I consigli utilissimi di Marc Lampo, Security Officer di Eurid, l’organizzazione no-profit designata dalla Commissione europea per gestire il dominio di primo livello .eu.
I titolari di un negozio elettronico devono far capire ai clienti che hanno davvero a cuore la loro privacy e la loro sicurezza. Solo così si può costruire credibilità e rassicurare i visitatori del sito che stanno trattando con un’azienda legittima.
Lo pensa fermamente Marc Lampo, il Security Officer di Eurid, l’organizzazione no-profit designata dalla Commissione europea per gestire il dominio di primo livello .eu e che lavora con oltre 850 registrar.
Pubblicare una politica sulla privacy e la sicurezza
Per Lampo la politica per la privacy e la sicurezza dovrebbe descrivere le misure adottate per proteggere i dati dei clienti e spiegare, con linguaggio semplice, in che modo i dati raccolti sul sito web saranno o non saranno utilizzati.
È una buona idea pubblicare tali spiegazioni in punti ben visibili del sito, per esempio in corrispondenza della richiesta di nome e indirizzo o dei dati della carta di credito perché, sebbene nessuno si prenda la briga di leggere tutta la politica sulla privacy e la sicurezza, a tutti piace essere rassicurati.
Ottenere una certificazione indipendente
Le certificazioni indipendenti o “privacy seal”, come quelle offerte da EuroPriSe (European Privacy Seal) e Truste, rassicurano i clienti che si fornirà i loro dati privati a terzi senza il consenso.
Con un marchio di certificazione della tutela della privacy si comunica loro che si è contrattualmente tenuti a rispettare una serie di prassi relative alla privacy e che, di conseguenza, essi sono protetti in quanto consumatori.
Molti titolari di negozi online considerano la sicurezza e la privacy dei dati come delle seccature. Ma i consumatori apprezzano le società che danno valore alla loro privacy e dimostrano il loro apprezzamento sotto forma di acquisti reiterati.
Lampo, quindi, ci fornisce sei misure pratiche per tutelare la privacy dei clienti.
1 – Informarsi sui partner d’affari
Nei contratti con fornitori e venditori vanno previste clausole per la sicurezza e la privacy, in modo che sappiano che la privacy del clienti è una priorità e che ci si aspetta lo sia anche da loro.
2 – Procurarsi un certificato SSL
Un certificato Ssl (Secure Sockets Layer) è essenziale per la protezione dei dati sensibili trasmessi via Internet, come gli estremi di pagamento introdotti dai clienti. Il certificato è attivato quando il cliente accede al sito mediante un URSL che inizia con “https” anziché con “http”.
Con l’Ssl vengono criptati sia il modulo di trasmissione contenente i dati personali sia le informazioni ritrasmesse al browser del cliente una volta inviato il modulo. I clienti vedranno un valido certificato SSL perché il simbolo del lucchetto verde SSL sarà visualizzato nell’angolo della finestra del browser quando vistano il sito: l’icona garantisce che la trasmissione di informazioni riservate a partire da quella pagina è sicura.
3 – Limitare la raccolta di dati
Vanno raccolti solo i dati personali necessari affinché i visitatori possano interagire o accedere ai prodotti o servizi, e conservarli solo per il tempo necessario ai fini delle vostre attività o conformemente alle disposizioni delle direttive UE in materia.
– Informazioni sulle carte di credito
La prassi migliore è non archiviare alcuna informazione sulle carte di credito. Questa politica si può attuare ricorrendo a portali indipendenti di pagamento in tempo reale, come Moneybookers, Ogone o PayPal, che gestiscono i pagamenti. In questo modo non c’è bisogno di archiviare dati sulle carte di credito nel server per cui, se fosse messo in pericolo, non vi sarebbero numeri di carte da credito da rubare.
Se non si utilizza un portale di pagamento, bisogna accertarsi di acquisire i dati di pagamento e altre informazioni di natura riservata attraverso un canale sicuro, come https o una connessione FTP (File Transfer Protocol), cancellandoli quando non se ne ha più bisogno.
– Liste di nozze e wishlist
Se il sito offre la possibilità di pubblicare liste di regali o prodotti desiderati, va verificato quante informazioni rivela sulle persone corrispondenti a quelle che un visitatore potrebbe ricercare. Va trovato un equilibrio in base al quale ridurre al massimo le informazioni pubblicate pur facendo in modo che i clienti riconoscano la persona per la quale fanno un acquisto. Bisogna accertarsi che informazioni le informazioni supplementari raccolte siano archiviate altrove e non siano accessibili a partire dal server front-end.
– Cookie
I cookie permettono un’accoglienza personalizzata del cliente sul sito web ad ogni sua visita e facilitano le operazioni di acquisto al cliente ricordando dettagli come nome, indirizzo e numero di carta di credito in modo tale che questi non debba reintrodurre tali informazioni ogni volta.
In Europa è necessario l’esplicita autorizzazione del cliente prima di installare un cookie sul suo computer, conformemente a una nuova legislazione dell’Unione europea, in vigore da marzo 2011, che disciplina l’impiego dei cookie.
4. Mantenere aggiornati i software
Fondamentale mantenere aggiornati i software controllando e installando regolarmente gli update e i patch, in particolare quelli relativi alla sicurezza.
5. Limitare l’accesso del personale
Va consentito l’accesso alle informazioni relative ai clienti e ai pagamenti solo alle persone che ne hanno effettiva necessità per il loro lavoro. Bisogna archiviare i dati sensibili su computer separati, appositamente dedicati, tenendo un registro di ogni accesso a tali dati.
Quando si assume una persona, va incluso nel contratto di lavoro una dichiarazione sulla privacy che proibisce espressamente la divulgazione di informazioni a terzi e, allorché una persona lascia la società, cambiare la(le) sua(e) password affinché non possa più accedere ai sistemi. Va esortato il personale a utilizzare password sicure (ossia password difficilmente violabili perché sufficientemente complesse) e adottare una politica di cambio frequente delle stesse per proteggere gli account da accessi non autorizzati.
6. Divulgare dati il meno possibile
Non bisogna trasferire più dati del necessario al momento di condividerli fra il sito e altre applicazioni, ad esempio un software di contabilità o una mailing list. Se non serve un numero di carta di credito per inviare un’e-mail al cliente, non va scaricato. Trasferire informazioni non necessarie comporta una duplicazione di dati in diverse localizzazioni online, che li rende più vulnerabili ad eventuali attacchi.
Come Eurid tutela la privacy con Whois
Lampo rivela di avere milioni di titolari di domini .eu i cui dati sono archiviati nella banca dati Whosi. Come registro di nomi a dominio di primo livello, Eurid è tenuto a pubblicare alcuni dettagli relativi ai titolari .eu, ma ha adottato rigide misure volte a limitare il più possibile la quantità di dati che divulga e a limitarne l’uso improprio.
Al momento di registrare i loro nomi a dominio .eu, i titolari .eu accettano che i loro dati siano pubblicati nella banca dati .eu. Tuttavia, qualora il titolare sia una persona fisica, si limita automaticamente tali dati di contatto a due sole voci: un indirizzo e-mail e la lingua scelta per la corrispondenza.
Ciò significa che i dati più personali di quella persona non sono divulgati al pubblico. Nonostante tutti possano consultare delle informazioni sui nomi a dominio .eu o i loro titolari accedendo alla banca dati via whois.eu, sono state adottate misure per prevenire il data mining, un processo grazie al quale un programma computerizzato o script raccoglie grandi quantità di dati, come ad esempio indirizzi e-mail, a fini abusivi come lo spamming.
Codice Captcha
Chiunque consulti un nome a dominio sulla banca dati deve introdurre un codice Captcha. Si tratta di un codice composto di lettere e numeri che vengono visualizzati in modo distorto e sotto forma d’immagine. Gli utenti devono digitare manualmente il codice visualizzato in una finestra di testo e hanno accesso ai dati solo se lo avranno digitato correttamente. Un computer non può ricreare un testo a partire da un’immagine come una persona, per cui i codici Captcha impediscono ai programmi computerizzati di accedere alle informazioni sui nomi a dominio .eu e i loro titolari. Oltre ai codici Captcha è stato posto un limite al numero di volte che una singola persona può accedere alla banca dati Whois dallo stesso computer ogni 60 secondi. Si tratta di limiti che non influiscono sull’accesso di un essere umano alla banca dati, ma che riducono ulteriormente la possibilità di abuso attraverso script automatici.