1

UNIDAD 2. SEGURIDAD Y
LEGISLACIÓN

2.1 CONCEPTOS
FUNDAMENTALES DE
SEGURIDAD

COMERCIO ELECTRÓNICO
 Introducción
2

!  Tanto la seguridad como la legislación vigente son

conceptos fundamentales a considerar en la
implantación y gestión de un portal de comercio
electrónico.
!  Un comercio electrónico que no es seguro puede
perder rápidamente toda su clientela o sus productos.
!  La legislación vigente en cada país/región debe
aplicarse correctamente en el portal web en que se
aloje el comercio electrónico.
 Seguridad
3

!  En el comercio electrónico es fundamental utilizar todos los medios

de seguridad necesarios desde ambos lados del negocio.
!  Los conceptos de seguridad en la web se explicaron en
Administración de Tecnologías Web.
! Es lo que necesita saber el ingeniero informático para implementar y
gestionar un portal web de comercio electrónico.
!  El usuario también ha de poner de su parte, para ello debe ser
correctamente informado sobre los puntos fuertes y débiles del
sistema.
!  Es recomendable mantener una página en nuestro portal web
para dar consejos de seguridad para nuestros clientes, y dar
mayor confianza con ello.
 Seguridad
4

!  Seguridad según el INCIBE:

! “Las
amenazas concretas hacia el comercio electrónico se dirigen
especialmente hacia los datos sensibles del usuario, con el fin de
comprometer la seguridad, a nivel económico, técnico y personal.”
!  El INCIBE cita entre las amenazas más habituales el Phishing,
Carding y Skimming, Pharming, Crimeware y Clickjacking.
!  Como administradores de portales de comercio electrónico hemos
de conocer todas las amenazas para poder prevenirlas en nuestras
posibilidades.
 Seguridad
5

!  Phishing es el fraude mediante el cual un individuo se hace pasar

por una entidad o empresa para conseguir datos de sus usuarios.
! Este fraude se aprovecha de la incultura digital de muchos internautas.
"  No leer el nombre completo de un enlace que vamos a usar es un signo de falta de
cultura digital.
! Hay servicios que facilitan esta labor. Nosotros debemos prevenir a nuestros
clientes.
 Seguridad
6

!  Carding y Skimming son el uso y copia fraudulentos de tarjetas.

Desde el portal web del comercio electrónico generalmente no se
tiene acceso al uso tarjetas ya que es una pasarela externa la
que se encarga de esta fase del proceso de pago de la compra/
venta.
 Seguridad
7

!  Malware (códigos maliciosos) son amenazas difíciles de detectar

desde el servidor en que está alojado nuestro portal.
!  Solemos ser nosotros mismos quienes lo instalamos (junto a
un plug-in de desconocida confianza, usando páginas de estilo
externas...etc.).
! Pharming es un troyano que se interpone entre la dirección IP del cliente y el
servidor, haciendo creer al cliente que está visitando el servidor real.
! Crimeware es cualquier tipo de malware que captura clicks de teclado,
pantallazos, graba lo que ve nuestra cámara... con el objetivo de obtener
usuarios y contraseñas.
! Clickjacking es una solicitud hecha por nuestro navegador simulando un
click en algún enlace desde el que se puede ejecutar un malware o instalar
un troyano en el ordenador del cliente.
 Seguridad
8

!  El usuario ha de estar bien informado de la protección que da

nuestro sistema a todos nuestros datos y los suyos, ha de tener
sensación de seguridad al utilizar nuestro portal.
!  Algunos países obligan con sus leyes a la publicación de parte
de estas medidas, como veremos en la segunda parte de esta
unidad.
!  La tecnología está en continuo cambio y por ello hemos de estar
actualizados constantemente.
!  Uno de los aspectos fundamentales del comercio electrónico está
en el lado del cliente y del software que utiliza para acceder a
nuestro negocio, generalmente un navegador, que también
debería mantener actualizado.
 Confianza
9

!  En cualquier situación con riesgos de seguridad es

importante dar confianza al usuario para que comprenda
que nuestro comercio electrónico dispone de suficientes
medidas de seguridad.
!  Esto se consigue con el feedback de los usuarios y
adhiriéndose a programas de confianza permitiendo que
empresas externas especializadas estudien la seguridad de
nuestro portal.
!  Estas empresas pueden hacer una auditoría sobre la
seguridad de nuestro portal web y tras su informe, si es
positivo, nos permiten mostrar en nuestro portal su logo con
el que podemos transmitir mayor confianza y mejorar
nuestras ventas.
 Confianza
10

!  Generalmente se trata de servicios de pago mensual, el propietario

del comercio electrónico debe decidir si el ROI es suficiente para
justificar la inversión. También hay algunos certificados emitidos por
entidades oficiales que pretenden dinamizar el comercio en su zona
de influencia por lo que están subvencionados o incluso pueden ser
gratuitos.
 Identificación (login)
11

!  Otro concepto que está relacionado con la seguridad y

la experiencia de usuario: la identificación a través de
un formulario propio o de un servicio en el que ya haya
introducido el usuario sus datos y nosotros solicitamos
sólo unos de ellos, pidiéndole al usuario que lo emplee
para identificarse (google+, facebook, twitter, about.me,
PayPal...).
 CMS
12

!  Cuando instalamos un CMS utilizado por miles de

personas ¿tendrá previstos sistemas de seguridad?
!  Esto se sobreentiende... ya está todo inventado y seguro que
el CMS que vamos a usar de base para nuestro comercio
online lo tiene bien implementado.
!  Uno de los consejos que más escucharás sobre seguridad es la
actualización del software cuando se haya corregido algún
problema de seguridad, combínalo siempre con el consejo de tener
copia de seguridad de todos tus datos pues cualquier
actualización podría suponer una gran pérdida de tiempo si
tuviéramos que recuperar datos perdidos tras la actualización, o
incluso la imposibilidad de recuperar los datos si no hemos hecho
previamente una copia de seguridad.
 Ejercicio evaluable:
13

!  Realiza un pequeño estudio de los distintos programas de

confianza online existentes a día de hoy. Para cada uno de
ellos indica sus principales características, precio y las
ventajas que obtiene tanto el usuario como el propietario del
comercio electrónico al adherirse al programa y obtener el
sello de confianza online.
 14

UNIDAD 2. SEGURIDAD Y
LEGISLACIÓN

2.2 LEGISLACIÓN
VIGENTE APLICABLE
AL COMERCIO ELECTRÓNICO

COMERCIO ELECTRÓNICO
 Introducción
15

!  El comercio electrónico es un fenómeno social por lo

que los gobiernos han de regular parte de su
funcionamiento.
!  Desde el punto de vista de negocio, al registrar una
empresa se han de cumplir las leyes tributarias
vigentes en el país de registro.
! Eneste curso no profundizamos en ellas, sólo en las que afectan al hecho de que
esa empresa utilice un portal web como parte de su negocio.

!  El ingeniero informático no es ajeno a la obligación de

cumplir las leyes, de hecho la LSSI menciona
claramente tanto al responsable del servicio de la
sociedad de la información prestado como al
encargado de su gestión por medios electrónicos.
 Legislación vigente
16

¿QUÉ LEYES NOS

! 

AFECTAN PARA VENDER

ONLINE?
 Legislación vigente
17

!  Estas son las leyes que afectan al CE en España:

! Ley34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de
Comercio Electrónico. [Documento Consolidado BOE-A-2002-13758]
! Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y
garantía de los derechos digitales. [Documento BOE-A-2018-16673] NUEVO
! Reglamento General de Protección de Datos (RGPD) [REGLAMENTO (UE)
2016/679] NUEVO
! Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter
Personal (LOPD). [Documento BOE-A-1999-23750] DEROGADA
! Directiva 2000/31/CE del Parlamento Europeo y del Consejo, de 8 de junio de
2000 [Documento DOUE-L-2000-81295], relativa a determinados aspectos
jurídicos de los servicios de la sociedad de la información, en particular el
comercio electrónico en el mercado interior (Directiva sobre el comercio
electrónico).
! Ley 59/2003, de 19 de diciembre, de firma electrónica. [Documento BOE-
A-2003-23399]
 Legislación vigente
18

!  Además de las leyes listadas anteriormente, se aplican otras

normativas, como las leyes mercantiles, tributarias y laborales
en vigor, nacionales e internacionales. No se ha de olvidar que una
empresa virtual debe cumplir los mismos requisitos que una física:
! Ley3/2014 que modifica el texto de la Ley General para la Defensa de los
Consumidores y Usuarios y otras leyes complementarias [Documento BOE-
A-2014-3329], que afecta de forma directa al comercio electrónico, la
contratación online y la venta a distancia y telefónica.
! Ley
7/1996, de 15 de enero, de Ordenación del Comercio
Minorista [Documento BOE-A-1996-1072].
! Ley
7/1998, de 13 de abril, de Condiciones Generales de la
Contratación [Documento BOE-A-1998-8789].
! Real Decreto Legislativo 1/2007, de 16 de noviembre, por el que se aprueba el
texto refundido de la Ley General para la Defensa de los Consumidores y
Usuarios y otras leyes complementarias [Documento consolidado BOE-
A-2007-20555].
 LSSI
19

!  La Ley 34/2002, de 11 de julio, de servicios de la

sociedad de información y de comercio electrónico
(LSSI), con 9 modificaciones hasta la fecha, tiene como
objeto la incorporación al ordenamiento jurídico español
de la Directiva 2000/31/CE, del Parlamento Europeo
y del Consejo, de 8 de junio, relativa a determinados
aspectos de los servicios de la sociedad de la
información, en particular, el comercio electrónico en el
mercado interior (Directiva sobre el comercio
electrónico).
 LSSI
20

!  En la Wikipedia definen los servicios de la sociedad

de la información como:
!  "Todo servicio prestado normalmente a título oneroso, a
distancia, por vía electrónica y a petición individual del
destinatario. El concepto de servicio de la sociedad de la
información comprende también los servicios no
remunerados por sus destinatarios, en la medida en que
constituyan una actividad económica para el prestador de
servicios."
!  Esta definición es muy amplia por lo que la ley la tiene
que especificar a través de sus artículos.
 LSSI
21

!  En su artículo 10 establece que el prestador de servicios de la

sociedad de la información está obligado a informar feacientemente
de su:
!  nombre o denominación social
!  residencia, domicilio o dirección de uno de sus establecimientos
permanentes en España
!  dirección de correo electrónico
!  datos de inscripción en el Registro Mercantil
!  número de colegiado o titulación académica, si procede
!  número de identificación fiscal
!  las características del servicio que va a proporcionar...
!  Todo ello disponible de manera claramente visible e identificable.
 LSSI
22

!  Esta ley hace hincapié en la obligación de todos los proveedores

de servicios de la sociedad de la información de informar a sus
clientes de forma permanente, fácil, directa y gratuita, sobre las
características de seguridad que afectan al servicio que ofrecen.
!  medios de carácter técnico que aumenten los niveles de la seguridad
de la información
!  medidas de seguridad
!  herramientas existentes para filtrado y restricción de acceso a ciertos
contenidos
!  posibles responsabilidades en las que puede incurrir al usar internet
!  Estas obligaciones se darán por cumplidas si el correspondiente
proveedor incluye la información exigida en su página o sitio principal
de Internet en la forma establecida en los mencionados apartados.
 LSSI
23

!  Sobre el uso de las cookies, la ley sólo habla en el segundo

párrafo del Artículo 22:

!  Encontraremos muchas indicaciones técnicas para su correcta

aplicación en artículos como Todo sobre la nueva Ley de Cookies |
TreceBits
 Ejercicio evaluable:
24

!  Lee el artículo 22 de la LSSI (ley de cookies) y la información

presentada en el artículo Todo sobre la nueva Ley de
Cookies | TreceBits y realiza un pequeño informe de las
medidas a tomar por el comercio electrónico para
cumplir con dicho reglamento.
 Ley Orgánica 3/2018, de 5 de diciembre, de Protección de
Datos Personales y garantía de los derechos digitales.
25

Ley Orgánica 3/2018, de 5 de diciembre, de

Protección de Datos Personales y garantía de los
derechos digitales. NUEVA
Ley Orgánica de Protección de Datos (LOPD)
DEROGADA
¡MUCHO CUIDADO CON INCUMPLIR ESTA LEY!
 Ley Orgánica 3/2018, de 5 de diciembre, de Protección de
Datos Personales y garantía de los derechos digitales.
26

!  El régimen sancionador en materia de protección de datos ha

sufrido una modificación sustancial desde el pasado 25 de mayo de
2018, fecha de obligatoria aplicación del Reglamento General de
Protección de Datos (RGPD).
!  Posteriormente, el 6 de diciembre de 2018, se publicó la nueva
Ley Orgánica de Protección de Datos Personales y Garantía de
los Derechos Digitales (nueva LOPD) que concreta ciertos
aspectos sobre las sanciones por protección de
datos impuestas por el RGPD.
 Ley Orgánica 3/2018, de 5 de diciembre, de
Protección de Datos Personales y garantía de los
derechos digitales.
27

!  El RGPD impone las siguientes multas:

! Multade hasta 10 millones de euros o un 2% del volumen del negocio total anual
global del ejercicio financiero anterior, por infracciones como no adoptar
medidas de seguridad apropiadas o no nombrar a un delegado de
protección de datos cuando sea obligatorio.
! Multa de hasta 20 millones de euros o un 4% del volumen del negocio total anual
global del ejercicio financiero anterior, por infracciones como vulnerar los
derechos de los afectados o el incumplimiento de los principios básicos
del tratamiento.
Como puede apreciarse, el RGPD establece un sistema dual para fijar la cuantía de
! 
las sanciones protección de datos: la multa podrá consistir en una cifra exacta
(hasta 20 millones de euros), o bien, podrá calcularse en función de un
determinado porcentaje del volumen de negocio total anual global del ejercicio
financiero anterior de la empresa sancionada (hasta el 4%).
!  Se elegirá la multa más gravosa, es decir, si la multa inferida de aplicar el
porcentaje sobre el volumen de negocio total anual global es superior a la
cifra exacta, se optará por el primer sistema.
 Ley Orgánica 3/2018, de 5 de diciembre, de Protección de
Datos Personales y garantía de los derechos digitales.
28

!  La autoridad de control del cada Estado miembro, es

la que debe garantizar la imposición de las multas
conforme al RGPD.
!  En el ámbito nacional, la autoridad de control en materia
de protección de datos es la Agencia Española de
Protección de Datos (AEPD).
!  El RGPD, dispone que las autoridades de control
deberán valorar las condiciones particulares de cada
caso y adecuar la sanción en función de las mismas.
 Ley Orgánica 3/2018, de 5 de diciembre, de Protección de
Datos Personales y garantía de los derechos digitales.
29

!  Se establece a título enunciativo un listado de factores de

graduación que deben tener en cuenta las autoridades de control a la
hora de decidir la cuantía a imponer en cada caso concreto:
! Lanaturaleza, gravedad y duración de la infracción teniendo en cuenta el alcance o propósito
de la operación de tratamiento así como el número de afectados y el nivel de los daños
sufridos.
! La intencionalidad o negligencia de la infracción
! Cualquier medida tomada por el responsable o encargado de tratamiento para paliar los
daños y perjuicios ocasionados.
! Elgrado de responsabilidad del responsable o encargado de tratamiento en función de las
medidas técnicas y organizativas aplicadas
! Infracciones anteriores cometidas
! Grado de cooperación con la autoridad de control para paliar los daños de la infracción
! La categoría de los datos afectados
! La forma en que la autoridad conoció la infracción
! Adhesión a códigos de conducta o mecanismo de certificación
! Cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso
 Ley Orgánica 3/2018, de 5 de diciembre, de Protección de
Datos Personales y garantía de los derechos digitales.
30

!  Se identifica a los sujetos responsables:

!  Responsables de los tratamientos
!  Encargados de los tratamientos
!  Representantes de los responsables o encargados de los tratamientos
no establecidos en el territorio de la UE
!  Entidades de certificación y las entidades acreditadas de supervisión de
los códigos de conducta
!  Se dispone expresamente que el régimen sancionador no será aplicable
al delegado de protección
 Ley Orgánica 3/2018, de 5 de diciembre, de Protección de
Datos Personales y garantía de los derechos digitales.
31

!  Se establecen listados de infracciones, diferenciando

su plazo de prescripción:
!  Muy graves: prescriben a los tres años
!  Graves: prescriben a los dos años

!  Leves: prescriben al año

 Ley Orgánica 3/2018, de 5 de diciembre, de Protección de
Datos Personales y garantía de los derechos digitales.
32

Añade nuevos criterios de graduación, a los ya previstos por el RGPD:

! 

! El carácter continuado de la infracción

! La vinculación de la actividad del infractor con la realización de tratamientos de
datos personales
! Los beneficios obtenidos como consecuencia de la comisión de la infracción
! La posibilidad de que la conducta del afectado hubiera podido inducir a la
comisión de la infracción
! La existencia de un proceso de fusión por absorción posterior a la comisión de la
infracción, que no puede imputarse a la entidad absorbente
! La afectación a los derechos de los menores
! Disponer, cuando no fuere obligatorio, de un delegado de protección de datos
! Elsometimiento por parte del responsable o encargado, con carácter voluntario, a
mecanismos de resolución alternativa de conflictos, en aquellos supuestos en los
que existan controversias entre aquellos y cualquier interesado.
 Ley Orgánica 3/2018, de 5 de diciembre, de Protección de
Datos Personales y garantía de los derechos digitales.
33

!  Se establecen plazos de prescripción de las

sanciones protección de datos:
!  Sanciones por importe igual o inferior a 40.000 euros: un
año.
!  Sanciones por importe comprendido entre 40.001 y 300.000
euros: dos años.
!  Sanciones por importe superior a 300.000 euros: tres años.