Cambio de contraseñas y reglamento LOPD

laProbeta

Nuevo usuario
¡Hooola a todos!

Me estreno en estos foros con una cuestión legal que me viene rondando desde hace semanas.

En España, el "Reglamento de Medidas de Seguridad de los ficheros automatizados que contengan datos de carácter personal" (Real Decreto 994/1999) dice en el Artículo 11,

3.- Las contraseñas se cambiarán con la periodicidad que se determine en el documento de seguridad
y mientras estén vigenes se almacenarán de forma ininteligible

¿Cómo se soluciona la renovación de la contraseña de los usuarios (frontend y admin) en las tiendas Magento? Supongo que en el Documento de Seguridad LOPD no puedes decir que las contraseñas no se cambian. Por otro lado, Magento de fábrica ni si quiera guarda la última vez que se cambió

Seguro que para más de uno la respuesta es sencilla.

Gracias.-
 

jogide

Nuevo usuario
¡Hooola a todos!

Me estreno en estos foros con una cuestión legal que me viene rondando desde hace semanas.

En España, el "Reglamento de Medidas de Seguridad de los ficheros automatizados que contengan datos de carácter personal" (Real Decreto 994/1999) dice en el Artículo 11,

3.- Las contraseñas se cambiarán con la periodicidad que se determine en el documento de seguridad
y mientras estén vigenes se almacenarán de forma ininteligible

¿Cómo se soluciona la renovación de la contraseña de los usuarios (frontend y admin) en las tiendas Magento? Supongo que en el Documento de Seguridad LOPD no puedes decir que las contraseñas no se cambian. Por otro lado, Magento de fábrica ni si quiera guarda la última vez que se cambió

Seguro que para más de uno la respuesta es sencilla.

Gracias.-
Hola, buenas tardes.

Lo encuentro muy interesante... yo poco puedo colaborar, todavia no he llegado a ese punto del proyecto; pero a ver si alguien que lo tengo solucionado nos puede arrojar luz al asunto...
 

OSdave

Super Moderador
Miembro del equipo
no lo entiendo: ¿que contraseñas hay que cambiar periodicamente? (no creo que sean las contraseñas de nuestros clientes...)
 

laProbeta

Nuevo usuario
Los datos personales son accesibles tanto desde el frontend (clientes) como desde la trastienda (administradores).

Estrictamente y para cumplir con el reglamento habría que renovar las contraseñas de ambos tipos de usuario. Da igual que se haga con una facilidad de autoservicio (cliente o administrador) o que haya un proceso que las renueve en lote. De cara a la LOPD sólo importa que se cambien con la periodicidad especificada en el Documento de Seguridad.

¿Qué passa? ¿No hay nadie en España con una tienda Magento funcionando y con un Documento de Seguridad LOPD en condiciones que sepa responder esto?
 

jogide

Nuevo usuario
Tén en cuenta que Magento és muy reciente, y supongo que pocas són las tiendas que ya están operando.

A parte, este foro agrupa un pequeño sector de usuarios de Magento, y no es que sea muy concurrido (bueno, solo tienes que ver las fechas, a veces creo que me auto-respondo :jeje:).

Supongo que alguien debe de haber, esperemos un poquitín para si alguien que la tenga operativa, nos quiere responder :ok:
 

Theronque

Nuevo usuario
"Reglamento de Medidas de Seguridad de los ficheros automatizados que contengan datos de carácter personal" (Real Decreto 994/1999) dice en el Artículo 11,
No se darte una respuesta a tu cuestión pero si puedo informarte de que el "REAL DECRETO 994/1999, de 11 de junio, por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal." queda derogado por "REAL DECRETO 1720/2007, de 21 de diciembre".

Todo esto deberia ser más facil si hicieran una version consolidada de todas las leyes que nos afectan a los webmaster que tratamos de ganarnos la vida desarrollando aplicaciones de comercio electronico.

Llevo dias tratando de informarme y ya habré leido como 500 folios y sigo sin saber como dar cumplimiento a todo esto.

Esto es un lio tremendo de leyes organicas, disposiones legales, reales decretos, resoluciones e instrucciones que además se corrigen o anulan unos a otros!

:contrato:
 

laProbeta

Nuevo usuario
REAL DECRETO 1720/2007, dice casi lo mismo precisando la caducidad

¡Gracias por la observación, Theronque!:ok:

En concreto el "REAL DECRETO 1720/2007, de 21 de diciembre" dice casi lo mismo precisando la caducidad,

Artículo 93. Identificación y autenticación.

4. El documento de seguridad establecerá la periodicidad, que en ningún caso será superior a un año, con la que tienen que ser cambiadas las contraseñas que, mientras estén vigentes, se almacenarán de forma ininteligible
 

ferche

Miembro
Supongo que te refieres a que se cambien las contraseñas periodicamente y que el usuario al volver a entrar en su cuenta le aparezca algun mensaje similar a:
"Su contraseña ha cambiado"

Introduzca la nueva contraseña de acceso.

Yo esto si que lo he visto en algunas webs de algunas empresas, pero no están hechas en Magento.
 

laProbeta

Nuevo usuario
Me refiero sólo al hecho de que cambien al menos una vez al año.

Dos opciones de diseño para cumplir el requisito podrían ser,

(1) Modificar la interfaz HTTP incluyendo mensajes de aviso y facilidades para cambiarla (botón) cuando esté próxima su expiración

(2) Agregar procesos por lotes para (2.1) enviar mensajes SMTP de aviso cuando esté próxima su expiración y (2.2) cambiar contraseñas expiradas y enviar mensaje comunicando la nueva contraseña

El problema para este desarrollo es que creo que Magento, de fábrica, ni si quiera almacena la última fecha en que se cambió la contraseña y este sería un paso previo tanto para (1) como para (2).

De momento he creado una nueva conversación sobre este asunto en http://www.magentocommerce.com/boards/viewthread/30062/#. A ver cuánto caso hacen en magentocommerce.com al foro de petición de nuevas características :niidea:
 
Última edición:

400c

Miembro
buenas, no soy abogado y no conozco tanto las leyes como vosotros. Pero si tenemos alguna tienda operativa, y puedo decirte lo que realmente es importante. Es decir, cuestiones por las que ya se ha sancionado a alguna tienda online en España.
Nadie va a venir a meterse en tu backend a ver hace cuanto tiempo que no cambias las contraseñas de los clientes.
Pero si te multarán y duro si no informas claramente quien esta detrás de la web (datos fiscales de la empresa o autónomo)
También si envías un email a alguien que no te lo ha expresamente solicitado, por eso tienes que habilitar la confirmación en la adhesión al newsletter y una posibilidad clara de darse de baja.
Te voy a dar el ejemplo de lo peor que te puede pasar:

Viene un cliente x y dice, seguro que a juancito esto le gusta (por tu web) y se suscribe al newsletter pero con el mail de juancito.
Juancito es un miembro de la OCU y esta hasta las narices del spam. Recibe un mail de tu tienda que no ha solicitado y hace una denuncia.
Inspeccionan tu web (solo la inspeccionan si tienes una denuncia y desde el front, no van a ir a quitarte tu ordenador a tu casa) y no encuentran de quien es, ni una forma de darse de baja del newsletter ni ninguna confirmación para el mismo:

FAIL

Si mal no recuerdo el solo hecho de no estar identificado en la web el propietario, tiene una multa de 6000 euros.

Para vivir en paz, yo te recomendaría que hagas algo como esto:

http://diotronic.com/legal.html

saludos
 

Xarlie

Super Moderador
Miembro del equipo
Yo he tenido revisiones de la APD (Agencia protección de datos) por alguna web y eso ni te lo miran, lo que te miran es que la base de datos donde están los usuarios sea segura, que los datos de los usuarios esten guardados de manera segura y no se recojan datos innecesarios, que la password este codificada para que no se pueda robar y sobre todo que se puedan modificar y dar de baja los datos de cualquier usuario.

Lo de la contraseña es algo que se puede aplicar al tema que un usuario puede modificarla en cualquier momento, por lo que no es necesario que se aplique un sistema de modificación obligatoria cada x tiempo.
 

Olga.Laura

Nuevo usuario
Y como se hace esto que indicas ?

Yo he tenido revisiones de la APD (Agencia protección de datos) por alguna web y eso ni te lo miran, lo que te miran es que la base de datos donde están los usuarios sea segura, que los datos de los usuarios esten guardados de manera segura y no se recojan datos innecesarios, que la password este codificada para que no se pueda robar y sobre todo que se puedan modificar y dar de baja los datos de cualquier usuario.

Lo de la contraseña es algo que se puede aplicar al tema que un usuario puede modificarla en cualquier momento, por lo que no es necesario que se aplique un sistema de modificación obligatoria cada x tiempo.
Que pasos debo seguir ¿
 

Yosuatel

Nuevo usuario
Tengo la tienda ya para abrirla con todos sus datos legales y demás ya que soy autónomo con un negocio abierto al publico, pero tengo una duda me podéis decir si tengo que darme de alta en LOPD como propietario de un comercio electrónico. Tengo esa duda que me tiene asustado no me quiero pillar los dedos y más con la crisis que andamos.
 
Arriba