El Cumplimiento Normativo (o Compliance) en seguridad informática suena a lenguaje de abogados, pero en realidad es algo que nos afecta a todos cada vez que usamos una aplicación o compramos por internet.

1. ¿Qué es exactamente?

Imagina que vas conduciendo un coche. Para que todo funcione y no haya accidentes, existen normas de tráfico (semáforos, límites de velocidad, cinturón). Si no las cumples, te multan; si las cumples, tú y los demás vais más seguros.

En el mundo digital es lo mismo. El cumplimiento normativo es el conjunto de reglas y leyes que las empresas y organizaciones deben seguir para asegurar que los datos que manejan (tus fotos, tu cuenta bancaria, tu dirección) estén protegidos y no caigan en manos de hackers.

2. ¿Qué es lo que «hay que cumplir»?

Dependiendo de a qué se dedique la empresa y en qué país esté, tiene que seguir distintas «guías de seguridad». Las más importantes son:

A. Protección de datos personales (Privacidad)

Es la más famosa. En Europa tenemos el RGPD (Reglamento General de Protección de Datos).

  • Qué exige: Que las empresas te pidan permiso para usar tus datos, que te digan para qué los quieren y que los borren si tú lo pides.

  • Si no se cumple: Multas millonarias.

B. Seguridad en los pagos

Si una tienda acepta tarjetas de crédito, debe cumplir con una norma llamada PCI-DSS.

  • Qué exige: Que los números de tu tarjeta viajen cifrados (como en una caja fuerte digital) para que nadie pueda robarlos mientras compras.

C. Estándares de calidad (Las famosas «ISO»)

Seguro que has oído hablar de la ISO 27001.

  • Qué exige: Es como un «certificado de buena conducta». La empresa demuestra que tiene copias de seguridad, que sus empleados están formados en seguridad y que sus sistemas son difíciles de hackear.

D. Infraestructuras críticas

Leyes que obligan a hospitales, eléctricas o bancos a tener una seguridad extrema.

  • Qué exige: No se pueden permitir un apagón o que un hospital deje de funcionar por un virus.

3. ¿Cómo se cumple esto en el día a día?

Para que una empresa diga «estoy cumpliendo», suele hacer tres cosas:

  1. Cifrado: Convertir la información en un código secreto que solo el destinatario puede leer.

  2. Control de acceso: Que solo las personas autorizadas puedan ver ciertos datos (no todos los empleados de un banco pueden ver tu saldo).

  3. Auditorías: Como un examen sorpresa donde un experto externo revisa que todo esté en orden.

En resumen: El cumplimiento normativo no es más que demostrar que una empresa es responsable con la información que le prestamos.