Con una recente disposizione, il Garante della privacy ha inflitto una pesante ammenda a un’azienda che non aveva attivato meccanismi di protezione SSL/TLS per mettere al sicuro gli accessi nell’area riservata del proprio sito.

Questo precedente rende la cifratura SSL obbligatoria, e chi non assicura la protezione dei dati personali sui siti internet è sanzionabile.

Il caso

Anche se non sono state rilevate violazioni dei dati, il Garante ha individuato infrazioni ai principi fondamentali del GDPR – in particolare, la mancata valutazione dei rischi per la sicurezza dei dati personali nella progettazione del sito Internet (privacy-by-design).

Il Garante aveva già sottolineato in precedenti sentenze come l’interazione di un utente con un sito Web per la trasmissione di dati personali debba essere protetta tramite crittografia SSL.

Cos’è un certificato SSL?

I certificati SSL forniscono una garanzia sull’autenticazione del dominio del sito e sull’effettiva identità dell’azienda collegata a quel dominio: gli utenti sono così protetti da possibili attività criminali, come frodi e furto dei dati.

La crittografia della trasmissione dati è uno degli aspetti fondanti nella progettazione di un sito, per una cybersecurity moderna, affidabile e rispettosa della compliance. I certificati SSL innalza la sicurezza delle comunicazioni grazie alla crittografia end-to-end: i dati non saranno intercettabili e rimarranno accessibili solo a chi li invia (server Web) e a chi li riceve (client).

Pertanto, assume estrema rilevanza in tutte le tipologie di siti Web che prevedono aree di autenticazione attraverso l’uso di credenziali, ed eCommerce che prevedono l’inserimento di metodi di pagamento.

Come verifico la sicurezza di un sito?

Durante la navigazione, la disponibilità di un certificato SSL è sottolineata dal prefisso HTTPS posto in prossimità dell’indirizzo del sito. Il browser in uso identifica il certificato e rende chiara l’adozione di meccanismi di cifratura abilitando una specifica “icona lucchetto” nella toolbar.

In questo modo, utenti e piattaforme possono verificare rapidamente l’origine e l’integrità delle componenti software, riducendo drasticamente l’impatto di malware e minacce sulla rete e sugli endpoint.

Contemporaneamente, questi accorgimenti contribuiscono a consolidare identità e immagine di una società e di un marchio.

Tipologie di certificati

I certificati SSL sono rilasciati da un’Autorità di Certificazione e da rivenditori abilitati. Esistono tre fondamentali tipi di certificati, affiancati da tipologie di servizi accessori e garanzie variabili:

  • Domain Validated (DV): pensato per certificare unicamente il dominio Internet. Sono adatti per quei siti che ospitano aree di accesso tramite login, pagine dedicate con form compilabili e per i siti che, in generale, contengono informazioni che non includano attività di transazioni economiche o di altra forma. I DV possono essere richiesti solo dal proprietario effettivo del dominio.
  • Organization Validated (OV): una soluzione indicata per eCommerce e portali Web che adottano piattaforme per transazioni. Gli OV consentono di certificare la proprietà del sito da parte di un’azienda e possono essere richiesti esclusivamente da personale autorizzato a rappresentarla.
  • Extended Validated (EV): sono strutturati per soddisfare le esigenze di grandi aziende, del mondo enterprise e delle piattaforme di eCommerce nazionali e internazionali.

La nostra soluzione

Realizziamo siti internet da oltre quindici anni. Sceglici se sei alla ricerca di un’azienda esperta nell’utilizzo dei migliori CMS per il tuo sito internet o eCommerce.

 

Fonte: Aruba (Certificati SSL, il Garante sanziona i siti senza HTTPS)