Antes de comprar en línea, estas son las letras chiquitas de los ecommerce
Noviembre es uno de los meses más importantes para el ecommerce en México por las diversas dinámicas y días de ofertas que celebra la industria del comercio electrónico en el país: Buen Fin, Black Friday y Cybermonday.
La euforia que desatan las ofertas disponibles durante estos días puede desviar la atención de las políticas de privacidad de los sitios de ecommerce y hacer que los usuarios entreguen sus datos sin supervisar el trato y el compromiso que cada una de las tiendas le brindan a su información personal.
Expansión hizo un análisis de las políticas de los portales de comercio electrónico más destacados en el país. A continuación los hallazgos.
Lee: Descuentos o facilidades, qué prefiere en el Buen Fin
MERCADO LIBRE
El sitio de comercio latinoamericano con más de 200 millones de usuarios en la región asegura contar con una serie de medidas para la protección de los datos. Sin embargo, en caso de violación de sus sistemas se aparta de la responsabilidad y del mal uso que le puedan dar a estos.
La firma precisa en su política de privacidad, vigente desde 2012, que entre los datos que recaba y almacena de los usuarios está el nombre, número de teléfono del domicilio, dirección de correo electrónico, entre otros.
En un correo electrónico en donde fue cuestionada por Expansión sobre las medidas de seguridad, Mercado Libre respondió que cuenta con diversos procesos y controles técnicos.
“Incluyendo detección de vulnerabilidades, pruebas de intrusión y proyectos de ingeniería social, siguiendo los más altos estándares de la industria de internet en el mundo”, detalló. “Dentro del área de Seguridad Informática, existen equipos especializados en proteger nuestras bases de datos, infraestructura y aplicaciones web”, agregó.
La firma también cuenta con un equipo de aseguramiento de datos dedicado a proteger los datos más sensibles de los usuarios a través de normativas internacionales, tales como PCI DSS para la protección de tarjetas de crédito.
Otras medidas que aborda es realizar pruebas de intrusión e incluso llevan a cabo pruebas internas que consiste en la formación de equipos de atacantes para detectar vulnerabilidades.
¿Pero qué pasa si violan las medidas de Mercado Libre?
En la política de privacidad, Mercado Libre confirma no hacerse responsable ante violaciones o intromisión a sus sistemas y tampoco el mal uso que se pueda dar de los datos sustraídos.
“Mercado Libre no se hace responsable por interceptaciones ilegales o violación de sus sistemas o bases de datos por parte de personas no autorizadas. MercadoLibre, tampoco se hace responsable por la indebida utilización de la información obtenida por esos medios”, precisa.
Mercado Libre explicó que, gracias a las medidas preventivas que aplican en sus procesos, no han sufrido “ninguna intromisión que ponga en riesgo los datos de nuestros usuarios”.
AMAZON
La firma fundada por Jeff Bezos recaba información similar que el mismo usuario añade para comenzar a utilizar la plataforma de comercio electrónico, de acuerdo con la Política de Privacidad. Es decir nombre, correo electrónico y otra información como puede ser datos relacionados a cuentas bancarias. Y señala que no participa en la venta de la misma a terceros y sólo comparte los datos con filiales propiedad de la empresa.
Amazon señala que para protección de los datos personales de sus usuarios hace uso del software Secure Sockets Layer (SSL) que se encarga de codificar la información que el usuario ingresa.
De acuerdo con la firma de ciberseguridad Symantec, este certificado garantiza que los datos entre usuarios y sitios se transfieran de forma segura y que sean imposible de leer. El software utiliza algoritmos de cifrado para codificar los datos en tránsito, evitando así que ante una intromisión los piratas informáticos los puedan leer.
Sin embargo la versión que utiliza Amazon no es la más actualizada de acuerdo con la firma de seguridad cibernética. “TSL (Transport Layer Security) es una actualización, más segura que la SSL”, detalla.
“Amazon innova constantemente en beneficio de sus clientes y vendedores externos, a fin de garantizar que su información es segura (...) Nuestros servidores seguros encriptan toda su información, incluyendo aquella referente a sus medios de pago y datos personales, como nombre, dirección o teléfono”, detalló Amazon a Expansión a través de correo electrónico sobre las medidas extras del sitio de ecommerce.
En el escrito, Amazon dijo también trabajar con instituciones financieras en el país y alrededor del mundo para garantizar que las transacciones sean completamente seguras.
Sobre si Amazon asume la responsabilidad ante un ataque, la firma respondió: Tomamos las medidas adecuadas para proteger la información de nuestros clientes y –en este sentido– cumplir con la legislación local referente a este tema.
La compañía descartó responder si ha sufrido algún ataque.
LINIO
En el caso de Linio, la firma se hace responsable de los datos personales (nombre, teléfonos de contacto, dirección postal, correo electrónico, datos de facturación, datos de tarjeta de crédito o débito) de sus usuarios de acuerdo con su Política de Privacidad. Sin embargo, también informa que comparte dicha información con otras organizaciones financieras para que éstas ofrezcan sus productos.
Te puede interesar: 10 recomendaciones para hacer compras seguras en internet en el Buen Fin
En un correo electrónico, Mariana del Río del área de Datos Personales del sitio de comercio electrónico aseguró que el tratamiento que le da Linio a los datos personales en conforme Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP).
La legislación, en resumen, tiene por objeto la protección de los datos personales en posesión de los particulares, con la finalidad de regular su tratamiento legítimo, controlado e informado, a efecto de garantizar la privacidad y el derecho a la autodeterminación informativa de las personas.
Por otra parte, Linio indica a sus usuarios conforme la LFPDPPP lo recomienda, que estos autorizan al portal de ecommerce a compartir su información con instituciones financieras de banca múltiple, para contacto y comercialización de sus productos o servicios financieros.
¿QUÉ DICE LA LEGISLACIÓN?
La LFPDPPP asegura, entre otras cosas, que el responsable deberá de velar por el cumplimiento de los principios de protección de datos. Además “deberá establecer y mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado”.
Y en caso de que se sufra un ataque o se afecte de forma significativa los derechos patrimoniales o morales de los titulares, los responsables deberán de informar de forma inmediata a los titulares de los datos.
Como sanciones, la legislación establece castigos que van de los 100 a los 320,000 días de salario mínimo.