Piccola pagina web aziendale, come orientarmi

Aaternopae · 2022-08-10T14:02:10+00:00

Un ottimo pannello ce l'ha Netsons, l'ho scoperto per caso e al momento ho un hosting free che prevede un dominio di test di terzo livello. Ci ho cacciato su Wordpress, il sito è in fase di realizzazione. Quando sarò pronto passerò al profilo a pagamento e pagherò dominio, certificato ecc.

I prezzi sono concorrenziali e i datacenter sono italiani.

Io mi orienterei su un content manager diffuso, come ad esempio Wordpress, proprio perché se fai gli aggiornamenti ti eviti problemi.

Legalmente sei tenuto a mettere:

dati fiscali (Ragione Sociale, P.IVA e sede legale). Già che ci sei ti conviene anche pubblicare la PEC, numero REA codice SDI ecc. e fare una pagina apposita con i dati amministrativi che torna sempre utile a clienti e fornitori.
l'informativa GDPR
l'informativa cookies è la parte più complicata in quanto, per essere compliant, devi saper dire se ci sono tools di terze parti che raccolgono info. Ad esempio se abiliti un banale caccolosissimo re-capcha (faccio un esempio stupido per capire quanto è insidiosa la normativa) devi riportare in toto la loro policy nell'apposito paragrafo della tua ... senza contare se finiscono contenuti immersi di altra roba che nemmeno sai di avere. Per questo ti conviene pagare Iubenda e farti scansionare il sito periodicamente per generare l'informativa conforme ai requisiti. Che io sappia non ci sono controlli puntigliosi a riguardo, ma il giorno che devono fare cassa ...

MentalBreach · 2022-08-10T14:14:01+00:00

aternopae se abiliti un banale caccolosissimo re-capcha (faccio un esempio stupido per capire quanto è insidiosa la normativa) devi riportare in toto la loro policy nell'apposito paragrafo della tua

Sicuro che vada riportato il testo per intero e non il collegamento alla loro policy?

A rigor di logica non mi sembra sensato, non è che posso stare a modificare la policy del mio sito ogni volta che un fornitore di servizi terzi cambia una virgola dei loro termini.

Ma siccome la logica spesso si scontra con la realtà, chiedo per fugare ogni dubbio.

nexus · 2022-08-10T14:27:17+00:00

aternopae ad esempio Wordpress

non sono del settore ma wp non è spesso considerato un colabrodo? oppure il problema sono aggiornamenti non puntuali e falle in eventuali plugin di terze parti?

simonebortolin · 2022-08-10T14:29:42+00:00

@nexus chiamiamoli con il nome corretto:

nexus ~~plugin~~

accrocchi

[cancellato] · 2022-08-10T14:54:30+00:00

nexus oppure il problema sono aggiornamenti non puntuali

Wordpress ormai si aggiorna anche da solo. Non che con gli altri sia più semplice, ad esempio Drupal non si aggiorna da solo e devi farlo a mano via composer - e ogni tanto si incastra - dalla versione 7 alla 8 e seguenti hanno incominciato a complicare la vita in modo esponenziale.

nexus falle in eventuali plugin di terze parti?

Spesso il problema è qui. Non c'è alcuna garanzia sulla qualità dei plugin, sul loro supporto, e alcuni sono direttamente malevoli. Più plugin si aggiungono più si rischia. Comunque usare un CMS per un semplice sito statico è abbastanza inutile, poi va monitorato e gestito con più attenzione.

D3de · 2022-08-10T15:46:45+00:00

LATIITAY Ah, occhio che anche i cookie di CloudFlare vanno dichiarati, cosi' come il trasferimento ed elaborazione di dati negli Stati Uniti:

Quindi andrebbero inseriti qualora io utilizzassi cloudflare pages?

Aaternopae · 2022-08-10T16:00:00+00:00

MentalBreach Sicuro che vada riportato il testo per intero e non il collegamento alla loro policy?

A rigor di logica non mi sembra sensato, non è che posso stare a modificare la policy del mio sito ogni volta che un fornitore di servizi terzi cambia una virgola dei loro termini.

Ma siccome la logica spesso si scontra con la realtà, chiedo per fugare ogni dubbio.

non stiamo parlando di norme tecniche ma di norme legali ... questa è uno zucchero paragonata ad altre, non a caso Iubenda ti fa pagare un canone non proprio bassissimo per tenere il sito scansionato e generare una policy compliant

LLATIITAY · 2022-08-10T16:00:35+00:00

D3de credo proprio di si'. CloudFlare Pages pero' e' anche un hosting, non solo un reverse proxy, quindi forse e' anche "peggio" rispetto al prodotto base che offrono, sotto questo punto di vista.

Pero' a questo punto chiedo a @matteocontrini e @andreagdipaolo visto che questo forum usa CloudFlare tra i server e gli utenti... Magari c'e' qualche modo per configurare CloudFlare senza che usi cookie e senza che esporti dati al di fuori dell'EU?

Aaternopae · 2022-08-10T16:01:12+00:00

D3de Quindi andrebbero inseriti qualora io utilizzassi cloudflare pages?

Devi specificare tutto:

dov'è il sito, quali dati vengono raccolti, quali software usi, chi li rilascia, ecc.

D3de · 2022-08-10T16:01:47+00:00

aternopae Cookie non ne utilizzo… e dati privati manco ne raccolgo in teoria

LLATIITAY · 2022-08-10T16:10:03+00:00

aternopae mah, in realta', da un punto di vista meramente tecnico ed escludendo eventuali "costrutti legali" che possano tentare di spiegare le cose per come non sono nella pratica, per chi usa CloudFlare non e' facile, soprattutto se si usano prodotti in cui CloudFlare figura anche come hosting (come Pages o Workers), ma in realta' tecnicamente anche per il semplice reverse proxy: il sito si trova in tutto il mondo, i dati vengono raccolti ed elaborati in tutto il mondo, il software in uso e' ignoto e proprietario. Questo perche' ogni singola location dove si trova CloudFlare puo' servire ed elaborare in chiaro (decifrando HTTPS visto che ha i certificati) i dati di ogni singolo sito su rete CloudFlare. E' tutto facilmente verificabile, volendo, anche se volutamente occultato dal marketing.

Mmatteocontrini · 2022-08-10T16:10:40+00:00

LATIITAY Pero' a questo punto chiedo a @matteocontrini e @andreagdipaolo visto che questo forum usa CloudFlare tra i server e gli utenti... Magari c'e' qualche modo per configurare CloudFlare senza che usi cookie e senza che esporti dati al di fuori dell'EU?

Con tutta l'attenzione del mondo alla privacy che ci posso mettere mi spiace ma queste sono paranoie... I cookie sono tecnici ed esistono per pure questioni di sicurezza, non contengono dati personali e non servono per il tracking. Per il resto Cloudflare è una CDN globale, non europea. Parliamo poi di un forum pubblico dove TUTTI i dati in nostro possesso ad eccezione dell'indirizzo email e la password sono letteralmente pubblici, quindi esportati nel mondo, by design.

Filippo94 · 2022-08-10T16:13:00+00:00

Volenti o nolenti Aruba funziona benino. Io la uso su un paio di siti ed oggi con Aruba Cache se la cava decisamente bene. Più che altro è quasi troppo per l’utente che necessita solo di file statici, ma sommando il dominio, la mail ed eventuale pec penso che il prezzo sia più che accessibile.

Aaternopae · 2022-08-10T16:16:54+00:00

D3de Cookie non ne utilizzo… e dati privati manco ne raccolgo in teoria

quindi hai fatto un sito in html puro in diretta dagli anni 90?

LLATIITAY · 2022-08-10T16:18:01+00:00

matteocontrini beh in realta' mi riferivo a dati privati come appunto possono essere indirizzi email, password, indirizzi IP, fingerprint, e cosi' via. Questi dati CloudFlare li ottiene e processa in chiaro, e lo puo' fare in tutto il mondo, ovunque abbiano una location. Inoltre alcuni dati come i log vengono inviati e processati esplicitamente negli Stati Uniti. E alcuni servizi come l'antibot usano cookie che definire non di tracciamento mi sembra abbastanza una forzatura per come funzionano tali servizi e sapendo quali dati devono processare e come...

Per quello credo che debba essere menzionato nella Privacy Policy, a maggior ragione se loro stessi consigliano di farlo... Pero' chiedevo perche' appunto magari esiste qualche impostazione di CF per evitare che cio' avvenga?

aternopae guarda che CSS non usa cookie eh. Basta non riempire il sito di Like button e simili... I video invece di embeddarli, ci metti un link (o li hosti in locale se puoi)... Per eventuali mappe, usi OpenStreetMap/MapBox... Le risorse statiche le tieni in locale... E magia, niente cookie! certo che pero' appunto se ci metti un reverse proxy in mezzo addio...

Mmatteocontrini · 2022-08-10T16:26:36+00:00

LATIITAY i cookie di Cloudflare strettamente necessari sono appunto tali e non disattivabili. Facciamo quindi uso di quelli, mentre gli altri servizi non li utilizziamo.

Non c'è nessuna opzione che io sappia... E in ogni caso la privacy policy è in regola, è menzionata la raccolta di indirizzi IP, ecc. e le relative finalità, così come che il trattamento può essere fatto da responsabili terzi appositamente nominati e con relativi DPA, e che i dati possono essere trasferiti in paesi extra UE.

LLATIITAY · 2022-08-10T16:38:38+00:00

matteocontrini ok, quindi basta la menzione generica senza dover specificare ogni singolo servizio che puo' esportare e/o processare i dati...

[cancellato] · 2022-08-10T16:39:21+00:00

matteocontrini e che i dati possono essere trasferiti in paesi extra UE.

Però dopo Schrem II o usi le SCC o secondo l'articolo 49 GDPR richiede il consenso esplicito ed informato dell'utente, che va gestito anche se il sito è statico.

Vedi ad esempio https://edpb.europa.eu/our-work-tools/our-documents/other/frequently-asked-questions-judgment-court-justice-european-union_en

Mmatteocontrini · 2022-08-10T16:43:30+00:00

LATIITAY sì, ma in tal caso deve essere possibile fare richiesta della lista dei fornitori (e così è indicato nell'informativa infatti)

[cancellato] cosa tecnicamente impossibile da realizzare in questo caso perché il protocollo IP non prevede il consenso

Hhandymenny · 2022-08-10T16:48:58+00:00

LATIITAY Per eventuali mappe, usi OpenStreetMap/MapBox... Le risorse statiche le tieni in locale... E magia, niente cookie!

Raccolgono anche un bel po' di statistiche: https://prometheus.openstreetmap.org/