RODO to słowo klucz, które budzi ogromne emocje. Jako właściciel strony internetowej, masz wiele obowiązków związanych z ochroną danych osobowych. Zobacz, jaka jest w tym rola hostingu.
Rozporządzenie Ogólne o Ochronie Danych Osobowych obowiązuje od maja 2018 r. Jego wprowadzenie było poprzedzone kampanią informacyjną wskazującą na istotę ochrony danych osobowych w przedsiębiorstwach i organizacjach. Większość osób z tamtego okresu zapamięta na pewno wizje ogromnych – sięgających wielu milionów złotych – kar, które grożą za nieprzestrzeganie przepisów dotyczących ochrony danych osobowych.
Faktycznie – RODO wiąże się z licznymi obowiązkami, które wiążą się z przetwarzaniem danych osobowych. Dotyczy to również właścicieli stron internetowych.
W jaki sposób zadbać o RODO podczas zakładania strony internetowej i co ma do tego hosting? Zobacz, że serwer może odgrywać dużą rolę w zakresie ochrony danych osobowych.
Jakie strony muszą dbać o RODO?
Nie każdy administrator strony ma takie same obowiązki. Temat RODO pojawia się w momencie, w którym przetwarzane są jakiekolwiek dane użytkowników.
Jednak co to znaczy przetwarzać? W zasadzie oznacza to niemal jakikolwiek kontakt z takimi danymi. Chodzi o ich gromadzenie, kopiowanie, przekazywanie, analizowanie – praktycznie wszystko.
A co to są dane osobowe? To dane pozwalające na zidentyfikowanie danego użytkownika.
Jeżeli na Twojej stronie np.:
- dokonuje się zakupu,
- ruch użytkowników jest śledzony przez aplikacje,
- znajduje się formularz kontaktowy,
- pojawia się możliwość zapisu do newslettera,
- można dodawać komentarze (i podaje się przy tym adres e-mail),
to nie możesz ignorować tematyki RODO.
Hosting a dane osobowe
Jeżeli prowadzisz stronę internetową, na której przetwarzane są dane osobowe, to najczęściej jesteś ich administratorem. Jednak specyfika działania stron internetowych sprawia, że – chcąc nie chcąc – możesz powierzać dane osobowe innemu podmiotowi. W końcu stronę utrzymujesz na serwerze – a więc dane, które klient pozostawia Tobie, powierzane są przez Ciebie dostawcy usług hostingowych, który jest w Twoim imieniu odpowiedzialny za ich bezpieczeństwo (zob. Seria kontroli w firmach świadczących usługi informatyczne).
To Ty w dalszym ciągu pozostajesz administratorem danych osobowych. W związku z tym nawet jeśli powierzasz dane dostawcy usług hostingowych nie wyłącza to Twojej odpowiedzialności w zakresie zadbania o ich odpowiednie zabezpieczenie. W tym celu sporządza się umowę powierzenia z dostawcą.
Umowa powierzenia danych osobowych firmie hostingowej
Gdy powierzasz dane osobowe, które są przetwarzane na Twojej stronie w jakikolwiek sposób, to musisz podpisać umowę powierzenia danych osobowych firmie hostingowej. Jeżeli tego nie zrobisz, jest to naruszenie przepisów dotyczących ochrony danych osobowych.
W takiej umowie powinno znaleźć się m.in.:
- zakres i cel przetwarzania danych osobowych
- czas trwania umowy
- prawa i obowiązki stron.
Zobacz: Umowy powierzenia danych
Hosting musi zapewniać dostępność usług oraz ich ochronę przed cyberatakami. Ma także doprowadzić do jak najszybszego przywrócenia dostępu do danych np. w przypadku awarii.
Jeżeli dany dostawca oferuje “hosting zgodny z RODO”, to powinien mieć przygotowany taki projekt umowy. Radzę Ci dokładnie się z nim zapoznać – w końcu musisz wiedzieć, jakie skutki będzie mieć powierzenie danych osobowych zewnętrznemu podmiotowi (zob. Hosting zgodny z RODO).
Chroń dane dzięki kopiom zapasowym
Kopie zapasowe to podstawa bezpieczeństwa na każdej stronie internetowej. Ważne dane można stracić przez pomyłkę, awarię czy celowy cyberatak. Utrata powierzonych danych osobowych jest złamaniem przepisów RODO, co może się wiązać z przykrymi finansowymi konsekwencjami dla Ciebie jako administratora danych.
Kopia zapasowa jest w stanie Cię przed tym uchronić. Wystarczy, że klikniesz w funkcję przywracania backupu, aby pliki z powrotem pojawiły się na serwerze.
Jednak, żeby to było możliwe, taka kopia zapasowa musi być regularnie wykonywana – najlepiej, żeby było to przynajmniej raz dziennie. Istotny jest także czas jej przechowywania – backup powinien być utrzymywany na serwerze przez przynajmniej tydzień.
Zadbaj o SSL
RODO nie stawia wprost wymogu korzystania z certyfikatów SSL – jednak nakłada na administratora obowiązek wdrażania środków, które zwiększają bezpieczeństwo przetwarzanych danych osobowych. Powyższy protokół może być jednym z takich elementów.
Szyfrowanie SSL weryfikuje domenę w przeglądarce użytkownika. Dzięki temu osoba wchodząca na stronę widzi, że strona jest bezpieczna. Po pozytywnym zweryfikowaniu domeny, nawiązywane jest bezpieczne połączenie w ramach HTTPS. Dane przesyłane w takim połączeniu są chronione przed dostępem osób niepowołanych (zob. Co to jest certyfikat SSL?).
Chyba widzisz, że decydując się na certyfikat SSL dokładasz starań w celu zabezpieczenia danych osobowych. Jednak zgodność z RODO to nie jedyne korzyści, z jakimi wiąże się taki certyfikat. SSL jest także istotny m.in. dla Twojej pozycji w wyszukiwarce.
Dobrze, aby hosting oferował możliwość skorzystania z bezpłatnej wersji certyfikatu. W ten sposób możesz zabezpieczyć dane, bez konieczności ponoszenia dodatkowych kosztów. Co więcej – w praktyce taki certyfikat nie różni się w żaden sposób od wersji płatnej.
Stosuj najnowsze wersje PHP i HTTP
Strony internetowe wykorzystują różne języki, protokoły i technologie. Jednak, żeby liczyć na najwyższy poziom bezpieczeństwa, należy korzystać z ich najbardziej aktualnych wersji. Tę zasadę możesz zastosować do niemal każdej technologii stosowanej na stronie.
W przypadku PHP mamy do czynienia z implementacją 8. generacji tego języka. Każda aktualizacja PHP wiąże się z licznymi poprawkami, które wpływają z jednej strony na szybkość działania strony, a z drugiej właśnie na jej bezpieczeństwo.
Jeżeli Twój serwer nie obsługuje najnowszych wersji PHP – to Ty także nie możesz skorzystać z aktualizacji wtyczek, szablonów czy motywów. A nieaktualne wtyczki często są pełne luk bezpieczeństwa i w konsekwencji mogą być łatwym celem cyberataku.
Także protokół HTTP ulegał na przestrzeni lat wielu aktualizacjom. Obecnie wdrażana jest wersja HTTP/3, która oferuje liczne zabezpieczenia, chroniące przed dostępem osób niepowołanych. Jest to możliwe dzięki m.in. wykorzystaniu protokołu szyfrującego TSL w ramach każdego połączenia pomiędzy przeglądarką a serwerem (zob. Jak działa HTTP/3).
Żeby korzystać z HTTP/3 muszą być spełnione dwa warunki. Po pierwsze – obsługa takiego protokołu musi być włączona w przeglądarce odwiedzającego. Po drugie – protokół musi być obsługiwany przez serwer, na którym umieszczona jest Twoja strona internetowa. Jeżeli więc zależy Ci na korzystaniu z najbezpieczniejszych rozwiązań, warto rozejrzeć się za hostingiem, który oferuje obsługę takiej technologii.
Zadbaj o bezpieczeństwo poczty elektronicznej
Czy wiesz o tym, że gdy ktoś podszywa się pod Twój adres e-mail, to może wysyłać wiadomości mające na celu wyłudzenie danych? Jeżeli dojdzie do przejęcia danych osobowych (lub np. środków finansowych), to – choć nie jest to do końca Twoja wina – możesz liczyć się z problemami. W końcu osoba poszkodowana może mieć pretensje właśnie do Ciebie. Może to zakończyć się prawnymi bataliami, ale – nawet w najbardziej optymistycznym wariancie – poważnie odbije się na Twoim wizerunku.
Możesz się przed tym zabezpieczyć, jeżeli wybierzesz hosting posiadający zabezpieczenia poczty elektronicznej. Odbywa się to przede wszystkim poprzez trzy protokoły:
- SPF – Sender Policy Framework – który sprawdza czy dany adres IP jest upoważniony do wysyłania wiadomości z danej domeny;
- DKIM – DomainKeys Identified Mail – który weryfikuje nadawcę e-maila poprzez porównanie podpisu cyfrowego (w wiadomości) oraz klucza publicznego (przypisanego do domeny);
- DMARC – Domain-based Message Authentication Reporting and Conformance – czyli system łączący oba powyższe protokoły. Wysyła instrukcje, jak postąpić z nieautoryzowaną wiadomością. Jednocześnie odpowiada za raportowanie o każdym naruszeniu bezpieczeństwa poczty elektronicznej.
Zobacz: Jak sprawdzić bezpieczeństwo poczty e-mail na hostingu
Zabezpiecz dostęp do panelu hostingowego i do strony
Zarówno Twój panel hostingowy, jak i panel zarządzania stroną (CMS) to miejsca, do którego dostępu musisz chronić ze szczególną starannością. Nieautoryzowany dostęp do nich może doprowadzić do utraty kontroli nad stroną, podmiany witryny czy jej zawirusowania. To bardzo niebezpieczne w kontekście RODO, bowiem dostając się do panelu hostingowego lub CMS, osoba nieupoważniona może zyskać dostęp do danych osobowych Twoich klientów.
Co możesz zrobić? Najlepiej, jeśli postawisz na uwierzytelnianie dwuskładnikowe. W takiej sytuacji do zalogowania się nie wystarczy złamanie jednego hasła. Druga weryfikacja może odbywać się np. poprzez SMS na Twój numer telefonu. Bez dostępu do Twojej komórki, nie będzie możliwe uzyskanie dostępu do panelu (zob. Jak działa uwierzytelnienie dwuskładnikowe).
RODO to temat, którego nie może lekceważyć nikt, nawet właściciel niespecjalnie popularnej strony internetowej. W momencie, w którym dane osobowe są w jakikolwiek sposób przetwarzane, pojawia się konieczność zachowania szczególnej staranności w tym obszarze.
Wybierając hosting zwróć szczególną uwagę na kwestię, które przytoczono w tym artykule. Dopilnuj ich już na etapie wyboru serwera – pozwoli Ci to uchronić się przed nieprzyjemnymi konsekwencjami.
***
Autorem artykułu jest Mateusz Mazurek. Przedsiębiorca internetowy oraz wydawca i autor blogów. Twórca serwisu Jak Wybrać Hosting, w ramach którego pomaga wybrać odpowiedni serwer dla stron firmowych, sklepów, blogów czy innych projektów internetowych.