P3P y el aseguramiento de la privacidad web

P3P y el aseguramiento de la privacidad web

Gracias al P3P los usuarios disponen de una forma sencilla y automatizada de controlar el uso que se hace de su información personal en los sitios Web que visitan

No descubrimos nada si decimos que la privacidad es hoy en día una de las mayores preocupaciones, cuando nos referimos a Internet; de hecho reguladores, gobiernos, medios de comunicación y organizaciones, entre otros, nos lo recuerdan casi a diario.

Expresiones como, “yo no doy los datos de mi tarjeta en internet” o, “yo por ahora evito dar mis datos en internet no me fío”, son todavía habituales, lo que demuestra que existe cierta desconfianza, que influye negativamente en el desarrollo del comercio basado en la Web, la e-administración, y otras formas de tramitación online.

Para intentar solucionar este problema surgió P3P, Plataforma de Preferencias de Privacidad (Platform for Privacy Preferences). P3P es un lenguaje estándar que ofrece a los usuarios una forma sencilla y automatizada de controlar en mayor medida el uso que se hace de su información personal en los sitios Web que visitan.

P3P sirve para desarrollar herramientas y servicios que ofrezcan a los usuarios un mayor control sobre la información personal que se maneja en Internet y, al mismo tiempo, aumentar la confianza entre los servicios Web y los usuarios.

P3P permite normalizar, ubicar y encontrar eficazmente las políticas de privacidad, en un formato en el que los usuarios pueden entender y, lo más importante, con la posibilidad de que el usuario actúe sobre lo que ve.

P3P permite a los sitios Web trasladar sus prácticas de privacidad a un formato XML, estandarizado y procesable por los dispositivos, que puede ser recuperado de forma automática y que además puede ser interpretado fácilmente por los navegadores de los usuarios.

Una vez completada una simple configuración del servidor, el sitio Web informará automáticamente a los visitantes de la página de ese sitio Web es compatible con P3P.

P3P automáticamente busca y lee las políticas de privacidad del sitio Web, que el servidor ha tenido que configurar adecuadamente, para que el usuario pueda comprobar sobre las prácticas de información de ese sitio. Lo novedoso de este estándar es que puede comparar automáticamente la declaración con las preferencias de privacidad del usuario, pautas reguladoras u otra variedad de estándares legales aplicables.

A continuación, se muestra un gráfico del funcionamiento de P3P.

P3P
Fuente: World Wide Web Consortium (W3C)
Cómo hacer su web P3P Compliant

Los siguientes 6 pasos pueden ayudarle para hacer de su sitio web compatible con P3P

  1. Lo primero, debe elaborar una política de privacidad. En caso de ya disponer de una debemos asegurarnos de que contenga la información del propietario, y que incluya toda la información que vamos a recoger en el sitio web. Esta referencia puede ser utilizada para realizar o adaptar su política de privacidad.
  2. En función de las funcionalidades del site, podríamos elegir tener varias políticas de privacidad, en función de la información que recojamos para unos usuarios u otros. Por ejemplo, podríamos aplicar una política para usuarios que simplemente navegan o visualizan nuestra web, donde simplemente recopilamos información sobre su ordenador y páginas visitadas, y la finalidad podría ser la mejora del sitio. Por otro lado, para usuarios que deciden comprar nuestros productos, se debería disponer de otra política de privacidad más detallada que proporcione más información de la compañía y de la finalidad de los datos proporcionados por el usuario para poder realizar la compra y entregar el producto o servicio.
  3. Generar la política P3P que pueda ser entendida y utilizada por P3P. Existen algunas herramientas que permiten hacerlo:

Una vez tengamos la política, podremos comenzar el proceso para generar la política P3P, teniendo en cuanta que tenemos que tener en cuenta la siguiente información clave:

  • Entidad: Quién eres, y cómo un usuario puede ponerse en contacto.
  • Divulgación: Dónde se puede encontrar la política escrita en el sitio
  • Garantías: Qué garantía hay (por ley o tercero) de que haces lo que dices que haces, y qué capacidad tienes para responder a cualquier disputa que pueda surgir. P3P permite designar uno o más métodos de resolución (servicio al cliente, organización independiente, corte, o la ley aplicable), así como los métodos de remediación; sustitución del producto o servicio, la compensación financiera, etc. Es posible añadir referencia a un recurso externo o certificado que refrende dicha garantía. se hace referencia.
  • Los datos recogidos y el propósito – ¿Qué elementos de datos están recogiendo y cómo se están usando?
  1. Introducir toda la información necesaria para generar la política, incluyendo aquellos campos que serán publicados y leídos por los propios usuarios, tales como el nombre de la organización, información de contacto y otros. Normalmente los generadores alertarán de cualquier omisión de información básica durante el proceso de creación del fichero .xml de política P3P. Puede generar varios ficheros en función de las necesidades de la organización.
  1. El generador creará un fichero de referencia (normalmente p3p.xml), que permitirá localizar la política a los navegadores en la web. Tanto este fichero como la política referenciada en él deberían ser almacenados en el directorio raíz del servidor web. Nótese que podemos indicar aquellas páginas incluidas o no en la política, de todo el sitio web.

            A continuación se muestra un ejemplo de fichero de referencia:

<META >

<POLICY-REFERENCES>

<POLICY-REF about="/P3P/Policy3.xml">

<INCLUDE>/cgi-bin/</INCLUDE>

<INCLUDE>/servlet/</INCLUDE>

<INCLUDE>/sevlet/</INCLUDE>

</POLICY-REF>

<POLICY-REF about="/P3P/Policy2.xml">

<INCLUDE>/catalog/</INCLUDE>

</POLICY-REF>

<POLICY-REF about="/P3P/Policy1.xml">

<INCLUDE>/*/</INCLUDE>

<EXCLUDE>/sevlet/unknown</EXCLUDE>

</POLICY-REF>

</POLICY-REFERENCES>

</META>

6. Finalmente, se puede comprobar que todo lo realizado hasta ahora ha sido satisfactorio. Para ello se puede realizar una validación en:http://p3pvalidatortool.com/, introduciendo cualquier URL del sitio web. Cualquier error será mostrado para poder volver a los pasos anteriores.

La especificación completa de P3P se puede consultar en esta página.

Antonio Martínez

Departamento Técnico