Gdpr e messa a norma dei siti Cms ed Ecommerce

Sembra una “cosa da tecnici” e lo è, ma è importante, molto importante avere il proprio ecommerce o cms (sistema di gestione dei contenuti – Content Management System) aggiornato alle ultime versioni per avere un sito che possa essere messo in sicurezza secondo le indicazioni del Gdpr

Messa a norma dei siti con WordPress, Woocommerce

Anche il garante ribadisce questo importante aspetto, imponendo (cioe’ obbligando) l’ adeguamento di una serie di siti web (a questo link quello relativo ad un partito e/o movimento politico. per la serie non si guarda in faccia a nessuno) e riservandosi la possibilita’ di applicare delle sanzioni pecuniarie come da ex art. 162 del dlgs. 196/2003.

Sei hai un sito, controlla o fai controllare subito se il tuo Cms è aggiornato all’ ultima versione disponibile.

 

Come funzionano gli Ecommerce e cms

Voglio fare premessa, cercando di essere meno tecnico possibile, su come, in linea generale funzionano i cms. Una cipolla… pensate ad una bella Cipolla come al vostro sito.
Nella valutazione della messa a norma di un sito internet per la gdpr, viene tenuto conto proprio di questa organizzazione a “cipolla”. Questo vuole dire che vi sono diversi aspetti da mettere a norma della gdpr per ogni strato della cipolla. Per essere diretto, puoi fare le debite implementazioni nei moduli di richiesta informazioni e delle varie spunte, ma deve essere fatta un analisi su come i vari plugin/moduli (i vari strati della cipolla) possono interessare ed essere coinvolti nel trattamento dei dati.
E dato che una cipolla ha i suoi lati positivi (piacere al gusto) e negativi (alitosi e occhi che lacrimano se la tagli)
Mi spiego meglio:

• Il primo strato o strato Esterno della cipolla/sito web: è la grafica, quello che vedete e con il quale interagite. Qui abbiamo anche i vari moduli di richiesta informazioni i vari flag di conferma. Qui si fa’ un controllo se i vari temi grafici sono aggiornati all’ ultima versione e nel caso siano obsoleti o non prevedano il supporto alla gdpr, si prevede un piano di aggiornamento.
• Il secondo strato è quello relativo ai plugin o moduli o estensioni e sono quelli che aggiungono delle specifiche funzionalita’ oltre a quelle base e puo’ avere anche dei punti di contatto con il primo strato. Ad esempio iscrizione alla newsletter, attivazione di attivita’ di exit-intent dal sito, piuttosto che landing page con ebook gratuiti. E’ un area critica, perche’ spesso, l’ ampia disponibilita’ di plugin spesso anche gratuiti, che vengono installati nei siti con leggerezza rendono potenzialmente il vostro sito web un “colabrodo”. E tutto concorre a rendere il vostro sito “bucabile” con relativa furto dei dati dei vostri clienti in modo piu’ o meno pesante a seconda della tipologia di sito. In questi casi è necessario controllare uno ad uno, i plugin o moduli installati se sono aggiornati, se sono da aggiornare, ma sopratutto se sono sicuri ed a norma gdpr. Nel caso i plugin non siano a norma è necessario sostituirli con altri a norma.
• il terzo strato è quello dei plugin di ottimizzazione o moduli o di interventi sul codice, che rappresentano delle funzionalita’ specifiche, magari di sicurezza o di velocita’. sono importanti perche’ ci permettono di aumentare i livello di sicurezza del sito per portarlo a livelli accettabili (per dormire tranquilli la notte). Qui gli interventi ci permettono di alzare delle barriere contro il data-breach o furto dei dati ad opera di malintenzionati e quindi metterci in parte al sicuro da tutti gli aspetti fondamentali legati alla gdpr ed alle eventuali comunicazioni di furto dei dati.
• L’ ultimo strato è il cuore della cipolla, quella che fa’ funzionare il sito, gestisce le pagine, gli articoli. Questa è la parte piu’ intima, che riguarda l’ aggiornamento stesso del cms all’ ultima versione utilizzata. Infatti tutti i grandi cms sono all’ opera frenetica per fare gli aggiornamenti per fare in modo che anche il cuore detto anche “core” sia a norma del gdpr. Sara’ necessario eseguire degli aggiornamenti del sistema Cms, tenedo in mente le eventuali criticita’ legate agli strati superiori della cipolla. Cioe’ che potenzialmente l’ adeguamento del core sia seguito dall’ adeguamento di tutti gli strati superiori.

I core o il cuore dei vari CMS Opensource, alla data attuale (cioè prima del 25 maggio 2018), non sono affatto pronti e non sono a norma GDPR, detto questo vorrei con voi vedere quali sono le attivita’ che i maggiori sistemi cms ed ecommerce stanno operando.

 

Plugin non significa che sei a norma

Una premessa importante, l’ installazione di un plugin, estensione o modulo aggiuntivo non rende il tuo sito a norma. Cosi come l’ installazione di un aggiornamento di sistema non rende il tuo sito a norma. E’ importante dirlo, perche’ questi sono strumenti che danno il supporto per la successiva configurazione e la messa in regola del tuo sito.

• Hai bisogno di un legale che conosca la materia gdpr sia in Aziende ed anche per il sito (ne ho parlato nell’ articolo GDPR e siti web: Sei in regola? )
• Hai bisogno di un tecnico specializzato (non il cugino per intenderci) che mette in pratica le indicazioni del legale.
• Contattaci per un preventivo sulle tue esigenze.

Woocommerce – aggiornamento al 22/05/2018

Woocommerce di automattic che è la stessa azienda che ha creato wordpress, non è attualmente in regola con la gdpr. Woocommerce non è un applicazione a se’ stante ma richiede l’ installazione su il cms wordpress per il suo utilizzo. Ma dal loro blog comunicano il progredire di tutta una serie di moglioramenti ed implementazioni.

Aggiornamento: molte funzionalita’ sono state incluse nel core di wordpress sul quale woocommerce si basa, vedi quindi la sezione sottostante “gdpr e wordpress”

Quindi, se ne stanno occupando in modo attivo, in primo luogo si evidenzia che la gdpr coinvolge non solo l’ Italia, l’ Europa ma anche tutto il mondo e questo è importante perche’ un compratore dall’ europa deve avere le stesse garanzie (in termini di gdpr) che ha comprando in europa.
In linea generale l’ intenzione è quella di portare quante piu’ funzionalita’ a supporto della gdpr, direttamente nel core di wordpress e di lasciare solo specifiche funzionalita’ direttamente in woocommerce.

A partire dalla prossima release di aggiornamento, dovrebbe essere la 3.4 includera’ strumenti specifici per la gdpr, quindi:

• Miglioramenti al processo di checkout o “vai alla cassa:
• formattazione migliorata delle descrizioni in linea dove si potra’ inserire dei testi vicini ai campi. In piu’ alcuni strumenti da attivare o disattivare in merito ai dati informativi che non sono strettamente necessari all’ evasione dell’ ordine.
• Termini e condizioni di vendita personalizzati con controlllo sulle spunte e le etichette
• Esportazione dei dati personali ed anonimizzazione degli ordini massiva
• Esportazione dei dati personali, che è la cosa piu’ importante se vogliamo dare un parere personale e che pero’ coinvolgera’ non tanto woocommerce in sè quanto il core di wordpress (lo vediamo dopo)

 

WordPress e GDPR

Aggiornamento 18/05/2018: è da poche ore disponibile la versione 4.9.6 che avra’ delle funzionalita’ specifiche a norma gdpr, in linea generale saranno simili ai punti riportati qui sotto

WordPress attualmente non è a norma, il core non risponde pienamente ai requisiti richiesti dalla gdpr. Sono pero’ al lavoro in modo attivo ed intenso.

Prevedo che prima del 25 maggio 2018 e successivamente vi sara’ una quantita’ di aggiornamenti tali che sara’ necessario il ricorrere a professionisti. Successivamente arriveranno dei microaggiustamenti.
Personalmente vedo sempre nei cambiamenti, anche se forti, positivita’. in questo aggiornamento ci sara’ una bella pulizia di tutti quei plugin sviluppati mali, insicuri e per la maggior parte saranno quelli gratuiti.
La linea dovrebbe essere quella di apportare quante piu’ modifiche al core di wordpress in modo che poi ogni plugin aggiuntivo possa beneficiarne. In questo modo, a mio avviso, cercano di mettere le basi per una gestione dei plugin che sia quanto piu’ normalizzata e quindi sotto controllo. Sicuramente ci sara’ bisogno di schermate e strumenti specifici richiamabili dalla parte ammnistrativa. Vediamo alcuni punti:

• Rimozione per gli utenti e gli ospiti di richiedere i dati personali e/o la loro rimozione
• Dal pannello strumenti, avremo una voce “Esporta i dati personali” (vedi schermate puramente indicativa di quello che puo’ essere), che possa prevedere la gestione del seguente flusso:
• Utente esegue una richiesta da un modulo di contatto o attraverso altri metodi di contatto
• L’ Amministratore aggiunge la richiesta dal pannello di controllo
• L’ Utente verifica la richiesta
• L’ amministratore gestira’ la risposta alla richiesta inviando i dati che l’ utente ha richiesto
• La richiesta stessa potra’ essere tracciata o rimossa.

Nota: per essere sicuri che l’ utente sia realmente chi dice di essere, invieremo una mail di conferma all’ utente con un link all’ interno dove possa cliccare per confermare l’ operazione. E’ molto simile alle funzionalita’ del cambio password.

la richiesta puo’ essere verificata e tracciata attraverso l’ utilizzo di stati che sono

• in attesa
• Confermati
• Falliti
• Completati

Sistema di esportazione dei dati personali: che verranno gestiti attraverso l’ utilizzo e l’ inclusione di bottoni e links che permettano l’ esportazione dei dati tramite file (sara’ utilizzato anche da woocommerce).

Sono previsti inoltre anche i seguenti punti:

• Generatore di pagine per la privacy policy (ci sara’ anche il supporto al multilingua?)
• Funzionalita’ di gestione del consenso ai cookie per i commenti
• Funzioni specifiche di aiuto all’ anonimizzazione dei dati

in ogni caso il team WordPress è al lavoro e le discussioni e gli argomenti relativi al core wordpress in relazione alla gdpr li puoi trovare al link precedente.

 

Gdpr e Magento ecomerce

Magento è la soluzione professionale per fare ecommerce, ed essendo professionale ha anche costi di realizzazione, di gestione e di mantenimento che sono dello stesso livello, cioè Professionali. Facciamo due distinzioni fra le due versioni principali di Magento:

• Magento 1, non ha la gestione della rimozione dei dati dei clienti su richiesta o in autonomia, ma per fortuna, ci sono delle estensioni che rendono possibile questa funzionalita’. Oltre a queste funzionalita’ mette in condizione di poter eliminare tutti i dati del carrello, i dati degli ordini. Permette inoltre al tuo cliente di poter visualizzare, modificare o cancellare le sue informazioni personali. In particolare mi riferisco alla estensione magento 1 GDPR Magento di Zero
• Magento 2, se invece il tuo ecommerce utilizza Magento2 è possibile aggiornarlo e metterlo a conformita’ della GDPR con una estensione specifica. Questa estensione è la GDPR Magento 2 di AdFabConnect. Procediamo con l’ installazione dell’ estensione e per la configurazione entriamo nella parte amministrativa. Scegliamo le voci Configurazione > Clienti > Configurazione Cliente >Privacy GDPR. In questa sezione specifica puoi attivare o disattivare le funzionalita’ specifiche per rendere il tuo ecommerce basato su Magento 2 compatibile con la GDPR.

Gdpr e Prestashop

Anche l’ ecommerce Prestashop si sta’ aggiornando alle ultime normative imposte dalla gdpr e lo fara’ attraverso l’ utilizzo di plugin specifici per ogni versione, vediamo insieme:

• Prestashop 1.7 – il plugin sara’ fornito in modo gratuito
• Prestahop 1.5 e 1.6 – il plugin verra’ fornito a pagamento

 

Gdpr Joomla cms

La via scelta da joomla è quella di una soluzioni mista tra aggiornamenti al core e l’ utilizzo di diversi add-on e plugin (per estendere la conformita’ del gdpr anche alle estensioni di terze parti). Ecco alcuni Addon e plugin JA

• JomSocial, Easysocial, Community Builder
• iJoomla: Guru, Adagency, Publishe
• Form Breezing, AcyMailing, ,Jevents, Event Booking
• Virtuemart, J2store, Ja Builder
• Kunena , Blog: K2