Vademecum tecnico per il GDPR

Tabella dei contenuti

Rotazione e robustezza delle password

Per aumentare la sicurezza generale del sistema è fortemente suggerita la rotazione delle password che consiste nell'invalidare le credenziali di accesso a qualsiasi servizio (posta, FTP, database) su base periodica.

Non ci sono dubbi sul fatto che è molto stressante per un utente finale essere costretto a cambiare password ogni 2/3 mesi, ma è pur sempre meglio che vedersi bucare un account. Su siti dove gli accessi FTP sono infrequenti l'invalidazione delle password è vantaggiosa perché evita che ci si dimentichi di modificarla per mesi, se non anni.

Sui pannelli di controllo hosting come WHM è disponibile un'interfaccia che consente di impostare:

• l'età delle password, facendole scadere ogni X mesi
• la robustezza delle stesse

Anche Plesk ha un'interfaccia simile.

Autenticazione a due fattori

L'autenticazione a due fattori (con Google Authenticar o via SMS) è uno dei pilastri della sicurezza. Quando possibile dovrebbe essere impostata su qualsiasi tipo di servizi:

• accessi al fornitore hosting
• accessi alla gestione dei domini
• accessi al provider cloud

Credenziali di accesso e mezzi di comunicazione

TODO

Estensioni di terzi per i pannelli hosting

Alcuni pannelli di controllo hosting come Plesk hanno un sistema a punteggio che invoglia l'amministratore del server a installare estensioni di terzi per aumentare il "rating" e quindi la presunta affidabilità/sicurezza della macchina.

Alcune estensioni sono innocue, come quella di Let's Encrypt, che è utile e necessaria per gestire al meglio i certificati SSL dei singoli domini.

Altre estensioni invece devono essere valutate attentamente alla luce delle leggi sulla privacy. In particolare alcuni esempi. L'estensione SpeedKit, che agisce da CDN alla stregua di Cloudflare e co recita "Speed up your website by 50-300% by rerouting your web traffic through Speed Kit's caching infrastructure".

"rerouting your web traffic through Speed Kit's caching infrastructure" significa che tutto il traffico diretto verso i siti web ospitati sul server viene dirottato (seppure a fin di bene) verso sistemi che non sono più sotto il tuo controllo.

Assumendo la totale trasparenza e correttezza nella gestione del traffico e dei dati da parte di questi servizi terzi, al minimo bisogna fare una valutazione comunque attenta soprattutto se i siti oggetto dell'operazione di caching trattano pagamenti e/o profili utente.

Del resto si tratta di far passare informazioni sensibili attraverso un provider esterno, operazione su cui non tutti i tuoi utenti potrebbero essere d'accordo.

Non ultimo, nel caso in cui si valuti di attivare servizi di questo tipo è obbligatorio segnalarlo nella privacy policy e comunicarlo all'utente finale per una decisione informata.

Le stesse valutazioni valgono anche per servizi come ImmunifyAV, proposto dalla stessa società che sta dietro a Cloudlinux. ImmunifyAV è uno scanner malware che analizza tutti i file dei siti web presenti sul sistema.

Ancora, assumendo la completa correttezza nel trattamento dati da parte di questa estensione, non è possibile, se non con un'analisi approfondita, capire se e come la stessa trasmetta dati sensibili verso sistemi terzi riguardo ai file oggetto della scansione.

Anche in questo caso è obbligatorio segnalare nella privacy policy l'uso di uno scanner del genere, e comunicarlo all'utente finale.

CDN e strumenti di caching

I servizi di CDN (content delivery network), di caching e di proxying in generale come Cloudflare, Fastly, Cloudfront sono molto appetibili in quanto permettono di alleggerire il sistema dall'incombenza di servire file statici che spesso cambiano con bassa frequenza.

I nomi di cui sopra sono provider affidabili al 100%. Nonostante questo è obbligatorio segnalare nella privacy policy l'utilizzo di questi strumenti comunicandolo sempre all'utente, che deve essere informato circa la presenza di tali meccanismi di caching o re-routing del traffico.