TEORIA

Normatives i Estàndards de Seguretat Web

El compliment normatiu garanteix la seguretat dels sistemes i la confiança dels clients — i evita sancions milionàries.

⚖️
Les normatives es divideixen en dos grans blocs: Globals (ISO/IEC 27001, NIST), aplicables a qualsevol organització, i Sectorials/Legals (RGPD, LSSI, PCI-DSS), obligatòries per sector o jurisdicció.
1

Protecció de Dades: RGPD i LOPDGDD

És el pilar fonamental quan treballem amb dades personals (noms, emails, saldos bancaris). Afecta qualsevol sistema que processi dades de ciutadans europeus, independentment d'on estigui ubicada l'empresa.

🇪🇺

RGPD — Reglament General de Protecció de Dades

Normativa a nivell europeu. Regula el tractament de dades personals i estableix drets fonamentals per als ciutadans.

  • Transparència: Informar clara i detalladament de l'ús de les dades.
  • Dret a l'oblit: Eliminar totes les dades d'un usuari a petició seva.
  • Portabilitat: Lliurar les dades en format reutilitzable si l'usuari ho demana.
  • Notificació de bretxes: Comunicar incidents a l'autoritat en un màxim de 72 hores.
💰 Sancions: Fins a 20 milions d'euros o el 4% del volum de negoci anual global de l'exercici anterior.
🇪🇸

LOPDGDD — Adaptació Espanyola del RGPD

Complementa el RGPD amb especificitats pròpies del dret espanyol, ampliant la protecció als entorns digitals i laborals.

  • Drets Digitals: Dret a la desconnexió digital en l'àmbit laboral.
  • Videovigilància: Regulació de la privadesa davant de càmeres i dispositius de geolocalització.
  • DPO: Obliga a designar un Delegat de Protecció de Dades en determinats casos (entitats públiques, tractaments a gran escala).
Diagrama RGPD i LOPDGDD
Diagrama: RGPD i LOPDGDD images/teoriaM03/rgpd-lopdgdd.png
Llegir guia: RGPD per a Responsables de Tractament — aepd.es
2

Comerç Electrònic i Internet: LSSI-CE

Aquesta llei regula qualsevol activitat econòmica realitzada per via electrònica: botigues online, Apps Fintech, serveis SaaS, etc. Dos articles clau que cal conèixer:

📋

Article 10 — Identificació obligatòria

Tota web que realitzi activitat econòmica ha de mostrar de forma permanent i fàcil les següents dades:

  • Nom o denominació social de l'empresa.
  • NIF o CIF.
  • Dades de contacte: email com a mínim.
  • Dades d'inscripció al Registre Mercantil.
📧

Comunicacions Comercials

Està prohibit enviar publicitat per correu electrònic o notificacions push tret que es compleixi una d'aquestes condicions:

  • Consentiment exprés (opt-in): L'usuari ha marcat activament una casella per rebre comunicacions.
  • Relació contractual prèvia: El destinatari ja és client de l'empresa i les comunicacions es refereixen a productes similars.
⚠️
Ull! La LSSI-CE s'aplica independentment d'on estigui ubicat el servidor. Si el servei s'adreça a usuaris espanyols, la llei és aplicable i l'incompliment pot comportar sancions de fins a 150.000 €.
3

Estàndards Tècnics i Internacionals

A diferència de les lleis, els estàndards internacionals no solen ser obligatoris per llei, però proporcionen marcs de referència reconeguts globalment per implementar la seguretat de forma estructurada:

ISO/IEC 27001

SGSI — Gestió de la Seguretat

Estàndard per implementar un Sistema de Gestió de la Seguretat de la Informació. Se centra en la millora contínua i l'anàlisi de riscos.

ISO 27002: La guia de bones pràctiques per aplicar els controls de seguretat de la 27001.
PCI-DSS

Seguretat en Pagaments

Payment Card Industry Data Security Standard. Obligatori per a qualsevol empresa que gestioni targetes de pagament.

Requisits clau: Xifrar la transmissió del PAN (número de targeta) per xarxes públiques i protegir les dades emmagatzemades.
NIST CSF

Cybersecurity Framework

Marc basat en les 5 funcions (Identificar, Protegir, Detectar, Respondre i Recuperar) molt utilitzat per gestionar el risc de forma estructurada.

Vist al M1: El NIST CSF és el cicle que articula la gestió de la seguretat dels actius digitals.
Comparativa ISO 27001, PCI-DSS i NIST
Diagrama: Estàndards Internacionals images/teoriaM03/iso27001-pci-nist.png
Llegir estàndard: ISO/IEC 27001 — iso.org
4

Seguretat en el Sector Públic: ENS

🏛️
ENS — Esquema Nacional de Seguretat: Marc obligatori per a les Administracions Públiques a Espanya i els seus proveïdors tecnològics. L'objectiu és crear condicions de confiança en l'ús de mitjans electrònics i garantir un tractament homogeni de la seguretat en tot el sector públic.
🎯

Àmbit d'aplicació

Totes les administracions públiques espanyoles i els seus proveïdors de serveis TIC que ofereixin serveis a l'administració. Si una empresa desenvolupa software per a l'estat, ha de complir l'ENS.

📊

Categories i nivells

L'ENS classifica els sistemes en categories (Bàsica, Mitjana, Alta) segons l'impacte d'un incident. Cada categoria exigeix un conjunt de mesures de seguretat proporcionals.

5

Altres Lleis Sectorials a Espanya

📡

Llei General de Telecomunicacions

Regula l'explotació de xarxes i la prestació de serveis de comunicacions electròniques a Espanya. Afecta operadores de xarxa, ISPs i qualsevol empresa que gestioni infraestructura de comunicacions.

✍️

Llei de Firma Electrònica (59/2003)

Defineix tres tipus de firma amb validesa legal creixent:

  • Bàsica: Simple identificació electrònica (ex: un scan d'una firma).
  • Avançada: Vinculada unívocament al signant i detectable si és alterada.
  • Reconeguda: Certificat qualificat. Té el mateix valor legal que la firma manuscrita.
©️

Llei de Propietat Intel·lectual

Protegeix els drets dels autors sobre les seves creacions, incloent el codi font del software. Rellevant en projectes de programari lliure i en la gestió de llicències de les dependències (SBOM).

6

Gestió de Seguretat i Externalització (Outsourcing)

Davant la complexitat dels atacs actuals, moltes organitzacions opten per externalitzar serveis de seguretat a proveïdors especialitzats:

🧠

Coneixement especialitzat

Accés immediat a experts en seguretat sense necessitat de formar equips interns des de zero.

🔄

Actualització permanent

El proveïdor extern s'adapta contínuament a noves vulnerabilitats i vectors d'atac emergents.

💰

Estalvi de costos

Redueix la inversió en infraestructura pròpia i en personal especialitzat a jornada completa.

Serveis externalitzats comuns

👁️

SOC — Security Operations Center

Monitorització 24/7 de la seguretat de l'organització. Detecten incidents en temps real i responen de forma coordinada.

🔥

Gestió de Sistemes de Defensa

Administració de Firewalls, IDS (Intrusion Detection Systems) i IPS (Intrusion Prevention Systems) per part d'un proveïdor extern.

🔬

Anàlisi Forense i Resposta a Incidents

Investigació de què ha passat després d'un atac: com va entrar l'atacant, quines dades es van comprometre i com evitar que torni a passar. Inclou vigilància digital proactiva.

💡
Nota: L'externalització no exımeix l'empresa de la responsabilitat legal. El RGPD estableix que el responsable del tractament segueix sent l'empresa, no el proveïdor extern. Cal signar un Acord de Processament de Dades (DPA) amb cadascun.

🗂️ Resum Ràpid

RGPD Protecció de dades UE. Notificació d'incidents en 72h. Fins a 20M€ de sanció.
LOPDGDD Adaptació espanyola. Drets digitals laborals i obligació de DPO.
LSSI-CE Comerç electrònic: identificació obligatòria (Art. 10) i opt-in per a comunicacions.
ISO 27001 / PCI-DSS SGSI i seguretat en pagaments. PCI-DSS obligatori si es gestionen targetes.
ENS Obligatori per a l'administració pública espanyola i els seus proveïdors TIC.
Outsourcing SOC, Firewalls, Forense. Cal signar DPA: la responsabilitat legal no s'externalitza.