[NUEVO] WP Media Cleanup elimina las imágenes no utilizadas que se ocultan en tu biblioteca multimedia.
Joella Dunn
Joella Dunn
John Turner
John Turner
La gestión de las copias de seguridad es tan importante como tener copias de seguridad.
Tus archivos de copia de seguridad son copias de todos tus datos en tiempo real, lo que significa que están sujetos a las mismas leyes de privacidad, normas de seguridad y estándares industriales.
En esta entrada del blog, le guiaré a través de todo lo que necesita saber sobre el cumplimiento de las copias de seguridad.
Aprenderás:
La conformidad de las copias de seguridad significa que su estrategia de copia de seguridad sigue todas las normas legales y del sector que se aplican a sus datos.
Cuando creas una copia de seguridad, estás haciendo una copia exacta de los datos de tu sitio web activo. Si su sitio web contiene información personal, registros financieros o datos sanitarios, las copias de seguridad contendrán esa misma información confidencial.
A la ley no le importa si los datos están "vivos" o "respaldados". Los datos sensibles son datos sensibles, independientemente de dónde se encuentren.
Esto significa que sus copias de seguridad deben cumplir las mismas leyes de privacidad, normas de seguridad y reglamentos del sector que su sitio web principal. No puedes volcar los archivos de copia de seguridad en cualquier sitio y darlo por hecho.
La conformidad de las copias de seguridad abarca todo el ciclo de vida de los datos. Desde el momento en que se crea un archivo de copia de seguridad hasta el día en que se elimina definitivamente, cada paso debe seguir las normas.
Eso incluye:
El cumplimiento de la normativa en materia de copias de seguridad es un conjunto de requisitos que actúan conjuntamente para proteger sus datos y mantener su cumplimiento legal. Comprender estos aspectos clave le ayudará a crear una estrategia de copia de seguridad que cubra todas las bases.
Su estrategia de copias de seguridad debe seguir las leyes en función de dónde se encuentren sus usuarios, no sólo de dónde esté su empresa.
Si tiene visitantes de Europa, el GDPR se aplica a sus copias de seguridad. ¿Clientes de California? Se aplican las normas CCPA. La ubicación de sus usuarios determina qué normativas debe cumplir.
No se preocupe, le explicaré en profundidad estos requisitos legales más adelante en este tutorial.
Aquí lo más importante son dos cosas: el cifrado y los controles de acceso.
Tus datos de copia de seguridad deben estar cifrados tanto cuando viajan al almacén (en tránsito) como cuando están en él (en reposo). Sin cifrado, los archivos de copia de seguridad pueden ser leídos por cualquiera que acceda a ellos.
Los controles de acceso implican seguir el principio del menor privilegio. Sólo deben tener acceso a los archivos de copia de seguridad las personas que lo necesiten absolutamente. Todos los demás deben estar bloqueados.
Es necesario conservar las copias de seguridad el tiempo suficiente para satisfacer las necesidades de la empresa. Sin embargo, también es necesario eliminarlas en algún momento para respetar los derechos de privacidad.
Una política de retención formal no es opcional. Se necesitan normas escritas que especifiquen exactamente cuánto tiempo se conservan los distintos tipos de copias de seguridad y cuándo se eliminan.
El objetivo de tiempo de recuperación (RTO) es la rapidez con la que debe volver a estar en línea tras un desastre. El objetivo de punto de recuperación (RPO) es la cantidad de pérdida de datos que puedes aceptar.
Ambas cifras afectan a su cumplimiento porque determinan la rapidez con la que puede restablecer los servicios y la cantidad de datos de los clientes que podrían estar en riesgo durante una interrupción.
Deberías probar regularmente tus copias de seguridad restaurándolas. Esto demuestra que tu sistema de copias de seguridad funciona y que puedes cumplir tus compromisos de RTO y RPO.
Documente cada prueba. Si te sometes a una auditoría, necesitarás pruebas de que tu sistema de copias de seguridad funciona realmente como está previsto.
Todo debe estar documentado. Las políticas de copias de seguridad, los resultados de las pruebas, los calendarios de conservación, las medidas de seguridad... todo.
Si los auditores vienen a verle, querrán ver pruebas de que realmente cumple las normas, no sólo de que lo afirma.
Utilizar un proveedor en la nube no le convierte automáticamente en una empresa conforme. Sigues siendo responsable de configurarlo todo correctamente.
Eso significa establecer el cifrado, elegir las opciones de residencia de datos adecuadas y escoger un proveedor con las certificaciones de seguridad apropiadas para su sector.
El proveedor de la nube se encarga de la infraestructura, pero la responsabilidad del cumplimiento sigue siendo suya.
Cada normativa tiene sus propias reglas, pero todas afectan a la forma de gestionar las copias de seguridad de los datos. Estas son las principales que debe conocer para su empresa:
El Reglamento General de Protección de Datos (RGPD) es la ley general de privacidad de Europa. Se aplica a cualquier empresa que procese datos personales de residentes en la UE, independientemente de dónde esté ubicada.
Dos cosas son las más importantes para sus copias de seguridad: el "derecho de supresión" (también llamado "derecho al olvido") y los requisitos de residencia de los datos.
Cuando alguien te pide que elimines sus datos personales, no puedes limitarte a borrar sus datos de tu sitio web activo y darlo por hecho. También necesitas un proceso documentado para gestionar sus datos personales en todos tus archivos de copia de seguridad.
Necesita una política de conservación razonable que elimine automáticamente las copias de seguridad antiguas que contengan sus datos en un plazo determinado. No puedes conservar datos personales en copias de seguridad indefinidamente solo porque sea conveniente.
La otra parte, la residencia de los datos, se complica con las copias de seguridad.
En general, el RGPD exige que los datos personales de la UE permanezcan dentro de la UE o en países que la Comisión Europea haya considerado que tienen una protección de datos adecuada. Esto significa que debe saber exactamente dónde se almacenan físicamente sus archivos de copia de seguridad y asegurarse de que esas ubicaciones cumplen los requisitos del GDPR.
La Ley de Privacidad del Consumidor de California (CCPA) y su sucesora, la Ley de Derechos de Privacidad de California (CPRA), otorgan a los residentes de California derechos específicos sobre su información personal. Estas leyes se aplican si recopila información personal de residentes en California.
Al igual que el GDPR, esto afecta a su política de retención de copias de seguridad. Cuando alguien solicita su eliminación, necesitas un proceso claro para gestionar su solicitud en todo tu almacenamiento de datos, incluidas las copias de seguridad.
La CCPA permite a las empresas conservar información personal en copias de seguridad para "usos internos razonablemente alineados con las expectativas del consumidor". Sin embargo, sigue necesitando políticas claras sobre cuánto tiempo se conservan los datos de las copias de seguridad y cuándo se eliminan permanentemente.
La CPRA introdujo el concepto de "información personal sensible", que incluye datos precisos de geolocalización, origen racial o étnico, creencias religiosas e identificadores biométricos.
Estos datos tienen unos requisitos de tratamiento más estrictos que se extienden al almacenamiento de copias de seguridad. Es necesario mejorar las medidas de seguridad de los archivos de copia de seguridad que contienen información personal sensible, y los consumidores tienen derechos adicionales para limitar el uso que se hace de estos datos.
La Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) protege la información sanitaria en Estados Unidos. Si su sitio web maneja cualquier tipo de información sanitaria protegida (PHI), como historiales de pacientes, información sobre seguros médicos o incluso datos básicos relacionados con la salud, el cumplimiento de la HIPAA es obligatorio.
Los requisitos de la HIPAA en materia de copias de seguridad son especialmente estrictos. Toda la información PHI de los archivos de copia de seguridad debe cifrarse utilizando un cifrado validado FIPS 140-2. También es necesario registrar quién accede a los datos de las copias de seguridad y cuándo.
Los acuerdos de asociación empresarial (Business Associate Agreements, BAA) son necesarios con cualquier proveedor externo que pueda tener acceso a sus datos de copia de seguridad. Esto incluye al proveedor de almacenamiento en la nube, al proveedor de servicios de copia de seguridad e incluso a la empresa de alojamiento si pueden acceder a los archivos de copia de seguridad.
La normativa también exige procedimientos específicos de conservación y eliminación de datos. Se necesitan políticas documentadas sobre cuánto tiempo se conservan los datos de copia de seguridad que contienen PHI y procedimientos seguros de eliminación.
La Norma de Seguridad de Datos del Sector de Tarjetas de Pago (PCI DSS) se aplica si almacena, procesa o transmite información de tarjetas de crédito. Incluso si utiliza un procesador de pagos, los requisitos de la PCI DSS suelen extenderse a los datos de copia de seguridad que puedan contener información sobre titulares de tarjetas.
Cualquier archivo de copia de seguridad que contenga números de tarjetas de crédito, fechas de caducidad o nombres de titulares de tarjetas debe cifrarse con criptografía fuerte. La norma exige un cifrado AES con una longitud de clave mínima de 128 bits.
PCI DSS también exige una gestión segura de las claves para el cifrado de las copias de seguridad. Las claves de cifrado deben almacenarse separadas de los datos cifrados de las copias de seguridad y protegidas con fuertes controles de acceso.
Sólo puede conservar los datos de los titulares de tarjetas mientras sean necesarios para fines comerciales o legales. Su política de conservación de copias de seguridad debe ajustarse a estos requisitos e incluir procedimientos seguros de eliminación.
La Ley canadiense de Protección de Datos Personales y Documentos Electrónicos (PIPEDA) regula el modo en que las organizaciones del sector privado recopilan, utilizan y divulgan información personal durante sus actividades comerciales.
La LPRPDE exige "salvaguardias de seguridad adecuadas" para la información personal, lo que se extiende a los datos de copia de seguridad. La ley no especifica requisitos técnicos exactos, pero sí exige que las medidas de seguridad sean adecuadas a la sensibilidad de la información.
Para el cumplimiento de las copias de seguridad, esto significa aplicar políticas razonables de cifrado, controles de acceso y conservación basadas en el tipo de información personal que se protege.
La ley también incluye requisitos de notificación de infracciones. Si los datos de copia de seguridad que contienen información personal se ven comprometidos, es posible que tenga que notificarlo tanto al Comisario de Privacidad como a las personas afectadas.
La Directiva actualizada sobre seguridad de las redes y de la información (NIS2) amplía considerablemente los requisitos de ciberseguridad para los sitios web de toda la Unión Europea.
NIS2 aborda específicamente la continuidad del negocio y la recuperación en caso de desastre. Hay que utilizar sistemas adecuados de copia de seguridad y recuperación como parte de la gestión global de los riesgos de ciberseguridad.
La normativa exige pruebas periódicas de los sistemas de copia de seguridad y de los procedimientos de respuesta a incidentes. Necesita pruebas documentadas de que sus procesos de copia de seguridad y recuperación funcionan y pueden cumplir sus objetivos de continuidad de negocio.
Los incidentes cibernéticos significativos deben notificarse a las autoridades en un plazo de 24 horas, lo que significa que su sitio web debe permitir una respuesta rápida a los incidentes.
La Ley de Resiliencia Operativa Digital (DORA) se dirige a los servicios financieros de la Unión Europea, exigiendo a las entidades financieras que mantengan la resiliencia operativa frente a los riesgos de las TIC (Tecnologías de la Información y la Comunicación).
Para esta normativa, las instituciones financieras deben demostrar que pueden mantener las funciones críticas durante y después de las interrupciones operativas.
La normativa exige que se realicen pruebas periódicas de los sistemas de respaldo a través de diversos escenarios, incluidos ciberataques y fallos del sistema. Estas pruebas deben documentarse y comunicarse a las autoridades de supervisión.
La gestión de riesgos de terceros conforme a la DORA también afecta al cumplimiento de las copias de seguridad. Si utiliza proveedores de almacenamiento en la nube o de servicios de copia de seguridad, debe asegurarse de que cumplen las normas de la DORA.
Le acabo de hablar de un montón de leyes, pero el cumplimiento de las normas de seguridad no consiste sólo en evitar problemas. Si se hace bien, fortalece tu negocio.
A los clientes les importa cómo gestionas sus datos. Cuando saben que te tomas en serio la protección de datos (incluidas las copias de seguridad), es más probable que te confíen su negocio.
Esto se convierte en una ventaja competitiva. Mientras sus competidores se afanan en solucionar los problemas de cumplimiento a posteriori, usted puede centrarse en hacer crecer su negocio.
Además, las sanciones reglamentarias pueden ser enormes. Las multas del GDPR pueden alcanzar el 4 % de sus ingresos globales anuales. Las infracciones de la HIPAA pueden costar cientos de miles de dólares por incidente.
Una estrategia de copia de seguridad que cumpla la normativa le ayudará a evitar estos problemas financieros manteniéndole en el lado correcto de la ley desde el primer día.
Cuando se produzca un desastre, se recuperará más rápido porque sus sistemas están documentados, sus procesos están probados y su equipo sabe exactamente qué hacer.
El cumplimiento de los requisitos obliga a comprender realmente qué datos se tienen y dónde residen.
Esta mayor visibilidad reduce el riesgo en toda la empresa, no sólo en los sistemas de copia de seguridad. Detectará antes los posibles problemas y tomará mejores decisiones sobre la gestión de los datos.
Esta es su hoja de ruta práctica para el cumplimiento de las copias de seguridad.
Comience con una auditoría completa de los datos que recopila y almacena.
Crea un inventario de datos que documente todos los tipos de información que maneja tu sitio web. Esto incluye cosas obvias como datos de registro de usuarios y envíos de formularios de contacto, pero también datos menos obvios como registros del servidor, registros de errores, contenido en caché y archivos temporales.
Clasifíquelo todo por nivel de sensibilidad. La información personal, los datos financieros y los historiales médicos necesitan distintos niveles de protección.
Utilice categorías como "público", "interno", "confidencial" y "restringido" para organizar la clasificación de sus datos.
Identifique dónde residen estos datos en su sistema. Comprueba las tablas de la base de datos, los directorios de archivos cargados, los archivos de registro, los datos almacenados en caché, el almacenamiento de sesiones y las integraciones de terceros.
Documente los flujos de datos para comprender cómo se mueve la información a través de su sistema. Los datos personales enviados a través de un formulario de contacto pueden acabar en su base de datos, sistema de correo electrónico, CRM y archivos de copia de seguridad. Es necesario hacer un seguimiento de todos estos puntos de contacto.
Presta especial atención a los requisitos de conservación de datos para los distintos tipos de información. Es posible que algunos datos deban conservarse por motivos legales (como los registros financieros), mientras que otros deben eliminarse en cuanto dejen de ser necesarios (como los datos de sesiones temporales).
Anote su objetivo de tiempo de recuperación y su objetivo de punto de recuperación. Estas cifras determinarán el resto de la estrategia de copia de seguridad.
Su RTO debe reflejar las necesidades reales de su empresa. Si la inactividad de su sitio de comercio electrónico durante cuatro horas le cuesta 10.000 dólares en ventas perdidas, su RTO debe ser mucho más corto que cuatro horas. Sea realista sobre lo que puede conseguir con sus recursos actuales.
Su RPO determina la frecuencia con la que debe crear copias de seguridad. Si solo puedes permitirte perder una hora de datos, necesitas copias de seguridad al menos cada hora.
A la hora de calcular su RPO, tenga en cuenta el tiempo que se tarda en restaurar una copia de seguridad.
Elabore un calendario formal de conservación que especifique exactamente durante cuánto tiempo se conservan los distintos tipos de copias de seguridad. Los periodos de conservación deben equilibrar los requisitos de cumplimiento, los costes de almacenamiento y las necesidades de recuperación.
Definir controles de acceso y procesos de aprobación para las copias de seguridad.
¿Quién puede crear copias de seguridad? ¿Quién puede acceder a las copias de seguridad? ¿Quién puede restaurar una copia de seguridad? ¿Qué autorización se necesita para cada tipo de acceso?
Una herramienta como Duplicator puede hacer que estas reglas sean específicas. Es un plugin de copia de seguridad que viene con controles de acceso personalizables. Esto te ayuda a decidir quién puede acceder, crear o restaurar copias de seguridad.
Incluya en su política procedimientos de respuesta a incidentes.
¿Qué ocurre si se ponen en peligro los datos de las copias de seguridad? ¿A quién se notifica? ¿Qué medidas hay que tomar para contener la violación y notificar a las partes afectadas?
Con Duplicator, puede automatizar las políticas de retención. Eliminará automáticamente las copias de seguridad antiguas según el calendario especificado para que no tengas que gestionarlo manualmente.
Elija un proveedor de almacenamiento basándose en sus certificaciones de seguridad y capacidades de cumplimiento, no sólo en el precio.
Asegúrese de que puede conservar los datos en las ubicaciones geográficas adecuadas para sus requisitos de cumplimiento. Algunos proveedores ofrecen opciones de almacenamiento específicas para cada región, mientras que otros pueden replicar los datos en varios países sin controles claros.
Compruebe que su proveedor ofrece las funciones de cifrado y control de acceso que necesita. Busque cifrado AES-256, servicios de gestión de claves e integración con sistemas de gestión de identidades y accesos.
Revise los procedimientos de respuesta a incidentes y notificación de infracciones del proveedor. ¿Con qué rapidez le notificarán si se produce un incidente de seguridad? ¿Qué información facilitarán? ¿Cómo cumplirán sus propias obligaciones de notificación de infracciones?
Duplicator se integra con más de una docena de proveedores de almacenamiento seguro en la nube, incluidas opciones que cumplen diversos requisitos de conformidad.
Cifre los datos en tránsito y en reposo. Utiliza estándares de cifrado robustos: AES-256 es la mejor práctica actual.
Duplicator Pro puede cifrar todos los archivos de copia de seguridad con cifrado AES-256, tanto durante la transferencia como durante el almacenamiento, eliminando las conjeturas.
Las claves de cifrado deben almacenarse separadas de los datos de copia de seguridad cifrados y protegidas con fuertes controles de acceso. Considera la posibilidad de utilizar un servicio dedicado de gestión de claves o módulos de seguridad de hardware para los datos sensibles.
Establezca controles de acceso exhaustivos mediante herramientas de gestión de identidades y accesos (IAM). Aplique el principio del menor privilegio: los usuarios solo deben tener acceso a los datos de copia de seguridad específicos que necesiten.
Configure la supervisión y las alertas para el acceso a las copias de seguridad. Debe recibir notificaciones cuando se acceda a los datos de copia de seguridad, cuando se creen nuevas copias de seguridad y cuando se realice cualquier cambio de configuración en los sistemas de copia de seguridad.
Si utilizas Duplicator para gestionar las copias de seguridad, recibirás notificaciones automáticas de fallos en las copias de seguridad.
Además, puedes configurar el envío de resúmenes periódicos por correo electrónico directamente a tu bandeja de entrada. Estos incluyen todas sus nuevas copias de seguridad, ubicaciones de almacenamiento y horarios.
Duplicator puede enviarle resúmenes por correo electrónico cada día, semana o mes. Sabrá exactamente cuándo se ha realizado la copia de seguridad de sus sitios web.
Programe pruebas de restauración al menos trimestralmente. Más a menudo es mejor, sobre todo para los sistemas críticos.
Cree un programa formal de pruebas que abarque distintos tipos de escenarios de restauración. Pruebe restauraciones completas de sitios, restauraciones parciales, restauraciones de solo bases de datos y restauraciones de solo archivos.
Cada tipo de restauración puede descubrir problemas diferentes.
No pruebe las restauraciones en su sitio web activo: utilice un servidor de ensayo o un entorno de desarrollo que tenga el mismo sistema operativo, el mismo software de servidor web y las mismas versiones de base de datos.
Si necesita crear un nuevo sitio de ensayo, configure uno localmente con LocalWP o XAMPP. Crea una copia de seguridad completa de tu sitio web con Duplicator.
Descargue el archivo de copia de seguridad. Una vez que termine de crear el sitio de ensayo local, importe la copia de seguridad. Duplicator creará automáticamente una copia de sus datos en la zona de ensayo para que pueda probarla.
Mida y documente el rendimiento de la restauración con respecto a sus objetivos de RTO y RPO. Si las restauraciones tardan sistemáticamente más de lo que permite su RTO, debe mejorar su estrategia de copia de seguridad o ajustar sus objetivos.
Sí, si recopila información personal de los visitantes. Incluso los formularios de contacto más sencillos, las suscripciones por correo electrónico o el seguimiento analítico básico implican que está manejando datos personales, y las normas de cumplimiento se aplican a la forma de hacer copias de seguridad y almacenar esa información.
Depende de las necesidades de tu empresa y de los requisitos normativos, que es exactamente por lo que necesitas una política de conservación por escrito. Empieza por comprobar qué normativas se aplican a tu empresa y a tus datos, luego escribe periodos de conservación específicos para los distintos tipos de copias de seguridad y cíñete a esas normas.
En primer lugar, elimine inmediatamente los datos de su sitio web activo. Para las copias de seguridad, sigue tu política de retención: no tienes que limpiar manualmente los archivos de copia de seguridad antiguos, simplemente deja que caduquen y se eliminen de acuerdo con tu programa de retención normal.
El lugar más seguro para almacenar copias de seguridad es un proveedor de servicios en la nube externo, cifrado y de confianza que cuente con las certificaciones de seguridad adecuadas. Sigue la regla 3-2-1: guarda tres copias de tus datos en dos tipos diferentes de medios de almacenamiento, con una copia almacenada fuera de las instalaciones.
El cumplimiento de la normativa en materia de copias de seguridad implica ser intencionado y organizado a la hora de proteger el activo empresarial más valioso: los datos.
Cuando incorporas el cumplimiento a tu estrategia de copias de seguridad desde el principio, transformas las copias de seguridad de una simple tarea técnica en un proceso empresarial responsable.
Dormirá mejor sabiendo que sus datos están protegidos. Sus clientes confiarán más en usted. Y cuando se produzca un desastre, se recuperará más rápida y completamente.
Pero la realidad es la siguiente: la gestión manual de todos estos requisitos de cumplimiento requiere mucho tiempo y es propensa a errores. Necesitas herramientas que puedan automatizar el trabajo pesado sin dejar de cumplir la normativa.
Duplicator Pro puede gestionar automáticamente la complejidad técnica del cumplimiento de normativas. Cuenta con cifrado AES-256, políticas de retención automatizadas, pruebas programadas e integración perfecta con una docena de proveedores de almacenamiento seguro en la nube.
Deje de preocuparse por si sus copias de seguridad cumplen los requisitos de conformidad. Deje que Duplicator Pro se ocupe de los detalles técnicos para que usted pueda centrarse en hacer crecer su negocio con confianza.
Ya que estás aquí, creo que te gustarán estos otros recursos cuidadosamente seleccionados:
Divulgación: Nuestro contenido está apoyado por los lectores. Esto significa que si hace clic en algunos de nuestros enlaces, es posible que ganemos una comisión. Sólo recomendamos productos que creemos que aportarán valor a nuestros lectores.
