BEZPIECZEŃSTWO TECHNICZNE
Wybór wykonawcy strony.
Koniecznie zwróć uwagę na to, komu powierzasz stworzenie swojej strony internetowej. Niezależnie od tego, czy ma to być prosta strona-wizytówka, czy rozbudowany portal, odpowiednio napisany kod, może znacznie ograniczyć ryzyko włamania i utraty danych. Wybierając wykonawcę, sprawdź koniecznie jego dotychczasowe realizacje i referencje, zapytaj o przebieg wdrożeń oraz o obsługę powdrożeniową. Odbierając gotową stronę, warto się też zwrócić do niezależnego specjalisty, który sprawdzi ją pod kątem ewentualnych luk w skrypcie oraz pomoże wyeliminować słabe punkty, jeśli takie znajdzie.
Wybór dostawcy hostingu
Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO
Hosting, czyli udostępnione zasoby serwera, to kolejny element, niezwykle istotny dla bezpieczeństwa strony. Decydując się na ofertę konkretnego dostawcy, warto zwrócić szczególną uwagę nie tylko na cenę i przepustowość serwera, ale przede wszystkim na to, jak długo dana firma funkcjonuje na rynku, jak często wykonuje i gdzie przechowuje kopie danych, jakie dodatkowe zabezpieczenia stosuje (np. ochrona antywirusowa, zabezpieczenia antyspamowe, zabezpieczanie usług hasłami zgodnymi z Rozporządzeniem), itp.
Pamiętaj też, aby z firmą hostingową podpisać stosowną umowę powierzenia przetwarzania danych, na podstawie której usługodawca zobowiąże się do stosowania odpowiednich, zgodnych z ustawą środków zabezpieczających.
Szyfrowanie TLS/SSL
Każdy administrator danych osobowych, a więc właściciel firmy czy też kadra zarządzająca, jest zobowiązany do zapewnienia należytego bezpieczeństwa przetwarzanym przez siebie danym. Warto pamiętać, że dotyczy to również danych przesyłanych za pomocą stron internetowych. Aby uniknąć ich ewentualnego wycieku i narażenia firmy na straty wizerunkowe, a także spełnić wymagania prawne, koniecznie należy zabezpieczyć przesyłanie danych za pomocą szyfrowania SSL/TLS – protokołu utrudniającego przejęcie, rozszyfrowanie lub zmianę danych w trakcie transmisji.
Właściwe zabezpieczenie serwisu widoczne jest w pasku adresu przeglądarki – jest żółty lub zielony, adres strony zaczyna się od https, a obok adresu znajduje się symbol kłódki. Zakup certyfikatu SSL/TLS to koszt od ok 40 do 1 900 zł brutto rocznie.
BEZPIECZEŃSTWO FORMALNO-PRAWNE
Obowiązek informacyjny oraz odbieranie zgody na przetwarzanie danych osobowych.
Zgodnie z ustawą o ochronie danych osobowych, każde przetwarzanie danych musi mieć odpowiednią podstawę prawną. Dotyczy to również przetwarzania danych za pośrednictwem stron internetowych, np. za pośrednictwem formularzy kontaktowych. W takiej sytuacji podstawą przetwarzania danych może być zgoda osoby, której dane dotyczą. Tworząc formularz zgody, musimy też pamiętać o obowiązku informacyjnym, tj. poinformowaniu osoby, której dane dotyczą o tym, kto i w jakim zakresie będzie miał do tych danych (art. 24 ustawy o ochronie danych osobowych).
Wśród informacji, jakie administrator danych osobowych ma obowiązek przekazać są:
Bezpłatna wiedza o RODO.
Korzystaj do woli!
- jego pełna nazwa i adres siedziby,
- cel zbierania danych,
- informacja o prawie dostępu do danych oraz do ich poprawiania,
- informacja o dobrowolności lub obowiązku podania danych, jeśli taki istnieje (jeśli tak, konieczne jest również podanie odpowiedniej podstawy prawnej).
Poprawnie sformułowana klauzula zgody, uwzględniająca dobrowolne podanie danych, może wyglądać następująco:
Wyrażam zgodę na przetwarzanie moich danych osobowych przez (firma administratora) z siedzibą w (adres siedziby administratora) w celu (np. korzystania z usługi „Newsletter”). Podanie danych jest dobrowolne. Każdy ma prawo dostępu do swoich danych oraz ich poprawiania.
Zgoda na wykorzystanie danych w celach marketingowych.
Zgoda na wykorzystanie danych osobowych do prowadzenia działań marketingowych zawsze jest dobrowolna i musi być zawarta w osobnej klauzuli. Nie można, co niestety wiele podmiotów wciąż robi, łączyć jej z innymi klauzulami, a także uzależniać od niej możliwości skorzystania z innych usług.
Przykładowa zgoda na wykorzystanie danych w celach marketingowych może wyglądać następująco:
Wyrażam zgodę na przetwarzanie moich danych osobowych przez [firma administratora] z siedzibą w [adres siedziby administratora] w celach marketingowych. Podanie danych jest dobrowolne. Każdy ma prawo dostępu do swoich danych oraz ich poprawiania.
Domyślne zaznaczenie klauzul zgody
Zgodnie z dobrymi praktykami klauzule zgody nie powinny być zaznaczone domyślnie. Ustawa o ochronie danych osobowych stanowi o tym, że zgoda powinna być jednoznaczna i dobrowolna, w związku z czym osoba podająca swoje dane każdą klauzulę powinna zaznaczyć w sposób świadomy i przemyślany.
Weryfikacja zgłaszanego adresu e-mail (double opt-in)
Dobrą praktyką, o której warto pamiętać, jest weryfikowanie podawanych w formularzach adresów e-mail (np. podczas zapisywania się do newsletter).
Zastosowanie takiego rozwiązania jest korzystne zarówno z punktu widzenia osoby podającej swoje dane, jak też administratora danych osobowych. Osoba, której dane dotyczą, w razie pomyłki w adresie mailowym, może się szybko zorientować i przesłać dane raz jeszcze. Firma administratora danych zabezpiecza się w ten sposób przed konsekwencjami bezprawnego kierowania działań marketingowych do osób, które się na to nie zgodziły, a ich adres został podany przez osobę trzecią. Dodatkowo, takie zabezpieczenie pozwala również uniknąć sytuacji, w której ktoś złośliwy ustawi narzędzie masowo dodające adresy e-mail do naszej bazy, co może spowodować przepełnienie i zablokowanie serwera.
Regulamin strony
Kiedy właściciel strony internetowej świadczy usługi drogą elektroniczną, jest usługodawcą i powinien przygotować regulamin swojej strony. Taki dokument znajdziemy zarówno na stronach sklepów internetowych, forach, stronach umożliwiających dzielenie się treścią, jak też na zwykłych stronach informacyjnych. Zgodnie z ustawą o świadczeniu usług drogą elektroniczną regulamin powinien określać warunki zawierania i rozwiązywania umów w internecie oraz tryb postępowania reklamacyjnego. W praktyce, treść regulaminu zależy jednak przede wszystkim od tego, czemu służy strona, np. publikowaniu treści czy pośredniczeniu w zawieraniu umów.
Polityka prywatności
Na każdej stronie www powinien się również znaleźć dokument polityki prywatności, który ma na celu poinformowanie użytkowników o tym, jakie dane osobowe są o nich zbierane i jak będą wykorzystywane.
Właściwie sformułowana polityka prywatności zawiera najczęściej następujące informacje:
- określenie danych zbieranych od użytkowników,
- określenie sposobu ich wykorzystywania, a w szczególności, czy są one przekazywane innym firmom,
- w jaki sposób właściciel witryny internetowej może się kontaktować z użytkownikiem,
- w jaki sposób można dokonać zmian w swoich danych,
- w jaki sposób dane są zabezpieczane.
Informacja o wykorzystaniu plików cookies
Obowiązujące przepisy prawa telekomunikacyjnego przewidują, że instalacja plików cookies (z wyłączeniem tych niezbędnych do funkcjonowania strony) możliwa jest jedynie pod warunkiem wcześniejszego poinformowania o tym użytkownika strony oraz po uzyskaniu jego wyraźnej zgody. To dlatego od jakiegoś czasu możemy zauważyć pojawiające się na większości stron informacje o wykorzystywaniu ciasteczek.
Zakończenie
Mając na uwadze bezpieczeństwo naszej strony należy pamiętać, że zabezpieczanie to tak naprawdę zabawa w „policjantów i złodziei”. Nie ma strony w 100% bezpiecznej. Są jedynie strony, na których poziom trudności we włamaniu jest na tyle wysoki, że zniechęca potencjalnego włamywacza. Nasze działania mają za zadanie jedynie maksymalnie utrudnić skuteczne włamanie na stronę. Oprócz wyboru odpowiedniej firmy, która o takie zabezpieczenia będzie dbała, pamiętajmy również o przystosowaniu strony do obecnie obowiązującego prawa, dzięki czemu możemy uniknąć kłopotliwej kontroli GIODO.