Guía práctica de cumplimiento de seguridad web para freelancers y agencias

Cuando un cliente pregunta "¿esto cumple con OWASP?" o "¿estamos cubiertos para GDPR?", no siempre es fácil responder sin traducir jerga legal-técnica. Esta guía resume, estándar por estándar, qué revisa realmente un escáner de seguridad web como IntGuard y qué queda fuera de su alcance.

Checklist descargable en PDF

Los mismos puntos de esta guía, en un documento listo para imprimir o compartir con tu cliente.

Descargar PDF

OWASP — configuración y hardening

Cubre control de acceso roto (A01) y errores de configuración de seguridad (A05) del OWASP Top 10.

Qué es

Un marco de referencia de las vulnerabilidades web más comunes, mantenido por la comunidad OWASP.

A quién aplica

A cualquier sitio web, sin excepción. Es el estándar base de higiene de seguridad.

Qué revisa IntGuard

Cabeceras de seguridad, cipher suites TLS, paneles administrativos expuestos, archivos sensibles accesibles y mixed content — de forma pasiva, sin payloads intrusivos.

PCI DSS v4.0 — si procesas pagos

Obligatorio para cualquier negocio que procese, almacene o transmita datos de tarjetas.

Qué exige

El Requisito 11.2 exige escaneos de vulnerabilidades internos y externos cada 3 meses, y tras cualquier cambio significativo de infraestructura.

Qué cubre IntGuard

Los escaneos externos: SSL/TLS, CVEs en componentes públicos, cabeceras de seguridad, exposición de servicios. Informes PDF/CSV exportables con fecha, hallazgos y puntuación.

Qué NO cubre

IntGuard no es un Approved Scanning Vendor (ASV) certificado. Es complementario, no sustituye el escaneo ASV trimestral oficial para comercios nivel 1-4.

ISO/IEC 27001:2022

Evidencia de medidas técnicas apropiadas dentro de un Sistema de Gestión de Seguridad de la Información (SGSI).

Qué exige

Un proceso documentado y repetible de gestión de vulnerabilidades, con evidencia auditable.

Qué aporta IntGuard

Registro histórico de escaneos, exportable en PDF/CSV, útil como evidencia de control técnico ante un auditor ISO.

GDPR / RGPD

Medidas técnicas y organizativas apropiadas (art. 32) para proteger datos personales.

Qué exige

Cifrado en tránsito, notificación de brechas en 72h (art. 33-34), y DPA con proveedores relevantes.

Qué aporta IntGuard

Verificación de TLS en subdominios activos y disponibilidad de DPA bajo demanda en el plan Pro.

NIS2

Aplica a operadores de servicios esenciales e importantes en la UE.

Qué exige

Gestión de riesgos documentada, monitorización continua y plan de respuesta a incidentes.

Qué aporta IntGuard

Escaneos automáticos recurrentes (diarios o cada 12h según plan) que cubren la parte de monitorización continua de la superficie expuesta.

Empieza tu primer escaneo de cumplimiento

Plan gratuito disponible, sin tarjeta de crédito.

Escanear gratis Ver planes