Siti web della Pa: sì del Garante privacy alle Linee guida AgID

Il Garante della Privacy - Gdpr - Reg. UE 679/2016
 
 
Tratto da www.garanteprivacy.it- 14/03/2022
 
 

Il Garante privacy ha dato il via libera alle modalità per la realizzazione e la modifica dei siti delle pubbliche amministrazioni, proposte dall’Agenzia per l’Italia Digitale (AgID) e contenute nelle nuove “Linee guida di design per i siti internet e i servizi digitali della PA”.

Lo schema delle Linee guida, come evidenzia l’Autorità nel provvedimento, rappresenta un’opportunità per offrire ai titolari del trattamento, e ai soggetti a vario titolo coinvolti, indicazioni utili ad assicurare la protezione dei dati personali trattati dalle pubbliche amministrazioni nell’ambito della gestione dei siti web e dei servizi digitali, in ossequio al principio di privacy by design e by default.

Nell’esprimere il parere favorevole, il Garante per la protezione dei dati personali ha però indicato la necessità di alcune integrazioni, per assicurare la conformità delle Linee guida al Regolamento e al Codice della privacy.

In presenza di un rischio elevato per i diritti e le libertà delle persone fisiche, è necessario che nello schema venga indicata l’effettuazione della valutazione d’impatto sulla protezione dati prima di procedere al trattamento e, se del caso, la consultazione preventiva dell’Autorità.

Altre integrazioni riguardano le informazioni sul trattamento dei dati personali, che devono essere concise, trasparenti, intelligibili, facilmente accessibili e formulate con un linguaggio semplice e chiaro, specialmente nel caso d’informazioni destinate ai minori.

Massima attenzione, infine, al ricorso a cookie e altri strumenti di tracciamento: lo schema di decreto dovrà espressamente richiamare le Linee guida predisposte dal Garante in materia, assicurando, in ogni caso, la piena fruibilità del sito o del servizio digitale anche quando l’utente non intende prestare il proprio consenso all’archiviazione di informazioni sul proprio dispositivo o all’accesso alle informazioni ivi archiviate.

Le pubbliche amministrazioni, sottolinea l’Autorità, devono valutare attentamente l’effettiva necessità di far ricorso a questi strumenti rispetto alle finalità perseguite, e indicare nell’informativa del sito l’uso di cookie o altri identificatori. Nei rapporti con i fornitori di servizi di hosting o cloud computing, rispetto ai quali la PA agisce in qualità di titolare, qualora essi siano stabiliti in Paesi terzi, occorre rispettare le regole per il trasferimento dei dati personali in tali Paesi.

14 Marzo 2022

Il Certificato SSL tutela i visitatori e protegge i siti web dalle frodi

 
Autore: Redazione Argonavis – 18/11/2020
 
 

Quale certificato SSL scegliere?

Questa e’ la domanda che i nostri clienti ci pongono spesso quando decidono di proteggere i visitatori del proprio sito.

Tutti i certificati SSL proteggono la navigazione dell’utente finale mediante cifratura del traffico, indipendentemente dal tipo di certificato.

Esistono tre tipi di convalida, ovvero il procedimento con cui la Certification Authority ( CA ) convalida l’autenticità del richiedente il certificato.

In base al tipo di convalida, al certificato vengono aggiunte delle informazioni estese per identificare meglio il proprietario del certificato e, quindi, del sito.

  • DV (Domain Validation): con questo tipo di certificato viene validato il solo dominio, ovvero si convalida che il richiedente del certificato SSL sia effettivamente l’assegnatario del dominio e ne abbia il completo controllo.

Pro: protezione del traffico, certifica il dominio, basso costo, tempi brevi di emissione (pochi minuti).

Contro: il certificato non riporta nessuna informazione estesa, come il nome del proprietario del dominio.

  • OV (Organization Validation)

Con questo tipo di certificato, l’ente certificatorio ( la CA ) effettua una verifica societaria sul richiedente per garantirne l’esistenza. Le informazioni del richiedente sono contenute all’interno del certificato stesso. Chi effettua acquisti su un sito che fornisce questa tipologia di protezione ha la garanzia di acquistare da una società verificata.

Pro: protezione del traffico , costo medio, certifica il dominio e l’azienda (che viene inserita nel certificato stesso).

Contro: i tempi di emissione si allungano a 2/3 giorni, necessari per le verifiche.

  • EV (Extended Validation)

Si tratta di una validazione legata all’azienda richiedente che viene sottoposta a un processo di analisi molto accurato a seguito del quale il nome dell’azienda sarà sinonimo di attendibilità. All’interno di una barra verde nel browser viene mostrato il nome stesso dell’azienda, il che garantisce al visitatore la massima attendibilità dello store dal quale sta effettuando i propri acquisti.
Pro: protezione del traffico, costo medio/alto, certifica il dominio e l’azienda (che viene inserita nel certificato stesso) e attiva la barra verde del browser.

Contro: i tempi di emissione si allungano a 2/3 giorni, necessari per le verifiche.

I certificati possono anche essere emessi con le seguenti opzioni:

  • l’opzione Wildcard, che permette alle aziende di proteggere, con un solo certificato SSL, tutti i sottodomini del sito principale, ad esempio, www.dominio.it, ma anche b2b.dominio.it, e anche cloud.dominio.it, ecc…
  • l’opzione SAN (Subject Alternative Name), che permette alle aziende di inserire, all’interno dello stesso certificato, fino ad un massimo di 250 domini legati alla stessa società ma con “common name” differenti (esempio: shop.primodominio.it, www.secondodominio.com).

I certificati gratuiti

I certificati SSL, come quelli di “Let’s Encrypt”, possono essere gratuiti, ovvero forniti da una CA (Certificate Authority) no-profit, creati per proteggere quei siti web che non possono permettersi di acquistarne uno. Essi però non sono considerati ottimali per portali di carattere commerciale, dove sono previste transazioni di denaro o dove al suo interno sono custoditi dati sensibili.

Let’s Encrypt, infatti, non è in grado di fornire una protezione completa, ma tutela solo il MIM (Man In the Middle), crittografando le comunicazioni. Non prevede alcun tipo di validazione, ma fa apparire semplicemente il lucchetto verde vicino all’url del sito sui browser.

Non è previsto un controllo dell’effettiva proprietà del dominio da parte di chi attiva il certificato. Apparentemente però non c’è alcuna differenza tra un Certificato SSL a pagamento e uno gratuito.

Le versioni gratuite non permettono di certificare i domini di terzo livello, hanno una validità di 90 giorni , ma la cosa più importante è che non offrono nessuna tutela dal rischio di phishing, né garanzia o supporto.

Per ulteriori informazioni: dircom@argonavis.it

18 Novembre 2020