Piccola pagina web aziendale, come orientarmi

D3de · 2022-08-10T05:32:27+00:00

Buongiorno a tutti, stiamo per lanciare il sito web della nostra ditta, ma ho un paio di quesiti da porvi essendo anche per me un mondo abbastanza nuovo. I...

aternopae

Un ottimo pannello ce l'ha Netsons, l'ho scoperto per caso e al momento ho un hosting free che prevede un dominio di test di terzo livello. Ci ho cacciato su Wordpress, il sito è in fase di realizzazione. Quando sarò pronto passerò al profilo a pagamento e pagherò dominio, certificato ecc.

I prezzi sono concorrenziali e i datacenter sono italiani.

Io mi orienterei su un content manager diffuso, come ad esempio Wordpress, proprio perché se fai gli aggiornamenti ti eviti problemi.

Legalmente sei tenuto a mettere:

dati fiscali (Ragione Sociale, P.IVA e sede legale). Già che ci sei ti conviene anche pubblicare la PEC, numero REA codice SDI ecc. e fare una pagina apposita con i dati amministrativi che torna sempre utile a clienti e fornitori.
l'informativa GDPR
l'informativa cookies è la parte più complicata in quanto, per essere compliant, devi saper dire se ci sono tools di terze parti che raccolgono info. Ad esempio se abiliti un banale caccolosissimo re-capcha (faccio un esempio stupido per capire quanto è insidiosa la normativa) devi riportare in toto la loro policy nell'apposito paragrafo della tua ... senza contare se finiscono contenuti immersi di altra roba che nemmeno sai di avere. Per questo ti conviene pagare Iubenda e farti scansionare il sito periodicamente per generare l'informativa conforme ai requisiti. Che io sappia non ci sono controlli puntigliosi a riguardo, ma il giorno che devono fare cassa ...

MentalBreach

aternopae se abiliti un banale caccolosissimo re-capcha (faccio un esempio stupido per capire quanto è insidiosa la normativa) devi riportare in toto la loro policy nell'apposito paragrafo della tua

Sicuro che vada riportato il testo per intero e non il collegamento alla loro policy?

A rigor di logica non mi sembra sensato, non è che posso stare a modificare la policy del mio sito ogni volta che un fornitore di servizi terzi cambia una virgola dei loro termini.

Ma siccome la logica spesso si scontra con la realtà, chiedo per fugare ogni dubbio.

nexus

aternopae ad esempio Wordpress

non sono del settore ma wp non è spesso considerato un colabrodo? oppure il problema sono aggiornamenti non puntuali e falle in eventuali plugin di terze parti?

aternopae

MentalBreach Sicuro che vada riportato il testo per intero e non il collegamento alla loro policy?

A rigor di logica non mi sembra sensato, non è che posso stare a modificare la policy del mio sito ogni volta che un fornitore di servizi terzi cambia una virgola dei loro termini.

Ma siccome la logica spesso si scontra con la realtà, chiedo per fugare ogni dubbio.

non stiamo parlando di norme tecniche ma di norme legali ... questa è uno zucchero paragonata ad altre, non a caso Iubenda ti fa pagare un canone non proprio bassissimo per tenere il sito scansionato e generare una policy compliant

simonebortolin

@nexus chiamiamoli con il nome corretto:

nexus ~~plugin~~

accrocchi

[cancellato]

nexus oppure il problema sono aggiornamenti non puntuali

Wordpress ormai si aggiorna anche da solo. Non che con gli altri sia più semplice, ad esempio Drupal non si aggiorna da solo e devi farlo a mano via composer - e ogni tanto si incastra - dalla versione 7 alla 8 e seguenti hanno incominciato a complicare la vita in modo esponenziale.

nexus falle in eventuali plugin di terze parti?

Spesso il problema è qui. Non c'è alcuna garanzia sulla qualità dei plugin, sul loro supporto, e alcuni sono direttamente malevoli. Più plugin si aggiungono più si rischia. Comunque usare un CMS per un semplice sito statico è abbastanza inutile, poi va monitorato e gestito con più attenzione.

D3de

LATIITAY Ah, occhio che anche i cookie di CloudFlare vanno dichiarati, cosi' come il trasferimento ed elaborazione di dati negli Stati Uniti:

Quindi andrebbero inseriti qualora io utilizzassi cloudflare pages?

LATIITAY

D3de credo proprio di si'. CloudFlare Pages pero' e' anche un hosting, non solo un reverse proxy, quindi forse e' anche "peggio" rispetto al prodotto base che offrono, sotto questo punto di vista.

Pero' a questo punto chiedo a @matteocontrini e @andreagdipaolo visto che questo forum usa CloudFlare tra i server e gli utenti... Magari c'e' qualche modo per configurare CloudFlare senza che usi cookie e senza che esporti dati al di fuori dell'EU?

aternopae

D3de Quindi andrebbero inseriti qualora io utilizzassi cloudflare pages?

Devi specificare tutto:

dov'è il sito, quali dati vengono raccolti, quali software usi, chi li rilascia, ecc.

MentalBreach

aternopae Non hai risposto alla domanda però 😅

È riportato da qualche parte che in ogni sito, nella propria informativa privacy, occorra includere anche il testo integrale della documentazione dei servizi terzi utilizzati?

Perchè, fino ad adesso, io sapevo che bastava inserire il collegamento alle informative terze.

Anche perchè le informative terze possono cambiare senza alcun preavviso, non ce li vedo i webmaster (o chi si occupa degli aspetti legali) alzarsi la mattina e controllare la data di pubblicazione della documentazione.

matteocontrini

LATIITAY Pero' a questo punto chiedo a @matteocontrini e @andreagdipaolo visto che questo forum usa CloudFlare tra i server e gli utenti... Magari c'e' qualche modo per configurare CloudFlare senza che usi cookie e senza che esporti dati al di fuori dell'EU?

Con tutta l'attenzione del mondo alla privacy che ci posso mettere mi spiace ma queste sono paranoie... I cookie sono tecnici ed esistono per pure questioni di sicurezza, non contengono dati personali e non servono per il tracking. Per il resto Cloudflare è una CDN globale, non europea. Parliamo poi di un forum pubblico dove TUTTI i dati in nostro possesso ad eccezione dell'indirizzo email e la password sono letteralmente pubblici, quindi esportati nel mondo, by design. 😅

D3de

aternopae Cookie non ne utilizzo… e dati privati manco ne raccolgo in teoria😅

LATIITAY

aternopae mah, in realta', da un punto di vista meramente tecnico ed escludendo eventuali "costrutti legali" che possano tentare di spiegare le cose per come non sono nella pratica, per chi usa CloudFlare non e' facile, soprattutto se si usano prodotti in cui CloudFlare figura anche come hosting (come Pages o Workers), ma in realta' tecnicamente anche per il semplice reverse proxy: il sito si trova in tutto il mondo, i dati vengono raccolti ed elaborati in tutto il mondo, il software in uso e' ignoto e proprietario. Questo perche' ogni singola location dove si trova CloudFlare puo' servire ed elaborare in chiaro (decifrando HTTPS visto che ha i certificati) i dati di ogni singolo sito su rete CloudFlare. E' tutto facilmente verificabile, volendo, anche se volutamente occultato dal marketing.

aternopae

D3de Cookie non ne utilizzo… e dati privati manco ne raccolgo in teoria😅

quindi hai fatto un sito in html puro in diretta dagli anni 90? 🤣

LATIITAY

matteocontrini beh in realta' mi riferivo a dati privati come appunto possono essere indirizzi email, password, indirizzi IP, fingerprint, e cosi' via. Questi dati CloudFlare li ottiene e processa in chiaro, e lo puo' fare in tutto il mondo, ovunque abbiano una location. Inoltre alcuni dati come i log vengono inviati e processati esplicitamente negli Stati Uniti. E alcuni servizi come l'antibot usano cookie che definire non di tracciamento mi sembra abbastanza una forzatura per come funzionano tali servizi e sapendo quali dati devono processare e come...

Per quello credo che debba essere menzionato nella Privacy Policy, a maggior ragione se loro stessi consigliano di farlo... Pero' chiedevo perche' appunto magari esiste qualche impostazione di CF per evitare che cio' avvenga?

aternopae guarda che CSS non usa cookie eh. Basta non riempire il sito di Like button e simili... I video invece di embeddarli, ci metti un link (o li hosti in locale se puoi)... Per eventuali mappe, usi OpenStreetMap/MapBox... Le risorse statiche le tieni in locale... E magia, niente cookie! 😛 certo che pero' appunto se ci metti un reverse proxy in mezzo addio...

Filippo94

Volenti o nolenti Aruba funziona benino. Io la uso su un paio di siti ed oggi con Aruba Cache se la cava decisamente bene. Più che altro è quasi troppo per l’utente che necessita solo di file statici, ma sommando il dominio, la mail ed eventuale pec penso che il prezzo sia più che accessibile.

matteocontrini

LATIITAY i cookie di Cloudflare strettamente necessari sono appunto tali e non disattivabili. Facciamo quindi uso di quelli, mentre gli altri servizi non li utilizziamo.

Non c'è nessuna opzione che io sappia... E in ogni caso la privacy policy è in regola, è menzionata la raccolta di indirizzi IP, ecc. e le relative finalità, così come che il trattamento può essere fatto da responsabili terzi appositamente nominati e con relativi DPA, e che i dati possono essere trasferiti in paesi extra UE.

handymenny

LATIITAY Per eventuali mappe, usi OpenStreetMap/MapBox... Le risorse statiche le tieni in locale... E magia, niente cookie!

Raccolgono anche un bel po' di statistiche: https://prometheus.openstreetmap.org/

LATIITAY

matteocontrini ok, quindi basta la menzione generica senza dover specificare ogni singolo servizio che puo' esportare e/o processare i dati...

[cancellato]

matteocontrini e che i dati possono essere trasferiti in paesi extra UE.

Però dopo Schrem II o usi le SCC o secondo l'articolo 49 GDPR richiede il consenso esplicito ed informato dell'utente, che va gestito anche se il sito è statico.

Vedi ad esempio https://edpb.europa.eu/our-work-tools/our-documents/other/frequently-asked-questions-judgment-court-justice-european-union_en

matteocontrini

LATIITAY sì, ma in tal caso deve essere possibile fare richiesta della lista dei fornitori (e così è indicato nell'informativa infatti)

[cancellato] cosa tecnicamente impossibile da realizzare in questo caso perché il protocollo IP non prevede il consenso

[cancellato]

matteocontrini cosa tecnicamente impossibile da realizzare in questo caso perché il protocollo IP non prevede il consenso

Il consenso lo chiedi all'utente quando accede al sito - rimani il data controller anche se il data processor è Cloudflare.

IMHO al momento se non usi servizi che trasferiscono dati verso nazioni extra-UE per le quali non vale la clausola di adeguatezza ti semplifichi enormemente la vita. Poi per un piccolo sito difficilmente qualcuno andrà a fargli le pulci della compliance GDPR, però siccome magari un giorno evolverà, è bene sapere quali sono le regole.

LATIITAY

matteocontrini sì, ma in tal caso deve essere possibile fare richiesta della lista dei fornitori (e così è indicato nell'informativa infatti)

Come mai e' stato scelto di non pubblicarla direttamente ma di renderla solo su richiesta?

matteocontrini cosa tecnicamente impossibile da realizzare in questo caso perché il protocollo IP non prevede il consenso

Beh se proprio vogliamo, la connessione il client la effettua a CloudFlare, che termina HTTPS e vede il traffico in chiaro. A quel punto e' gia' "troppo tardi" ancor prima di aver inviato la richiesta al server di upstream.

Quindi dopo Google Analytics il prossimo a venir bannato in Europa sara' CloudFlare? 🤣

handymenny ok, forse MapBox non era l'esempio corretto, ma puoi tenere un reverse proxy in locale che non logga ne' manda l'IP dei client al server, la licenza di OSM te lo permette...

handymenny in realta' si': anziche' "checking your browser" con la profilazione silenziosa, o peggio ancora servirti il Google Recaptcha direttamente, basterebbe una bella pagina con la privacy policy, una casella per accettarla, e una scritta del tipo "il sito e' sotto attacco, per proseguire adesso devi accettare il trasferimento dei dati al di fuori dell'EU e farti profilare il dispositivo e il browser (perche' l'antiddos questo fa con quelle montagne di JS offuscato, ed e' inutile far finta che siano cookie tecnici, non lo sono), altrimenti se non ti sta bene riprova piu' tardi quando non saremo sotto attacco"

« Pagina precedente Pagina successiva »

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile