Adeguamento GDPR per aziende e consulenti, compresi i siti web.

Abbiamo tempo fino al 25 Maggio per adeguare i nostri siti web al regolamento interno GDPR (General Data Protection Regulation) ,  le sanzioni sono abbastanza pesanti per cui è meglio spendere qualche euro e mantenere aggiornati i propri sistemi che pagare multe salate.

Cosa succede se un sistema viene violato (Data Breach) ?
Bisogna comunicare immediatamente al garante il data breach con tutte le conseguenze che ne derivano

Data Breach: è la trasmissione o comunicazione non autorizzata di informazioni “sensibili” ad una parte, solitamente esterna all’organizzazione vittima, che non è autorizzata a possedere o vedere l’informazione.

Cosa fare su server, hosting, siti web? PRIVACY BY DESIGN: “tutti i sistemi devono essere disegnati per essere inespugnabili ed in regola con il GDPR.”

Per quanto riguarda i server dedicati o sistemi in cloud, è necessario prendere alcuni accorgimenti:
Firewall: deve proteggere il sistema ed esporre all’esterno solo le porte necessarie per l’operatività necessaria e solo alle sorgenti autorizzate
SSH e FTP: gli accessi SSH devono essere consentiti solo con chiave pubblica e con restrizioni IP e solamente a soggetti autorizzati, niente password. Per gli accessi in FTPdevono essere consentiti solo in modalità TLS
Backup: predisporre dei backup regolari dei dati, dei siti e dei database e assicurarsi che il ripristino sia sempre possibile.
Password: devono essere sicure e lunghe, ad esempio composte da numeri lettere almeno una maiuscola e almeno un simbolo. Evitare di trasmettere password in chiaro.
PC e Terminali: mantenerli sempre aggiornati ed evitare infezioni di trojan.

Come comportarsi con i siti web

Nel caso un sito web dovesse essere “bucato”, la normativa del GDPR impone di comunicare tempestivamente al Garante l’avvenuto Data Breach, notificare quindi che il tuo sito è stato violato e che sono stati trafugati i dati dei tuoi clienti/utenti/fornitori.

Non basta quindi ripulire il sito e modificare le password, ma bisogna comunicare il data breach al Garante e pagare una multa che equivale al 4% del fatturato, inoltre in caso di violazione dei dati si è perseguibili per legge.

Come evitare queste spiacevoli situazioni?

Firewall: WordPress deve essere protetto da un plugin di firewall per schermare il sito da brute force e altri tipi di attacchi (ci sono diversi plugin validi, Sucuri ad esempio).
SSL: il GDPR prevede che i dati personali debbano essere sempre trasmessi su canali sicuri. In parole parole, ogni sito deve avere un certificato SSL. La cosa è più facile a farsi che a dirsi. Ho spiegato tutto qui: I certificati SSL per Server Dedicati e Siti Web, spiegati al mio criceto
FTP: l’accesso FTP al sito deve essere consentito soltanto a soggetti autorizzati. Ovvero: restrizione per IP, no FTP in chiaro, solo TLS.
Backup: revisionare e/o predisporre backup regolari del sito e dei DB. Verificare periodicamente che il ripristino sia sempre possibile.
Aggiornamenti: tutti i componenti del sito WordPress devono essere tempestivamente aggiornati. Temi: aggiornare tempestivamente.
Plugin e Core dei siti web: aggiornarli tempestivamente, gli aggiornamenti su WordPress e di Joomla,  sono automatici per le minor version, quando ci sono i salti di versione è richiesto l’intervento manuale, lo stesso vale per plugin e temi. Salvo casi particolari, plugin e temi non si aggiornano automaticamente.
Password: le password di accesso a WordPress devono essere sicure e lunghe.
Rischi da evitare ad ogni costo: trasmettere in chiaro password WordPress o password FTP. Mai trasmettere in chiaro le password. Non essere negligente con la sicurezza dei terminali desktop. Il tuo pc contiene password che consentono di aver accesso amministrativo ad uno o più siti WordPress? Se il pc viene compromesso ed infettato con un trojan, qualsiasi hacker con un minimo di esperienza potrà accedere in pochi minuti al tuo sito.
Raccomandazioni generali e sempre valide: limitare e se possibile evitare l’accesso di soggetti terzi come ad esempio rivolgersi a collaboratori a basso costo extra UE che accedono ai siti per aggiornare temi e plugin.