Le guide di Quista all’e-Commerce B2B
GDPR ed E-commerce
La Piattaforma Ecommerce QUISTA, nella sua release 2.0.2 del 2018, è stata sottoposta a vari controlli e verifiche tecniche dei processi per gestire la protezione del dato a tutti i livelli in base ai principi di conformità al nuovo regolamento europeo UE 679/2016, noto come GDPR.
Il percorso è stato eseguito durante il 2018 e certificato nel mese di Ottobre dal Dott. Ernesto Barbone, DPO certificato ACCREDIA UNI697/2017, e accerta valori di affidabilità e sicurezza nella gestione del dato.
Nello specifico, l’analisi effettuata da un DPO certificato, ha verificato il pieno rispetto del software del principio di protezione “by design and by default” nelle misure di:
Gestione della raccolta, classificazione e modalità di elaborazione del dato (art. 5 GDPR)
Rientrano in questa categoria, l’insieme dei processi e delle tecnologie che consentono di acquisire, memorizzare, catalogare, classificare il dato e ne permettono l’elaborazione controllata.
Si può suddividere in delle sottocategorie:
Gestione delle identità e dei diritti di accesso al dato (art.15 GDPR).
Il software QUISTA rispecchia a pieno questo punto in quanto è possibile gestire la possibilità di definire degli accessi personalizzati in base ai ruoli aziendali, definiti dal responsabile del trattamento.
Reingegnerizzazione e modernizzazione delle applicazioni preposte alla raccolta dei dati personali (art. 25 GDPR)
Il software QUISTA permette la gestione dei consensi e degli accessi, con la possibilità di inserire e gestire, tramite web form, varie tipologie di consensi.
Metodologie di tracciamento, catalogazione e classificazione dei dati gestiti (art 25 GDPR)
La soluzione QUISTA genera automaticamente ed autonomamente un database anche nel cloud, con permessi autorizzativi al massimo livello, difficili quindi da oltrepassare da un utente non autorizzato.
Protezione del dato (art. 25 e 32 GDPR)
Protezione da perdita di dati
La piattaforma QUISTA attraverso i log del web server, tiene traccia delle richieste fatte al server (accessi, operazioni, ecc…). I log rimangono sull’applicativo per i tempi richiesti dalla norma. Nei log rimane traccia delle seguenti operazioni: Data e ora, Indirizzo IP. url alla pagina richiamata con i parametri in GET. L’integrità del dato è garantita da log delle richieste, confronto con i backup dei giorni precedenti, sicurezza perimetrale del firewall e sistema di “banning” degli accessi non autorizzati.
Criptazione del dato.
La criptazione diventa obbligatoria come misura minima di protezione dei dati personali e sensibili, estendendo il principio anche a tutti gli endpoint (pc, talet, portatili, etc..) che vengono utilizzati per la memorizzazione di dati personali/sensibili.
La piattaforma QUISTA è in cloud e la connettività server/endpoint è garantita da uno standard HTTPS.
Gestione dei diritti del cittadino
La piattaforma QUISTA permette la gestione completa di quanto indicato dalla norma negli articoli di riferimento, attraverso web form compilabili autonomamente dal gestore della piattaforma.
Sicurezza perimetrale, interna e in mobilità (art 32, Considerando 83), Sicurezza interna (art.32 ) e verifica della conformità per servizi esternalizzati in cloud
La piattaforma QUISTA utilizza un fornitore esterno (SEEWEB) per la gestione in cloud dell’applicativo a cui viene demandata la sicurezza perimetrale. Le misure di adeguamento sono previste nella documentazione fornita dal gestore con gli SLA da loro comunicati (99,9%).
Gestione incident (art.33)
La piattaforma QUISTA prevede l’opportunità di monitoraggio della violazione dal sistema sia da parte del provider (seeeweb), sia da parte dell’utente attraverso il servizio di help desk specifico sia dal monitoraggio applicativo (analisi del log del web server (apache). Nei log rimane traccia delle seguenti operazioni: Data e ora, Indirizzo IP, url alla pagina richiamata con i parametri in GET). L’integrità del dato è garantita da log delle richieste, confronto con i backup dei giorni precedenti, sicurezza perimetrale del firewall e sistema di “banning” degli accessi non autorizzati.
Gestione Cookies
La piattaforma QUISTA sarà o, esternalizzata, consigliando al cliente una possibile soluzione attraverso gestione di servizi esterni, oppure sviluppata all’interno sulle specifiche richieste e con modalità da identificare ogni volta.