Entradas con la etiqueta ‘seguridad’

Multas de hasta 600.000 euros por transferir datos de clientes fuera de la UE

Multas de hasta 600.000 euros por transferir datos de clientes fuera de la UE

LOPD - Email Marketing

Recientemente, el Tribunal de Justicia Europeo (TJUE) ha invalidado el acuerdo conocido como “Safe Harbour”, el cual autorizaba a compañías estadounidenses a transferir a sus servidores en Estados Unidos datos personales de sus usuarios y clientes ubicados en Europa. Esto ha provocado que las empresas que utilizan plataformas como Dropbox, Google Drive, Google Apps, Google Analytics, Google Adsense, MailChimp u otros servicios en la nube tengan un problema a la hora de cumplir con sus obligaciones legales, y la Agencia Española de Protección de Datos (AEPD) ya ha advertido del asunto.

 

“Con fecha 6 de octubre del presente año, el Tribunal de Justicia de la Unión Europea (TJUE), ha declarado inválida la decisión de la Comisión 200/520/CE que establece el nivel adecuado de protección de las garantías para las transferencias internacionales de datos a EEUU ofrecidas por el acuerdo de Puerto Seguro, por lo que las transferencias no pueden ampararse en esa base legal”, explica la carta enviada por la AEPD.

 

Los expertos en esta área ya están avisando sobre los problemas y graves sanciones que puede traer el almacenar datos privados en proveedores americanos: si su empresa utiliza proveedores de email marketing americanos, está incumpliendo la LOPD y se arriesga a recibir multas desde 300.001 euros a 600.000 euros por transferir datos privados fuera de la UE (Reglamento de Protección de Datos, Título Sexto de la LOPD).

 

De esta forma, la AEPD ha requerido a todas las compañías que dejen de usar estos servicios salvo que cumplan una de estas tres opciones: contar con la autorización del Director de la Agencia, contar con el consentimiento informado de todas las personas cuyos datos se vean afectados o utilizar alguna de las excepciones previstas en el artículo 34 de la Ley Orgánica 15/1999, como lo puede ser por ejemplo realizar una transferencia para auxilio judicial o un diagnóstico médico.

 

Todas aquellas empresas que utilicen plataformas tecnológicas que realicen transferencias de datos de ciudadanos europeos a terceros países (incluido EEUU) tienen hasta el 29 de enero para cumplir con la nueva normativa o ser multadas.

 

“En el caso de que se tenga previsto continuar realizando transferencias internacionales de datos a EEUU, país que no proporciona un nivel de protección equivalente al que presta la Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal (LOPD), deberán encontrar legitimación en otros instrumentos como las Cláusulas Contractuales Tipo adoptadas por las decisiones de la Comisión Europea 2001/497/CE, 2004/415/CE y 2010/87/UE y, en su caso, en las excepciones previstas en el artículo 34 de la LOPD que pudieran ser aplicables. En consecuencia, se le requiere para que a la mayor brevedad y en todo caso antes del 29 de enero de 2016, informe al Registro General de Protección de Datos sobre la continuidad de las transferencias y, en su caso, sobre su adecuación a la normativa de protección de datos”.

 

Están afectadas las empresas españolas que usan, para guardar o tratar información con datos personales de sus clientes, servicios como por ejemplo Dropbox, Google Drive, Google Apps, Google Analytics, Google Adsense, MailChimp (para gestionar el envío de emails comerciales), Facebook, Flickr, Instagram e incluso Twitter.

 

 

¿Para qué sirve un Certificado SSL?

¿Para qué sirve un Certificado SSL?

Un certificado SSL verifica la identidad real de una página web y ayuda a evitar que la información y datos que el usuario intercambia con dicha página web sean accesibles para personas ajenas al mismo.Seguridad-Eterna-Certificados-SSL

Vivimos en la Era de la Información e Internet se ha convertido en la enciclopedia más completa jamás pensada. Sin embargo, en los últimos años ha crecido el número de sitios web falsos, que pueden suponer un problema para quien los visita. Una de las herramientas que se han desarrollado para luchar contra esas páginas web falsas son los certificados SSL. Su propósito es garantizar al usuario, por un lado, que está accediendo al sitio web que realmente quiere visitar y, por otro, que todas las comunicaciones realizadas entre él y el sitio web son encriptadas, reforzando la seguridad e integridad de los datos intercambiados.

Es decir: un certificado SSL autentifica la identidad de una web y ayuda a evitar que alguien pueda ver qué páginas visitas y tus datos personales. Sirve para brindar seguridad al visitante y es una manera de decirle que el sitio es auténtico, real y confiable para ingresar datos personales.

Las siglas SSL responden al término inglés Secure Socket Layer, el cual es un protocolo de seguridad que hace que los datos viajen de manera íntegra y segura: la transmisión de los datos entre un servidor y usuario web está totalmente cifrada a través algoritmos matemáticos y un sistema de claves que sólo son identificados entre la persona que navega y el servidor. De manera que el usuario se puede asegurar de que nadie puede leer su contenido.

Pero además, recientemente Google, en la última actualización de su algoritmo, se ha comprometido con la seguridad de manera que aumentará el posicionamiento de un sitio web si todos los accesos se hacen a través del protocolo seguro SSL.

Un certificado SSL es transmisión segura de información a través de Internet y seguridad de que los datos están libres de personas no deseadas. Si contratas el tuyo con nerion, te garantizamos la seguridad permanente de tu sitio web desde 23 euros al año.

7 + 1 Consejos Esenciales que salvarán a nuestro WordPress

Una de las mayores ventajas de WordPress es que se trata del CMS o gestor de contenidos más popular utilizado; pero también y debido a lo anterior es el gestor de contenidos al que más se le buscan fallos de seguridad y que lamentablemente se encuentran ahondando en la gran cantidad de plugins y themes que existen para el mismo. Estos 7 + 1 Consejos Esenciales que salvarán a nuestro WordPress, nos pueden resultar muy interesantes.

Queremos con esta guía completa brindaros una serie de consejos esenciales que salvarán nuestro WordPress y nuestro servidor. Con un poco de tiempo, tendremos menos quebraderos de cabeza en el futuro como que estos ataques deriven en una alta carga de nuestra web o servidor, así como la posibilidad de perder posiciones en nuestro posicionamiento por amonestaciones de Google u otros. También nos influirá positivamente en tener menos problemas con nuestro proveedor.

 

Consejos Esenciales que salvarán a nuestro WordPress

 

Nosotros desde nerion destacamos por hacer una muy buena labor de consultoría sobre estas incidencias. Otros proveedores, siguiendo sus directrices, dejan todo en manos del cliente, facturan desorbitadamente por un servicio de media-baja calidad orientado a este tipo de “ayudas adicionales” o simplemente cortan tu servicio. La elección de un proveedor equivocado puede suponer perdidas en nuestro servicio, tienda o web que publicitamos al público.

Tras esta introducción empezamos con los 7+1 CONSEJOS ESENCIALES que salvarán a nuestro WordPress que ¡dividiremos en 3 capítulos para una mejor lectura!

7 + 1 Consejos Esenciales que salvarán a nuestro WordPress

1) Comprueba los permisos de los ficheros y directorios de tu WordPress.

Esta medida, que nos vale para prácticamente cualquier sitio sea WordPress o cualquier otro, es de las fundamentales para una mejor securización de cualquier web.

Disponer de permisos 777 (o permisos totales) para todos nuestros ficheros no suele ser una buena decisión (salvo que la documentación o la forma en que está programado un sitio web especifique que son necesarios estos permisos).

Los permisos adecuados son por norma 644 y 640 para ficheros y 755 y 750 para directorios. Para más información sobre este cambio recomendamos el siguiente artículo

Cómo configurar permisos para mis carpetas

QUÉ BUSCAMOS:

Unos permisos bien definidos puede securizar nuestra web ante que cualquier visitante distinto a nosotros (a nuestro usuario local en el servidor) sea capaz de añadir ficheros a nuestra web sin necesidad de forma relativamente sencilla o incluso borrar scripts u otros. En el peor de los casos pueden incluso incluir código malicioso y comprometer la seguridad del sitio, lo cual es una práctica habitual en los CMS actuales en cuanto un spammer tiene ocasión.

DUDA RAZONABLE:

La regla de oro consiste en tener los permisos los más bajos/restrictivos posibles para nuestra web y que le permitan funcionar correctamente. Con PHP corriendo como módulo DSO (menos recomendable) el establecer permisos 600 para los ficheros hará que no se ejecuten adecuadamente, cosa que sí harán estando bajo Apache con suPHP por ejemplo.

2) Realizar copias de seguridad de tu sitio web

Básico, lógico, fundamental. Son sólo algunos de los muchos adjetivos con el que podemos denominar al backup o respaldo de un sitio web.

A veces el gran olvidado, es nuestro seguro de vida ante cualquier borrado no deseado, modificación o destrucción por parte de hackers que han vulnerado nuestro sitio, o actualización de WordPress o de algunos plugins que incompatibilicen con la configuración actual del servidor en el que está alojado. Cuando esto ocurre y se dispone de backup, el alivio de ver como tu negocio puede recuperarse lo más rápidamente y con el menor impacto posible no tiene precio.

En este primer listado de “Medidas esenciales” no vamos a obligar el que se contrate un servicio de Backup con la empresa de hosting, y sí que al menos se utilice algún plugin para la realización de backups y que se guarden en el propio espacio contratado, o como mínimo se hagan descargas periódicas del contenido de nuestra web vía FTP hacia nuestro ordenador.

Será en el siguiente post que hagamos con el listado de “7+1 Consejos Recomendados” en las que hablaremos de la tranquilidad que aporta el contratar que el servicio de Backup lo haga la empresa con la que se tiene la página web y poder contactar con ésta ante cualquier problema :-)

QUÉ BUSCAMOS:

Justamente lo que su traducción al español nos indica. Un respaldo. Un punto de restauración el cual sabemos que todo funciona y que si optásemos por tener que recuperar o volver hacia atrás en caso de perdida total o malfunción irreparable de una web, las perdidas serán menores que si tuviéramos que tirar o empezar con el proyecto desde cero.

DUDA RAZONABLE:

Nos puede abordar la duda de si merece la pena invertir en realizar backups. La respuesta es ¡totalmente! Si nuestro negocio depende de nuestra web y de su información, o los datos de nuestra empresa se encuentran en la “nube” no podemos dejar al azar que podamos perder horas y dinero de nuestro trabajo.

 

Trust us, we take care of you!

Seguridad virtual en verano

En verano, el uso de móviles, tablets y ordenadores portátiles aumenta. Asimismo, se utilizan más redes móviles o Wifi. Ambas cosas son factores que ponen en riesgo la integridad de los datos del usuario, tanto a nivel personal como a nivel empresarial. Los expertos recomiendan poner mucha atención al acceso seguro a sistemas de gestión, dispositivos de almacenamiento, correo electrónico o bases de datos. En este artículo os vamos a dar una serie de consejos para mejorar nuestra seguridad virtual en verano.

Seguridad virtual en verano

Como mejorar nuestra Seguridad virtual en verano

Durante la época estival, el tráfico de datos, búsquedas, compras y conexiones a Internet desde dispositivos móviles y ordenadores portátiles aumenta: se realizan más búsqueda de información, más compras online o más consultas al correo del trabajo, incluso más accesos a algún sistema de gestión de la empresa o a sus dispositivos de almacenamiento. El acceso a esta información suele hacerse, además, mediante redes móviles o Wifi, sobre las que no se tiene control y, por lo tanto, “el riesgo de la integridad de esos datos aumenta”, explica el experto Javier Lázaro, CEO de nerion.

“La consulta de nuestros correos electrónicos se debe hacer siempre utilizando un protocolo seguro, de este modo nos aseguraremos que el intercambio de información con los servidores se hace de forma encriptada”, aconseja Lázaro. Por ejemplo, si el acceso es a través de un navegador web o webmail, hay que asegurarse de que en la barra de navegación la página web utiliza HTTPS; y si el acceso se hace mediante un programa de correo electrónico o con la aplicación correspondiente para dispositivo móvil, en la configuración de la cuenta de correo electrónico se debe utilizar protocolos seguros para recepción como POP3S o IMAPS y envío de correo como SMTPS.

Para Lázaro, es de gran importancia poner atención al acceso a aplicaciones empresariales: “Dependiendo del grado de responsabilidad o funciones que tengamos en nuestra empresa, es posible que necesitemos realizar tareas sobre alguna de las aplicaciones. Nuestra recomendación es que, si tenemos que acceder a nuestra red corporativa, la conexión siempre se haga de forma segura mediante una VPN (red privada virtual) que utilice un certificado de seguridad”. De este modo, la información viajará por internet encriptada ajena a que cualquier persona externa pueda capturarla. “Desde luego si no utilizamos una red privada virtual, no deberíamos realizar ninguna operación que requiera la transmisión de información confidencial”, insiste.

En cuanto a los terminales en sí mismos, el CEO de nerion subraya que “el valor de nuestros dispositivos móviles no está en el terminal en sí mismo, si no en la información que almacenan”. Por eso es esencial proteger los smartphones, tablets y laptops. Según datos oficiales de la Secretaría de Estado de Seguridad, en España existen 56 millones de teléfonos móviles y aproximadamente cada dos minutos se produce el robo de uno de ellos. “El problema de que te roben tu móvil no es sólo el coste económico que ello supone, sino el acceso que el ladrón tendrá a tu vida digital, lo que puede ser muy peligroso”, afirma Lázaro. Algunas pautas básicas que aconsejan seguir desde la empresa zaragozana son el uso de contraseñas y de Apps para localizar los dispositivos y borrar su contenido.

Prevenir abuso de SPAM en cPanel

El Spam es uno de los principales problemas a los que se enfrenta un servidor de web/correo, en este artículo daremos consejos sobre las diferentes opciones con las que cuenta cPanel para minimizar o impedir el uso del servidor por parte de los spammers.

1.- Activar las restricciones SMTP

Cuando se habilita esta opción, los spammers no pueden interactuar directamente con los servidores de correo remotos. Para activar esta opción vamos a:

Home / Security Center / SMTP Restrictions

SMTP_restricciones

Una vez dentro, pinchamos en Enable para activarla.

 

2.- Restringir los envíos de email con remitente vacío.

Esta configuración evita que los hackers envíen correos de forma anónima a través del servidor. Para activar dicha opción, tendremos que ir a:

Home / Server Configuration / Tweak Settings

prevent_nobody
Buscamos la opción “Prevent “nobody” from sending mail” y la dejamos en “ON

Una vez marcado esta opción, pinchamos en “Guardar”

 

3.- Configurar PHP y habilitar suEXEC

En este apartado, ganaremos rendimiento y seguridad en el servidor

Lo primero que haremos, será activar el suPHP

Home / Service Configuration / Configure PHP and SuExec
configuracion_php_exec

Seleccionamos las siguientes opciones:

Default PHP Version (.php files): 5 (en caso de utilizar version de php 5)

PHP 5 Handler: fcgi

Apache suEXEC: on

Pincharemos en Save para guardar los cambios.

 

4.- Configurar los envíos máximos por hora

Ponemos un límite de envíos de correo por hora que consideremos que pueda ser elevado, para ello vamos a:

Home / Server Configuration / Tweak Settings
max_hourly_emails

Buscamos la opción “Max hourly emails per domain” y marcamos la opción que nos deja poner una cifra, en este campo, ponemos un número entero que consideremos, este límite es por dominio, no es por servidor.

 

5.- Aumentar la fortaleza de las contraseñas

Esta opción, será para que no se puedan crear contraseñas “inseguras” para los diferentes accesos con los que cuenta cPanel.

Home / Security Center / Password Strength Configuration
password_strength

Una vez dentro, indicamos el valor que creemos que es mas óptimo.

 

6.- Rechazas correos salientes con potencial de SPAM

Con esta configuración, impediremos que se envíen correos con un potencial de SPAM evitando así, que nuestra IP entre en listas negras.

Home / Exim Service Configuration / Exim Configuration Manager

outgoing_malware
Buscamos la opción “Scan outgoing messages for spam and reject based on defined Apache SpamAssassin™ score” y ponemos un valor que creamos óptimo, en este caso, nosotros recomendaríamos 6.

Una vez hayamos establecido dicho valor, pincharemos en save para guardar la configuración.

 

7.- Reescribir la cabecera (EXPERIMENTAL)

Con esta configuración los envíos sin autenticación salgan a través del nombre del servidor, de esta manera evitaremos el phising desde nuestro servidor.

Home / Exim Service Configuration / Exim Configuration Manager

EXPERIMENTALEXPERIMENTAL: Rewrite From: header to match actual sender: Remote

Hay que aclarar, que si activamos esta opción, es muy probable que tengas problemas con los formularios de todas las páginas web, pues al cambiar la cabecera del correo, el correo será enviado con el nombre del servidor y no con la cuenta que hayas indicado (en caso de que el envío sea sin autentificación)

Una vez hayamos realizado estas configuraciones, habremos ganado en seguridad en nuestro cPanel/WHM a la hora de que los usuarios envíen correos o si se produjese phising, sería más fácil de detectar al cambiar las cabeceras del correo.

Pueden consultar la documentación de cPanel donde se le explican todas las características con las que cuenta el mismo. Desde la página de nerion también se pueden encontrar con diferentes tutoriales de cPanel que le ayudaran a entender las diferentes opciones con las que cuenta.

Bienvenido al blog de nerion

Empresa de servicios cloud, hosting y registro de dominios. Trust us, we take care of you!.
Siguenos en Twitter Siguenos en Facebook Siguenos en Linkedin Siguenos en YouTube
Suscripción a nerion
Entradas antiguas por mes
Twitter
nerion en Facebook