ict-Business
20/04/2012 di Redazione

Preoccuparsi della privacy? Un dovere. Ecco perché

Marc Lampo, Security Officer presso l'EURid, il registro dei nomi a dominio .eu che fa capo all’organizzazione no-profit designata dalla Commissione europea, spiega perché fare in modo che i visitatori di un sito Web si sentano sicuri può essere essenzial

immagine.jpg

Conquistare la fiducia dei consumatori è essenziale per qualsiasi attività on line. Questo vale in particolare per le piccole aziende che non hanno i nomi familiari delle grandi catene e la reputazione che ne consegue. I consumatori europei non sono a loro agio quando si tratta di sicurezza on line e temono che i loro dati personali possano cadere nella mani degli hacker, pertanto è ragionevole presumere che possano essere meno inclini ad acquistare presso i piccoli negozi on-line per timore che i loro dati vengano usati impropriamente.



I titolari di un e-store devono comunicare ai propri clienti di avere davvero a cuore la loro privacy e la loro sicurezza. In questo modo si può costruire la credibilità dell’attività e rassicurare i visitatori del sito che stanno trattando con un’azienda legittima.

Cosa fare
La politica per la privacy e la sicurezza dovrebbe descrivere le misure adottate per proteggere i dati dei clienti e spiegare, con un linguaggio semplice, in che modo i dati raccolti sul sito saranno o non saranno utilizzati.

È una buona idea pubblicare tali spiegazioni in punti ben visibili del sito, per esempio in corrispondenza della richiesta di nome e indirizzo o dei dati della carta di credito perché, sebbene nessuno si prenda la briga di leggere tutta la politica sulla privacy e la sicurezza, a tutti piace essere rassicurati.

Le certificazioni indipendenti o “privacy seal”, come quelle offerte da EuroPriSe (European Privacy Seal) e TRUSTe, rassicurano i clienti che saranno forniti i loro dati privati a terzi senza il loro consenso. Con un marchio di certificazione della tutela della privacy si comunica loro che l’azienda è contrattualmente tenuta a rispettare una serie di prassi relative alla privacy e che, di conseguenza, essi sono protetti in quanto consumatori.

Molti titolari di negozi on-line considerano la sicurezza e la privacy dei dati come delle seccature. Ma i consumatori apprezzano le società che danno valore alla loro privacy e dimostrano il loro apprezzamento sotto forma di acquisti reiterati.

Alcune misure pratiche per tutelare la privacy dei clienti
Accertarsi della reputazione di fornitori e venditori. Nei contratti con i partner commerciali è bene prevedere clausole per la sicurezza e la privacy, leggere loro le politiche sulla privacy della propria azienda e chiedere informazioni sulle loro prassi in materia.

Procurarsi un certificato SSL (Secure Sockets Layer), essenziale per la protezione dei dati sensibili trasmessi via Internet, quali gli estremi di pagamento introdotti dai clienti. Il certificato è attivato quando il cliente accede al sito mediante un URL che inizia con “https” anziché “http”. Con l’SSL vengono criptati sia il modulo di trasmissione contenente i dati personali sia le informazioni ritrasmesse al browser del cliente una volta inviato il modulo.

I clienti vedranno la presenza di un valido certificato SSL perché il simbolo del lucchetto verde SSL sarà visualizzato nell’angolo della finestra del browser quando vistano il sito: questa icona garantisce che la trasmissione di informazioni riservate a partire da quella pagina è sicura.

Raccogliere solo i dati personali necessari affinché i visitatori del sito possano interagire con l’azienda o accedere ai suoi prodotti o servizi, e conservarli solo per il tempo necessario ai fini delle attività o conformemente alle disposizioni delle direttive UE in materia.

La prassi migliore è di non archiviare alcuna informazione sulle carte di credito. Questa politica si può attuare ricorrendo a portali indipendenti di pagamento in tempo reale, come Moneybookers, Ogone o PayPal, che gestiscono i pagamenti per conto di un merchant. In questo modo non c’è bisogno di archiviare dati sulle carte di credito nel server aziendale per cui, se mai quest’ultimo fosse messo in pericolo, non vi sarebbero numeri di carte da credito da rubare.

Se non si utilizza un portale di pagamento, è bene accertarsi di acquisire i dati di pagamento e altre informazioni di natura riservata attraverso un canale sicuro, come https o una connessione FTP (File Transfer Protocol), cancellandoli quando non ce n’è più bisogno. Se il sito offre la possibilità di pubblicare liste di regali o prodotti desiderati, è necessario verificare quante informazioni rivela sulle persone corrispondenti a quelle che un visitatore potrebbe ricercare.



In altre parole, se si rilevano troppe informazioni, per esempio nome, cognome, indirizzo e codice postale, si può mettere a rischio la privacy del cliente. Meglio trovare un equilibrio in base al quale ridurre al massimo le informazioni pubblicate pur facendo in modo che i clienti riconoscano la persona per la quale fanno un acquisto.  Occorre accertarsi che le informazioni supplementari raccolte dal sito siano archiviate altrove e non siano accessibili a partire dal server di front-end.

In Europa è necessario l’esplicita autorizzazione del cliente prima di installare un cookie sul suo computer, conformemente a una nuova legislazione dell’Unione europea, in vigore da marzo 2011, che disciplina l’impiego dei cookie.

Mantenere aggiornati i software controllando e installando regolarmente gli update e i patch, in particolare quelli relativi alla sicurezza. Imparare dalle brutte esperienze capitate ad altri e cercare di applicare gli insegnamenti tratti al proprio servizio Web.

Consentire l’accesso alle informazioni relative ai clienti e ai pagamenti solo alle persone che ne hanno effettiva necessità per il loro lavoro. È preferibile archiviare i dati sensibili su computer separati, appositamente dedicati, tenendo un registro di ogni accesso a tali dati.

Quando si assume una persona, meglio includere nel contratto di lavoro una dichiarazione sulla privacy che proibisce espressamente la divulgazione di informazioni a terzi e, allorché una persona lascia la società, cambiare la(le) sua(e) password affinché non possa più accedere ai sistemi dell’azienda.

Non serve trasferire più dati del necessario al momento di condividerli fra il sito ed altre applicazioni, ad esempio un software di contabilità o una mailing list. Se all’azienda non serve un numero di carta di credito per inviare un’e-mail al cliente, non serve scaricarlo. Trasferire informazioni non necessarie comporta una duplicazione di dati in diverse localizzazioni on line, che li rende più vulnerabili ad eventuali attacchi.



ARTICOLI CORRELATI