Arhivă autor hackeradvisor™

dehackeradvisor™

GDPR si Securitatea datelor utilizatorului

Asigurarea faptului că toate datele cu caracter personal pe care le dețineți este sigură poate fi o activitate importantă, dar ce înseamnă de fapt securitatea conform legislației GDPR?

In Regulamentul GDPR se precizeaza că datele cu caracter personal trebuie: „prelucrate într-un mod care să asigure adecvat securitatea datelor cu caracter personal, inclusiv protecția împotriva persoanelor neautorizate sau prelucrarea ilegală și împotriva pierderii, distrugerii sau deteriorării accidentale, folosind măsuri tehnice sau organizaționale adecvate

Acest lucru echivalează cu asigurarea confidențialității, integrității și disponibilității fișierelor de date cu caracter personal, precum și reziliența sistemelor sau serviciilor și capacitatea de a restabiliți datele după un incident.

Pentru a realiza acest lucru, există șapte aspecte de bază pe care fiecare dintre întreprinderile mici trebuie să le ia in calcul:

• Antivirus

• Gestionarea patch-urilor

• Filtrare e-mail

• Filtrare web

• Administrarea privilegiilor de administrator

• Controlul accesului

• Backup-uri

În mod ideal, sunt si două zone suplimentare pe care ați dori să le acoperiți, în funcție de riscurile și bugetul dumneavoastră:

• Monitorizare

• Forensinc

Fiecare zonă reduce riscurile cu care vă puteți confrunta pentru a vă proteja datele, fie că sunt personale sau date comerciale. Nu aveți nevoie de soluții costisitoare de securitate pentru a fi conform, GDPR se bazează pe risc și vorbește despre măsuri adecvate.

Începeți prin a pune ceva în loc pentru a acoperi fiecare zonă si pentru a nu lăsa goluri, concentrându-vă bugetul unde sunt cele mai mari riscuri identificate (rating mediu sau ridicat). Aceasta va varia foarte mult la micile afaceri, dar pentru mulți, e-mailul este un risc ridicat, spre exemplu.

Primul pe listă este antivirusul, care, în ciuda faptului că este încorporat  gratuit de Microsoft in sistemul de operare Windows, nu l-as recomanda pentru o afacere, deoarece soluțiile antivirus platite se află într-o altă ligă. Acestea sunt adesea bazate pe cloud, deci acolo nu este un software de gestionare de instalat, cu un tablou de bord care arată starea fiecăruia dintre computerele tale. Dacă s-ar produce o încălcare a datelor, si aceasta ar fi putut fi oprită cu o soluție antivirus de afaceri platita, ar fi greu să susții că ai avut-o securitate adecvată avand solutia gratuita, având în vedere că poate costa mai puțin de 100 lei pe an pe computer.

Urmează gestionarea patch-urilor sau gestionarea actualizărilor de software. Software-ul este incredibil de complex și, ca urmare, departe de a fi perfect, plin de bug-uri și alte probleme.  În fiecare săptămână, problemele majore de software și problemele de securitate sunt remediate prin intermediul actualizarilor software,

Pentru aceste probleme, bug-uri, este posibil ca infractorii cibernetici să fi început deja să fi programat virusi care sa le exploateze. In multe cazuri în care aceste vulnerabilități vă pot ocoli o mare parte din securitate, dacă aveți ghinion suficient pentru a întâlni malware creat pentru a viza aceste vulnerabilități, deja datele sunt puse in pericol de a fi compromise. Așa ca este important pentru a rămâne la curent cu actualizările software. De asemenea, este o idee bună să identificați toate aplicatiile software pe care le aveți instalate, iar pentru cele care nu mai au suport de la dezvoltator (ex: Windows 7) , să decideti dacă riscurile de păstrare a acestora instalate pe calculator, sunt mai mici decât înlăturarea și înlocuirea lor cu alternative noi, cu suport de la dezvoltator.

E-mailul este principala formă de comunicare pentru multe întreprinderi mici și de departe cea mai nesigură și problematică piesă de tehnologie pe care cu toții tindem să o luăm de buna si sigura. E-mailul nu a fost niciodată conceput având în prim plan securitatea, ceea ce explica într-un fel de ce peste jumătate din toate e-mailurile trimise la nivel global sunt spam nedorit.

Este foarte ușor pentru ca un criminal cibernetic să falsifice un e-mail de la cineva de încredere, pentru a încerca sa va compromita computerele și sistemele cu scopul de a comite extorcare de bani (ramsomware), fraudă, furt sau folosire in scopuri malicioase.

Cel mai bine este să vă filtrați e-mailurile, în mod ideal înainte de a ajunge in casuta de email, pentru a identifica orice malware, phishing, etc. sau care încearcă să obtina credentialele dvs de autentificare (username, parola). Standarde de autentificare prin e-mail precum DMARC (care este gratuit din punct de vedere tehnic) merită implementate și pentru a preveni propriile adrese de e-mail de a fi ușor de falsificat de catre infractorii cibernetici.

Filtrarea e-mailurilor abordează doar jumătate din problemă, sunt la fel de multe malware, e-mailuri care conțin legături web către servicii legitime de partajare a fișierelor sau documente care conțin link-uri web în interiorul lor. Multe filtre de e-mail consideră aceste tipuri de e-mailuri ca fiind benign, deci filtrarea traficului web prin intermediul unei terțe părți vă va proteja în acesteascenarii, precum și când accesați internetul în general. Un layer de protectie gratuit este stratul de protecție, ușor de realizat, prin schimbarea DNS-ului dvs. de internet la 9.9.9.9 furnizat de Quad9.net atât pentru afaceri, cât și pentru consumatori.

Privilegiile de administrator inutile pe un computer sunt un factor major în multe cazuri de încălcare a securitatii datelor. Implementarea privilegiilor pentru întregul personal ca utilizator standard, vă poate reduce considerabil expunerea și riscul, la un cost efectiv zero.

Controlul accesului oferă protecție împotriva pierderilor accidentale și distrugerii rău intenționate, care pentru mulți este sub forma – nume de utilizator și parolă. Două dintre tehnologiile fundamentale care pot face o mare diferență pentru securitatea dvs., sunt criptarea și autentificarea în doi factori a accesului utilizatorului. Astfel poți fi încrezător că nimeni din afara nu poate cu ușurință accesa oricare dintre datele dvs., fie intenționat, fie accidental. Colegii pot fi pacaliti prin phishing, sau prin inginerie socială pentru a divulga numele de utilizator și parolele lor, dar fără dispozitivul cu mai mulți factori 2FA (de obicei un telefon mobil), datele sau serviciile nu pot fi accesate. Criptarea datelor dvs. înseamnă, de asemenea, că, dacă acestea cad în mâinile greșite, de exemplu, prin intermediul unui laptop furat sau a unei unități USB, datele nu pot fi accesate fără cheia de criptare.

Pseudonimizarea datelor cu caracter personal este, de asemenea menționată de câteva ori în legislația GDPR, unde datele sunt de obicei divizate și unele dintre ele sunt înlocuite cu identificatori artificiali, cum ar fi un număr de client în loc de un nume și o adresă. Cu toate acestea, pentru majoritatea întreprinderilor mici, acest lucru nu va fi probabil viabil din cauza costurilor.

Copiile de rezervă (Backup-uri) robuste oferă protecție împotriva pierderii accidentale, distrugerii sau deteriorării, mai ales dacă măsurile anterioare nu au funcționat sau nu au fost aplicabile. Fie că este vorba de erori umane, incendiu, furt sau ransomware de extorcare, copiile dvs. de rezervă vă permit să vă restaurați datele și să continuați să funcționați ca o afacere. Bun, practica este să aveți două copii de rezervă ale datelor dvs., dintre care una se află într-o altă locație (care ar putea fi in Cloud) în cazul în care locația dvs. principală este compromisă. Tot la fel, trebuie să vă asigurați că backup-urile dvs. nu prezintă un nou risc de securitate numai permițând accesul utilizatorului autorizat.

Telefoanele mobile și tabletele trebuie, de asemenea, să fie protejate. Principala prioritate este că sunt criptate și accesate numai printr-un cod PIN din 6 cifre sau biometrie, în cazul în care acestea sunt pierdute sau furate. O soluție de gestionare a dispozitivelor mobile (MDM) vă oferă opțiuni precum blocarea de la distanță sau ștergerea de la distanță dacă este furată, precum și controlul a ce aplicații pot fi utilizate. Acest lucru este important mai ales dacă utilizați aceste dispozitive pentru autentificarea cu doi factori.

Implementarea soluțiilor de securitate nu trebuie să fie costisitoare, costând la fel de puțin prețul o cafea pe săptămână, pe computer. Monitorizare și Forensinc pot fi totuși costisitoare, mai ales dacă sunt achiziționate ca sisteme independente. Ambele sunt de neprețuit în descoperirea unei brese de securitate, daca investigați cauzele profunde și amploarea daunelor, deci dacă puteți sa va permiteti sa includeti un anumit tip de monitorizare și forensinc, vă sfătuiesc safaceti acest lucru.

dehackeradvisor™

Ai un magazin online și nu știi dacă ai înțeles bine ce trebuie din GDPR ?

Uite 10 pași să verifici. Hai să vedem ce implicații are GDPR pentru un magazin online sau o firmă mică sau mijlocie.

1. Dacă prelucrează date personale pe scară largă, așa cum face un magazin online firma va trebui să aibă un registru al operațiunilor de prelucrare adică un document unde să scrie ce date prelucrează, spre exemplu: e-mail, telefon, adresă, cnp, în ce scop: marketing, derulare contract, etc., în baza cărui temei legal din cele 6 definite, si pentru ce perioadă, dacă le prelucrează direct sau prin intermediar și ce măsuri de securitate s-au luat pentru protectia datelor.

2. Deși toți ne gândim la CNP, adresă, serie card credit, telefon și e-mail ca fiind date personale conform GDPR orice informație care poate identifica o persoană fizică este o dată personală. Adică inclusiv ziua de naștere, date de localizare, sau de acces cum ar fi ai PIN-ul, sau date cu care se intră în site.

O poză cu o persoană, postările de pe rețelele sociale și orice alt identificator online, cum ar fi unul din baza de date, care să identifice persoana pe viitor sau chiar și informații mai generice dacă este bărbat sau femeie, ce etnie sau ce culoare are.

3. Dacă prelucrezi date personale pe scară largă așa cum face un magazin online, trebuie să ai asigurat un Data Protection officer (DPO). Acesta nu poate fi concediat sau sancționat pentru activitatea lui. Mai mult el trebuie să aibă acces la toate acele date personale să aibă acces la conducerea instituției și nu poate fi în conflict de interese, adică nu poate să fie și responsabil de marketing în același timp și să prelucreze datele.

4. O atenție deosebită trebuie dată faptului că toți angajații din firmă trebuie învățați să recunoască cererile persoanelor fizice vizavi de drepturile lor. Uzual, acestea sunt: interogarea, ștergerea sau modificarea datelor personale, și în mod ideal ar trebui să le trimită persoanei abilitate, nu să dea un răspuns direct dacă nu au fost instruiți în acest scop. De știut este că în maxim 30 de zile trebuie să se dea un răspuns cererii, iar această cerere poate fi o amânare de încă maxim 60 de zile deci până una alta ai un răgaz de maxim trei luni să răspunzi la orice cerere.

5. Dacă tu lucrezi cu o agenție de marketing care are acces la datele personale culese de tine atunci acea agenție se cheamă împuternicit și tu te numești operator și din punct de vedere legal tu operatorul răspunzi pentru tot inclusiv pentru instructajul dat împuternicitul lui. Ce date are voie să prelucreze în acest scop și pentru cât timp. Deci trebuie să existe o anexă la contract care să specifice aceste lucruri.

6. A treia entitate din GDPR este autoritatea de supraveghere și apropo de asta, ar trebui să știi că GDPR este un regulament european nu o directivă.

Adică intră în vigoare direct fără nicio altă formalitate în toate statele Uniunii Europene fără să aibă nevoie de o lege națională. Mai mult și până acum existau legi naționale de protecție a datelor, ce se schimbă însă de acum încolo este că persoanele fizice afectate pot da în judecată direct operatorii nu doar să-i reclame la Autoritatea de Supraveghere așa cum era până acum.

7. Persoanele fizice au o suită de drepturi. Unul din cele mai importante fiind cel de opoziție. Adică dacă nu vrea să îi prelucrezi datele personale nu ai voie să îl dai afară din magazin, dacă cumpără.

îi poți cere strict datele necesare efectuării contractului, fără alt consimțământ pentru Google Analytics Google marketing sau de Facebook pixel.

8. Orice pierdere a datelor, de exemplu, un hard disk scăpat pe jos un laptop furat sau un site spart trebuie raportat la autoritate în maxim 72 de ore ca incident de securitate și trebuie făcută o analiză scrisă cu ce măsuri se iau pentru prevenirea pe venit în viitor.

9. Apropo de incidente. Una din cele mai importante informații din Registrul operațiunilor de prelucrare este cea cu metodele de securitate luate pentru protecția datelor adică.

Ce face firma pentru a proteja datele, dacă le cripteaza sau nu, dacă le stochează în siguranță unde le face backup și destul de important dacă are un audit de securitate pentru site.

10. Te vei întreba dacă să dai sau nu e-mail de confirmare abonaților existenți la newsletter. Răspunsul este oarecum simplu: dacă ai obținut deja consimțământul pentru abonare nu trebuie să mai faci încă o dată acest lucru. Dacă îl poți proba dacă nu l ai obținut atunci în principiu nu ai prea avea voie să îl cer pentru că teoretic tu nu ai adresa respectivului de e-mail.

Dacă insa il ai, dar nu îl pot proba, sau dacă cumva acea persoană a cumpărat deja din magazin dar nu și-a dat consimțământul explicit până acum ca ar vrea să-i trimiți de acum încolo newsletter, atunci ai putea să îl ceri ca să îl pot proba pentru viitor.

Acestea au fost minimul de informații pe care trebuie să le știi pentru a-ti alinia site-ul sau magazinul online la cerintele GDPR.

dehackeradvisor™

Cum functioneaza un atac de tip real-time phishing?

Video: CERT

Spre deosebire de atacurile clasice de tip phishing în care miza atacatorilor este extragerea de date personale și financiare pentru ca acestea să fie folosite mai târziu într un atac de tip phishing sau site ul fraudulos este conectat în timp real cu platforma de online banking a băncii vizate. Avem pe ecran două site uri aproape identice cel din dreapta este site ul real al unei bănci în timp ce cel din stânga este un site de tip phishing. La prima vedere site urile par a fi aproape identice însă dacă verificăm cu atenție anumite detalii cum ar fi adresa web fiecărui sait vom observa foarte ușor spre exemplu numele băncii nu este scris cu exactitate în cazul site ului de phishing. De asemenea dacă verificăm certificatul digital pe care site ul îl prezintă utilizatorului vom observa că în cazul site ului de phishing numele băncii nu este vizibil trecut în detaliile certificată.

Cum funcționează practic un astfel de atac de phishing?

Odată ce utilizatorul își introduce datele sale de autentificare pentru serviciul de internet și apasă butonul Submit site ul de phishing îl va îndemna pe utilizatori să aștepte chiar și câteva minute afișându i o animație de așteptare cum ar fi aceasta vor un mesaj care îl îndeamnă pe utilizator să nu părăsească în timp ce utilizatorul așteaptă ca pagina să se încarce.

Infractorii cibernetici sunt deja conectați în platforma Domain Banking folosind datele victimei. De aici nu este decât o chestiune de câteva minute sau secunde până când aceștia vor putea efectua transferuri financiare frauduloase. Din păcate astfel de atacuri de tip phishing au devenit din ce în ce mai agresive în ultima perioadă. Utilizatorii de internet sunt redirecționați către astfel de pagini de phishing fie prin linkuri trimise pe e-mail sau prin linkuri plasate în rezultatele motoarelor de căutare. Dacă ați fost victima unui astfel de atac recomandăm să notificați urgent banca și să oferiți detalii complete despre când și cum s a produs acest.

Printre serviciile Premium pe care le oferim se numara si un scurt training anti-phishing pentru angajatii companiei dvs.

dehackeradvisor™

Securitatea unui site web si Backup-ul site-ului conform GDPR

Apariția noului Regulament General pentru Protecția Datelor cu Caracter Personal (GDPR) a determinat apariția de schimbări mari în foarte multe domenii. Referitor la comerțul electronic, după apariția noilor reglementări datele cu caracter personal nu mai pot fi colectate oricum.

            În acest context, orice persoană fizică are dreptul să știe în ce mod se colectează datele sale cu caracter personal, durata stocării sau scopul în care sunt folosite. Astfel, pe cale de consecință, trebuie regândite politicile de confidențialitate, marketing-ul online, datele pentru întocmirea facturilor, etc., în așa fel încât reglementările legale să fie respectate în totalitate.

            Ce schimbări trebuie să realizeze orice proprietar care desfășoară activități de comerț online?

            Este foarte important în acest context ca toată tehnologia precum și toate sistemele de aplicație și gestiune a datelor personale să fie actualizate și adaptate conform noilor cerințe. Este momentul să ne familiarizăm cu noțiuni precum anonimizare sau pseudonimizarea datelor.

            Dacă sunteți în situația de a externaliza serviciile către firme mai mici specializate în acordarea de servicii precum salarizare, recrutare, contabilitate, call-center, găzduire, etc. este obligatoriu în acest context să verificați dacă viitorii dumneavoastră parteneri respecta și îndeplinesc noile prevederi GDPR.

            Pe scurt, persoanele care realizează activități de comerț online precum si partenerii lor, trebuie, în special, să respecte principiile modului de colectare a datelor, metodele și trebuie să găsească cele mai bune metode de securizare a tuturor datelor cu care operează.

            Toate aceste lucruri nu sunt imposibil de realizat. În afară de acest lucru, există deja foarte multe firme de consultanță care pot oferi foarte mult sprijin în acest sens oricăror persoane direct interesate. De un real folos poate fi chiar consultarea directă a autorității statale care se ocupă cu protecția datelor cu caracter personal în România, respectiv A.N.S.P.D.C.P.

            Metode simple de securizare a site-urilor web.

            Cel mai important lucru este să alegeți cu atenție domeniul de găzduire web. Este mult mai sigur să colaborați cu o companie mare în acest domeniu, mai ales în contextul măririi numărului de atacuri cibernetice din zilele noastre. Firmele profesioniste au metode eficiente de securizare a serverelor.

            Actualizați constant soft-ul. Toate actualizările implică și actualizări ale sistemelor de securitate, concomitent. Va fi mult mai greu să fiți atacați în felul acesta. Schimbați în mod repetat parolele și alegeți întotdeauna parole complexe. Este o metodă foarte simplă de securizare care nu costă nimic, însă să știți că este eficientă.

            Folosiți protocoale HTTPS. Avantajul utilizării lor constă și în îmbunătățirea poziției în motoarele de căutare. Google avantajează utilizatorii care apelează la această măsură de securitate. Utilizarea HTTPS împiedică persoanele care realizează atacuri asupra site-urilor să sustragă informațiile de conectare și parolele utilizatorilor.

            Backup-uri repetate.

            Ce este un backup? Acest lucru înseamnă realizarea unei copii a datelor  stocate pe un PC care poate fi folosită ulterior în cazul în care nu mai pot fi accesate datele de pe hard diskul primar. Altfel spus, backup-ul este procesul de arhivare, copiere si stocare a datelor. Firmele mari de găzduire realizează zilnic backup-uri pentru datele stocate pe servere, spre exemplu.

            O altă metodă utilă este și cumpărarea unui hard extern unde fiecare persoană poate face backup-uri săptămânale sau lunare, în funcție de preferințe. Există și programe online de backup-uri. Și ele pot fi folositoare pentru firmele mici, în special.

             Bineînțeles că acestea sunt soluții doar pentru salvarea bazelor de date. Pentru a preveni orice incident neplăcut referitor la securitatea datelor cu caracter personal și, mai ales, pentru a nu crea probleme mari de securitate oamenilor obișnuiți sau chiar partenerilor de afaceri, studiați cu atenție si puneți în aplicare toate prevederile referitoare la modul de prelucrare a datelor cu caracter personal.

            Evitați în felul acesta și amenzile mari și publicitatea negativă. SUCCES!

dehackeradvisor™

Ce implică GDPR pentru un proprietar de site sau magazin online

Este bine să rețineți faptul că, orice persoană care colectează, procesează sau stochează date cu caracter personal care vizează persoane fizice, este considerat operator  de date cu caracter personal. În această situație este obligatorie respectarea prevederilor GDPR!

            GDPR sau Regulamentul General privind protecția Datelor cu Caracter Personal (General Data Protection Regulation) este un regulament care protejează datele personale ale cetățenilor UE precum și viața privată a acestora, implicit.

            Acest regulament care înlocuiește fosta Directivă 95/46/CE începând cu data de 25.05.2018 se aplică oricărei organizații care funcționează în cadrul Uniunii Europene precum și celor din afara Uniunii Europene care oferă servicii sau bunuri cetățenilor UE.

            IMPORTANT!!! Sancțiunile pentru nerespectarea prevederilor GDPR sunt extrem de mari! Autoritatea din Romania care controlează respectarea acestui regulament special este reprezentată de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal – A.N.S.P.D.C.P.

            GDPR – tipuri de date.

            Care sunt datele aflate sub incidența Regulamentului General privind Protecția Datelor cu Caracter Personal?

            Este vorba despre orice informație cu privire la o persoană care poate fi utilizată pentru identificarea acesteia, atât în mod direct cât și în mod indirect. Poate fi un nume, detalii bancare, o adresă de email, IP-ul computerului, adresa, CNP, informații medicale, etc.

            Ce fel de date colectează un magazin online?

            De fiecare dată când se plasează o comandă, magazinul online prelucrează date pentru a emite o factură, un certificat de garanție sau pentru a realiza expedierea coletului în sine (nume, prenume, adresa, număr de telefon, etc.). În anumite situații toate informațiile enumerate mai sus sunt utilizate doar pentru a emite factura fiscală, certificatul de garanție sau pentru a expedia coletul. În aceasta situație clientul magazinului online trebuie înștiințat asupra faptului că doar pentru aceste lucruri sunt utilizate datele acestuia cu caracter personal.

            În afara de acest lucru, dacă magazinul online este mai complex, atunci există posibilitatea ca datele personale ale clientului să fie folosite și pentru campanii de promovare pe Facebook, rețele de socializare sau newslettere. În această situație, în mod obligatoriu, este nevoie să cereți acordul clientului.

            Pentru înscrierea la newslettere, magazinul online trebuie să înștiințeze clientul că adresa lui de email va fi folosită pentru trimiterea de oferte, notificări, campanii promoționale, etc.

            De asemenea, atunci când o persoană accesează un site sau un magazin online, implicit există posibilitatea ca acesta să colecteze informații despre adresa IP sau se salvează cookie-uri pe PC sau pe calculatorul local.

            Un alt tip de informații care pot fi accesate la crearea unui cont pe un site sau  într-un magazin online, sunt cele preluate din rețeaua de socializare Facebook , Google, etc. atunci când conectarea se face cu ajutorul contului respectiv din rețeaua de socializare. Și în această situație utilizatorul trebuie înștiințat și este necesar să obțineți acordul acestuia pentru prelucrarea datelor cu caracter personal.

            ATENTIE!! Înștiințarea persoanelor respective trebuie realizată întotdeauna înainte de a prelucra datele și nu după ce acestea au fost prelucrate!

            Cum procedăm dacă constatăm că există o pierdere de informații sau dacă a avut loc un acces neautorizat la baza de date cu caracter personal?

            În situații de acest gen, cel mai recomandat este ca persoana care răspunde de prelucrarea datelor cu caracter personal sau administratorul firmei să anunțe imediat reprezentanții Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal în maxim 72 de ore de la sesizarea incidentului.

            Luând în considerare toate aceste lucruri, orice persoană care deține un magazin online sau un site web este obligată să desemneze un responsabil pentru protecția datelor – DPO (Data Protection Officer) sau să externalizeze acest serviciu către o firmă specializată.

dehackeradvisor™

Politica Cookie. Ce sunt cookie-urile și la ce folosesc ?

Ce se întâmplă atunci când navigăm pe un site web? Există niște fișiere mici formate din litere și numere care se descarcă pe calculator, laptop, tabletă sau telefon mobil, atunci când are loc navigarea. Aceste fișiere mici se numesc cookie-uri. PC-ul sau laptop-ul utilizatorului care accesează site-ul respectiv recunoaște și acceptă aceste fișiere de dimensiuni mici în mod automat. Fișierele de tip cookie-uri nu se comportă ca un virus și nici nu dăunează computerului.

            Când au apărut fișierele de tip cookie ?

            În anul 1994 un angajat al companiei Netscape Communications a trebuit să dezvolte o aplicație de comerț online. El a observat cu ocazia acestui lucru faptul că cookie-urile sunt utile și pentru navigarea pe internet. Primul navigator pe internet care a utilizat și a oferit suport pentru cookie-uri a fost Mosaic Netscape. Acest lucru s-a întâmplat în luna septembrie 1994.

            Sunt utile fișierele de tip cookie?

            DA, astfel de fișiere sunt utile! Ele sunt necesare pentru funcționarea deplină a serviciilor oferite site-ul respectiv. Sunt utili pentru conținutul și îmbunătățirea permanentă a modului de funcționare a site-ului, pentru a oferi vizitatorului o experiență chiar plăcută pe perioada navigării.

            Un alt rol important este acela de a oferi informații referitoare la activitățile realizate de vizitator pe site-ul vizitat. Pot stabili profiluri care sunt apoi folosite în scopuri de marketing de către companiile care dețin în proprietate site-ul.

            Cookie-urile colectează date cu caracter personal de tipul adresa IP, versiunea și tipul de browser, sistemul de operare și o listă de URL-uri care începe cu site-ul de inițializare, activitatea vizitatorului pe site dar și site-ul spre care se îndreaptă după părăsirea site-ului inițial.

            Ce tipuri de cookie-uri folosim?

            Enumerăm cele mai importante tipuri de cookie-uri utilizate frecvent pentru a vă familiariza mai bine cu acest domeniu:

            Cookie-uri de sesiune: sunt cele mai frecvente tipuri de cookie-uri. Cookie-urile de sesiune sunt prezenți într-o memorie temporară. Nu sunt dăunători deoarece toate informațiile sunt șterse atunci când este închisă sesiunea de navigare.

            Cookie-uri persistente: Rămân întotdeauna în memoria calculatorului până când utilizatorul le șterge sau până în momentul expirării lor. Ele sunt utilizate pentru a aduna informații despre utilizator, înregistrându-i activitatea pe un anumit site web.

            Cookie-uri sigure: conțin informații despre utilizator, sunt folosite mai ales de site-uri pe care se realizează tranzacții financiare. Sunt mai sigure decât alte tipuri de cookie-uri deoarece sunt criptate.

            Cookie-uri zombie: sunt cookie-uri care apar din nou după ce au fost șterse. Frecvent, sunt utilizate de serviciile de analiză a traficului de internet si sunt stocate în afara navigatorului. Pot fi utilizate în scopuri negative deoarece existența lor nu poate fi controlată de utilizator. Pot fi identificate și șterse doar cu ajutorul produselor de securitate! 

            Ce sunt cookie-urile de la terțe părți?

            Spre exemplu, unele din paginile navigate de noi afișează conținut de la furnizori externi YouTube, Facebook sau alte rețele de socializare. Pentru a vizualiza conținutul de la terți trebuie să acceptăm termenii și condițiile lor, inclusiv politicile privind modulele cookie. Dacă însă nu a fost vizualizat conținutul de la terțele părți, pe dispozitiv nu se instalează nici un cookie de tip terțe părți.

            IMPORTANT!! Atunci când navigăm pe internet vizualizăm frecvent mesaje despre cookie-uri si Politica Cookie pe aproape toate site-urile pe care le accesăm. Aceste notificări sunt prezente datorită prevederilor de securitate prevăzute în Regulamentul GDPR. Aceste notificări ne ajută să aflăm cum sunt folosite cookie-urile dar și pentru ce sunt folosite. Este recomandat ca aceste lucruri să fie citite cu atenție. Dacă suntem de acord poate fi oferit acordul de utilizare.

dehackeradvisor™

GDPR. Politica de confidențialitate a unui site

Conform prevederilor noului Regulament GDPR, persoanele fizice cărora li se prelucrează datele cu caracter personal trebuie să li se respecte următoarele drepturi:

            Dreptul de a fi informat.

            În acest sens, politica de confidențialitate a unui site sau a unui magazin online trebuie să conțină toate informațiile necesare într-un mod clar și fără ambiguități. Utilizatorul trebuie să înțeleagă într-un mod foarte clar ce date cu caracter personal se colectează, cât timp se stochează acestea, în ce scop, etc. De asemenea, este obligatorie precizarea modului în care își poate retrage consimțământul cu privire la prelucrarea datelor precum și modul cum poate să își șteargă datele sale personale.

            Dreptul la acces.

            Acest lucru presupune ca vizitatorul site-ului să aibă posibilitatea de a accesa și descărca propriul istoric de navigare.

            Dreptul de rectificare.

            Utilizatorul trebuie să beneficieze de posibilitatea de a modifica sau corecta propriile date cu caracter personal.

            Dreptul de restricționare a prelucrării.

            Utilizatorul își poate retrage consimțământul acordat cu privire la prelucrarea datelor cu caracter personal.

            Dreptul la opoziție.

           În situația în care persoana respectivă nu dorește să mai primească newsletter-uri, atunci acest lucru trebuie să se întâmple.

            Dreptul la portabilitate.

            Transferul datelor cu caracter personal prelucrate poate fi transferat către un alt operator, dacă acest lucru este solicitat de utilizator.

            Există si alte tipuri de drepturi reglementate foarte precis de către Regulamentul GDPR, drepturi cu privire la profilare și decizii automatizate sau dreptul de a depune plângeri datorate unor nemulțumiri.

            Politica de confidențialitate.

            Rețineți faptul că prevederile noului Regulament GDPR sunt stricte iar sancțiunile pentru nerespectarea lor sunt foarte mari! Conform noilor reglementări din domeniul prelucrării datelor cu caracter personal, toate companiile sunt obligate să le pună în aplicare și să le respecte pentru a continua activitatea în condiții de legalitate.

            Inclusiv politica de confidențialitate trebuie modificată pentru a respecta principiile și prevederile noului regulament. Orice persoană fizică sau juridică trebuie să posteze pe site-ul pe care îl deține politica sa de confidențialitate. Acest lucru trebuie prezentat într-un mod cât mai clar, pe înțelesul fiecăruia. O dată publicată, politica de confidențialitate trebuie să fie și respectată.

            Ea se bazează pe respectarea drepturilor enumerate anterior!

            Politica de confidențialitate, conform prevederilor Regulamentului GDPR, trebuie să conțină mai multe categorii de informații: datele de identificare ale firmei (nume, adresă, telefon, mail, etc.), felul în care se colectează datele și când se colectează, tipul            de date care se colectează, locul stocării lor, drepturile de confidențialitate ale utilizatorului, durata pentru păstrarea lor, dacă este cazul de partajare a datelor către terți, care sunt terții, ce garanții oferă aceștia, intervalul de timp în care datele vor fi păstrate, scopul pentru care se prelucrează datele respective, politica pentru cookie-uri, marketing, etc.

            Rețineți faptul că există și politici de securitate cu privire la prelucrarea datelor cu caracter personal. Cele mai importante componente ale acesteia sunt componenta tehnică și componenta organizațională.

            Atunci când începeți să evaluați riscurile, recomandăm să aveți întotdeauna în vedere următoarele lucruri negative care se pot întâmpla:

  • anumite lucruri pot fi sustrase (servicii, informații, echipamente, etc.);
  • cine poate sustrage informații sau alte lucruri importante (hackeri, etc.);
  • ce poate fi recuperat, în cât timp și care sunt pierderile reale și complete;
  • –    ce nu poate fi recuperat sau înlocuit.

            Recomandăm proprietarilor de site-uri web sau magazine online să achiziționeze certificate de securitate SSL.

            Este foarte adevărat că toate aceste lucruri par foarte complicate mai ales pentru persoanele care sunt la început de drum în domeniul afacerilor. Nu trebuie însă să vă descurajați foarte mult. Există din fericire foarte multe companii care oferă servicii de consultanță în acest domeniu foarte profesionale. Puteți apela la o astfel de companie pentru a reuși să organizați cât mai corect activitatea de prelucrare a datelor cu caracter personal.

dehackeradvisor™

Ce este un DPO?

Data Protection Officer (DPO) sau persoana responsabilă cu protecția datelor este o persoana cheie în noul sistem care guvernează protecția datelor cu caracter personal.

            În ce situații sunteți obligat să nominalizați un DPO?

            Conform noului Regulament de Prelucrare a Datelor cu Caracter Personal care a intrat în vigoare începând cu data de 25.05.2018, nominalizarea persoanei care răspunde de prelucrarea datelor cu caracter personal este obligatorie în următoarele situații:

  • în cazul în care prelucrarea datelor este realizată de către o instituție publică,;
  • în cazul în care activitățile principale ale operatorului constau în operațiuni de prelucrare a datelor care implică monitorizări periodice a persoanelor vizate pe scară largă;
  • atunci când operațiunile principale ale operatorului constau în prelucrarea pe scară largă a unor categorii speciale de date sau a unor categorii de date privind condamnări penale și infracțiuni.

            Este bine să cunoașteți faptul că prevederile noului Regulament GDPR recomandă ca următoarele lucruri să fie luate în calcul atunci când se stabilește dacă prelucrarea datelor cu caracter personal se realizează pe scară largă sau nu. Acest lucru vă ajută mult să stabiliți dacă este necesară numirea unei persoane responsabile cu prelucrarea datelor cu caracter personal în cadrul companiei dumneavoastră sau nu.

            Trebuie luate în calcul următoarele lucruri: numărul persoanelor vizate, volumul de date în curs de prelucrare, durata activității de prelucrare efectivă a datelor și suprafața geografică a activității de prelucrare.

            Pentru a fi extrem de siguri că lucrurile sunt foarte clare, vă oferim câteva exemple de prelucrări de date pe scară largă: prelucrarea datelor tuturor pacienților care se afla internați într-un spital, prelucrarea datelor clienților unei companii de asigurări sau a clienților unei bănci, prelucrarea datelor de tipul localizare, trafic sau conținut de către furnizorii de telefonie sau de servicii de internet.

            Nu constituie prelucrări de date cu caracter personal pe scară largă prelucrarea datelor pacienților înscriși pe lista unui medic de familie sau prelucrarea datelor referitoare la condamnări penale de către un cabinet individual de avocatură.

            Persoana responsabilă cu prelucrarea datelor cu caracter personal poate fi un angajat propriu sau chiar și un consultant extern. Legea permite acest lucru !

            Principala responsabilitate a unei persoane care deține o funcție de DPO constă în urmărirea felului în care sunt respectate prevederile Regulamentului GDPR. De asemenea, această persoană este cea care va ține legătura permanent cu Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal – ANSPDCP.

            Care sunt celelalte atribuții ale persoanei care deține funcția de DPO?

            Persoana care deține funcția de DPO mai poate îndeplini și următoarele atribuții: organizarea de cursuri de specialitate pentru informarea salariaților despre felul în care este reglementată activitatea de prelucrare a datelor, promovarea culturii referitoare la prelucrarea datelor cu caracter personal în interiorul organizației din care face parte, colectarea informațiilor pentru identificarea corectă și completă a activităților de prelucrare a datelor, colaborarea cu toate departamentele din cadrul organizației pentru a intra în posesia tuturor informațiilor necesare realizării corecte a tuturor sarcinilor de serviciu, etc.

            IMPORTANT!! Toate activitățile legate de prelucrarea datelor cu caracter personal pot fi externalizate, fără nici un fel de problemă!!

            În momentul de față există foarte multe companii în România care oferă servicii de foarte bună calitate în domeniul prelucrării datelor cu caracter personal. Oferta este variată și foarte generoasă.

            În felul acesta nu este nici un fel de problemă dacă nu aveți în cadrul companiei salariați care să poată îndeplini astfel de atribuții sau dacă nu ați găsit să angajați până acum pe cineva potrivit.

            Studiați cu atenție ofertele companiilor de profil și întrebați reprezentanții acestora tot ceea ce nu va este clar referitor la felul în care trebuise puse în aplicare prevederile Regulamentului GDPR.

dehackeradvisor™

Ce este Regulamentul GDPR?

           Regulamentul General pentru Protecția Datelor Personale este prima reglementare completă în ceea ce privește protecția datelor. Acest act normativ a înlocuit fosta Directivă 95/46/CE începând cu data de 25.05.2018.

            Regulamentul GDPR se aplică în toate statele membre ale Uniunii Europene, protejează cu succes drepturile persoanelor fizice din Uniunea Europeană și se aplică și pentru operatori de date care nu se află în Uniunea Europeană.

            IMPORTANT!! În sensul acestor reglementări noi, orice persoană care colectează, prelucrează sau stochează date cu caracter personal referitoare la persoane fizice, este considerat operator de date cu caracter personal și este obligat să respecte prevederile Regulamentului GDPR. Sancțiunile pentru nerespectarea acestui act normativ sunt foarte aspre!!

            Care sunt principiile care guvernează acest important act normativ european?

            În primul rând, Regulamentul GDPR urmărește ca prelucrarea datelor să se realizeze în condiții de legalitate, în mod echitabil și transparent iar prelucrarea datelor să se facă cu acordul persoanei respective.

            Colectarea datelor trebuie realizată cu scopuri determinate, explicite și legitime.

            Datele trebuie să fie adecvate, limitate și relevante. Acestea trebuie colectate minimal, strict pentru atingerea scopurilor dorite.

            De asemenea, datele colectate trebuie să fie exacte si actualizate. Stocarea datelor trebuie realizată doar pentru perioade determinate de timp.

            Un alt principiu foarte important este acela conform căruia, prelucrarea datelor trebuie realizată într-un mod care să garanteze siguranța datelor prin alegerea de măsuri tehnice corespunzătoare.

            Ce sunt datele cu caracter personal?

            Conform prevederilor noului Regulament GDPR, datele cu caracter personal reprezintă “orice informații privind o persoană fizică identificată sau identificabilă; o persoana fizica identificabilă este o persoana care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare , cum ar fi un nume , un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale”.

            Concret, datele cu caracter personal reprezintă toate acele informații cu ajutorul cărora o persoană poate fi identificată (număr de cont, cod unic de identificare, pseudonim, etc.).

            În contextul acestui nou act normativ european, prelucrarea datelor cu caracter personal trebuie să se realizeze în mod legal și să se bazeze pe unul din următoarele lucruri:

  • consimțământ (persoana și-a dat consimțământul pentru prelucrarea datelor);
  • contract (există sau urmează să se încheie un contract);
  • obligația legală;
  • interesul vital (se protejează viață și sănătatea persoanei respective);
  • interesul public;
  • interes legitim (daca nu intră în conflict cu interesul persoanei fizice).

                        Care sunt drepturile persoanelor fizice cărora urmează să li se prelucreze datele cu caracter personal, în sensul actualului Regulament GDPR?

                        Dreptul la informare, dreptul la acces, dreptul la rectificare, dreptul la ștergere, dreptul la restricționarea prelucrării, dreptul de a solicita portarea datelor, dreptul la obiecție, dreptul de a nu fi supusă unei decizii automate, dreptul de a depune o plângere la Autoritatea de supraveghere, dreptul de a se adresa instanței judecătorești, sunt drepturile de care se bucură orice persoană fizică din punctul de vedere al prelucrării datelor cu caracter personal.

                        Rețineți faptul că Regulamentul GDPR obligă operatorii și persoanele împuternicite să țină o evidență strictă a activităților de prelucrare atunci când compania are mai mult de 250 de salariați, prelucrarea datelor nu este ocazională sau în situația în care prelucrarea datelor poate genera riscuri pentru drepturile și libertățile persoanelor a căror date personale urmează a fi prelucrate.

                        Referitor la transferurile internaționale de date, regulamentul GDPR nu interzice in mod expres acest lucru! Este însă precizat foarte clar în conținutul acestuia faptul că  acest transfer poate avea loc numai în situația în care există garanții clare, decizii adecvate, clauze speciale sau reguli precise.

                        Amenda pentru încălcarea legilor care reglementează prelucrarea datelor cu caracter personal poate ajunge până la 4% din valoarea cifrei de afaceri!!

dehackeradvisor™

Ghid implementare Kit GDPR magazin online

Cauti un Kit pentru implementare GDPR magazin online ? Citeste ghidul de mai jos si ne poti contacta pentru implementare GDPR magazin online si GDPR site web, implementare securitate site web.

gdpr magazin online
Info: Servicii implementare GDPR magazin online, GDPR site web, Securitate site web, Monitorizare Malware, Analiza vulnerabilitati site, contacteaza-ne aici oferta noastra de preturi !

I. Politica de confidentialitate GDPR magazin online

Toate Persoanele (vizitatorii & clienții online) trebuie informate cu privire la operațiunile de Prelucrare a datelor lor cu Caracter Personal.

Aceasta se realizează prin intermediul notei de informare privind Prelucrarea Datelor cu Caracter Personal, așa numita „Politica de Confidentialitate”,  care trebuie afișată pe website astfel încât să fie ușor accesibilă de pe fiecare pagina.

Clientii trebuie să confirme că au citit și au înțeles această politică de confidențialitate. Confirmarea se poate realiza prin utilizarea unei căsuțe care poate fi bifată de către client, după modelul următor: „Sunt de acord cu Politica de Confidențialitate.”, unde „Politica de Confidentialitate” este un link către pagina cu politica de confidențialitate.

Este recomandabil ca această confirmare să se realizeze la momentul creerii contului de utilizator.  În cazul în care nu se creează cont de utilizator, este ca această confirmare să se realizeze la momentul plasării unei comenzi, sau completarii unui formular de contact.

Clienții online trebuie doar să confirme că au citit și că au înțeles politica de confidențialitate. Nu este necesar sa-si dea acordul cu privire la această politica de confidențialitate.

II. Colectarea si stocarea datelor

Trebuie să colectati doar datele clienților care sunt strict necesare pentru achiziționarea de produse prin intermediul magazinului online. De exemplu, dacă pentru crearea de cont sunt suficiente numele, prenumele și adresa de e-mail, atunci nu ar trebui să se solicite și alte date (precum, adresa de domiciliu, telefon,etc).

Trebuie sa stocati datele cu caracter personal ale clienților doar atât timp cât este nevoie de aceste date (de exemplu, datele despre cont să fie ținute cât timp există contul de utilizator). Odată ce nu mai este nevoie de datele clienților, acestea trebuie șterse.

III. Newsletter-e

În cazul în care doriti sa promovati produsele vândute prin intermediul magazinului online prin transmiterea de mesaje email către o multitudine de persoane (Newslettere), trebuie să va asigurati că, înainte de a trimite acele mesaje, persoanele respective au consimțit la primirea de astfel de mesaje.

IV. Politica Cookie-uri GDPR magazin online

Toate Persoanele (i.e., toți clienții online, vizitatorii ) trebuie informate cu privire la cookie-urile utilizate pe website.  Aceasta se realizează prin afișarea pe website a unei politici de cookie-uri.

Important: în momentul în care utilizatorul apasă butonul de refuz cookie-uri, cookie-urile care nu sunt strict necesare nu se vor mai incarca. Dacă sunt mai multe tipuri de cookie-uri folosite (analiză, performanță, target-are, reclama) ar trebui luat consimțământ separat pentru fiecare tip (să existe mai multe căsuțe nebifate si utilizatorul să bifeze cookie-urile cu care este de acord).

Utilizatorul trebuie să aibă posibilitatea de a retrage consimțământul cu privire la utilizarea cookie-urilor. De exemplu, în politica de cookie-uri ar trebui inclus un link care sa-i permita utilizatorului (clientul online) să modifice opțiunile cu privire la utilizarea cookie-urilor.

Pentru mai multe detalii poti consulta Regulamentul GDPR.