lo mejor de este plugin es que nos permite configurar y limitar no sólo el número de intentos de accesos a través normal (del famoso /wp-admin) si no también a través del método implementado de auto cookies, pero por otra parte no deja de ser un plugin y conviene revisarlo y actualizarlo siempre que se pueda.

QUÉ BUSCAMOS:

Se consigue que los famosos ataques de fuerza bruta de nuestro WordPress, sean díficiles o incluso imposibles de producirse. Conseguimos el doble efecto de protección e impedir la saturación de un servidor a través de percutir sobre el servidor con múltiples intentos de acceso.

DUDA RAZONABLE:

Si por motivos fortuitos es uno mismo el que acaba siendo bloqueado no pudiendo acceder o visualizar su web, se recomienda deslistar la propia IP y ponerla de confianza o bien accediendo a través de una IP diferente (una conexión diferente), ya sea desde otra oficina o lugar diferente al del bloqueo entrando al administrador web “wp-login.php” (o wp-admin); o bien contactando con la empresa de alojamiento web y proporcionando los datos de entrada del WordPress.

5) Mover el fichero wp-config a un directorio superior y protegerlo

El fichero wp-config.php contiene información importantísima de tu WordPress, como las credenciales de tu base de datos. Esto puede suponer un riesgo importante ya que por defecto se instala en una ubicación de alguna forma accesible para los hackers y con ello pueden hacer sus “travesuras”.

La solución pasa por mover este fichero a un directorio superior fuera de lo que es el ámbito visible de nuestra web. ¿Puede afectar a mi WordPress? Para nada. El propio WordPress se encarga de buscar el wp-config en directorios superiores hasta que lo encuentra y así utilizar los datos en el contenidos para su correcto funcionamiento. Para finalizar con esta securización, es buena idea cambiar los permisos del wp-config.php a 600.

QUÉ BUSCAMOS:

Proteger los WordPress ante ataques a través de navegadores web de lo que es información muy importante de nuestro sitio. Si nuestro sitio web, plugin cuenta con alguna vulnerabilidad (o incluso servidor si permite infecciones por SymLinks) y un usuario malintencionado consigue acceder a este fichero podrían hackear el acceso al administrador o incluso llegar a realizar operaciones sobre nuestra base de datos.

DUDA RAZONABLE:

En caso de disponer de más de un WordPress en el mismo alojamiento y si al efectuar la operación anterior uno de los “wp-config.php” fuera a sobreescribir a otro que anteriormente se subió a un directorio superior para protegerlo, la forma de proceder es la siguiente:

Primero, ubicaremos el fichero “wp-config.php” en el nuevo directorio. Directorio que por supuesto se encuentre fuera del ámbito visible a través de un navegador.

Por ejemplo mover el fichero original al directorio que crearemos /miWebWordpress/wp-config.php para mi primer WordPress (el directorio puede tener el nombre que más nos guste), y para mi segundo WordPress moverlo desde configuración hacia /miOtroWordpress/wp-config.php, todo ello con los permisos y propietarios adecuados.

Para más dudas sobre esta parte estaremos encantados de poder ayudaros como siempre hacemos.

Para finalizar tendremos que crear un nuevo y modificado wp-config.php por sitio web WordPress sustituyendo al original, en el que le indicaremos cómo la aplicación debe acceder al nuevo directorio creado en el anterior párrago y diseñado especialmente para la configuración de este WordPress.

El código de este fichero será el siguiente para el primer ejemplo citado:

<?php

/** Absolute path to the WordPress directory. */

if ( !defined('ABSPATH') )

define('ABSPATH', dirname(__FILE__) . '/');

/** Location of your WordPress configuration. */

require_once(ABSPATH . '../miWebWordpress/wp-config.php');

 

Aquí concluyen los 7 + 1 Consejos Esenciales que salvarán a nuestro WordPress II (Parte II)

Recordar que estaremos encantados de que conocer vuestras opinionenes además de que os sea interesante leer la primera parte de nuestro tutorial

Enlace  Parte I          7 + 1 Consejos  Esenciales que salvarán a nuestro WordPress

¡Próximamente estaremos de nuevo con vosotros para continuar con la tercera y última sección de este emocionante primer gran tutorial!

7 + 1 Consejos Esenciales que salvarán a nuestro WordPress II

Una idea brillante – Nerion

 

Trust us, we take care of you!

Nuevas Vulnerabilidades en PHP

Nuevas Vulnerabilidades en PHP

Se han descubierto nuevas vulnerabilidades en PHP por parte del equipo de desarrollo, el cual ha publicado actualizaciones para las ramas 5.6, 5.5 y 5.4 de PHP para solucionar los agujeros de seguridad existentes que pueden ser aprovechados para provocar denegaciones de servicio y comprometer los sistemas afectados.

Las actualizaciones incluyen la corrección de múltiples problemas y vulnerabilidades, entre las que se incluyen vulnerabilidades de uso tras la liberación de la función unserialize() en el núcleo de PHP (CVE-2015-6834 y 2015-6835), en GMP y en SPL (CVE-2015-6834). También solucionan múltiples vulnerabilidades relaciones con la función PCRE, una confusión de tipos en SOAP y escalada de directorios en el servidor CLI y ZIP cuando se crean directorios al extraer archivos.

Se recomienda actualizar a las nuevas versiones 5.6.13, 5.5.29 y 5.4.45, estas actualizaciones pueden descargarse desde la página oficial de PHP

Bienvenido al blog de nerion

Empresa de servicios cloud, hosting y registro de dominios. Trust us, we take care of you!.
Siguenos en Twitter Siguenos en Facebook Siguenos en Linkedin Siguenos en YouTube
Suscripción a nerion
Entradas antiguas por mes
Twitter
nerion en Facebook