En abril de 2019, la Online Trust Alliance de Internet Society publicó su 10.ª auditoría anual de Confianza en la Red y Cuadro de Honor. La auditoría analiza las prácticas de seguridad y privacidad de más de 1.000 sitios web punteros de Internet, desde plataformas de venta minorista hasta sedes electrónicas gubernamentales. En esta entrada vamos a proyectar una mirada larga y profunda al sector de ISP/servicios de alojamiento analizado en la auditoría. Este sector está formado por los mejores ISP y servicios de alojamiento de EE. UU. Incluye todas aquellas organizaciones que ofrecen servicios de acceso a Internet y alojan servicios de correo electrónico.
La auditoría analiza las políticas de privacidad en función de 30 variables. No cabe duda de que los ISP/servicios de alojamiento dieron una de cal y otra de arena, ya que sacaron una puntuación relativamente buena o bastante mala en sus políticas. (Aunque la gran mayoría de las organizaciones analizadas en la auditoría tenían políticas de privacidad deficientes, esta fue la razón más habitual para suspender en el apartado de privacidad y seguridad).
Los ISP/servicios de alojamiento se quedaron un tanto cortos en la presentación de sus políticas. La OTA promueve diferentes buenas prácticas relacionadas con el formato visual de la política de privacidad para que el usuario la entienda de la forma más fácil posible.
La práctica más sencilla que defiende la OTA consiste en un enlace a la política de privacidad en la página de inicio para que los usuarios la encuentren sin problemas. Aquí los ISP/servicios de alojamiento no sacaron una buena puntuación, ya que solo el 75 % incluye enlace en sus páginas de inicio (el porcentaje más bajo de todos los sectores), en comparación con el 89 % de los sitios en general.
Otra práctica sencilla es poner un sello de fecha en la parte superior, para indicar la última actualización de la política de privacidad. El 43 % de los ISP/servicios de alojamiento usa un sello de fecha en la parte superior, en comparación con un 47 % de los sitios en general. No obstante, esta cifra es engañosa. Como los ISP/servicios de alojamiento sacaron la puntuación más baja de todos los sectores, la media general disminuyó considerablemente.
Por último, la OTA recomienda el uso de políticas “estructuradas”. El listón para recibir puntos por una política “estructurada” es bajo. Esto se puede conseguir con algo tan sencillo como un índice o algo más complejo como una política interactiva o un resumen que describa la política de privacidad entera.
Solo un 25 % de los ISP/servicios de alojamiento utiliza una política estructurada, el resultado más bajo de todos los sectores, en comparación con casi la mitad (un 47 %) de las organizaciones en general. Los ISP/servicios de alojamiento pueden haberse quedado estancados en la forma de mostrar sus políticas de privacidad, pero lo hicieron mucho mejor en el contenido de la política.
En concreto, los ISP/servicios de alojamiento sobresalieron en las cláusulas sobre cesión y retención de datos. El 82 % de los ISP/servicios de alojamiento incluye cláusulas que dicen explícitamente que no comparten los datos del usuairo (excepto para prestar el servicio a un cliente), en comparación con el 67 % de los sitios en general. Además, el 5 % dedica cláusulas a la retención de datos. Esto significa que explican claramente cuánto tiempo retendrán los datos del usuario y con qué finalidad. Si bien el 5 % puede parecer una cifra pequeña, solo un 2 % de las organizaciones utiliza estas cláusulas. Además, los ISP/servicios de alojamiento han sido el segundo sector con una puntuación más alta, solo por detrás de los 100 mejores sitios minoristas de Internet, con un 6 %.
Los ISP/servicios de alojamiento quedaron justo en el centro de una variable de cesión de datos, lo que demuestra que todavía queda un amplio margen de mejora en este tema. Algo más de la mitad de los ISP/servicios de alojamiento (55 %) utiliza cláusulas que explican que sus subcontratas deberán seguir las mismas normas que la organización, en comparación con un 57 % de los sitios en general. La OTA aboga por esta práctica porque todas las organizaciones que subcontratan a otras empresas deben exigirles una rendición de cuentas. Si una contrata abusa de los datos del usuario y tiene un acuerdo escrito con una organización, dicha organización podría tener que asumir responsabilidades por el comportamiento de la contrata.
Las políticas de privacidad de los ISP/servicios de alojamiento demuestran que, por regla general, los estándares de la OTA son fáciles de cumplir. Los pequeños cambios en estas políticas pueden contribuir considerablemente a que los usuarios entiendan el mensaje que se transmite. Estos cambios van a ir cobrando cada vez más importancia para adaptarse a la coyuntura de cambios rápidos que están atravesando las leyes y normas de privacidad por todo el mundo.
¿Qué resultado sacaría tu organización en la auditoría? Lee el informe para detectar tus vulnerabilidades y úsalo para mejorar la seguridad y privacidad de tu sitio. ¡Después mira la infografía o ve el vídeo resumen para obtener más información!