Strona www - bezpieczeństwo

Jak się chronić przed atakami hakerów? O czym pamiętać, by zminimalizować takie zagrożenie? Jakie przepisy prawa musi spełniać właściwie stworzona i prowadzona strona? Jeszcze nie tak dawno mało kto przejmował się w Polsce atakami hakerów na strony www. Ich ofiarami padały najczęściej duże organizacje finansowe, banki i instytucje administracji publicznej. Okazuje się jednak, że coraz częściej aktywność internetowych przestępców obejmuje również strony niewielkich firm, a nawet osób prowadzących jednoosobowe działalności gospodarcze. Co więcej, właściciele i administratorzy stron www muszą również pamiętać o tym, by właściwie zabezpieczyć prawa i prywatność jej użytkowników. Strona musi więc spełniać określone przepisy.

BEZPIECZEŃSTWO TECHNICZNE

Wybór wykonawcy strony.

Koniecznie zwróć uwagę na to, komu powierzasz stworzenie swojej strony internetowej. Niezależnie od tego, czy ma to być prosta strona-wizytówka, czy rozbudowany portal, odpowiednio napisany kod, może znacznie ograniczyć ryzyko włamania i utraty danych. Wybierając wykonawcę, sprawdź koniecznie jego dotychczasowe realizacje i referencje, zapytaj o przebieg wdrożeń oraz o obsługę powdrożeniową. Odbierając gotową stronę, warto się też zwrócić do niezależnego specjalisty, który sprawdzi ją pod kątem ewentualnych luk w skrypcie oraz pomoże wyeliminować słabe punkty, jeśli takie znajdzie.

Wybór dostawcy hostingu

Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO

Dołącz do grona czytelników naszego biuletynu, odbierz bezpłatny pakiet i trzymaj rękę na pulsie.
ODBIERZ PAKIET

Hosting, czyli udostępnione zasoby serwera, to kolejny element, niezwykle istotny dla bezpieczeństwa strony. Decydując się na ofertę konkretnego dostawcy, warto zwrócić szczególną uwagę nie tylko na cenę i przepustowość serwera, ale przede wszystkim na to, jak długo dana firma funkcjonuje na rynku, jak często wykonuje i gdzie przechowuje kopie danych,  jakie dodatkowe zabezpieczenia stosuje (np. ochrona antywirusowa, zabezpieczenia antyspamowe, zabezpieczanie usług hasłami zgodnymi z Rozporządzeniem), itp.

Pamiętaj też, aby z firmą hostingową podpisać stosowną umowę powierzenia przetwarzania danych, na podstawie której usługodawca zobowiąże się do stosowania odpowiednich, zgodnych z ustawą środków zabezpieczających.

Szyfrowanie TLS/SSL

Każdy administrator danych osobowych, a więc właściciel firmy czy też kadra zarządzająca, jest zobowiązany do zapewnienia  należytego bezpieczeństwa przetwarzanym przez siebie danym. Warto pamiętać, że dotyczy to również danych przesyłanych za pomocą stron internetowych. Aby uniknąć ich ewentualnego wycieku i narażenia firmy na straty wizerunkowe, a także spełnić wymagania prawne, koniecznie należy zabezpieczyć przesyłanie danych za pomocą szyfrowania SSL/TLS – protokołu utrudniającego przejęcie, rozszyfrowanie lub zmianę danych w trakcie transmisji.

Właściwe zabezpieczenie serwisu widoczne jest w pasku adresu przeglądarki – jest żółty lub zielony, adres strony zaczyna się od https, a obok adresu znajduje się symbol kłódki. Zakup certyfikatu SSL/TLS to koszt od ok 40 do 1 900 zł brutto rocznie.

BEZPIECZEŃSTWO FORMALNO-PRAWNE

Obowiązek informacyjny oraz odbieranie zgody na przetwarzanie danych osobowych.

Zgodnie z ustawą o ochronie danych osobowych, każde przetwarzanie danych musi mieć odpowiednią podstawę prawną. Dotyczy to również przetwarzania danych za pośrednictwem stron internetowych, np. za pośrednictwem formularzy kontaktowych. W takiej sytuacji podstawą przetwarzania danych może być zgoda osoby, której dane dotyczą. Tworząc formularz zgody, musimy też pamiętać o obowiązku informacyjnym, tj. poinformowaniu osoby, której dane dotyczą o tym, kto i w jakim zakresie będzie miał do tych danych (art. 24 ustawy o ochronie danych osobowych).

Wśród informacji, jakie administrator danych osobowych ma obowiązek przekazać są:

Bezpłatna wiedza o RODO.
Korzystaj do woli!

Webinary, artykuły, poradniki, szkolenia, migawki i pomoc. Witaj w bazie wiedzy ODO 24.
WCHODZĘ W TO

  • jego pełna nazwa i adres siedziby,
  • cel zbierania danych,
  • informacja o prawie dostępu do danych oraz do ich poprawiania,
  • informacja o dobrowolności lub obowiązku podania danych, jeśli taki istnieje (jeśli tak, konieczne jest również podanie odpowiedniej podstawy prawnej).

Poprawnie sformułowana klauzula zgody, uwzględniająca dobrowolne podanie danych, może wyglądać następująco:

Wyrażam zgodę na przetwarzanie moich danych osobowych przez (firma administratora) z siedzibą w (adres siedziby administratora) w celu (np. korzystania z usługi „Newsletter”). Podanie danych jest dobrowolne. Każdy ma prawo dostępu do swoich danych oraz ich poprawiania.

Zgoda na wykorzystanie danych w celach marketingowych.

Zgoda na wykorzystanie danych osobowych do prowadzenia działań marketingowych zawsze jest dobrowolna i musi być zawarta w osobnej klauzuli. Nie można, co niestety wiele podmiotów wciąż robi, łączyć jej z innymi klauzulami, a także uzależniać od niej możliwości skorzystania z innych usług.

Przykładowa zgoda na wykorzystanie danych w celach marketingowych może wyglądać następująco:

Wyrażam zgodę na przetwarzanie moich danych osobowych przez [firma administratora] z siedzibą w [adres siedziby administratora] w celach marketingowych. Podanie danych jest dobrowolne. Każdy ma prawo dostępu do swoich danych oraz ich poprawiania.

Domyślne zaznaczenie klauzul zgody

Zgodnie z dobrymi praktykami klauzule zgody nie powinny być zaznaczone domyślnie. Ustawa o ochronie danych osobowych stanowi o tym, że zgoda powinna być jednoznaczna i dobrowolna, w związku z czym osoba podająca swoje dane każdą klauzulę powinna zaznaczyć w sposób świadomy i przemyślany.

Weryfikacja zgłaszanego adresu e-mail (double opt-in)

Dobrą praktyką,  o której warto pamiętać, jest weryfikowanie podawanych w formularzach adresów e-mail (np. podczas zapisywania się do newsletter).

Zastosowanie takiego rozwiązania jest korzystne zarówno z punktu widzenia osoby podającej swoje dane, jak też administratora danych osobowych. Osoba, której dane dotyczą, w razie pomyłki w adresie mailowym, może się szybko zorientować i przesłać dane raz jeszcze. Firma administratora danych zabezpiecza się w ten sposób przed konsekwencjami bezprawnego kierowania działań marketingowych do osób, które się na to nie zgodziły, a ich adres został podany przez osobę trzecią. Dodatkowo, takie zabezpieczenie pozwala również uniknąć sytuacji, w której ktoś złośliwy ustawi narzędzie masowo dodające adresy e-mail do naszej bazy, co może spowodować przepełnienie i zablokowanie serwera.

Regulamin strony

Kiedy właściciel strony internetowej świadczy usługi drogą elektroniczną, jest usługodawcą i powinien przygotować regulamin swojej strony. Taki dokument znajdziemy zarówno na stronach sklepów internetowych, forach, stronach umożliwiających dzielenie się treścią, jak też na zwykłych stronach informacyjnych.  Zgodnie z ustawą o świadczeniu usług drogą elektroniczną regulamin powinien określać warunki zawierania i rozwiązywania umów w internecie oraz tryb postępowania reklamacyjnego. W praktyce, treść regulaminu zależy jednak przede wszystkim od tego, czemu służy strona, np. publikowaniu treści czy pośredniczeniu w zawieraniu umów.

Polityka prywatności

Na każdej stronie www powinien się również  znaleźć dokument polityki prywatności, który ma na celu poinformowanie użytkowników o tym, jakie dane osobowe są o nich zbierane i jak będą wykorzystywane.

Właściwie sformułowana polityka prywatności zawiera najczęściej następujące informacje:

  • określenie danych zbieranych od użytkowników,
  • określenie sposobu ich wykorzystywania, a w szczególności, czy są one przekazywane innym firmom,
  • w jaki sposób właściciel witryny internetowej może się kontaktować z użytkownikiem,
  • w jaki sposób można dokonać zmian w swoich danych,
  • w jaki sposób dane są zabezpieczane.

Informacja o wykorzystaniu plików cookies

Obowiązujące przepisy prawa telekomunikacyjnego przewidują, że instalacja plików cookies (z wyłączeniem tych niezbędnych do funkcjonowania strony) możliwa jest jedynie pod warunkiem wcześniejszego poinformowania o tym użytkownika strony oraz po uzyskaniu jego wyraźnej zgody. To dlatego od jakiegoś czasu możemy zauważyć pojawiające się na większości stron informacje o wykorzystywaniu ciasteczek.

Zakończenie

Mając na uwadze bezpieczeństwo naszej strony należy pamiętać, że zabezpieczanie to tak naprawdę zabawa w „policjantów i złodziei”. Nie ma strony w 100% bezpiecznej. Są jedynie strony, na których poziom trudności we włamaniu jest na tyle wysoki, że zniechęca potencjalnego włamywacza. Nasze działania mają za zadanie jedynie maksymalnie utrudnić skuteczne włamanie na stronę. Oprócz wyboru odpowiedniej firmy, która o takie zabezpieczenia będzie dbała, pamiętajmy również o przystosowaniu strony do obecnie obowiązującego prawa, dzięki czemu możemy uniknąć  kłopotliwej kontroli GIODO.

Diagnoza zgodności RODO - zrób to sam!

Czytaj także:

-
4.53/5 (47) 1
Najczęstsze błędy przy zawieraniu umów powierzenia
Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.
Potwierdź swój adres e-mail
Wejdź na swoją skrzynkę pocztową, otwórz wiadomość od ODO 24 i potwierdź adres e-mail, klikając w link.
Jeżeli nie znajdziesz naszej wiadomości - sprawdź w folderze SPAM. Aby w przyszłości to się nie powtórzyło oznacz wiadomość jako pożądaną (klikniknij prawym przyciskiem myszy i wybierz “Oznacz jako wiadomość pożądaną”).
Odbierz bezpłatny pakiet 4 poradników
i 4 szkoleń e-learningowych RODO
4x4 - Odbierz bezpłatny pakiet 4 poradników i 4 szkoleń RODO
Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.
Administratorem Twoich danych jest ODO 24 sp. z o. o. >>>