Come il GDPR influisce sulla gestione dei domini internazionali

 Siamo certi che questa legge avrà risvolti positivi in quanto pensata a rendere il trattamento dei dati personali più trasparente ma soprattutto avremo la possibilità di gestire il consenso al trattamento dei dati come ad esempio la modifica o la cancellazione.

Come possiamo immaginare, il GDPR ha effetti anche sui dati pubblicati in rete che includono anche i dati del registrante del dominio visibili nel whois.

Per dati del registrante del dominio intendiamo:

  • Nome, Cognome
  • Nome Azienda
  • Indirizzo
  • Numero di Telefono
  • Indirizzo email

Come il GDPR influisce sui domini internazionali?

I domini internazionali mantenuti in host.it sono gestiti attraverso OpenSRS, reseller del Registro Internazionale Tucows. OpenSRS ritiene che l’accesso ai dati del registrante debba pervenire dalla persona autorizzata in modalità specifica e limitata. Al fine di controllare la divulgazione e la trasmissione di dati sensibili, OpenSRS ha provveduto a implementare un nuovo whois con sistema chiuso definito “gated whois”, questo sistema consentirà che le informazioni (dati del registrante, contatto amministrativo e tecnico) rimangano oscurate impedendone la trasmissione e visibilità pubblica. Tali dati sono disponibili soltanto per gli enti legittimati alla consultazione e terze parti accreditate ad esempio: autorità giudiziaria, membri della security community e legali che operano in difesa della proprietà intellettuale.

Qui di seguito vi riporto 4 immagini esplicative riguardo alla pubblicazione dei dati nel whois prima e dopo il GDPR (fonte OpenSrs)

Prima del 25 Maggio 2018

  • I dati del registrante sono visibili in rete (senza privacy attiva) secondo le policy di ICANN

  • I dati del registrante non sono visibili in rete (privacy attiva) secondo le policy di ICANN. In questo caso, il servizio (privacy) offre alle terze parti il modo di contattare il registrante tramite il contatto @contactprivacy.com.

Dal 25 Maggio 2018

  • Domini con privacy non attiva. Poichè il contatto email non è visibile non c’è alcuna possibilità da parte di terzi di contattare l’intestatario del dominio in quanto la protezione dei dati fa riferimento al GDPR.
  • Domini con privacy attiva: le informazioni relative al registrante non sono visibili ma può essere contattato tramite l’email @contactprivacy.com

Come cambia la procedura del trasferimento del dominio ora che il registrante non è più visibile tramite whois?

In accordo con ICANN (Internet Corporation for Assigned Names and Numbers) e la delegazione dei Registry è stato creato un processo di migrazione che garantisca maggiore semplicità per l’utente e la tutela dei dati oltre alla prevenzione del furto del dominio.

Riassumo qui di seguito per chiarezza e completezza delle informazioni gli step del trasferimento prima del 25 Maggio 2018:

  1. l’intestatario del dominio (o domain owner) chiedeva all’attuale registrar lo sblocco del dominio (stato Transfer Client Prohibited) e otteneva l’authcode o Epp code (codice di migrazione). Questo processo non è cambiato dato che l’attuale provider (registrar) potrà e dovrà verificare che colui che ha sbloccato il dominio e richiesto l’authcode sia legittimato e eseguire queste operazioni.
  2. Una volta che il dominio era pronto al trasferimento, il registrante contattava il nuovo provider e inoltrava la richiesta.
  3. Il nuovo registrar inviava via email al contatto email amministrativo del dominio il form autoritativo al trasferimento (chiamato FOA). Questo form poteva essere inviato al contatto mail del registrante o admin, a discrezione del registro, e aveva una validità di 5 giorni. Il registrante approvava il trasferimento e successivamente il nuovo provider inoltrava l’ordine al Registro di provenienza.
  4. Il registro completava il trasferimento (entro 5 giorni circa), tale operazione includeva generalmente anche il rinnovo annuale (varia in base all’estensione del dominio) e il blocco al trasferimento per i successivi 60 giorni.

Cosa cambia da oggi post GDPR?

La procedura, come precedentemente accennato, è stata snellita al fine di rendere positiva l’esperienza dell’utente e tutelare i dati personali. Come abbiamo visto fino a ieri, il trasferimento del dominio inziava tramite l’invio del FOA al contatto admin del dominio ma da oggi i provider non avranno più la possibilità di identificare il contatto admin o registrante del dominio fuori dalla loro gestione.

Com’è possibile processare il trasferimento di un dominio in maniera sicura ed efficiente in mancanza della visibilità dei dati?

La soluzione è stata quella di modificare il processo di trasferimento in questo modo:

  1. OpenSRS offre ora la possibilità di fornire l’authcode durante l’ordine di trasferimento del dominio.
  2. In questo caso il trasferimento verrà direttamente inoltrato al Registro di provenienza senza l’invio dell’email di autorizzazione (FOA) al contatto admin del dominio.
  3. Il contatto utilizzato per l’invio dell’authcode e ogni altra comunicazione legata al trasferimento (inboud e outbound) sarà il contatto registrant e non più admin.

Nel caso in cui l’authcode non venisse fornito in fase di trasferimento, verrà inviata un’email al contatto owner del dominio fornito in fase d’ordine. Questa mail sostituisce il FOA che in maniera semplificata richiederà l’authcode al registrante tramite una landing page.

A trasferimento completato i dati del contatto verranno aggiornati con quelli forniti in fase d’ordine. Questo fino a ieri possibilità, è da oggi obbligatorio dato che il Registro non avrà più contare sulla correttezza dei dati di contatto forniti da Registry (dati non più condivisi tra i Registri).

Il registro mira a incentivare il registrante ad attenersi ad alcune misure di sicurezza, una su tutte: a mantenere il proprio dominio bloccato ovvero nello stato ” Client Transfer Prohibited” e di sbloccarlo esclusivamente in caso di trasferimento verso altro provider. Questa operazione chiamata “locking domain by default” viene già effettuata in automatico (salvo diversamente richiesto) a fronte del trasferimento del dominio in host.it.

Per quanto riguarda le nuove registrazioni, OpenSRS invierà via email una richiesta di autorizzazione al consenso del trattamento dei dati al fine di fornire il servizio richiesto. L’intestatario del dominio potrà in qualsiasi momento modificare o revocare il consenso fornito.

Le modifiche al processo di migrazione sposano perfettamente il principio del GDPR garantendo riservatezza dei dati, sicurezza e prevenzione nel furto del dominio.

Host S.p.A, in qualità di hosting service provider, tratta da sempre dati considerati “massivi” di persone e aziende. Il trattamento è sempre stato eseguito con i più alti standard di sicurezza. Sarà nostra cura condividere con voi la documentazione a partire da oggi, 25 Maggio 2018.

Sei pronto per il tuo progetto web?

Scegli un Hosting Contatta un esperto

INFORMAZIONI

SHARED HOSTING

SERVIZI


Corso Svizzera 185 - 10149 - Torino
800 943 944
[email protected]