Data Loss Prevention (DLP) en Office 365. Introducción.

Las directivas DLP, o directivas de prevención de pérdida de datos, son una serie de normas y directrices que se pueden implantar en una empresa para proteger la información confidencial. Tenerlas implementadas y automatizadas no sólo da seguridad a la empresa, sino que permite cumplir de una manera más rigurosa con las leyes de protección de datos y de protección de la información. Evita también tener que contar con los empleados solamente y ayuda a concienciarles sobre la importancia de la protección de datos.

¿Cómo las implementamos?

A la hora de implementarlas podemos escoger software de pago, hardware (muchos firewall tiene políticas DLP) o comprobar si nuestros sistemas de comunicación lo tienen. Este es el caso de Office 365 que tiene un sistema de control y gestión de las políticas DLP. Esto es lo que queremos mencionar hoy como introducción.

¿Qué debemos proteger?

Cuando se implementa un sistema DLP, hay que tener en cuenta varias cuestiones. Cuestiones que hay que discutir con la empresa y en la que hay que implicarles directamente, porque cada caso es diferente.

  • ¿Qué información debe ser protegida? Si vamos a automatizar unas directivas, necesitamos saber exactamente que información hay que tener controlada.
  • ¿Dónde se guarda la información que debe ser protegida? Cada entorno implicará métodos diferentes y decidirá qué sistema vamos a escoger.
  • ¿Qué dispositivos pueden conectarse a nuestra red y con qué permisos? Por ejemplo discos duros o lápices USB.
  • ¿Qué métodos de fuga de datos pueden existir? Por dónde puede filtrarse la información en mi empresa.

¿Qué herramientas nos da Office 365 para implementar las políticas DLP?

Lo primero que vamos a hacer es ir a Administración. Después pinchar en “Mostrar Todo“. Ahí tenemos dos enlaces muy interesantes: Security y Compliance. Estos dos enlaces nos dan una visión general de la seguridad en Office 365 y el cumplimientos de protección de datos y normativas reglamentarias.

Si queremos irnos más específicamente a la prevención de pérdida de datos tenemos este enlace: https://compliance.microsoft.com/datalossprevention

¿Cómo podemos crear las directivas en Office365?

Aquí veremos que podemos crear y administrar nuestras directivas. Afortunadamente, no tenemos que empezar de cero. Office365 tiene ciertas plantillas que podemos usar. Desafortunadamente la mayoría son para USA, UK y Francia. Pero podemos usar muchas de ellas como base.

Vamos a ir a “Crear Directiva” y ahí nos deja elegir una plantilla o crear una personalizada.

Tenemos que:

  • escoger una plantilla
  • darle un nombre y una descripción
  • elegir las ubicaciones donde se va a activar la directiva.
  • elegir qué información se debe proteger.
  • elegir qué acción se debe realizar cuando se detecte información confidencial.
  • los permisos de acceso y anulación.
  • cuándo va a tener efecto.
  • Y pinchamos en crear.

Con eso sólo tenemos que probarlas y seguir creando directivas.

Más información aquí.

En otra ocasión seguiremos con más artículos de DLP.

Medidas financieras por el Coronavirus. Aplazamiento de deudas tributarias.

Nos salimos momentáneamente del ámbito de las TIC para hablar de algo que nos afecta a todos los empresarios y trabajadores: las medidas de “apoyo” a la economía que puedan ir saliendo.

Lo siento por el que sólo quiera leer noticias del sector, se que este blog es de informática, pero no quiero abrir otro, y este, al fin y al cabo, siempre ha tenido artículos de opinión ocasionales. Situaciones excepcionales llaman a medidas excepcionales.

Hace unos días publiqué un vídeo sobre las opciones que teníamos los empresarios ante esta situación de excepción:

Hoy os dejo el enlace al Real Decreto Ley 7/2020 donde aparecen las primeras medidas (esperemos que de muchas) para las empresas:

En el, lo más interesante para nosotros es lo siguiente:


Como veis se va a permitir a las empresas, con un volumen de operaciones en 2019 menor a 6.010.121,04 €, aplazar las deudas tributarias y cualquier declaración que se presente desde ahora al 30 de mayo, hasta seis meses. En los primeros tres meses no habrá intereses de demora.

“(…) aplazamiento del ingreso de la deuda tributaria correspondiente a todas aquellas declaraciones-liquidaciones y autoliquidaciones cuyo plazo de presentación e ingreso finalice desde la fecha de entrada en vigor del presente real decreto-ley y hasta el día 30 de mayo de 2020, ambos inclusive,

Hay que recordar que las deudas tributarias y declaraciones incluyen el IRPF.

Veamos ahora que pasa con los seguros sociales y de la cuota de autónomos.

Documento legales necesarios para una página Web (no tienda) en España.

Una pregunta recurrente en los clientes que están haciendo o quieren hacer una página web es qué documentos o apartados legales hay que incluir.
Hoy os lo detallamos para las páginas que no sean tiendas (otro día haremos un vídeo para esas).

Nota: no somos expertos en derecho, esta información la proporcionamos por nuestro trabajo del día a día y nuestro contacto con las asesorías de los clientes y las últimas noticias del sector.

Leyes aplicables.

Primero resumimos las leyes que se aplican en este ámbito:

  • LSSI (ley digital de servicios de la sociedad de la información y de comercio electrónico). 34/2002 del 11 de Julio.
  • LOPD: 15/1999 del 13 de Diciembre.
  • RGPD (ley de protección de datos Europea) del 25 de mayo del 2018.
  • LOPDGDD (Ley orgánica de protección de datos y garantía de derechos digitales). 3/2018 del 5 de Diciembre.
  • Directiva 2002, revisada en 2009 136/CE del 25 de Nov del 2009 (“Ley de Cookies”). Pronto será renovada por la e-Privacy.

Qué documentos son necesarios en una página web empresarial en España.

Los documentos necesarios son los siguientes:

  • Aviso Legal. Que básicamente informa sobre quién está “detrás” de la página web, cómo contactarles etc. Sólo es obligatorio en páginas con fin económico (no en personales). Viene dado por la LSSI que indica que debe haber un “mínimo de información permanente y gratuita”.
    En este enlace hablamos sobre el Aviso Legal en profundidad (y en el vídeo debajo de estas líneas).
  • Política de Privacidad. Indica qué datos se recogen del usuario y qué se hace con ellos. En el vídeo lo explicamos en profundidad, pero básicamente debe incluir 3 partes:
    – La página de Política de Privacidad con toda la información relevante detallada.
    – La primera capa informativa que debe resumir lo anterior y se debe incluir en formularios, correos, boletines, facturas, y cualquier tipo de comunicación con el cliente.
    – La casilla de aceptación del tratamiento de datos con enlace a la Política de Privacidad. Casilla que debe marcar explícitamente el usuario y de lo cual debemos guardar registro por si tenemos una inspección.
  • Política de Cookies. Las cookies son pequeños ficheros de información que se guardan en el ordenador para recordar datos del usuario. Por lo tanto tienen datos privados y deben someterse a la política anterior. Con la nueva RGPD el usuario debe tener:
    – Un listad de las cookies, tipo, duración, si son propias o de terceros, para que sirven, si son esenciales o no etc.
    – Una manera de aceptarlas explícitamente o rechazarlas.
    – Una manera de cambiar lo anterior cuando quiera.
    Por lo tanto el “antiguo” aviso de cookies no vale. Ya no sólo tenemos que avisar, ahora el usuario tiene que ser capaz de aceptar las que quiere, y poder cambiar dicha configuración.

    Porque según las nuevas indicaciones europeas las cookies deben estar prohibidas excepto que :

    – El usuario las haya aceptado explícitamente.
    – Sean anónimas, por ejemplo las de analítica web.
    – Aquellas necesarias para la comunicación electrónica o para mantener la conexión
    – Si son necesarias para la experiencia del usuario (como las del carrito).
    – En servicios requeridos por el usuario.
    – Las necesarias por seguridad o para evitar fraude.

Os explicamos todo en detalle en el siguiente vídeo.

Cookies que usa WooCommerce.

Seguimos con nuestra serie de artículos sobre cookies en los CMS o plugins más conocidos. En este caso toca WooCommerce, el plugin más usado en WordPress para crear tiendas online.

Afortunadamente WooCommerce (al contrario que los servicios de Google) si que tiene información detallada sobre sus cookies que podéis ver aquí.
Os los resumimos.

Cookies de WooCommerce en el Front-End de la web (portada).

Nota: no se almacena información personal en estas cookies.

  • woocommerce_cart_hash : Coookie que ayuda a detectar y guardar cambios en el carrito. Sesión.
  • woocommerce_items_in_cart: Coookie que ayuda a detectar y guardar cambios en el carrito. Sesión.
  • woocommerce_recently_viewed : Para que funcione el widget de “visto recientemente”. Sesión.
  • store_notice[notice id]: Para que los usuarios puedan descartar el aviso de tienda. Sesión.
  • wp_woocommerce_session_: Añade un código único a cada cliente para poder identificar su carrito en la base de datos. Persistente. Duración: 2 días.

Cookies de WooCommerce en el Back-End de la web (administración).

Estas son las cookies que WooCommerce activa en la sección del back-end accesible por /wp-admin

  • woocommerce_snooze_suggestions__[suggestion] : Permite descartar notificaciones del marketplace. Persistente. Duración: 2 días.
  • woocommerce_dismissed_suggestions__[context]: Cuenta las veces que se han descartado las notificaciones del marketplace. Persistente. Duración: 1 mes.
  • tk_ai: Guarda un ID aleatorio generado en el backend para estadísticas. Sesión.

Cookies de los servicios de Google 2. Youtube

Seguimos con los artículos sobre las cookies que instalan los recursos más usados en las páginas web. En concreto los de Google. Hace unos días hablamos de Analytics, hoy toca Youtube.

Youtube Logo

Recordamos cómo usa Google las cookies, y los tipos de cookies que usa.

Destacamos también que, aunque todo este tema está todavía difuso, en desarrollo, con problemas obvios, y sin gente a la que consultar… quiero enlazar este documento sobre cookies de la Comisión Europea, que parece indicar que las cookies de vídeos incrustados están exentos de requerir consentimiento. Se supone que son básicos para la estructura de la web (cosa que parece lógica). Y cito:

Exemptions on Europa

In line with Article 5(3) of the ePrivacy Directive, consent is not required for technical storage or access of the following cookies:

  • cookies used for the sole purpose of carrying out the transmission of a communication
  • cookies that are strictly necessary in order for the provider of an information society service explicitly required by the user to provide that service

Examples of cookies that generally do NOT require consent:

  • User input cookies, for the duration of a session
  • Authentication cookies, for the duration of a session
  • User-centric security cookies, used to detect authentication abuses and linked to the functionality explicitly requested by the user, for a limited persistent duration
  • Multimedia content player session cookies, such as flash player cookies, for the duration of a session
  • Load balancing session cookies and other technical cookies, for the duration of session
  • User interface customisation cookies, for a browser session or a few hours, when additional information in a prominent location is provided (e.g. “uses cookies” written next to the customisation feature)

Nota: Youtube no tiene una política propia de cookies y enlaza a la general de Google que hemos comentado más arriba.

Cookies que usa Youtube.

  • PREF: Cookies común en los servicios de Google al iniciar sesión. Guarda preferencias. Persistente. Duración 2 años.
  • NID: Cookie de preferencias común en los servicios de Google. Un navegador envía esta cookie a través de solicitudes a los sitios web de Google. La cookie NID contiene un ID único que Google utiliza para recordar tus preferencias y otra información, como tu idioma preferido (por ejemplo, el español), el número de resultados de búsqueda que quieres que se muestren por página (por ejemplo, 10 o 20) y si quieres que el filtro SafeSearch de Google esté activado o desactivado. Persistente. Duración 6 meses.
  • SID y HSID: Cookies comunes a los servicios de Google. Contienen registros encriptados y firmados de forma digital de la hora de inicio de sesión más reciente y del ID de cuenta de Google de un usuario. La combinación de estas dos cookies les permite bloquear muchos tipos de ataques como, por ejemplo, intentos de robo del contenido de los formularios que rellenas en páginas web. Persistente. Duración 2 años.
  • SSID: Cookies comunes a los servicios de Google. Para guardar configuración y preferencias de usuario. Persistente. Duración 2 años.
  • SIDCC: Cookies comunes a los servicios de Google. Para guardar configuración y preferencias de usuario. Persistente. Duración 3 meses.
  • SAPISID: Cookies creada al usar videos incrustados de Youtube. Persistente. Duración 2 años.
  • LOGIN_INFO: Cookies creada al usar videos incrustados de Youtube. Persistente. Duración 2 años.
  • VISITOR_INFO1_LIVE: Cookies creada al usar videos incrustados de Youtube. Persistente. Duración 6 meses
  • YSC: Cookies creada al usar videos incrustados de Youtube. Sesión.
  • wide: Sesión.
  • endscreen-metadata-editor-gh: Persistente. Duración. 7 días.
  • _ga: relacionado con Analytics, pero a veces añadido por Youtube . Persistente. Duración 2 años.
  • CONSENT: Cookie técnica de reproducción de contenido. Persistente. Duración 20 años.

RGPD: guardar un registro de la aceptación de políticas para cada usuario con Contact Form 7 en WordPress.

Desde que salió la nueva RGPD, los expertos han ido variando los criterios que debemos implementar en los formularios de la web. Nosotros, nos guiamos por ellos y aquí vamos indicando cómo implementar sus indicaciones.

En este caso hablamos de guardar el registro de las aceptaciones de la política de privacidad para cada usuario. Como técnicamente no se puede enviar el formulario sin aceptar dichas condiciones, al principio muchos no lo consideraban importante. Pero ahora muchos creen que sí. Y nosotros, ante la duda, preferimos cumplir todos los requisitos. Mejor prevenir que curar.
Así que tenemos que guardar un registro de que el usuario haya aceptado la política de privacidad al enviar el correo. Os indicamos ´como hacerlo con Contact Form 7 (el más usado) en WordPress.

Cómo guardar el registro del apartado de la casilla de aceptación con Contact Form 7.

Hay dos maneras de realizar esto (se pueden implementar ambas).

Opción 1.

En Contact Form 7 podemos hacer fácilmente que el correo que nos llegue incluya el resultado de la casilla de aceptación.
Esto implicaría guardar los correos como registro de aceptación en nuestro buzón, o en psts. Pero es una forma sencilla y para muchos muy cómoda. También indicado cuando el que va a recibir los e-mails es un departamento distinto del que gestiona la página web.
Os indicamos cómo hacerlo en este vídeo.


Opción 2.

Para muchos es mejor guardar este registro en la base de datos, en el backend de WordPress y poder comprobarlo rápidamente ahí. Para ello lo mejor es instalar un plugin que te guarde un registro de los envíos de los formularios, junto a esa casilla de aceptación. Os recomendamos alguno, antes de elegir cual, comprobad hace cuando se ha actualizado y si es compatible con vuestra versión de WordPress.

Tiene la ventaja de sencillez y poder exportar los resultados a un Excel.

  • Contact Form 7 Database Addon. Muy usado desde hace años. En ocasiones ha tenido problemas con WordPress pero como todos los plugins veteranos. En estos momentos está activo y muy actualizado.
  • Flamingo. Ya hablamos de él hace tiempo. El favorito de muchos, aunque en el momento de escribir este artículo, incomprensiblemente lleva 9 meses sin actualizar.
  • Advanced Contact form 7 DB: lleva menos tiempo pero con buen número de descargas, actualizado y buena puntuación.
  • Contact Form Submissions: durante mucho tiempo uno de los más usados. Pero lleva 1 año sin actualizar, si no se actualiza no recomiendo instalarlo.

Cómo ver qué cookies usa una página web con el Inspector de Chrome.

Hoy os explicamos cómo ver que cookies usa una página web, usando el Inspector de Chrome.

Os puede interesar por temas técnicos, por seguridad (comprobar qué información guarda sobre ti la web) o, si tienes una web, para poner dicha información en la Política de Protección de Datos o el consentimiento de Cookies.

Usaremos el Inspector de Chrome pero el de Firefox es similar. Y también podemos usar dicho acceso para borrar selectivamente las cookies.

Cómo ver las cookies de una página web.

En el Inspector vamos a ir a Application > Storage > Cookies.

Podemos verlo en este vídeo con varios ejemplos de webs.

Formularios de Google: crear una casilla de aceptación de la Política de Privacidad

Creo que nos quedaban pocos sistemas donde mostrar cómo poner la casilla de aceptación de Política de Privacidad. Ya lo hemos hecho en Html, en WordPress, en Prestashop…. Hoy os enseñamos a hacerlo en Google Forms.

Cómo añadir la casilla de aceptación de la Política de Privacidad en Google Forms.

El proceso es sencillo y lo podéis ver en el vídeo de este artículo.

  • Abre un formulario de Google Forms y rellena las preguntas necesarias.
  • Donde quieras (lo normal es al final) crea una pregunta y cambia el tipo de pregunta a “Casilla de Verificación”.
  • En el texto de la casilla de verificación pon la frase de aceptación de la política de privacidad y un enlace a la misma.
  • Además, es conveniente añadir una segunda capa a modo de recuadro de texto donde poner un resumen de las políticas de privacidad. Así, rápidamente, el cliente puede ver quién es el responsable del fichero, la finalidad y dónde ejercer los derechos.
    A mi también me gusta añadir un enlace a la política de Google, ya que los datos se van a almacenar en sus servidores. Así el cliente puede ver dicha información si quiere.

En el vídeo os mostramos cómo hacerlo.

 

Garantía de productos y servicios informáticos. Cuanto dura, y que derechos tenemos

Hoy nos lo ha preguntado un cliente, y es una duda muy común. Así que queremos escribir un artículo sobre la garantía de los productos y servicios informáticos. Así, cuando vuelvan a preguntar, lo reenviamos (somos así de vagos jejeje).

Cuando hablamos de informática tenemos dos grandes cambios: productos y servicios (o reparaciones). Y la garantía se entiende como protección frente a defectos o falta de conformidad con el producto.

Garantía de Productos informáticos.

Cuando hablamos de garantía hay dos tipos: la legal y la comercial. La legal es la que impone la ley (valga la redundancia) y la comercial, una extensión que puede ofrecer, o vender como suplemento, el fabricante. En principio vamos a hablar de la primera, ya que la segunda es variable dependiendo del acuerdo con el fabricante. Pero hay que entender que, combinando ambas, se puede llegar a tener, por ejemplo, dos años de garantía legal y uno de fabricante.

Garantía legal por los productos.

Os dejamos varios datos.

Recordamos que la garantía la proporciona el vendedor aunque, en ocasiones, algún fabricante proporcione un SAT post venta y el vendedor pueda enviarlo a dicho SAT (o gestionar el envío). Si el vendedor ha cerrado, se puede contactar con el fabricante.

La garantía legal contempla los siguientes derechos que se aplicarán dependiendo del caso y proporcionalmente:

– Derecho de devolución.

– Derecho de reparación.

– Derecho a la rebaja del precio.

– Derecho a la resolución del contrato (que el vendedor se quede con el producto y te devuelva el dinero).

Aún así el fabricante puede oponerse a aplicar uno de estos derechos por considerarlo abusivo. Lo habitual es la reparación o,  si la compra es reciente, sustitución.

Y la garantía se cuenta desde la fecha que aparece en la factura/tiquet de compra. Obviamente es importante conservar la factura de compra.

  • Los productos nuevos, piezas incluidas, tienen un periodo de garantía de 2 años.
  • En los productos o piezas de segunda mano, la garantía se puede pactar con el vendedor pero el plazo mínimo es de 1 año. Si no se indica nada, o se indica menos de 1 año, el plazo a aplicar es de 2 años. Pero si se indica mayor a un año y menor que dos se aplica este plazo.
  •  Si el defecto, o la no conformidad, surge en los primeros 6 meses, se considera defecto de fábrica y, de no estar de acuerdo la parte vendedora, debería ella demostrar que se debe a un defecto de uso.
  • Si el defecto o la no conformidad surge después de los primeros 6 meses, se le puede exigir a la parte compradora que demuestre que no es un defecto por uso y ya existía. Esto puede hacerse por un peritaje.
  • Los productos de segunda mano no tienen el derecho de devolución.
  • Si se realiza la sustitución del producto o equipo, la garantía son 2 años desde la compra del original. Es decir no se renueva por 2 años más.
  • La ley no dice nada de conservar las cajas y embalajes originales.

Las garantías no cubren el mal uso del producto como infecciones de virus, roturas o defectos causados por uso incorrecto, golpes, caídas, piezas no originales, reparaciones realizadas en por personal ajeno al servicio técnico oficial del fabricante…
En estos casos el servicio técnico puede presupuestarte la reparación.
Tampoco incluye la copia de seguridad de los datos. Hazla tu o solicítala a precio adicional.

Reparaciones.

  • Si un producto se repara durante el periodo de garantía, la reparación tiene una garantía de 6 meses. Fuera del periodo de garantía la reparación tiene al menos 3 meses de garantía.
  • Las reparaciones o sustituciones en garantía son gratuitas (así como el resto de costes de envío etc) y la garantía queda suspendida hasta la entrega del producto.
  • Las reparaciones deben tener un documento de entrega y uno de recogida con la fecha de las mismas y la reparación realizada.
  • Las reparaciones fuera de garantía tienen una garantía mínima de 3 meses.
  • Las piezas en una reparación (fuera o dentro de garantía) tienen 2 años. Eso sí, fuera de los 6 primeros meses pueden cobrarte la mano de obra por la sustitución PERO ciertas piezas no se consideran bienes de consumo sino material para la reparación de dichos bienes y tienen garantía de 6 o incluso 3 meses. Por ejemplo pantallas de portátil, baterías, fuentes de alimentación…

Si estás en periodo de garantía, vete siempre al SAT del fabricante.

Esperamos que estos consejos os ayuden  a conocer vuestros derechos.

 

Comentarios de WordPress: casilla de aceptación de la Política de Privacidad

Hoy hemos recibido un comentario de un lector que nos recordaba que no habíamos implementado la casilla de aceptación de la Política de Privacidad en los comentarios de esta web. Lo teníamos pendiente para artículos futuros, pero el trabajo diario nos lo había impedido. Pero tiene toda la razón, así que aprovechamos y lo solucionamos hoy.

¿Tenemos que poner una casilla de aceptación en los comentarios de WordPress?

Sólo si se recogen datos personales.

Pero en la mayoría de las páginas hechas con WordPress se hace, para evitar spam. Si dejas los comentarios libres se te llena la página de comentarios basura. Así que, en la práctica la respuesta es sí que debes añadir la casilla para que el usuario acepte la política de tratamiento de sus datos, así como añadir un resumen de la misma.

Las últimas versiones de WordPress han añadido una frase “Guardar mi nombre, correo electrónico y sitio web en este navegador para la próxima vez que haga un comentario.” con su casilla. Pero no me parece ni adecuado, ni explicativo ni suficiente. Además no se puede modificar. Así que queremos añadir nuestra propia casilla.

Cómo añadir la casilla.

Tienes varias maneras:

  • Si tu plantilla usa un sistema de comentarios que no es el de WordPress, te toca editarla. No te va a resultar fácil. Afortunadamente la mayoría usan el sistema nativo de WordPress. En lo siguiente suponemos que es así.
  • Con código. Mientras que en otros casos puede ser recomendable hacerlo así, en este caso no lo recomiendo. Si, puedes usar el código que te dimos para html, y la plantilla está en Apariencia > Editor > comments.php (o ruta similar).
    Pero normalmente esta usa funciones de WordPress, y simplemente llama a comment_form(). Así que no podrás tocar mucho. Para cambiarlo tienes que modificar los parámetros que se pasan a esa función. Puedes verlo aquí en el método 1. Pero fácil no es.
  • Con plugins genéricos para la RGPD. Hay plugins pack para la RGPD que incluyen esta opción. Por ejemplo WP GDPR Compliance del que hablaremos otro día.
  • Con plugins específicamente para esto.
    Nosotros hemos tomado esta opción. Hemos usado WP Comment Policy Checkbox  pero también podéis usar otros como GDPR Comments.

En nuestro caso al usar ese plugin sólo tuvimos que ir a Ajustes > Comentarios, añadir el texto que queremos a modo resumen y apuntar a la página de Políticia de Privacidad. Fácil y rápido.

Así cumplimos con otro de los requisitos que pide esta nueva ley (muchos).