Che cos'è la conformità normativa e in che modo influisce sulla sicurezza di WordPress?
Pubblicato: 2019-07-24Per fare affari, il tuo sito Web e la tua attività WordPress devono aderire a regole e regolamenti. Queste regole e regolamenti possono assumere la forma di leggi (come GDPR o HIPAA). Possono anche essere requisiti di conformità, come PCI DSS o ISO 27001, e possono variare da un paese all'altro.
Che cos'è la conformità?
Conformità alle normative, o semplicemente conformità, descrive lo stato di un'azienda in linea con le regole e le linee guida stabilite specificate da un organismo di regolamentazione.
La conformità è una componente vitale in qualsiasi organizzazione che apprezza la trasparenza, la sicurezza e la responsabilità. Le aziende possono sfruttare la conformità per condurre l'attività al passo con requisiti, leggi e normative con il giusto atteggiamento. E, naturalmente, migliorare la sicurezza delle loro operazioni aziendali e del sito Web WordPress.
Ogni azienda è diversa. Pertanto non esiste un modello di cookie cutter da seguire quando si tratta di conformità. Dipende anche da dove opera la tua attività nel mondo, con chi fai affari e quali dati il tuo sito WordPress raccoglie dagli utenti finali.
Anche se sarebbe impossibile elencare tutte le normative di conformità, le seguenti sono alcune comuni da tenere presenti come proprietario di un sito Web WordPress:
- Il Regolamento generale sulla protezione dei dati (GDPR) è una normativa dell'Unione Europea (UE) sulla protezione dei dati e sulla privacy. Aiuta a rafforzare la protezione del trattamento dei dati personali da parte dei cittadini dell'UE.
- Payment Card Industry Data Security Standard (PCI DSS) è uno standard di sicurezza delle informazioni per le organizzazioni che gestiscono i dati delle carte di credito, come i negozi di eCommerce. Lo scopo di PCI DSS è aumentare i controlli sulla gestione e la gestione dei dati dei titolari di carta, per ridurre le frodi con carta di credito. Se hai una soluzione di eCommerce o vendi qualcosa online, leggi la nostra guida PCI DSS per i proprietari di siti Web WordPress.
- La ISO 27001 è una specifica che delinea un quadro di politiche e procedure che include controlli legali, fisici e tecnici coinvolti nei processi di gestione del rischio di un'organizzazione.
- Health Insurance Portability & Accountability Act (HIPAA) è una legislazione degli Stati Uniti. Si occupa della privacy dei dati e della sicurezza delle cartelle cliniche dei pazienti.
Perché esiste la conformità normativa?
Esistono diversi requisiti di conformità normativa per motivi diversi. In generale, esistono requisiti di conformità per aiutare le aziende a raggiungere un certo livello di sicurezza. A seconda del requisito di conformità o del regolamento, alcuni potrebbero richiedere che un'organizzazione sia soggetta a controlli regolari. In genere, le aziende devono affrontare sanzioni per non conformità sotto forma di multe o perdita dell'accreditamento.
La conformità gioca un ruolo enorme quando si tratta di sicurezza. Molti requisiti di conformità delineano (in vari gradi di dettaglio) controlli e processi di sicurezza che devono essere in atto per soddisfare i criteri specifici del suddetto regolamento di conformità.
Naturalmente, la regolamentazione in genere si verifica per mettere ordine nel caos. Un esempio di questo è PCI DSS. È entrato in gioco perché i processori di carte di credito online non stavano adottando le necessarie precauzioni di sicurezza per proteggere i dati dei titolari di carta. Più recentemente, il GDPR è entrato in gioco per riformare e armonizzare le leggi sulla privacy dei dati dell'UE e migliorare la privacy dei cittadini dell'UE. Il GDPR consente ai legislatori di imporre sanzioni severe alle organizzazioni che non si conformano alle leggi sulla privacy dei dati all'interno dell'UE.
Perché la regolamentazione e la conformità sono una buona cosa?
La conformità e la regolamentazione sono associate a leggi, vincoli, audit e sanzioni. Quindi spesso ottengono una cattiva reputazione. Tuttavia, è necessario per aiutare le organizzazioni a comprendere l'importanza di osservare le leggi e operare in modo etico.
Tuttavia, anche la conformità è un male necessario. Aumenta la complessità aziendale, le spese e assorbe molto tempo altrimenti speso per far crescere l'attività.
Detto questo, i vantaggi di fare uno sforzo consapevole per rispettare le regole superano notevolmente i contro. Le organizzazioni hanno l'opportunità di rafforzare la trasparenza; stabilire la fiducia dei clienti ed espandersi in nuovi mercati regolamentati per attirare clienti più grandi.
La conformità è sufficiente per garantire la sicurezza?
Sfortunatamente, la conformità viene comunemente scambiata per sicurezza. Un'organizzazione può essere conforme, ma non adeguatamente protetta. D'altro canto, è raro trovare organizzazioni sicure ma non conformi.
La conformità è una valutazione puntuale e valida per tutti che indica che un'organizzazione soddisfa un requisito minimo di sicurezza. Gli standard normativi come PCI DSS e HIPAA, ad esempio, hanno un elenco di controllo di tali requisiti di sicurezza.
Le difese di sicurezza, d'altra parte, forniscono misure tecniche per proteggersi da eventi negativi, come la fuga di informazioni sensibili sui clienti. In altre parole, mentre una politica aziendale può essere sufficiente per un controllo di conformità, ciò non significa che non sia tecnicamente possibile. Un semplice esempio di questo sarebbe NSA. Sebbene proibisca certamente la copia e la distribuzione di documenti riservati, nulla ha effettivamente impedito a Edward Snowden di farlo.
Da dove inizi con la conformità a WordPress?
La conformità può intimidire e sembra un compito impossibile da raggiungere. Tuttavia, non lo è. Fortunatamente, molta documentazione e aiuto sono disponibili per i proprietari di siti Web WordPress, come la nostra guida PCI DSS per i proprietari di siti WordPress. Puoi iniziare seguendo l'elenco di suggerimenti che abbiamo preparato per te:
- Scopri a quali requisiti di conformità sei soggetto : le leggi e le normative variano notevolmente da un paese all'altro. A seconda delle dimensioni, del tipo e della complessità della tua attività online e del tuo negozio di eCommerce, potresti voler ricontrollare con le autorità locali. Se necessario, puoi anche cercare un aiuto professionale in quest'area.
- Migliora la tua sicurezza : le buone pratiche di sicurezza non sono solo centrali e richieste dalle normative, ma ti semplificano anche notevolmente la vita. Ad esempio puoi iniziare facendo quanto segue:
- tenere un registro delle modifiche al sito in un registro delle attività di WordPress,
- applicare politiche di password WordPress complesse,
- scansiona il tuo sito WordPress per le modifiche ai file,
- configurare una soluzione di backup solida come una roccia,
- usa un firewall online come Sucuri o installa una soluzione di sicurezza WordPress locale.
- Abbraccia la sicurezza e la conformità : all'inizio può sembrare una pillola amara da ingoiare. Tuttavia, prima accetti la sicurezza e la conformità come una funzione aziendale essenziale, minore sarà l'attrito che ciò causerà a lungo termine e minori saranno i problemi di sicurezza di WordPress che avrai.