Każda osoba prowadząca sklep internetowy jest zobligowana do odpowiedniego zabezpieczenia danych osobowych klientów, co wynika z obowiązujących przepisów – a mówiąc precyzyjniej, z ustawy o ochronie danych osobowych. Prawne regulacje w tym obszarze stwarzają przedsiębiorcom dość duże możliwości. Bardzo często w omawianym kontekście mówi się o certyfikacie SSL. Czy sklep internetowy ma obowiązek jego stosowania?
Certyfikat SSL – najważniejsze zalety
Certyfikat SSL, którego historia rozpoczęła się w 1994 r., to niezwykle popularne obecnie narzędzie – jego zadaniem jest zapewnianie ochrony witrynom internetowym. Ten sieciowy protokół stał się standardem, co zawdzięcza w głównej mierze dwóm podstawowym czynnikom, a mianowicie wysokiej skuteczności oraz łatwości obsługi. Korzyści płynących z jego posiadania można wymienić sporo, a do najważniejszych zaliczają się:
- Szyfrowanie danych – ich podawanie nieodłącznie wiąże się z realizacją zawieranej za pośrednictwem Internetu umowy kupna-sprzedaży oraz wynikających z niej płatności. Dzięki wspomnianej opcji nie są one dostępne dla osób postronnych.
- Wiarygodność i bezpieczeństwo – wdrażając certyfikat SSL, sklep internetowy zyskuje na wiarygodności. Jest postrzegany jako miejsce, gdzie można bezpiecznie zrobić zakupy bez obaw, że dane osobowe trafią nie tam, gdzie powinny.
- Budowa pozytywnego wizerunku i prestiżu – obecność certyfikatu SSL to dla klientów sklepu online jasny i czytelny komunikat: sklep w poważny sposób podchodzi do kwestii ochrony danych osobowych.
Przez pewien czas certyfikat SSL kojarzony był głównie z instytucjami finansowymi – np. bankami, niemniej jednak dzisiaj znajduje on znacznie szersze zastosowanie generalnie wszędzie tam, gdzie w rachubę wchodzi pobieranie oraz przetwarzanie danych osobowych, a także publikowanie informacji, w przypadku których niezbędne jest ich uwiarygodnienie. Certyfikat SSL jest używany m. in. przez sklepy internetowe, serwisy aukcyjne, portale korporacyjne, serwery udostępniające pliki, serwery pocztowe, strony szkół i uczelni, witryny administracji publicznej itp.
Jak działa certyfikat SSL?
Informacje ze stron internetowych są przesyłane do serwerów. Jeśli witryna nie korzysta z certyfikatu SSL, wówczas nadawane są one tekstem otwartym, co w praktyce oznacza m. in. to, że ich przechwycenie nie jest trudne – w szczególności w ramach sieci lokalnych. Jeżeli natomiast strona posiada omawiany protokół sieciowy, to przekazywanie danych odbywa się w systemie zamkniętym – czyli zaszyfrowanym. Dochodzi do ustalenia algorytmów oraz kluczy szyfrujących, które znajdują zastosowanie przy komunikacji pomiędzy stroną internetową a serwerem. Klucze szyfrujące są ustalane dzięki kryptografii asymetrycznej.
Co stanowią przepisy?
Zastanawiając się nad tym czy posiadanie certyfikatu SSL dla sklepu internetowego jest obligatoryjne, należy w pierwszej kolejności zwrócić się do ustawy o ochronie danych osobowych wraz z opracowanymi do niej rozporządzeniami. Przepisy te stanowią, iż:
- „Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem”.
- „Administrator danych stosuje środki kryptograficznej ochrony wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej”.
Prawne regulacje nakładają zatem na sklepy internetowe – i nie tylko na nie – pewne obowiązki, ale nie tutaj mowy o certyfikacie SSL. Teoretycznie zatem jego stosowanie nie jest obowiązkowe, lecz w praktyce sprawa przedstawia się inaczej. Z punktu widzenia Głównego Inspektoratu Ochrony Danych Osobowych certyfikat ten ma bardzo duże znaczenie, co wynika chociażby z podejmowanych przez urząd ten decyzji pokontrolnych. Wskazują one, iż konieczne jest stosowanie certyfikatu SSL na stronach internetowych z formularzami służącymi do przesyłania danych w sieci. Wynika z tego jasno, że instalowanie certyfikatu SSL jest jak najbardziej opłacalną inwestycją – zresztą, GIODO jest zdania, że to najłatwiejsza i jednocześnie najbardziej efektywna metoda ochrona danych osobowych w Internecie.
Warto przy tej sposobności zwrócić uwagę na to, że ochroną w ramach certyfikatu nie musi być objęty cały sklep. Najistotniejsze jest to, by zabezpieczyć w ten sposób formularze: kontaktowy, rejestracyjny oraz logowania.
Skąd wziąć certyfikat SSL?
W celu zainstalowania certyfikatu SSL na stronie sklepu najpierw należy go zakupić, czym obecnie zajmuje się wiele podmiotów – są to firmy świadczące usługi hostingowe. Grunt, aby dostawca był sprawdzony i cieszący się na rynku pewną renomą. Certyfikat jest dostępny w różnych wariantach – są mniej i bardziej rozbudowane wersje, które w zależności od potrzeb i możliwości finansowych można dostosować do konkretnych wymogów. W przypadku każdej opcji obowiązuje określony okres ważności – zazwyczaj minimum te wynosi 1 rok.
