Foro de elhacker.net

Me pregunto si es posible comprobar que los datos de registro en un sitio web sean verdaderos y no inventados.

En una de mis aplicaciones web permito que los usuarios se registren para vender/ofrecer servicios, tanto a particulares como a empresas y profesionales. A parte de tener una clausula que me proteja legalmente del uso que hagan los usuarios de mi software como servicio (Saas), me gustaría ir a lo seguro y poder comprobar esto.

Aclaro, cuando digo comprobar, no me refiero a saber información personal, simplemente saber si sí o si no. Lo que NO quiero es:

- Tener un nif y saber el nombre completo, etc...
- Tener un nombre completo y saber el nif, etc...

Por eso, lo que me gustaría hacer sería, hacer una petición a algún organismo del gobierno, creo que sería aeat, enviando por POST la información introducida por el usuario para comprobar que es real (nombre o razón social, nif, etc) y saber lo que responde en los distintos posibles casos.

Buscando en la pagina de hacienda (aeat) he visto que publican los nombres, nifs, etc de las empresas desde el año 2006, tanto las revocadas como las rehabilitadas: http://www.agenciatributaria.es/AEAT.internet/Inicio/La_Agencia_Tributaria/Campanas/Censos__NIF_y_domicilio_fiscal/Empresas_y_profesionales__Declaracion_censal__Modelos_036_y_037/Tramitacion_y_consultas/Consulta_de_NIF_revocados_y_rehabilitados/Consulta_de_NIF_revocados_y_rehabilitados.shtml

Con eso ya podría comprobar a las empresas y profesionales / autónomos / freelancers, pero no a los particulares.

A lo mejor estoy exagerando, no lo sé, es la primera vez que me meto en estos temas. ¿Sabéis como lo llevan otras páginas que permitan a sus usuarios vender o ofrecer servicios? Como milanuncios o cualquier otra página. ¿Este tipo de páginas comprueban con hacienda los datos de sus usuarios? O ¿simplemente se protegen con clausulas en los términos y condiciones?

Gracias!

por lo menos de este lado del charco, te piden tus datos + tus documentos digitalizados

Creo que se le llama identidad digital, o algo "asín".

Gracias, no se me había ocurrido.

Si que es más fácil pedir una copia digital y tenerla guardada en el servidor, pero igualmente la imagen podría ser de cualquier cosa...

Me va tocar revisar las imágenes una a una... O ¿hay alguna manera más fácil? Ya que se trata de tener identificado al usuario antes de que pueda ocurrir el problema y sin que afecte a los que realmente van a hacer un uso adecuado del servicio.

Puedes obtener la información sobre jurídicas (empresas y autonomos) dado que se publican en el BOE cuando se dan de alta, pero no sobre particulares.

Una alternativa que tienes es usar el SEC pero hasta donde se, require estar dado de alta.
https://www.sedecatastro.gob.es/


Milanuncios que yo sepa no hace nada de eso, dado que no intervienen en el proceso de pago ni nada.. solo publican tu anuncio y ya. Otras paginas como te han comentado, requieren una copia digital de tus documentos.

PD: Ten en cuenta que para manejar los datos que manejas, tienes que estar dado de alta en la AEPD.

Saludos

La Web 2.0 trajo el D.N.I. electrónico, por algún sitio tengo el aparato, el software de gestión cortesía de la Policía Nacional y como no mi D.N.I. y si no recuerdo mal había que logearse nosedonde para obtener "tu certificado digital" para hacer la Renta y todos esos menesteres.

Tengo que desempolvarlo, sí señor...

hay servicios que puedes contratar que analizan automaticamente todo tipo de documento de identidad, ahorita para ser sincero, no recuerdo cual, pero recuerdo haberlo hecho en paginas, que lo analizan ahí mismo y te dicen si la imagen del documento es un dni valido o no

¿Alguna especie de código QR?  :-\

El único pago que habrá en mi página es en la suscripción de profesionales, entonces ¿no tengo que preocuparme por estas datos? Sería más fácil para mí, pero más difícil para saber quien cometió el delito...

Esto me recuerda que, tengo que renovar mi dni. Me he informado y ahora están dando el 3.0 que lleva un chip NFC (near field contact) y ya no hacen falta certificados ni un PIN... ¿El viejo también lleva un chip? o ¿solo la SD card? Espero que sea cierto que la distancia máxima es de 20-30 cm...

Ojo con las tasas si te ha caducado...

¿El pago lo procesas tu? Entonces depende de como se interprete la ley. Tecnicamente, un negocio debe asegurar que la tarjeta con la que se ha pagado es realmente del portador o que este tenia su autorizacion para realizar la compra. De no ser así, en caso de delito (vease robo de tarjeta y posterior uso sin consentimiento), el negocio (osea se, tu o tu procesador de pagos) debe renumerar la cantidad sustraida al usuario afectado.

Generalmente cuanta mejor documentacion tienes sobre algo, más inmune te haces legalmente.

Saludos

Sip, el carding es una mala cosa.

Si en tu web, la gente no tiene que hacerte pagos A TI... no necesitas nada de todo eso.

Es más sería ilegal retener esos datos, ya que no cumples ningún servicio con ellos. Cualquier usuario al que le reclames esos datos, podría optar por 'desregistrarse', o por interponer una denuncia en base a la ley de protección de datos. Como te han dicho más arriba tendrías que estar dado de alta, en la Agencia Española de Protección de Datos. Ello te obligaría a tender lñas peticiones de cancelación y rectificación de datos o te podrías enfrentar a sanciones...

En fin, si no tienes que hacer gestiones económicas de compra-venta en la propia web, con los usuarios, es complicarte la vida innecesariamente.
Tu en tal caso actúas como mero intermediario para que los usuarios de compra se den a conocer a los usuarios de venta y viceversa. Al no haber intermediación económica a través de tu web, no tienes potestad para reclamar esos datos.

Cuando un fabricante vende un coche al público, no puede hacer nada por garantizar que dicho vehículo, no se va a usar para cometer un robo, huir de la policía,  atropellar a un peatón, o conducir borracho...

El pago de la suscripción que deben pagar los profesionales solo, es a mí, o mejor dicho a mi empresa, por ofrecer el servicio web (Saas). Ese pago lo procesa la web automáticamente (mediante una pasarela de pago para tarjetas, paypal, domiciliación bancaria...).

Pedir documentación (escrita solo) es algo normal que hacen todas las webs que venden bienes u ofrecen servicios, pero una copia digital es otra cosa, no sé si es necesario en mi caso (para la domiciliación bancaria creo que si es requerida).

La web ofrece la posibilidad de modificar los datos de empresa y personales, por eso no hay ningún problema. Y si quieren darse de baja, igual que otros servicios como hotmail o google, cerrar cuenta y se borra todo de la base de datos. ¿Necesito estar dado de alta para esto?

Deberías de mantener la base de datos algún tiempo, es un reflejo de la actividad que realices o realicen contigo. Pero la aseguras, ¿OK?


Opinión personal.

En la AEPD tienes que estar dado de alta SI o SI. Dado que almacenas datos privados (nombre, correo electrónico, dirección etc..).



Nadie borra los datos de la base de datos. Simplemente los marcan como invisibles. Por eso en la mayoría de sitios, tu cuenta es en realidad deshabilitada y no "borrada". Para borrarlos del todo tienes que ir por la vía legal y solicitarlo personalmente.

Si decides borrarlos, tendrías que borrarlos del todo... tanto del cache, como de la base de datos como de las copias de seguridad. Un trabajo complicado para un sistema automatizado.

Saludos

Entonces, ¿todas las webs que almacenan datos privados deben de estar dadas de alta ahí? Si una web no está dada de alta, ¿eso es investigado? y se multaría, ¿no?

Ahora, ¿quien es el que se tiene que dar de alta en la AEPD? ¿el desarrollador de la web? o ¿el que la compra? Supongo que estando dado de alta como empresa o autónomo...


Eso es ¿legal? Tendrá que estar especificado en algún lugar de la web, ¿no?

Entonces no sería un DELETE, si no un UPDATE users SET status = ...

Voy a tener que ponerme en contacto con mi abogado para que redacte los términos y condiciones y la política de privacidad (¿falta algún documento?). Y yo que pensaba que este iba a ser un tema sencillito  :P

Si. En teoría todos deberían estar dados de alta ahí (incluso las listas de correo) pero no se les hace mucho caso. De todos modos eso no quiere decir que no es investigable y multable. Sobre todo si sufres una perdida de datos te pueden llover broncas mayores.

El art. 26 de la LOPD dice:

Las multas son de 900 a 40.000 euros.


El que vaya a realizar el tratamiento de dichos dato.. es decir, el que es encargado de ellos. Ten en cuenta que la ley exige que se informe a la AEPD previamente a la recolección de dichos datos así que lo suyo seria que tu vendas el producto y el comprador se encargue de darlo de alta todo antes de empezar.


Si, en los Términos y Condiciones y/o la Política de Privacidad.


Si, o incluso les puedes mover a una tabla de usuarios inactivos... así te ahorras ciclos.


La ley es la ley xD Lo ideal es que te informe bien un abogado o una asesoría.

Saludos

Muchas gracias por la información. Ahora ya lo tengo todo claro. A cumplir la ley  ;D

Dormirás mejor, créeme...