avocatnet.ro 
Autoritatea de protecția datelor din Franța (CNIL) arăta, la începutul acestei veri, că a descoperit câteva probleme recurente de securitate a site-urilor web, care pun serios în primejdie securitatea datelor personale ale utilizatorilor acelor site-uri, dar care ar putea fi cu ușurință evitate.
Și, totuși, de ce să ne concentrăm pe securizarea site-urilor web? Cum este afectată chestiunea datelor personale?
Informațiile oferite de utilizatorii site-urilor respective sunt, într-o bună parte, destul de prețioase pentru acei utilizatori. Prin urmare, riscarea securității lor este serioasă. Să ne gândim la ce poate însemna divulgarea neintenționată a parolelor utilizatorilor, la ce ar însemna accesul la anumite documente pe care le încarcă unii utilizatori, la informațiile sensibile oferite de aceștia, precum datele cardurilor, date medicale, adrese, numere de telefon, locațiile exacte ale utilizatorilor în anumite momente și lisa poate continua lejer.
Când riscul se produce și avem de-a face cu un incident de securitate, lipsa unor măsuri de prevenire, cum sunt cele detaliate mai jos, va cântări destul de mult în problemă.
Poate vrei să citești și: Cum poate gestiona o companie un incident de securitate ce vizează datele personale
1. Autentificarea în site printr-o parolă prea simplă
E cel mai simplu lucru pe care-l putem face, spune CNIL. Dacă le permitem celor care se înregistrează pe site să aibă o parolă prea simplă există șanse destul de mari ca un terț să spargă acel cont. Autoritatea franceză recomandă parole mai lungi, cu mai multe tipuri de caractere, dar și măsuri complementare la autentificare. Apoi, modul de stocare a acelor parole este important, precum și solicitarea ca utilizatorii să-și schimbe parolele cât mai des.
2. Absența unei cerințe de autentificare
În controalele efectuate, CNIL a descoperit site-uri unde nu există un proces real de autentificare a utilizatorilor deja înregistrați. E suficient ca utilizatorul să folosească o anumită adresă și poate intra în contul său. Autoritatea critică utilizarea unor astfel de mecanisme, pentru că sunt extrem de riscante pentru securitatea datelor utilizatorului.
3. Nu se face controlul dreptului de acces în sistem
Un alt exemplu problematic găsit de CNIL este următorul (în cazul sistemelor proprii ale firmelor): nu doar că nu există un mecanism de autentificare, dar schimbarea unui singur caracter din adresa URL îi permite utilizatorului X să intre în contul utilizatorului Y și să aibă acces la toate informațiile sale. CNIL recomandă folosirea unui control al dreptului de acces în sistem: API ar trebui să facă o verificare a solicitării de acces în sistem, pentru a vedea dacă este legitimă sau nu.
4. Nu se face criptarea și se permite indexarea datelor în motoarele de căutare
La conținutul unui document cu date personale ale unui utilizator se poate ajunge foarte ușor în lipsa implementării sistemului end-to-end encryption (E2EE). Ce știe să facă E2EE? Să asigure că nimeni în afară de expeditor și destinatar nu ajunge la conținutul informației care face obiectul criptării. Dacă informația respectivă ajunge în mâinile cui nu trebuie, atunci, dacă s-au folosit metode eficiente de criptare, terțul nu va înțelege conținutul ei.
Pe lângă lipsa de protecție a fișierelor, unele site-uri permit indexarea lor în motoarele de căutare, astfel că oricine poate găsi, să zicem, unele documente cu date personale ale unor utilizatori.
Poate vrei să citești și: Cinci aspecte esențiale pentru companiile care fac vânzări online
bog24 
DoruD
Comentarii articol (0)