Proteggere i siti Web con la cifratura SSL diventa obbligatorio ed è sanzionabile chi non assicura la protezione dei dati personali rispondendo adeguatamente alla normativa.
Con una recente disposizione, il
Garante della privacy ha inflitto una pesante ammenda a un'azienda fornitrice di servizi idrici, che non aveva attivato meccanismi di protezione
SSL/TLS per mettere al sicuro gli accessi nell’area riservata del proprio sito.
Ora, la situazione è stata rivista e corretta e, anche se non sono state rilevate violazioni dei dati, il Garante ha individuato infrazioni ai principi fondamentali del GDPR. In particolare, la mancata valutazione dei rischi per la sicurezza dei dati personali nella fase di progettazione e realizzazione del sito Internet (il principio definito “privacy-by-design”).
In considerazione del volume di dati trattati e del numero di utenti interessati, nonché del rapido aggiornamento del sistema e della collaborazione attiva dell’azienda, il Garante ha applicato una sanzione di 15.000 euro.
Tale decisione è in linea con quanto già comunicato in passato dall’Ente, che ha sottolineato come l’interazione di un utente con un sito Web per la trasmissione di dati personali debba essere protetta tramite crittografia SSL.
Perché è importante usare SSL?
L’uso di certificati SSL è la soluzione più rapida ed efficace per la protezione dei siti Web poiché innalza la sicurezza delle comunicazioni; questo grazie ad algoritmi di comunicazione criptata tra il client e server Web.
Pertanto, assume estrema rilevanza in tutte le tipologie di siti WEB che prevedono aree di autenticazione attraverso l’uso di credenziali ed eCommerce che prevedono l’inserimento di metodi di pagamento.
I certificati SSL forniscono una garanzia sull’autenticazione del dominio del sito e sull’effettiva identità dell’azienda collegata a quel dominio, gli utenti sono così protetti da possibili attività criminali, come frodi e furto dei dati.
La crittografia della trasmissione dati è uno degli aspetti fondanti nella progettazione di un sito, per una cybersecurity moderna, affidabile e rispettosa della compliance. Durante la navigazione, la disponibilità di un certificato SSL è sottolineata dal prefisso HTTPS posto in prossimità dell'indirizzo del sito. Il browser in uso identifica il certificato e rende chiara l’adozione di meccanismi di cifratura abilitando una specifica “icona lucchetto” nella toolbar.
Come scegliere e usare un certificato SSL
I certificati SSL sono rilasciati da un’Autorità di Certificazione e da rivenditori abilitati. Esistono poi differenti tipi di certificati, affiancati da tipologie di servizi accessori e garanzie variabili.
Il certificato è installabile dal pannello di controllo e garantisce la crittografia end-to-end: i dati non saranno intercettabili e rimarranno accessibili solo a chi li invia e a chi li riceve. Tutto questo può essere portato a termine in pochi passaggi e a un costo ridotto. Ad esempio, con Aruba, il
certificato SSL è incluso gratuitamente in tutti i piani hosting ed è possibile attivarlo in modo semplicissimo dal proprio pannello di controllo.
Non solo,
Aruba propone certificati SSL attraverso
Actalis, azienda del gruppo Aruba e Certification Authority in Italia qualificata secondo il regolamento eIDAS per l'erogazione di servizi certificati e riconosciuta in tutto il mondo per l’emissione di certificati SSL server. A questi, si aggiungono i certificati per Code Signing, che permettono di firmare un'ampia gamma di software eseguibili.
Grazie a questi servizi evoluti, utenti e piattaforme potranno rapidamente verificare l’origine e l’integrità delle componenti software, riducendo drasticamente l’impatto di malware e minacce sulle rete e gli endpoint.
Tipologie di certificati
Esistono tre fondamentali tipologie di certificati SSL.
Domain Validated (DV), o convalida a livello di dominio, è un componente pensato per certificare unicamente il dominio Internet. Questi certificati sono adatti per quei siti che ospitano aree di accesso tramite login, pagine dedicate con form compilabili. Valgono, inoltre, per i siti che, in senso generale, contengono informazioni che non includano attività o transazioni economiche o di altra forma. Trattandosi di certificati legati al dominio, i DV possono essere richiesti solo dal proprietario effettivo del dominio.
Analogamente, esistono i certificati di convalida a livello di organizzazione
Organization Validated (OV), una soluzione indicata per eCommerce e portali Web che adottano piattaforme transazionali.
Gli OV consentono di certificare la proprietà del sito da parte di un’azienda e contribuiscono a consolidare identità e immagine di una società e di un marchio.
Possono essere richiesti esclusivamente da personale autorizzato a rappresentarla.
I certificati
Extended Validated (EV) assicurano un alto grado di sicurezza e affidabilità. Sono strutturati per soddisfare le esigenze di grandi aziende, del mondo enterprise e delle piattaforme di eCommerce nazionali e internazionali.
La maggiore sicurezza passa anche da procedure di verifica stringenti.
Il provider si occupa infatti di indagare sull’identità del richiedente/azienda tramite e-mail e per via telefonica. Tale percorso di approvazione allunga i tempi di emissione del certificato, che possono arrivare anche a una settimana.