780/B Viale Antonio Gramsci
Zocca, Modena 41059
389.2652704
059.985313
info@ivansandrolini.it
commerciale@ivansandrolini.it

Tag: Sicurezza


Come adeguare il sito web al GDPR entro il 25 Maggio

Ben ritrovati sul mio blog!

Il General Data Protection Regulation è il regolamento europeo sulla protezione dei dati e sulla gestione della privacy che entrerà in vigore a partire dal 25 maggio 2018: si tratta di un considerevole cambiamento nella cybersicurezza finalizzato a tutelare ulteriormente i dati personali dei cittadini europei.

Poiché si tratta di un regolamento europeo, verrà recepito dal nostro Paese in maniera obbligatoria e senza interventi di adeguamento da parte dei legislatori nostrani: ogni Stato europeo dovrà adattarsi a istituire una società preposta a verificare l’applicazione alla normativa e le misure correttive da fare osservare in caso di eventuali violazioni.

Con il GDPR si giunge a un nuovo tassello di legislazione europea sul trattamento dati.

Il regolamento – che diverrà esecutivo il 25 maggio di quest’anno senza possibilità di ritardi, essendo appunto un’attuazione senza necessità di adattamento – punta a offrire nuove modalità di tutela ai cittadini europei che cedono i propri dati personali a terzi, e renderà più uniformata l’attività di trattamento dati nei vari Stati membri.

Benché i principi di tutela privacy restano gli stessi degli anni precedenti, ora si nota una mano maggiormente calata sulle assicurazioni da offrire ai proprietari dei dati personali sulla correttezza di trattamento delle loro informazioni.

I proprietari e i gestori dei siti dovranno quindi rimboccarsi le maniche per adempiere alla nuova normativa sulla cybersicurezza, il che non è detto che sarà semplice per coloro che non sono ferrati in materia giuridica.

Quali sono gli obblighi del GDPR per i proprietari dei siti?

La Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali disponibile sul sito del Garante della Privacy fornisce una panoramica esaustiva sugli obblighi che attendono imprese e professionisti. Essa mette a punto un sistema articolato di gestione dei dati personali che vede il Titolare dei dati personali tenuto a dimostrare di rispettare l’applicazione al GDPR.

Ciò significa che imprese ed enti articolati dovranno individuare un Data Protection Officer, un responsabile del trattamento dati appositamente previsto nella gerarchia aziendale per rispondere alle numerose criticità informative, gestionali e di rendicontazione.

Il nuovo Regolamento europeo sulla privacy prevede sanzioni piuttosto pesanti: possono arrivare fino a 20 milioni di euro oppure al 4{d97bc50ceab22245aad044fae9685ca472fc4fc5b1e8f57e806f3a7a82673879} del fatturato globale, qualora i 20 milioni non dovessero essere efficaci come sanzione. Una bella batosta per un’impresa di piccole o medie dimensioni, non pensi?

Quali sono i dati da gestire che interessano i proprietari dei siti web?

La normativa fa riferimento ai dati personali, ovvero a tutte quelle informazioni legate alle persone (nome, indirizzo IP, coordinate bancarie…) e in particolare alla combinazione dei dati tali da portare all’identificazione dei singoli utenti; ciò comporta che anche i cookie impiegati per trattare dati personali rientrino nel GDPR.

I cookies infatti, a parte quelli tecnici, rientrano tra i servizi di terze parti che collezionano informazioni sugli utenti e il responsabile del trattamento dati è tenuto a offrire ai visitatori del proprio sito chiare indicazioni su come i dati vengono conservati e trattati.

Il GDPR richiede quindi che tutti i servizi che memorizzano dati di utenti europei vengano espressamente descritti nella policy, rendendo gli utenti edotti di ciò che forniscono ai servizi e come fare per modificarli o cancellarli.

Anche se non sembra, ci sono molti dati personali che vengono memorizzati nell’ambito della consultazione di un sito web (e a maggior ragione negli ecommerce) da cui derivano molteplici obblighi legati alla sicurezza.

Pensiamo per esempio alle password memorizzate dagli utenti nei forum e negli shop online, alla crittografia da implementare per tutelare la trasmissione dei dati relativi ai pagamenti, alle policy da redigere con competenza per assicurarsi che abbiano qualità di integrità, correttezza ed esaustività.

Il GDPR comporta un orientamento al trattamento dei dati più rigoroso e trasparente, in particolare:

  • tentare di memorizzare la minore quantità possibile di dati personali
  • rendere le finalità per le quali i dati sono memorizzati più palesi e meglio riscontrabili
  • elaborare i dati accumulati solamente previa specifica autorizzazione, rendendo perfettamente comprensibile gli scopi dell’elaborazione ai fruitori

I proprietari dei siti web situati nell’Unione Europea devono rendere evidente la propria privacy policy indicando:

  • quale genere di dati viene raccolto
  • chi sta monitorando gli utenti
  • chi si occupa della conservazione delle informazioni
  • dove e per quanto tempo i dati vengono memorizzati

I titolari del trattamento dati devono permettere inoltre ai visitatori di modificare le preferenze sul sui dati personali in ogni momento, compresa la richiesta di cancellazione dei dati se necessario.

Tra i principali dati impiegati nei siti web e negli ecommerce che rientrano nella normativa possiamo avere:

  • i dati sensibili legate agli utenti
  • quanto inserito nei forum dei commenti e i moduli di contatto
  • le credenziali di accesso
  • gli strumenti di Analytics e di tracciamento per finalità di web marketing
  • i plugin che tracciano i dati degli utilizzatori

Tutti questi dati personali devono essere quindi chiaramente espressi nella privacy policy del sito, in modo che gli utenti possano offrire un consenso esplicito e informato. Tale consenso deve essere registrato per averne prova, e deve potere essere revocabile in ogni momento da parte dei proprietari dei dati.

Come mettere insieme una serie di regole precise, esaustive e corrette, che mettano al sicuro dalle pesanti sanzioni e dai danni che potrebbero subire i proprietari dei dati?

Richiedi una CONSULENZA GRATUITA!!! —> 389.2652704 / info@ivansandrolini.it

 

Come adeguare il proprio sito al GDPR?

Il GDPR costituisce a conti fatti un’evoluzione della normativa sul trattamento dati personali che sposta l’asticella ancora più in alto per quanto riguarda i doveri a carico di blogger, webmaster e proprietari di ecommerce.

Tra i vari impegni a cui fare fronte rientra:

  • monitorare i servizi attivati sul proprio sito ed ecommerce che memorizzano i dati personali
  • confrontare le informazioni memorizzate dal portale con quelle previste dal GDPR
  • tenere traccia del consenso offerto dagli utenti

Per rendersi in linea con la nuova normativa sul trattamento dati occorre svolgere un’attività di analisi per comprendere quali ripercussioni in termini di trattamento dati comportano l’infrastruttura e le funzionalità del nostro portale.

Attraverso la valutazione iniziale si appura se l’azienda è in possesso di dati inerenti i cittadini europei, e di conseguenza di quali informazioni occorre trattare nella policy, oltre naturalmente a stimare l’impatto sul personale aziendale che la tutela dei dati possa avere.

I dati dovranno essere memorizzati in appositi archivi facilmente rintracciabili ed esaminabili all’occorrenza. Il consenso da richiedere ai proprietari dei dati deve essere ovviamente riferito a ciascun servizio, non si può chiedere una sola approvazione cumulata.

Una volta individuate le criticità da risolvere, bisognerà mettere mano a un piano di regolamento consistente nelle misure da adottare in termini di rendicontazione sul trattamento dei dati personali.

Il responsabile del trattamento dati – la cui nomina è obbligatoria per le aziende – deve mettersi in condizione di poter assicurare la sicurezza dei dati in proprio possesso, la tempestività e la correttezza delle comunicazioni agli interessati.

Essere in regola con il GDPR significa anche avere il diritto di difendersi a fronte di eventuali contestazioni su possibili illeciti avvenuti.

Ovviamente, il titolare dei dati dovrà provvedere a una continua azione di monitoraggio per appurare la rispondenza delle proprie dichiarazioni alla mutata situazione del portale.

Attraverso una valutazione dei cambiamenti nel tempo dei dati memorizzati, si può prendere consapevolezza della gravità delle violazioni subite per stimare i danni e le misure da adottare.

Tieni presente inoltre che le falle della sicurezza e le violazioni avvenute ai danni dei proprietari dei dati devono essere segnalate entro 72 ore dalla scoperta.

Hai bisogno di una mano per mettere in regola il tuo sito con gli obblighi del GDPR?

Richiedi una CONSULENZA GRATUITA!!! —> 389.2652704 / info@ivansandrolini.it

 


Perchè sono importanti i Certificati SSL

Come riconoscere un sito certificato SSL

Non Sicuro:
Un sito privo di certificato SSL è riconoscibile per l’assenza del simbolo del lucchetto a sinistra dell’indirizzo web e non garantisce una connessione sicura a chi lo visita, soprattutto in merito al trasferimento di dati come quelli immessi tramite Moduli di contatto, Autenticazione utenti, Pagamenti, Registrazione utenti. Questo oltre a mettere a rischio la credibilità del tuo business penalizza la visibilità del tuo sito in quanto anche Google assegna maggior valore ai siti web dotati di certificato SSL, privilegiandoli nei risultati delle ricerche rispetto ai concorrenti.

Sicuro:
Un lucchetto verde a sinistra dell’indirizzo web identifica un sito sul quale è attivo e correttamente installato un Certificato SSL. Questo oltre a validare in modo univoco il sito che gli utenti stanno visitando, fornisce la garanzia di comunicazioni affidabili e sicure, criptate con protocollo https, tra il visitatore ed il sito web. I dati che vengono inseriti nei moduli di comunicazione, qualunque essi siano (dati anagrafici, credenziali di accesso, carte di credito, …) vengono criptati e non sono intercettabili da parte di nessuno.

Altamente Affidabile:
Quando tra il lucchetto e l’indirizzo web compare in verde anche il nome dell’azienda, si sta visitando un sito dotato di Certificato SSL di tipo EV (Extended Validation). Questo tipo di certificato è rilasciato solo in seguito ad una procedura di verifica molto accurata dell’azienda che lo richiede da parte dell’Autorità di certificazione e ratifica in modo chiaro e inequivocabile che il sito è proprietà di una struttura solida e ben fondata. Questo fornisce ai visitatori la massima garanzia sull’identità del sito, sull’affidabilità dell’azienda e dei suoi prodotti, sulla sicurezza dei dati trasmessi attraverso di esso e garantisce molto più prestigio e valore al brand aziendale.

Cos’è un certificato SSL?
Grazie all’utilizzo del protocollo HTTPS è possibile scambiare dati su internet in maniera sicura, in quanto questi ultimi verranno criptati utilizzando la tecnologia SSL (Secure Socket Layer).
Quando visitiamo un sito web, i dati che vengono scambiati tra il nostro browser ed il server sul quale viene ospitato il sito visitato possono essere intercettati, durante la trasmissione, da una terza persona che verrebbe a conoscenza dei dati trasmessi e ricevuti. Per evitare questo si utilizza https e la tecnologia SSL che permettono, attraverso l’utilizzo di un certificato SSL emesso da un ente certificatore, di criptare le informazioni trasmesse rendendole di fatto non intercettabili.

Che differenza c’è tra un certificato DV, OV e EV?
Sostanzialmente le Autorità di certificazione (Certification Authority) rilasciano tre tipologie di certificati che si differenziano per la modalità con cui un’azienda viene verificata dall’ente certificatori. Un certificato di tipo DV (Domain Validation) è il più semplice da ottenere, in quanto i tempi di emissione sono piuttosto brevi (1 giorno). Con questo tipo di certificato verrà “validato” esclusivamente il nome a dominio; questo significa che, basterà avere la possibilità di gestire ad esempio il DNS o le Email del dominio per il rilascio del certificato. Avremo quindi la certezza che lo scambio di informazioni tra il sito internet ed il nostro browser avvenga in modo criptato, ma non avremo la certezza del proprietario del dominio, su cui non verrà fatto alcun accertamento. Diverso il discorso per il certificato di tipo OV (Organization Validation) in cui viene fatta la verifica del richiedente e perciò verrà validata l’organizzazione. Durante la fase di verifica, chiamata “vetting” verranno convalidati i dati aziendali al fine di verificarne l’autenticità rispetto al dominio che si vuole certificare. Infine, il certificato EV (Extended Validation) rappresenta il più alto livello di validazione, in quanto la fase di vetting risulta essere molto accurata. Grazie a questo certificato si avrà la possibilità di esporre il proprio nome aziendale direttamente nella barra di navigazione (cosiddetta Green bar).

Perché dovrei acquistare un certificato SSL?
Un certificato SSL associato al tuo dominio lo rende di sicuro più autorevole agli occhi del visitatore. Inoltre avrai la certezza che i dati scambiati tra il tuo sito ed il visitatore siano criptati e non intercettabili. Se il tuo dominio contiene al suo interno form di registrazione utente, form per l’invio di email informative, moduli per il pagamento elettronico sicuramente necessiti di un certificato SSL per proteggere lo scambio di questi dati sensibili. Inoltre il motore di ricerca Google ha apertamente dichiarato di premiare, a livello di ranking, i siti che saranno esposti su internet attraverso una connessione sicura HTTPS.

Quale certificato SSL dovrei scegliere?
La scelta del certificato SSL più adatto alla tua attività dipende sostanzialmente dalla tipologia di sito internet che si vuole proteggere. Qualora il proprio sito internet abbia esclusivamente pagine statiche o comunque form di registrazione o invio mail, sicuramente la scelta più comune ricade sulla tipologia DV (Domain Validation) dove non viene fatta alcuna verifica a livello organizzativo ed il rilascio del certificato è pressoché immediato. Nel caso invece il proprio sito internet contenesse moduli per l’invio di dati relativi a carte di credito, ad esempio per la vendita di prodotti online, la scelta più adatta, dal punto di vista della sicurezza per l’acquirente, appare essere un certificato SSL di tipo OV (Organization Validation). Grazie alla validazione a livello organizzativo infatti, il proprio sito internet verrà percepito dall’acquirente come fortemente sicuro, aumentanto la sua propensione all’acquisto. Infine, il certificato EV (Extended Validation) è consigliato a quelle organizzazioni più strutturate che necessitano di mostrare il proprio brand nella barra di navigazione, al fine di dare la certezza assoluta al compratore di essere all’interno dello store di quel brand. L’investimento monetario risulta essere sicuramente più importante rispetto alle altre tipologie di certificati ssl, ma il ritorno in visibilità e affidabilità del brand è sicuramente maggiore.

Contattaci e sceglieremo insieme il Certificato SSL più adatto alle tue esigenze !!
Email : info@ivansandrolini.it Tel : 059-985313 / 389-2652704