Menu
Disponer de un certificado TLS o TLS que permita identificar el sitio web de forma inequívoca, y que garantice que la información que se transmite entre el navegador del usuario y de su servidor se encuentra cifrada y protegida.
• Tener implementado un sistema de copia de seguridad de los datos originales (Backup) con el fin de disponer de un sistema de respaldo en caso de pérdida, deterioro o robo de información. Documentar el proceso de realización y restauración de las copias.
• Para operaciones con tarjeta, implementar el sistema de seguridad 3D-Secure con el fin de verificar que el cliente que está realizando la operación es el verdadero titular de la tarjeta usada.
• Contar con la certificación PCI DSS que asegura la protección, confidencialidad e integridad de los datos de los tarjetahabientes.
• Establecer la aplicación de estándares mínimos para la atención y manejo del riesgo de fraude y contemplar evaluaciones sobre la aplicación de dichos estándares.
• Garantizar que los servidores sean seguros y que las operaciones realizadas cuenten con los atributos de autenticidad, confidencialidad e integridad.
• Monitorear los controles de seguridad, tales como firewalls, IDS/IPS (sistemas de intrusión-detección o de intrusión-prevención), FIM (monitorización de la integridad de archivos), antivirus, controles de acceso, etc., para asegurarse de que funcionan correctamente y según lo previsto.
• Garantizar la detección de todas las fallas en los controles de seguridad y solucionarlas oportunamente.
• Disponer de planes de contingencia y continuidad del negocio debidamente probados.
• Contar con pólizas que cubran el riesgo cibernético.
Establecer las políticas y los procedimientos para la vinculación de clientes que contemple, entre otros aspectos, lineamientos, controles y acciones necesarias para gestionar el riesgo de Lavado de Activos y Financiación del Terrorismo (LAFT), teniendo como marco de referencia el SAGRILAFT o el SARLAFT, en caso de no ser ya aplicable a la organización.
• Desarrollar una política de administración de riesgos en donde se contemplen las etapas de identificación, medición, control y monitoreo de los riesgos. Derivado de lo anterior, contar con un mapa de riesgos.
• Establecer las políticas y los procedimientos de seguridad de la información, que incluya, entre otros aspectos, controles de acceso, actualizaciones, transmisión de información, gestión de activos y responsabilidades. La política y procedimientos debe ser divulgadas a todos los integrantes de la organización.
• Contar con áreas de soporte y canales de comunicación disponibles y accesibles para atender la operación y/o situaciones de contingencia.
• Establecer procedimientos y mecanismos para asegurar la confidencialidad de la información almacenada.
Diseñar y adoptar un manual o protocolo de protección al consumidor aplicable al uso de la publicidad que transmita por cualquier medio o canal de sus productos o servicios, en el que se asegure el respeto, en todo momento, del pleno goce de los derechos de los consumidores, tanto en la publicidad abstracta como en la concreta.
• Contemplar la adopción del proceso de privacy by design, entendida como una medida proactiva para cumplir con la protección de datos personales. Al introducir la privacidad desde el diseño, se está buscando garantizar el correcto tratamiento de los datos utilizados en los proyectos de marketing, mercadotecnia, publicidad y cualquier otro tipo de actuación que utilice plataformas digitales.
• Diseño Proactivo no reactivo: Preventivo no correctivo. Según este principio, se deben adoptar medidas proactivas y no reactivas para proteger los datos personales, según Cavoukian, “no espera a que los riesgos se materialicen, ni ofrece remedios para resolver infracciones de privacidad una vez que ya ocurrieron, su finalidad es prevenir que ocurran. En resumen, la Privacidad por Diseño llega antes del suceso, no después”.
•La privacidad como configuración por defecto: La protección de datos debe estar presente desde el diseño y por defecto; esto significa que el responsable de los datos, desde el principio y durante todo el ciclo de vida del tratamiento, debe tener un sistema con una protección suficiente para la recolección, almacenamiento, usos, circulación y acceso a datos. Se trata de configurar el tratamiento de datos de una forma preventiva; y no reactiva frente a vulneraciones de los derechos de los titulares.
• La privacidad embebida en el diseño: La información debe entenderse como un activo más del negocio; por lo tanto, la protección de la información debe ser embebida en la infraestructura de TI y en los procesos de la empresa, de la misma forma como se protege cualquier otro activo de la organización.
• Funcionalidad completa – Positivo-Suma, no de suma cero: Con este principio, se pretende dar cabida a todos los intereses legítimos. Por lo tanto, busca crear un sistema lo suficientemente seguro para el cliente, la empresa y demás terceros que se puedan ver involucrados. Como objetivo del sistema, al dar cabida a cada interés, se está ante una suma positiva win-win (gana–gana), en cuanto a la recolección, almacenamiento, usos, circulación y acceso a datos de la información, pues el mismo sistema debe satisfacer los intereses de todos los sujetos involucrados con la información.
• Seguridad punto-a-punto – protección completa del ciclo de vida. La protección de la privacidad implica una concepción de la seguridad punto a punto. La seguridad, o de forma más técnica, el cifrado de punta a punta, es el sistema por medio del cual “asegura que un mensaje sea convertido en un mensaje secreto en su envío original, y se descifra solo por el destinatario final”. En otras palabras, los datos se cifran antes de salir del dispositivo hasta el dispositivo final.
• Visibilidad y transparencia: Los componentes y operaciones deben permanecer visibles y transparentes, a los usuarios y proveedores, por igual; constituyendo, dentro de las prácticas de la organización, un sistema sincronizado con los compromisos y los objetivos establecidos. Adicionalmente, la información y los procesos por medio de los cuales se gestionan los datos, deben estar sujetos a una supervisión interna; así como los procesos de recolección, almacenamiento, usos, circulación y acceso a datos deben ser objeto de verificación independiente.
• El respeto a la privacidad del usuario: Por último, en cuanto al respeto de la privacidad del usuario, la obligación de los creadores y operadores del sistema está en preservar los intereses privados de las personas que han suministrado información; ofreciendo las medidas suficientes para la protección de la privacidad mediante los avisos apropiados sobre el uso de su información, además de fortalecer técnicamente la recolección, almacenamiento, usos, circulación y acceso a datos.
• Confidencialidad: Hace referencia a la protección de información cuya divulgación no está autorizada.
• Integridad: La información debe ser precisa, coherente y completa desde su creación hasta su destrucción.
• Disponibilidad: La información debe estar en el momento y en el formato que se requiera ahora y en el futuro, al igual que los recursos necesarios para su uso.