Garantire la sicurezza di un sito web

Lo sviluppo e la manutenzione del sito web svolgono un ruolo importante nella tua presenza online. Gli incidenti di cibersicurezza, come il furto dei dati dei tuoi clienti, potrebbero avere un forte impatto sulla tua impresa o sul tuo marchio a più livelli:

  • perdita di reputazione del marchio
  • interruzione dei servizi
  • perdita di fiducia da parte dei clienti
  • sanzioni regolamentari e azioni legali.

Gli incidenti di cibersicurezza che interessano i negozi online possono consistere in:

  • furto dei dati dei clienti
  • modifiche alle informazioni sulla piattaforma per il commercio elettronico
  • chiusura del sito web
  • fuga di informazioni commerciali riservate.

È inoltre molto importante prendere nota delle informazioni sensibili presenti sul sito prima di un'eventuale violazione della sicurezza. Devi considerare i seguenti quesiti:

  • Quali informazioni sono essenziali per la tua attività?
  • Dove sono conservate?
  • Possono essere ripristinate rapidamente in caso di furto a seguito di un attacco informatico?

Devi inoltre effettuare un audit completo dei sistemi, prendere atto delle componenti più importanti e seguire tutti gli aspetti. Assicurati di non essere l'unica persona della tua organizzazione a essere a conoscenza dell'audit, ma tieni anche presente che l'accesso a tutti i sistemi di dati dovrebbe essere concesso solo in base al principio della necessità di sapere.

Proteggere le informazioni sul tuo sito web

È importante riflettere sul modo in cui gli aspetti fondamentali della sicurezza delle informazioni - riservatezza, integrità e disponibilità - si applicano al tuo sito web e ai servizi offerti e determinare i requisiti di livello del servizio necessari. Questi requisiti potrebbero essere diversi a seconda degli altri elementi che hai deciso di integrare.

Per avere un sistema sicuro, occorre assicurarsi che i seguenti componenti siano protetti:

  • Riservatezza: occorre proteggere informazioni quali i numeri delle carte di credito/debito e altre informazioni personali dalla divulgazione a soggetti non autorizzati. Questo obiettivo può essere raggiunto:
    • istituendo un meccanismo di autenticazione adeguato (ad es. soluzioni di autenticazione multifattoriale, che si basano su un utente che verifica la propria identità in due o più modi)
    • utilizzando connessioni criptate (HTTPS; il protocollo di sicurezza SSL) per garantire che solo le persone giuste abbiano accesso a informazioni sensibili
  • Integrità: occorre garantire che le informazioni restino precise e affidabili proteggendole da eventuali alterazioni da parte di soggetti non autorizzati. Questo obiettivo può essere raggiunto:
    • effettuando un controllo giornaliero per individuare eventuali file modificati
    • prevedendo test di sicurezza per il sito web e i servizi offerti, al fine di evitare attacchi
    • istituendo un sistema di prevenzione delle intrusioni
  • Disponibilità: occorre garantire che il tuo sito web sia sempre operativo, se sei tu a ospitare il tuo sito. Questo obiettivo può essere raggiunto:
    • realizzando un sistema di alimentazione di emergenza
    • effettuando una manutenzione rigorosa di tutto l'hardware

Come rispondere agli incidenti di sicurezza

È importante che, in caso di violazione della sicurezza, sia messo a punto un piano di azione che preveda misure e procedure specifiche e concrete per reagire a un incidente di sicurezza. Le procedure dovrebbero definire:

  • chi ha la responsabilità principale
  • come contattare il personale critico
  • quali dati, reti e servizi dovrebbero essere considerati prioritari per il recupero
  • chi deve essere informato (proprietari dei dati, clienti o società partner) se i loro dati, o quelli che interessano le loro reti, sono esposti

Se rilevi una violazione della sicurezza, segui questa procedura:

  • informare i clienti in merito a quanto accaduto, così puoi mantenere la loro fiducia
  • assicurarsi che anche tutti i soggetti coinvolti nel tuo negozio online ne siano a conoscenza. Occorre designare un responsabile permanente dell'infrastruttura informatica nel caso in cui venga rilevato un problema di sicurezza
  • determinare la causa della violazione, con prove documentate che possono eventualmente essere utilizzate in tribunale
  • se l'incidente riguarda informazioni finanziarie, ad esempio i dati delle carte di credito, informare il fornitore che tratta le operazioni finanziarie del tuo sito.

Occorre inoltre formulare una politica per la notifica delle violazioni dei dati, che potrebbe essere inclusa nell'informativa sulla privacy e dovrebbe indicare come e quando avvisare i clienti in caso di violazione dei dati personali. Va tenuto conto anche del fatto che, ai sensi delle norme del GDPR, sei tenuto a informare l'autorità di controllo per la protezione dei dati dopo che sei venuto a conoscenza di una violazione dei dati.

A livello nazionale, le squadre di pronto intervento informatico (Computer Emergency Response Teams, CERT) sono costituite da esperti responsabili della gestione degli incidenti (come la segnalazione e la risposta alle minacce alla sicurezza). Possono darti informazioni su cosa fare e a chi rivolgerti per chiedere aiuto se sei vittima di un attacco informatico. Pubblicano anche segnalazioni di vulnerabilità e minacce nel tuo paese.

Conformità alle norme di protezione dei dati

Il regolamento generale sulla protezione dei dati stabilisce obblighi per le imprese che raccolgono, conservano e gestiscono dati personali. I due principali obiettivi del GDPR sono la trasparenza e l'informazione del pubblico sulle modalità di utilizzo dei loro dati.

Per maggiori informazioni sulle disposizioni generali del regolamento generale sulla protezione dei dati e su come si applicano alla vostra impresa, consultare la sottosezione sulla protezione dei dati.

La parte del tuo negozio online maggiormente soggetta al GDPR è l'informativa sulla privacy. Si tratta di un documento in cui la tua impresa spiega come tratta i dati personali e come applica i principi di protezione dei dati. Se il sito raccoglie direttamente i dati personali di un utente, l'informativa sulla privacy dovrebbe essere visualizzata nel momento in cui lo fa.

L'informativa sulla privacy deve essere:

  • scritta in linguaggio conciso, trasparente e comprensibile
  • facilmente accessibile
  • fornita gratuitamente e tempestivamente.

Scopri cosa dovrebbe contenere l'informativa sulla privacy

L'informativa sulla privacy visualizzata nel negozio online deve contenere le seguenti informazioni:

  • l'identità e i recapiti dell'impresa, del suo rappresentante designato e del suo responsabile della protezione dei dati en
  • le finalità per le quali l'impresa tratta i dati personali degli utenti e i motivi giuridici per farlo
  • gli interessi legittimi della tua impresa nel trattamento dei dati personali
  • tutti i destinatari dei dati degli utenti
  • se i dati personali sono trasferiti a un paese al di fuori dell'UE
  • il periodo di conservazione dei dati
  • i diritti degli utenti in relazione ai loro dati trattati, in particolare i loro diritti di:
    • revocare il consenso in qualsiasi momento
    • proporre reclamo all'autorità di controllo
  • se i dati personali degli utenti sono forniti sulla base di obblighi statutari o contrattuali
  • se esiste un sistema decisionale automatizzato, che comprende la profilazione dei dati (il processo mediante il quale i dati già raccolti sono analizzati per motivi statistici)

L'informativa sulla privacy visualizzata nel negozio online deve contenere le seguenti informazioni:

  • l'identità e i recapiti dell'impresa, del suo rappresentante designato e del suo responsabile della protezione dei dati
  • le finalità per le quali l'impresa tratta i dati personali degli utenti e i motivi giuridici per farlo
  • gli interessi legittimi della tua impresa nel trattamento dei dati personali
  • tutti i destinatari dei dati degli utenti
  • se i dati personali sono trasferiti a un paese al di fuori dell'UE
  • il periodo di conservazione dei dati
  • i diritti degli utenti in relazione ai loro dati trattati, in particolare i loro diritti di:
    • revocare il consenso in qualsiasi momento
    • presentare un reclamo all'autorità di controllo
  • le categorie di dati personali ottenuti dalla tua impresa
  • se esiste un sistema decisionale automatizzato, comprendente la profilazione dei dati

Le informative sulla privacy devono essere fornite per iscritto e per via elettronica (se del caso), pubblicate in una sezione specifica del sito web (ad esempio: politica in materia di privacy en ) e devono essere accessibili direttamente da qualsiasi pagina o sottopagina del sito.

Per maggiori dettagli e consigli utili sull'elaborazione della politica in materia di privacy, è possibile consultare questi orientamenti en pratici.

Legislazione dell'UE

Hai bisogno di aiuto?

Contatta i servizi di assistenza specializzati

Hai domande su come svolgere un'attività transfrontaliera, ad esempio l'esportazione o l'espansione in un altro paese dell'UE? La Enterprise Europe Network può fornirvi una consulenza gratuita.

Puoi anche utilizzare il servizio di assistenza per trovare l'aiuto giusto per te.

Ultima verifica: 24/05/2024
Condividi questa pagina