¿Qué es el cumplimiento normativo y cómo afecta la seguridad de WordPress?
Publicado: 2019-07-24Para hacer negocios, su sitio web de WordPress y su negocio deben cumplir con las reglas y regulaciones. Estas reglas y regulaciones pueden tomar la forma de leyes (como GDPR o HIPAA). También pueden ser requisitos de cumplimiento, como PCI DSS o ISO 27001, y pueden variar de un país a otro.
¿Qué es el cumplimiento?
El cumplimiento regulatorio, o simplemente, el cumplimiento describe el estado de un negocio que está en línea con las reglas y las pautas establecidas especificadas por un organismo regulador.
El cumplimiento es un componente vital en cualquier organización que valore la transparencia, la seguridad y la responsabilidad. Las empresas pueden aprovechar el cumplimiento para realizar negocios al paso con los requisitos, leyes y regulaciones con las actitudes correctas. Y, por supuesto, mejorar la seguridad de sus operaciones comerciales y el sitio web de WordPress.
Cada negocio es diferente. Por lo tanto, no existe una plantilla estándar a seguir cuando se trata de cumplimiento. También depende de en qué lugar del mundo opere su negocio, con quién hace negocios y qué datos recopila su sitio de WordPress de los usuarios finales.
Si bien sería imposible enumerar todas las normas de cumplimiento, las siguientes son algunas de las más comunes que debe tener en cuenta como propietario de un sitio web de WordPress:
- El Reglamento General de Protección de Datos (RGPD) es una legislación de privacidad y protección de datos de la Unión Europea (UE). Ayuda a hacer cumplir la protección del procesamiento de datos personales de los ciudadanos de la UE.
- El estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) es un estándar de seguridad de la información para organizaciones que manejan datos de tarjetas de crédito, como las tiendas de comercio electrónico. El alcance de PCI DSS es aumentar los controles sobre el manejo y la gestión de los datos del titular de la tarjeta, para reducir el fraude con tarjetas de crédito. Si tiene una solución de comercio electrónico o vende cualquier cosa en línea, lea nuestra guía PCI DSS para propietarios de sitios web de WordPress.
- ISO 27001 es una especificación que describe un marco de políticas y procedimientos que incluye controles legales, físicos y técnicos involucrados en los procesos de gestión de riesgos de una organización.
- La Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) es una legislación de los Estados Unidos. Aborda la privacidad de los datos y la seguridad de los registros médicos de los pacientes.
¿Por qué existe el cumplimiento normativo?
Existen diferentes requisitos de cumplimiento normativo por diferentes razones. En general, existen requisitos de cumplimiento para ayudar a las empresas a lograr un cierto nivel de seguridad. Según el requisito de cumplimiento o la regulación, algunos pueden requerir que una organización esté sujeta a auditorías periódicas. Por lo general, las empresas enfrentan sanciones por incumplimiento en forma de multas o pérdida de acreditación.
El cumplimiento juega un papel muy importante cuando se trata de seguridad. Muchos requisitos de cumplimiento describen (en varios grados de detalle) los controles y procesos de seguridad que deben implementarse para cumplir con los criterios específicos de dicha regulación de cumplimiento.
Naturalmente, la regulación generalmente ocurre para poner orden en el caos. Un ejemplo de esto es PCI DSS. Entró en juego porque los procesadores de tarjetas de crédito en línea no estaban tomando las precauciones de seguridad necesarias para mantener seguros los datos del titular de la tarjeta. Más recientemente, GDPR entró en juego para reformar y armonizar las leyes de privacidad de datos de la UE y mejorar la privacidad de los ciudadanos de la UE. GDPR permite a los legisladores imponer sanciones severas a las organizaciones que no cumplen con las leyes de privacidad de datos dentro de la UE.
¿Por qué la regulación y el cumplimiento son algo bueno?
El cumplimiento y la regulación están asociados con leyes, restricciones, auditorías y sanciones. Así que a menudo obtienen una mala reputación. Sin embargo, es necesario para ayudar a las organizaciones a comprender la importancia de observar las leyes y operar de manera ética.
Sin embargo, el cumplimiento también es un mal necesario. Aumenta la complejidad del negocio, los gastos y consume mucho tiempo que de otro modo se dedicaría a hacer crecer el negocio.
Habiendo dicho esto, las ventajas de hacer un esfuerzo consciente para cumplir con las reglas superan significativamente las desventajas. Las organizaciones tienen la oportunidad de reforzar la transparencia; establecer la confianza del cliente y expandirse a nuevos mercados regulados para atraer clientes más grandes.
¿Es suficiente el cumplimiento para garantizar la seguridad?
Desafortunadamente, el cumplimiento se confunde comúnmente con la seguridad. Una organización puede ser compatible, pero no estar debidamente protegida. Por otro lado, es raro encontrar organizaciones que sean seguras pero que no cumplan con las normas.
El cumplimiento es una evaluación puntual y única que indica que una organización cumple con un requisito mínimo de seguridad. Los estándares regulatorios como PCI DSS y HIPAA, por ejemplo, tienen una lista de verificación de dichos requisitos de seguridad.
Las defensas de seguridad, por otro lado, proporcionan medidas técnicas para protegerse contra cosas malas que suceden, como la filtración de información confidencial del cliente. En otras palabras, si bien una política de la empresa puede ser suficiente para un control de cumplimiento, no significa que no sea técnicamente posible. Un ejemplo simple de esto sería la NSA. Si bien ciertamente prohíbe la copia y distribución de documentos clasificados, en realidad nada impidió que Edward Snowden lo hiciera.
¿Por dónde empiezas con el cumplimiento de WordPress?
El cumplimiento puede ser intimidante y suena como una tarea imposible de lograr. Sin embargo, no lo es. Afortunadamente, hay mucha documentación y ayuda disponible para los propietarios de sitios web de WordPress, como nuestra guía PCI DSS para propietarios de sitios de WordPress. Puede comenzar siguiendo la lista de sugerencias que hemos preparado para usted:
- Averigüe a qué requisitos de cumplimiento está sujeto : las leyes y regulaciones varían significativamente de un país a otro. Dependiendo del tamaño, tipo y complejidad de su negocio en línea y tienda de comercio electrónico, es posible que desee verificar con las autoridades locales. También puede buscar ayuda profesional en esta área cuando sea necesario.
- Mejore su seguridad : las buenas prácticas de seguridad no solo son fundamentales y requeridas por las regulaciones, sino que también facilitan significativamente su vida. Por ejemplo, puede comenzar haciendo lo siguiente:
- mantener un registro de los cambios del sitio en un registro de actividad de WordPress,
- hacer cumplir fuertes políticas de contraseñas de WordPress,
- escanee su sitio de WordPress en busca de cambios en los archivos,
- configurar una solución de copia de seguridad sólida como una roca,
- use un firewall en línea como Sucuri o instale una solución de seguridad local de WordPress.
- Adopte la seguridad y el cumplimiento : al principio puede parecer un trago amargo. Sin embargo, cuanto antes adopte la seguridad y el cumplimiento como una función comercial esencial, menos fricción causará a largo plazo y menos problemas de seguridad de WordPress tendrá.