Saltar al contenido

DNS · Email · Headers HTTP · AFIP · RASFF

Seguridad técnica y cross-refs UE

El Art. 32 del RGPD obliga a medidas técnicas de seguridad. SPF, DMARC, HSTS, CSP y las cross-referencias contra padrón AFIP, RASFF y Safety Gate son parte del screening.

01 / Definición

¿Qué es la seguridad técnica en el contexto del RGPD?

El artículo 32 del RGPD obliga a los responsables y encargados del tratamiento de datos a implementar "las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo". No es una obligación genérica: el artículo lista categorías específicas que incluyen la pseudonimización, el cifrado, la garantía de confidencialidad e integridad de los sistemas, y la capacidad de restaurar disponibilidad y acceso a datos.

En términos web, eso se traduce en una serie de configuraciones técnicas verificables de forma pasiva — sin acceso al backend — que AptoEU evalúa como parte del screening:

DNS y email: - *SPF (Sender Policy Framework):* registro DNS que declara qué servidores están autorizados a enviar email en nombre de tu dominio. Sin SPF, cualquiera puede suplantar tu dirección de email (spoofing). - *DKIM (DomainKeys Identified Mail):* firma criptográfica que verifica que el email no fue alterado en tránsito. - *DMARC (Domain-based Message Authentication, Reporting, and Conformance):* política que instruye a los servidores receptores sobre qué hacer con emails que fallan SPF/DKIM. Sin DMARC en modo "reject" o "quarantine", el dominio es vulnerable a phishing.

Headers HTTP: - *HSTS (HTTP Strict Transport Security):* fuerza conexiones HTTPS incluso si el usuario intenta conectarse por HTTP. - *CSP (Content Security Policy):* limita qué recursos puede cargar el navegador, reduciendo el riesgo de XSS. - *X-Frame-Options / X-Content-Type-Options:* headers anti-clickjacking y anti-MIME-sniffing. - *Atributos Secure/HttpOnly/SameSite en cookies:* reducen la superficie de ataque de las cookies de sesión.

Cross-references UE: - *AFIP:* cruzamos tu nombre de empresa y CUIT contra el padrón AFIP para verificar identidad legal. Inconsistencias entre lo declarado en el sitio y el registro fiscal son señales de riesgo. - *RASFF (Rapid Alert System for Food and Feed):* alertas europeas sobre productos alimentarios con problemas de seguridad o no conformidad. Si tu empresa o producto aparece en RASFF, el importador europeo probablemente ya lo sabe. - *Safety Gate (GPSR):* el sistema de alertas rápidas de productos de consumo peligrosos de la UE. Relevante para exportadores de productos físicos.

02 / Impacto

¿Por qué importa para un exportador LATAM?

Tres razones de impacto directo:

1. Art. 32 RGPD es accionable. Si tu sitio procesa datos personales (formularios, newsletter, área de clientes) sin las medidas técnicas básicas de seguridad, estás en incumplimiento del RGPD incluso si tenés una política de privacidad impecable. Una brecha de seguridad en un sitio sin HSTS, con cookies sin flag HttpOnly o sin DMARC configura responsabilidad bajo el artículo 32 y puede disparar la obligación de notificación de brecha (art. 33).

2. El email sin SPF/DKIM/DMARC daña tu reputación comercial. Los proveedores europeos de email (Google Workspace, Microsoft 365) filtran con mayor agresividad emails de dominios sin DMARC. Tus emails comerciales a clientes europeos pueden ir directo al spam o ser rechazados. Más importante: sin DMARC en modo reject, cualquier competidor o actor malicioso puede enviar emails de phishing usando tu dominio, afectando tu reputación.

3. Las cross-refs son lo que los importadores UE ya verifican. Un importador europeo haciendo DD sobre vos probablemente ya revisó RASFF y Safety Gate. Si aparecés en alguna alerta, saber antes que él es mejor que enterarte cuando se cancela un pedido.

Iniciá sesión para ver las siguientes secciones

Acceso inmediato. Sin tarjeta de crédito.

Crear cuenta gratuita

03 / Mecanismo

¿Cómo funciona el sistema de verificación técnica?

04 / Fiscalización

¿Cómo te controlan? ¿Qué revisan?

05 / Sanciones

Multas y probabilidad

06 / Acción

¿Qué tengo que hacer?

07 / Marco legal completo

Referencias técnicas

¿Listo para ver dónde estás parado?

El primer informe se entrega en 24-48 horas hábiles. Sin credenciales, sin instalar nada, sin interrumpir a nadie.