Ecco perché dovreste preoccuparvi della privacy dei vostri clienti
Di Marc Lampo, Security Officer presso EURid, il registro dei nomi a dominio .eu
milano,
(informazione.it - comunicati stampa - information technology)
Marc Lampo, il nostro Security Officer, ci dice perché fare in modo che i visitatori del vostro sito web si sentano sicuri può essere essenziale per i vostri risultati economici e che cosa potete fare per proteggere i dati dei vostri clienti.
Conquistare la fiducia dei consumatori è essenziale per qualsiasi attività on-line. Questo vale in particolare per le piccole aziende che non hanno i nomi familiari delle grandi catene e la reputazione che ne consegue. I consumatori europei non sono a loro agio quando si tratta di sicurezza on-line e temono che i loro dati personali possano cadere nella mani degli hacker1, pertanto è ragionevole presumere che possano essere meno inclini ad acquistare presso i piccoli negozi on-line per timore che i loro dati vengano usati impropriamente.
Come titolari di un e-store, sta a voi comunicare ai vostri clienti che avete davvero a cuore la loro privacy e la loro sicurezza. In questo modo potrete costruire la credibilità della vostra attività e a rassicurare i visitatori del vostro sito che stanno trattando con un’azienda legittima.
Che fare
Pubblicare una politica sulla privacy e la sicurezza
La vostra politica per la privacy e la sicurezza dovrebbe descrivere le misure che avrete adottato per proteggere i dati dei clienti e spiegare, con un linguaggio semplice, in che modo i dati che raccogliete sul vostro sito web saranno o non saranno utilizzati.
È una buona idea pubblicare tali spiegazioni in punti ben visibili del sito, per esempio in corrispondenza della richiesta di nome e indirizzo o dei dati della carta di credito perché, sebbene nessuno si prenda la briga di leggere tutta la politica sulla privacy e la sicurezza, a tutti piace essere rassicurati.
Ottenere una certificazione indipendente
Le certificazioni indipendenti o “privacy seal”, come quelle offerte da EuroPriSe (European Privacy Seal) e TRUSTe, rassicurano i clienti che non fornirete i loro dati privati a terzi senza il loro consenso. Con un marchio di certificazione della tutela della privacy voi comunicate loro che siete contrattualmente tenuti a rispettare una serie di prassi relative alla privacy e che, di conseguenza, essi sono protetti in quanto consumatori.
Sei misure pratiche per tutelare la privacy dei vostri clienti
1. Informatevi sui vostri partner d’affari
Accertatevi della reputazione dei vostri fornitori e venditori. Nei vostri contrati con loro prevedete clausole per la sicurezza e la privacy, leggete loro le vostre politiche sulla privacy e chiedete informazioni sulle loro prassi in materia. In questo modo sapranno che per voi la privacy del clienti è una priorità e che vi aspettate che anche per loro lo diventi.
2. Procuratevi un certificato SSL
Un certificato SSL (Secure Sockets Layer) è essenziale per la protezione dei dati sensibili trasmessi via Internet, quali gli estremi di pagamento introdotti dai clienti. Il certificato è attivato quando il cliente accede al vostro sito mediante un URL che inizia con “https” anziché “http”. Con l’SSL vengono criptati sia il modulo di trasmissione contenente i dati personali sia le informazioni ritrasmesse al browser del cliente una volta inviato il modulo.
I clienti vedranno che avete un valido certificato SSL perché il simbolo del lucchetto verde SSL sarà visualizzato nell’angolo della finestra del browser quando vistano il vostro sito: questa icona garantisce che la trasmissione di informazioni riservate a partire da quella pagina è sicura.
3. Limitare la raccolta di dati
Ricordate: se non li raccogliete, non dovete proteggerli. Dovreste raccogliere solo i dati personali necessari affinché i vostri visitatori possano interagire con voi o accedere ai vostri prodotti o servizi, e conservarli solo per il tempo necessario ai fini delle vostre attività o conformemente alle disposizioni delle direttive UE in materia.
Informazioni sulle carte di credito
La prassi migliore è di non archiviare alcuna informazione sulle carte di credito. Questa politica si può attuare ricorrendo a portali indipendenti di pagamento in tempo reale, come Moneybookers, Ogone o PayPal, che gestiscono i pagamenti per vostro conto. In questo modo non c’è bisogno di archiviare dati sulle carte di credito nel vostro server per cui, se mai quest’ultimo fosse messo in pericolo, non vi sarebbero numeri di carte da credito da rubare.
Se non utilizzate un portale di pagamento, accertatevi di acquisire i dati di pagamento e altre informazioni di natura riservata attraverso un canale sicuro, come https o una connessione FTP (File Transfer Protocol), cancellandoli quando non ne avete più bisogno.
Liste di nozze e wishlist
Se il vostro sito offre la possibilità di pubblicare liste di regali o prodotti desiderati, verificate quante informazioni rivela sulle persone corrispondenti a quelle che un visitatore potrebbe ricercare.
In altre parole, se rivelate troppe informazioni, per esempio nome, cognome, indirizzo e codice postale, potreste mettere a rischio la privacy del vostro cliente. Cercate di trovare un equilibrio in base al quale ridurre al massimo le informazioni pubblicate pur facendo in modo che i clienti riconoscano la persona per la quale fanno un acquisto. Accertatevi che informazioni supplementari da voi raccolte siano archiviate altrove e non siano accessibili a partire dal vostro server front-end.
Cookies
Un cookie è un’informazione installata nel computer del cliente, che permette di identificarlo la prossima volta che visita il vostro sito web. In genere i cookie:
• Permettono un’accoglienza personalizzata del cliente sul sito web ad ogni sua visita
• Facilitano le operazioni di acquisto al cliente ricordando dettagli come nome, indirizzo e numero di carta di credito in modo tale che questi non debba reintrodurre tali informazioni ogni volta.
In Europa è necessario l’esplicita autorizzazione del cliente prima di installare un cookie sul suo computer, conformemente a una nuova legislazione dell’Unione europea, in vigore da marzo 2011, che disciplina l’impiego dei cookie.
4. Mantenere aggiornati i software
Mantenete aggiornati i vostri software controllando e installando regolarmente gli update e i patch, in particolare quelli relativi alla sicurezza. Imparate dalle brutte esperienze capitate ad altri e cercate di applicare gli insegnamenti tratti al vostro servizio web.
5. Limitare l’accesso del personale
Dovreste consentire l’accesso alle informazioni relative ai clienti e ai pagamenti solo alle persone che ne hanno effettiva necessità per il loro lavoro. Archiviate i dati sensibili su computer separati, appositamente dedicati, tenendo un registro di ogni accesso a tali dati.
Quando assumete una persona, includete nel contratto di lavoro una dichiarazione sulla privacy che proibisce espressamente la divulgazione di informazioni a terzi e, allorché una persona lascia la società, cambiate la(le) sua(e) password affinché non possa più accedere ai vostri sistemi. Esortate il vostro personale a utilizzare password sicure (ossia password difficilmente violabili perché sufficientemente complesse) e adottate una politica di cambio frequente delle stesse per proteggere gli account da accessi non autorizzati.
6. Divulgare dati il meno possibile
Non trasferite più dati del necessario al momento di condividerli fra il vostro sito ed altre applicazioni, ad esempio un software di contabilità o una mailing list. Se non vi serve un numero di carta di credito per inviare un’e-mail al cliente, non scaricatelo. Trasferire informazioni non necessarie comporta una duplicazione di dati in diverse localizzazioni on-line, che li rende più vulnerabili ad eventuali attacchi.
Anche .eu tutela la privacy
Noi di .eu non abbiamo clienti che acquistano prodotti e servizi dal nostro sito, tuttavia abbiamo milioni di titolari di domini .eu i cui dati sono archiviati nella nostra banca dati WHOIS.
Come registro di nomi a dominio di primo livello, siamo tenuti a pubblicare alcuni dettagli relativi ai titolari .eu, tuttavia abbiamo adottato rigide misure volte a limitare il più possibile la quantità di dati che divulghiamo e a limitarne l’uso improprio.
Informazioni pubblicate nel WHOIS
Al momento di registrare i loro nomi a dominio .eu, i titolari .eu accettano che i loro dati siano pubblicati nella banca dati .eu. Tuttavia, qualora il titolare sia una persona fisica, limitiamo automaticamente tali dati di contatto a due sole voci: un indirizzo e-mail e la lingua scelta per la corrispondenza. Ciò significa che i dati più personali di quella persona non sono divulgati al pubblico.
Prevenire l’uso improprio dei dati WHOIS
Nonostante tutti possano consultare delle informazioni sui nomi a dominio .eu o i loro titolari accedendo alla nostra banca dati via whois.eu, abbiamo adottato delle misure per prevenire il “data mining”, un processo grazie al quale un programma computerizzato o script raccoglie grandi quantità di dati, come ad esempio indirizzi e-mail, a fini abusivi come lo spamming.
Chiunque consulti un nome a dominio sulla nostra banca dati deve introdurre un codice Captcha. Si tratta di un codice composto di lettere e numeri che vengono visualizzati in modo distorto e sotto forma d’immagine. Gli utenti devono digitare manualmente il codice visualizzato in una finestra di testo e hanno accesso ai dati solo se lo avranno digitato correttamente. Un computer non può ricreare un testo a partire da un’immagine come una persona, per cui i codici Captcha impediscono ai programmi computerizzati di accedere alle informazioni sui nomi a dominio .eu e i loro titolari.
Oltre ai codici Captcha, abbiamo posto un limite al numero di volte che una singola persona può accedere alla banca dati WHOIS dallo stesso computer ogni 60 secondi. Si tratta di limiti che non influiscono sull’accesso di un essere umano alla banca dati, ma che riducono ulteriormente la possibilità di abuso attraverso script automatici.
Informazioni sul .eu ed EURid
Il dominio .eu è annoverato tra i dieci maggiori domini di primo livello del mondo in grado di collegare 500 milioni di persone in 27 paesi dell’UE a un’unica identità Internet. Sono stati registrati oltre tre milioni di domini .eu dall’apertura delle registrazioni nel 2005. Molte aziende, tra cui Bridgestone, Century 21, Hyundai, il gruppo MAN, Microsoft Corporation e il gruppo UniCredit utilizzano un sito web .eu perché rappresenta una soluzione ottimale per mostrare un’identità europea.
Conquistare la fiducia dei consumatori è essenziale per qualsiasi attività on-line. Questo vale in particolare per le piccole aziende che non hanno i nomi familiari delle grandi catene e la reputazione che ne consegue. I consumatori europei non sono a loro agio quando si tratta di sicurezza on-line e temono che i loro dati personali possano cadere nella mani degli hacker1, pertanto è ragionevole presumere che possano essere meno inclini ad acquistare presso i piccoli negozi on-line per timore che i loro dati vengano usati impropriamente.
Come titolari di un e-store, sta a voi comunicare ai vostri clienti che avete davvero a cuore la loro privacy e la loro sicurezza. In questo modo potrete costruire la credibilità della vostra attività e a rassicurare i visitatori del vostro sito che stanno trattando con un’azienda legittima.
Che fare
Pubblicare una politica sulla privacy e la sicurezza
La vostra politica per la privacy e la sicurezza dovrebbe descrivere le misure che avrete adottato per proteggere i dati dei clienti e spiegare, con un linguaggio semplice, in che modo i dati che raccogliete sul vostro sito web saranno o non saranno utilizzati.
È una buona idea pubblicare tali spiegazioni in punti ben visibili del sito, per esempio in corrispondenza della richiesta di nome e indirizzo o dei dati della carta di credito perché, sebbene nessuno si prenda la briga di leggere tutta la politica sulla privacy e la sicurezza, a tutti piace essere rassicurati.
Ottenere una certificazione indipendente
Le certificazioni indipendenti o “privacy seal”, come quelle offerte da EuroPriSe (European Privacy Seal) e TRUSTe, rassicurano i clienti che non fornirete i loro dati privati a terzi senza il loro consenso. Con un marchio di certificazione della tutela della privacy voi comunicate loro che siete contrattualmente tenuti a rispettare una serie di prassi relative alla privacy e che, di conseguenza, essi sono protetti in quanto consumatori.
Molti titolari di negozi on-line considerano la sicurezza e la privacy dei dati come delle seccature. Ma i consumatori apprezzano le società che danno valore alla loro privacy e dimostrano il loro apprezzamento sotto forma di acquisti reiterati.
Sei misure pratiche per tutelare la privacy dei vostri clienti
1. Informatevi sui vostri partner d’affari
Accertatevi della reputazione dei vostri fornitori e venditori. Nei vostri contrati con loro prevedete clausole per la sicurezza e la privacy, leggete loro le vostre politiche sulla privacy e chiedete informazioni sulle loro prassi in materia. In questo modo sapranno che per voi la privacy del clienti è una priorità e che vi aspettate che anche per loro lo diventi.
2. Procuratevi un certificato SSL
Un certificato SSL (Secure Sockets Layer) è essenziale per la protezione dei dati sensibili trasmessi via Internet, quali gli estremi di pagamento introdotti dai clienti. Il certificato è attivato quando il cliente accede al vostro sito mediante un URL che inizia con “https” anziché “http”. Con l’SSL vengono criptati sia il modulo di trasmissione contenente i dati personali sia le informazioni ritrasmesse al browser del cliente una volta inviato il modulo.
I clienti vedranno che avete un valido certificato SSL perché il simbolo del lucchetto verde SSL sarà visualizzato nell’angolo della finestra del browser quando vistano il vostro sito: questa icona garantisce che la trasmissione di informazioni riservate a partire da quella pagina è sicura.
3. Limitare la raccolta di dati
Ricordate: se non li raccogliete, non dovete proteggerli. Dovreste raccogliere solo i dati personali necessari affinché i vostri visitatori possano interagire con voi o accedere ai vostri prodotti o servizi, e conservarli solo per il tempo necessario ai fini delle vostre attività o conformemente alle disposizioni delle direttive UE in materia.
Informazioni sulle carte di credito
La prassi migliore è di non archiviare alcuna informazione sulle carte di credito. Questa politica si può attuare ricorrendo a portali indipendenti di pagamento in tempo reale, come Moneybookers, Ogone o PayPal, che gestiscono i pagamenti per vostro conto. In questo modo non c’è bisogno di archiviare dati sulle carte di credito nel vostro server per cui, se mai quest’ultimo fosse messo in pericolo, non vi sarebbero numeri di carte da credito da rubare.
Se non utilizzate un portale di pagamento, accertatevi di acquisire i dati di pagamento e altre informazioni di natura riservata attraverso un canale sicuro, come https o una connessione FTP (File Transfer Protocol), cancellandoli quando non ne avete più bisogno.
Liste di nozze e wishlist
Se il vostro sito offre la possibilità di pubblicare liste di regali o prodotti desiderati, verificate quante informazioni rivela sulle persone corrispondenti a quelle che un visitatore potrebbe ricercare.
In altre parole, se rivelate troppe informazioni, per esempio nome, cognome, indirizzo e codice postale, potreste mettere a rischio la privacy del vostro cliente. Cercate di trovare un equilibrio in base al quale ridurre al massimo le informazioni pubblicate pur facendo in modo che i clienti riconoscano la persona per la quale fanno un acquisto. Accertatevi che informazioni supplementari da voi raccolte siano archiviate altrove e non siano accessibili a partire dal vostro server front-end.
Cookies
Un cookie è un’informazione installata nel computer del cliente, che permette di identificarlo la prossima volta che visita il vostro sito web. In genere i cookie:
• Permettono un’accoglienza personalizzata del cliente sul sito web ad ogni sua visita
• Facilitano le operazioni di acquisto al cliente ricordando dettagli come nome, indirizzo e numero di carta di credito in modo tale che questi non debba reintrodurre tali informazioni ogni volta.
In Europa è necessario l’esplicita autorizzazione del cliente prima di installare un cookie sul suo computer, conformemente a una nuova legislazione dell’Unione europea, in vigore da marzo 2011, che disciplina l’impiego dei cookie.
4. Mantenere aggiornati i software
Mantenete aggiornati i vostri software controllando e installando regolarmente gli update e i patch, in particolare quelli relativi alla sicurezza. Imparate dalle brutte esperienze capitate ad altri e cercate di applicare gli insegnamenti tratti al vostro servizio web.
5. Limitare l’accesso del personale
Dovreste consentire l’accesso alle informazioni relative ai clienti e ai pagamenti solo alle persone che ne hanno effettiva necessità per il loro lavoro. Archiviate i dati sensibili su computer separati, appositamente dedicati, tenendo un registro di ogni accesso a tali dati.
Quando assumete una persona, includete nel contratto di lavoro una dichiarazione sulla privacy che proibisce espressamente la divulgazione di informazioni a terzi e, allorché una persona lascia la società, cambiate la(le) sua(e) password affinché non possa più accedere ai vostri sistemi. Esortate il vostro personale a utilizzare password sicure (ossia password difficilmente violabili perché sufficientemente complesse) e adottate una politica di cambio frequente delle stesse per proteggere gli account da accessi non autorizzati.
6. Divulgare dati il meno possibile
Non trasferite più dati del necessario al momento di condividerli fra il vostro sito ed altre applicazioni, ad esempio un software di contabilità o una mailing list. Se non vi serve un numero di carta di credito per inviare un’e-mail al cliente, non scaricatelo. Trasferire informazioni non necessarie comporta una duplicazione di dati in diverse localizzazioni on-line, che li rende più vulnerabili ad eventuali attacchi.
Anche .eu tutela la privacy
Noi di .eu non abbiamo clienti che acquistano prodotti e servizi dal nostro sito, tuttavia abbiamo milioni di titolari di domini .eu i cui dati sono archiviati nella nostra banca dati WHOIS.
Come registro di nomi a dominio di primo livello, siamo tenuti a pubblicare alcuni dettagli relativi ai titolari .eu, tuttavia abbiamo adottato rigide misure volte a limitare il più possibile la quantità di dati che divulghiamo e a limitarne l’uso improprio.
Informazioni pubblicate nel WHOIS
Al momento di registrare i loro nomi a dominio .eu, i titolari .eu accettano che i loro dati siano pubblicati nella banca dati .eu. Tuttavia, qualora il titolare sia una persona fisica, limitiamo automaticamente tali dati di contatto a due sole voci: un indirizzo e-mail e la lingua scelta per la corrispondenza. Ciò significa che i dati più personali di quella persona non sono divulgati al pubblico.
Prevenire l’uso improprio dei dati WHOIS
Nonostante tutti possano consultare delle informazioni sui nomi a dominio .eu o i loro titolari accedendo alla nostra banca dati via whois.eu, abbiamo adottato delle misure per prevenire il “data mining”, un processo grazie al quale un programma computerizzato o script raccoglie grandi quantità di dati, come ad esempio indirizzi e-mail, a fini abusivi come lo spamming.
Chiunque consulti un nome a dominio sulla nostra banca dati deve introdurre un codice Captcha. Si tratta di un codice composto di lettere e numeri che vengono visualizzati in modo distorto e sotto forma d’immagine. Gli utenti devono digitare manualmente il codice visualizzato in una finestra di testo e hanno accesso ai dati solo se lo avranno digitato correttamente. Un computer non può ricreare un testo a partire da un’immagine come una persona, per cui i codici Captcha impediscono ai programmi computerizzati di accedere alle informazioni sui nomi a dominio .eu e i loro titolari.
Oltre ai codici Captcha, abbiamo posto un limite al numero di volte che una singola persona può accedere alla banca dati WHOIS dallo stesso computer ogni 60 secondi. Si tratta di limiti che non influiscono sull’accesso di un essere umano alla banca dati, ma che riducono ulteriormente la possibilità di abuso attraverso script automatici.
Informazioni sul .eu ed EURid
Il dominio .eu è annoverato tra i dieci maggiori domini di primo livello del mondo in grado di collegare 500 milioni di persone in 27 paesi dell’UE a un’unica identità Internet. Sono stati registrati oltre tre milioni di domini .eu dall’apertura delle registrazioni nel 2005. Molte aziende, tra cui Bridgestone, Century 21, Hyundai, il gruppo MAN, Microsoft Corporation e il gruppo UniCredit utilizzano un sito web .eu perché rappresenta una soluzione ottimale per mostrare un’identità europea.
EURid è l’organizzazione no-profit designata dalla Commissione europea per gestire il dominio di primo livello .eu. EURid lavora con oltre 850 registrar accreditati e fornisce assistenza nelle 23 lingue ufficiali dell’UE. Con sede a Bruxelles (Belgio), EURid ha uffici locali anche a Pisa (Italia), Praga (Repubblica Ceca) e Stoccolma (Svezia). Per maggiori informazioni visitare il sito web http://www.eurid.eu
