La explotación de un sitio web se rige por la LSSICE (Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico) y la LOPD (Ley Orgánica de Protección de Datos), dos normas que velan por la confidencialidad y la privacidad. Las infracciones a ambas exponen a su autor a importantes sanciones, por lo que es aconsejable ponerse en manos de empresas de consultoría, abundantes en Madrid, para una correcta realización de los trámites que le permitan cumplirlas. Un Sistema de Gestión de Seguridad de la Información (SGSI) es el elemento clave en toda organización para reducir al mínimo los riesgos relacionados con la protección de la información. Para gestionar esa materia, es fundamental la implantación de ISO 27001, una norma cuyo objetivo es proporcionar una metodología para la implementación del SGSI, y que permite incluso su certificación independiente.
Es la base de la optimización de los recursos empleados en diseñar un método que planifique la evaluación de riesgos y su tratamiento, aportando instrumentos de medida del cumplimiento de metas según el modelo de procesos “planificar-hacer-verificar-actuar”.
Las acciones correctivas van dirigidas a eliminar todas las disconformidades con los requerimientos del sistema, determinando sus causas, evaluando la necesidad de ejecutar acciones para evitar su reincidencia y registrando los resultados de aquellas. De forma complementaria, deben programarse actuaciones encaminadas a eliminar la causa de eventuales no-conformidades futuras.
El respeto a los postulados de la LSSICE es una obligación propia de los titulares de sitios web, que deben informar sobre razón y domicilio social, NIF, modo de contacto, datos de inscripción, condiciones de uso y coste de sus productos o servicios. Por su parte, la LOPD implica notificar a la Agencia de Protección de Datos los ficheros de su propiedad, la obtención del consentimiento del titular de los datos y la protección de estos.