Protocolli di sicurezza sul sito web

Il sito web per essere sicuro quando l’utente interagisce ai fini di trasmissione dei dati personali deve essere protetto con protocolli crittografici (come quello “https” (hypertext transfer protocol over secure socket layer)). L’utilizzo di un protocollo di rete non sicuro (quale il protocollo “http” (hypertext transfer protocol)) sul sito web comporta di rischi per la sicurezza dei dati personali, come il furto d’identità.

Cosa sono i protocolli http e HTTPS

Il protocollo http è un canale di comunicazione tra client e server: il primo richiede l’accesso a determinati dati e il secondo si occupa di cercarli e restituirli al client. Il client corrisponde al browser ed il server al sito web. In questo caso non viene utilizzata la crittografia.

La conseguenza è che le comunicazioni avvengono in “chiaro”, quindi “leggibili” da chiunque riesca ad intercettare il flusso di scambio dati.

Il protocollo crittografico (https) viene usato un livello aggiuntivo di cifratura SSL/TLS per proteggere le comunicazioni sul sito web. Il protocollo HTTPS garantisce l’identificazione del sito web che si sta visitando e del server web che lo ospita. Inoltre, fornisce la crittografia bidirezionale della comunicazione, proteggendo l’utente dal pericolo di essere intercettato o di visitare siti manomessi.

L’HyperText Transfer Protocol over Secure Socket Layer rispetta dunque i principi di autenticazione (del sito web visitato), riservatezza del dato e integrità del dato.

La sanzione del Garante

Il Garante privacy ha ribadito la necessità di utilizzare i protocolli di sicurezza https, sanzionando un’Azienda fornitrice di servizi idrici per 15.000 euro, per non aver protetto adeguatamente i dati dei clienti registrati sull’area riservata del proprio sito web.

Diversi i dati personali dei clienti che transitavano mediante tale canale. Dalle credenziali di autenticazione (nome utente e password) alle anagrafiche, con nomi e cognomi. Codici fiscali/partite IVA, indirizzi di posta elettronica, numeri di telefono e dati di fatturazione.

La soluzione adottata dall’Azienda violava importanti principi sanciti dal Regolamento come quello di “integrità e riservatezza” dei dati trattati. Infatti, spetta al titolare mettere in atto misure tecniche e organizzative idonee. Misure che garantiscono un livello di sicurezza adeguato al rischio, come la cifratura dei dati personali.

Le misure di sicurezza da adottare sul sito web

Il Garante sottolinea come il Titolare debba mettere in atto la “protezione dei dati fin dalla progettazione” (privacy by design), sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso, misure tecniche e organizzative adeguate, volte ad attuare in modo efficace i principi di protezione dei dati e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del Regolamento e tutelare i diritti degli interessati. Inoltre, successivamente effettuare revisioni periodiche delle misure di sicurezza adottate.

Tali obblighi, ha precisato il Garante, si applicano anche ai sistemi preesistenti alla data di efficacia del Regolamento (25 maggio 2018).

Questo significa che i sistemi progettati prima dell’entrata in vigore del Regolamento devono essere sottoposti a verifiche e manutenzione per garantire l’applicazione di misure e garanzie che mettano in atto i principi e i diritti degli interessati in modo efficace.

Hai bisogno di informazioni? Contattaci