Przedsiębiorcy prowadzący działalność w Internecie, stają się często ofiarami „prawników – naciągaczy”. Ci, stając pod szyldem ochrony praw konsumenta, szukają uchybień w działaniu przedsiębiorcy, a później na różne sposoby próbują wyciągnąć od niego pieniądze.
Ponadto Google na swoim blogu poinformował, że od stycznia 2017 roku, wraz z wejściem nowej aktualizacji przeglądarki Chrome w wersji 56, będzie oznaczał strony niekorzystające z połączeń https jako niebezpieczne.
Powstają zatem pytania:
- Czy certyfikat SSL jest wymagany prawnie?
- Czy należy się bać maili grożących postępowaniem sądowym?
- Czy Google wymusza stosowanie certyfikatu?
Zacznijmy pierw od definicji: Czym jest certyfikat SSL?
Certyfikat SSL jest kryptograficznym zabezpieczeniem transmisji danych. Na stronach internetowych często jesteśmy proszeni o podanie danych w formularzach.
Dane te przesyłane są z naszego komputera na serwer, na którym umieszczona jest strona internetowa. Bez certyfikatu SSL, dane przesyłane są otwartym tekstem. Ich przejęcie lub modyfikacja są bardzo łatwe.
Certyfikat SSL powoduje, że transmisja danych między komputerem internauty, a serwerem na którym umieszczona jest strona internetowa, odbywa się w sposób zaszyfrowany. Osoba postronna nie może „zajrzeć” w dane , które są przesyłane.
Czy muszę mieć certyfikat SSL w sklepie internetowym?
Przedsiębiorco! Zapewne czytałeś już Ustawę o ochronie danych osobowych (dalej: UODO1) i powiązane z nią rozporządzenie ministra spraw wewnętrznych (dalej: Rozporządzenie2) . Czy znalazłeś tam frazę „certyfikat SSL”? Nie ma jej tam. Czy możesz zatem odetchnąć z ulgą i zrezygnować z tego zabezpieczenia? Niestety nie do końca.
UODO wymaga stosowania SSL
Przepisy dotyczące ochrony danych osobowych dają przedsiębiorcy wolną rękę w wielu aspektach. Mówią czytelnikowi, co ma zrobić, niekoniecznie mówiąc jak.
Spójrzmy na art. 36 ust. 1 UODO:
„Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.”
To jest pierwsza odpowiedź na Twoje wątpliwości.
W Twoim sklepie podczas zakupu, rejestracji lub zapisu do newslettera, klient wypełnia formularze swoimi danymi osobowymi, a dane te przesyłane są do Twojego sklepu.
Zacytowany wcześniej fragment UODO wskazuje jakie masz obowiązki w kwestii zabezpieczenia tych danych. Lepszego, tańszego i łatwiejszego do wdrożenia rozwiązania, które zapewni spełnienie tych wymagań, nie ma.
SSL – nie tylko do ochrony danych klientów
Art. 36 ust. 1 UODO jest dość często wskazywany, gdy mówimy o konieczności używania SSL.
Rzadziej wspomina się inny przepis…
W załączniku do Rozporządzenia część C par. XIII przeczytamy:
„Administrator danych stosuje środki kryptograficznej ochrony wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej.”
Ty i Twoi pracownicy logujecie się do panelu sklepu – mamy zatem do czynienia z uwierzytelnianiem. Najczęściej odbywa się to właśnie w sieci publicznej, a więc zabezpieczenie kryptograficzne jest wprost wymagane.
Tu z pomocą znowu przyjdzie nam SSL.
Google oznacza strony jako niebezpieczne jeśli nie mają certyfikatu SSL, a zawierają formularz, bądź płatności.
Twórca wyszukiwarki i przeglądarki Chrome chce zadbać o bezpieczeństwo Internautów i w widoczny sposób ostrzegać odwiedzających na stronach, które posiadają formularz logowania lub umożliwiają płatności za pomocą kart kredytowych niezabezpieczonych połączeniami https.
W planach jest wprowadzenie tego zastosowania dla wszystkich stron niezawierających połączenia szyfrowanego.
Podsumowanie: grzywny, postępowanie sądowe, kary od Google – jak to wygląda w rzeczywistości?
Na początku artykułu wspominałem o pewnym mailu, który krąży ostatnio w sieci.
Autorzy straszą licznymi konsekwencjami w przypadku braku certyfikatu. Na te pogróżki należy spojrzeć z dystansem. Autorzy wymienili liczne „tortury administracyjno-sądowe, jakimi GIODO niezwłocznie nas uraczy”. Jest to ewidentne nadużycie z ich strony. Nie tak bowiem wygląda tryb postępowania, stosowany przez GIODO.
Nie zmienia to faktu, że SSL należy, a przede wszystkim warto stosować, między innymi dla własnego i klientów bezpieczeństwa.
Kolejnym argumentem za stosowaniem certyfikatu jest uniknięcie kar nałożonych przez najpopularniejszą przeglądarkę. Mało tego, nasza strona zostanie oznaczona jako „bezpieczna” oraz otrzyma zielony pasek przy adresie url.
Strony stosujące certyfikat SSL zostaną także uhonorowane zwiększonymi pozycjami w Google, gdyż oficjalnie jest to już jeden z elementów algorytmu wyszukiwarki.
Specjalnie dla czytelników CentrumSprzedawcy.pl
Do końca marca 2017 skorzystaj z promocji darmowego certyfikatu SSL o wartości 100 zł netto.
Artykuł powstał na podstawie:
1 Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. (tekst jednolity: Dz. U. 2002 r. Nr 101 poz. 926, ze zm.)
2 Rozporządzenie ministra spraw wewnętrznych i administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024)
No, cwaniaków ostatnio nie brakuje. Jak nie dzwonią do domu w sprawie „super garnków” za 6000zł, to wysyłają maile i urzędami straszą.
Niemniej certyfikat SSL to rzecz konieczna. Niestety wielu właścicieli e-sklepów albo bierze to za zbędny wydatek (lekceważąc rady wdrażających oprogramowanie sklepu), albo się nim nie przejmują i gdy wygaśnie np. czas SSL-a otrzymanego gratis wraz z hostingiem, machają ręką „a po co to komu?”.
To smutne, ale taką traktorowo-buraczaną mentalność ciężko będzie zmienić.
Czyli reasumując – trzeba mieć ten SSl czy nie trzeba?
Dzień dobry panie Robercie,
Certyfikat SSL jest jednym z lepszych i tańszych sposobów zapewnienia właściwych środków ochrony. Aczkolwiek nie jest to jedyny środek – żaden przepis prawa nie wymaga wprost posiadania certyfikatu SSL.
Pozdrawiamy!