Come proteggere i dati degli studenti in WordPress (FERPA e GDPR)
Se il vostro istituto scolastico ha un sito web che raccoglie i dati degli studenti, la protezione di tali dati è una responsabilità sia legale che etica.
Oltre a mantenere la fiducia degli studenti e delle loro famiglie, in molte giurisdizioni è obbligatorio rispettare le leggi sulla protezione dei dati. Due normative particolarmente importanti da tenere in considerazione sono:
- FERPA (Family Educational Rights and Privacy Act). Questa legge statunitense prevede requisiti di conformità come la limitazione dell’accesso ai dati degli studenti alle sole persone autorizzate e l’ottenimento del consenso scritto prima di condividere i dati degli studenti. Il Dipartimento dell’Istruzione degli Stati Uniti ha un sito web dedicato alla privacy degli studenti che contiene molte risorse sul FERPA.
- GDPR (Regolamento generale sulla protezione dei dati). È un regolamento europeo che prevede una serie di requisiti di conformità come l’ottenimento di un chiaro consenso per la raccolta dei dati, la garanzia della portabilità dei dati, l’implementazione dei principi di “privacy by design” e la notifica tempestiva agli studenti e alle autorità in caso di violazione. Abbiamo dedicato un intero articolo sulla conformità di WordPress al GDPR.
Questo post spiega come proteggere i dati degli studenti sui siti web didattici realizzati con WordPress. Abbiamo consigli tecnici, come la crittografia dei dati degli studenti, e altre soluzioni importanti, come la formazione del personale sulla sicurezza dei dati.
Cominciamo.
Scegliere un provider di hosting sicuro
Un provider di hosting sicuro è la misura più efficace per proteggere i dati degli studenti su un sito WordPress. Un hosting ben configurato aiuta a prevenire accessi non autorizzati, violazioni dei dati e interruzioni del servizio.
Ad esempio, Kinsta offre un servizio di hosting gestito per WordPress per gli istituti scolastici con funzioni di sicurezza integrate che aiutano a proteggere i dati dell’istituto, tra cui:
- Infrastruttura sicura. Kinsta utilizza un’infrastruttura sicura basata su Google Cloud Platform all’origine e da Cloudflare ai margini della rete.
- Certificato SSL gratuito. Kinsta offre certificati SSL gratuiti, il che è importante perché l’attivazione di un certificato SSL permette di criptare i dati nel passaggio tra il server del sito web e i browser degli studenti.
- Firewall. Tutti i siti sono protetti da due firewall di livello enterprise. Il firewall di Cloudflare protegge il sito ai confini della rete, impedendo a molti attacchi di raggiungere il server di origine. Il sito è protetto anche dal firewall di protezione basato su IP di Google Cloud Platform.
- Backup automatici. Kinsta esegue automaticamente il backup del sito ogni giorno su tutti i piani e archivia i backup in un luogo sicuro. È possibile anche aumentare la frequenza di questi backup automatici, fino ad arrivare a backup orari.
- Autenticazione a due fattori (2FA). È possibile usare la 2FA per proteggere l’accesso all’account di hosting.
- Supporto 24/7. Se c’è bisogno di aiuto, è possibile accedere al supporto via chat 24 ore su 24, 7 giorni su 7.
Indipendentemente dal provider di hosting che si sceglie, è bene assicurarsi di sfruttare appieno tutte le sue funzioni di sicurezza.
Crittografia dei dati e backup
La crittografia può aiutare a proteggere i dati degli studenti quando sono in transito e a riposo, facendo sì che le informazioni sensibili rimangano al sicuro da accessi non autorizzati.
Per iniziare, è fondamentale utilizzare un certificato SSL/TLS e abilitare l’HTTPS sul sito WordPress. In questo modo i dati vengono crittografati mentre si spostano tra i browser degli studenti e il sito WordPress, evitando che terzi possano intercettarli.
Se registrate i dati degli studenti, potreste dover criptare anche i dati a riposo. L’approccio dipende dal luogo di archiviazione dei dati:
- Se i dati sono archiviati nel database di WordPress, bisognerebbe utilizzare di un database con funzionalità di crittografia integrate. Ad esempio, MariaDB supporta il Transparent Data Encryption (TDE) per criptare i dati a riposo.
- Se si usa un database esterno, è bene verificare se supporta la crittografia e come configurarla correttamente.
È anche importante criptare tutti i backup che contengono dati degli studenti, perché potrebbero essere un altro vettore di accesso ai dati da parte di un soggetto non autorizzato.
Chi usa Kinsta non deve preoccuparsi di questo aspetto, perché i backup vengono creati a livello di server e archiviati in modo sicuro in Google Cloud Storage sulla Google Cloud Platform (GCP). Tuttavia, se si vuole maggiore flessibilità, il componente aggiuntivo per i backup esterni permette di archiviare i backup in un archivio di oggetti esterno come Amazon S3, dove si può applicare la crittografia utilizzando gli strumenti del provider.
Molti plugin di backup di WordPress hanno anche funzioni che permettono di criptare i backup di WordPress. Ad esempio, BackWPup Pro ha una speciale funzione di crittografia che si può utilizzare per proteggere i dati degli studenti nei backup.
Formare il personale e gli amministratori sulla sicurezza dei dati
La sicurezza dei dati degli studenti è un lavoro di squadra. Anche se avete configurato tutto alla perfezione a livello tecnico, un semplice errore umano, come il riutilizzo di una password debole o la gestione errata di dati sensibili, può aprire la porta a violazioni.
Per evitare questi rischi, è importante educare il personale e gli amministratori sulle responsabilità legate alla gestione dei dati degli studenti.
Alcuni degli argomenti da trattare sono i seguenti:
- Politiche sulle password. Chiedete al personale di utilizzare password univoche e forti per i loro account. Potreste anche incoraggiarli a utilizzare un gestore di password come Bitwarden o LastPass.
- Pratiche di gestione dei dati. Il personale autorizzato deve essere addestrato a gestire in modo sicuro i dati degli studenti. Ad esempio, la crittografia dei dati degli studenti sul server non servirà a nulla se il personale condivide file non crittografati via e-mail o altri canali non sicuri.
- Prevenzione del phishing. È importante spiegare i tipi più comuni di attacchi di phishing e come lo staff può evitarli. Ad esempio, evitando di cliccare sui link nelle e-mail, non condividendo mai l’OTP per l’autenticazione a due fattori, ecc. Il governo britannico ha un’ottima pagina in cui si spiega come proteggere un’organizzazione da attacchi di phishing.
Limitare l’accesso al sito e ai dati
Oltre a educare il personale e gli amministratori a una corretta gestione dei dati, si dovrebbe limitare l’accesso ai dati degli studenti. In generale, riducendo il numero di persone che hanno accesso ai dati degli studenti, se ne facilita la protezione e si riduce la possibilità che un errore umano provochi una violazione.
Oltre a migliorare la sicurezza dei dati in generale, la FERPA richiede esplicitamente di limitare l’accesso ai dati degli studenti solo alle persone autorizzate.
Su WordPress, si può utilizzare il sistema dei ruoli utente per limitare l’accesso di ciascun utente. WordPress è dotato di cinque ruoli utente integrati (o sei se si usa WordPress multisito), ma è possibile creare nuovi ruoli o modificare quelli predefiniti.
Ogni ruolo è dotato di un insieme predefinito di “capacità” che controllano le singole azioni/accessi degli utenti. Abbiamo trattato questi argomenti nella nostra guida dettagliata ai ruoli e alle capacità di WordPress.
Per gestire più facilmente questi ruoli e queste funzionalità, si può utilizzare il plugin User Role Editor.
Questo plugin offre un’interfaccia semplice in cui è possibile abilitare o disabilitare determinate funzionalità semplicemente selezionando una casella. Si possono modificare le funzionalità dei ruoli utente predefiniti di WordPress o creare nuovi ruoli.
È possibile anche andare oltre, implementando l’autenticazione a due fattori per tutti gli utenti che hanno accesso a dati sensibili. Si può impostarla utilizzando un plugin come Wordfence Login Security, che permette di richiedere l’autenticazione a due fattori per determinati ruoli utente.
Se si richiede l’autenticazione a due fattori per tutti i ruoli utente che hanno accesso ai dati degli studenti (oltre a imporre l’uso di password forti), si riducono notevolmente le possibilità di accesso da parte di persone non autorizzate.
I clienti di Kinsta hanno anche un solido sistema di gestione dei ruoli degli utenti che hanno accesso all’account di hosting. È possibile assegnare gli utenti a siti web specifici, applicare l’autenticazione a due fattori e molto altro.
Raccogliere dati in modo responsabile (e ridurre al minimo la raccolta dei dati)
Oltre a proteggere i dati degli studenti, è importante anche prestare attenzione al modo in cui li si raccoglie.
Per cominciare, bisognerebbe ridurre al minimo i dati che si raccolgono. Si pensi al motivo per cui si sta raccogliendo ogni dato e si raccolgano solo quelli effettivamente necessari per il funzionamento dell’istituto scolastico.
Poi, quando si raccolgono i dati, bisogna assicurarsi di farlo in modo responsabile.
Bisognerebbe avere dei moduli di consenso per avere il consenso esplicito per tutti i dati degli studenti che si raccolgono.
Si dovrebbe anche avere un’accurata informativa sulla privacy che spieghi quanto segue:
- Quali dati si stanno raccogliendo.
- Perché si stanno raccogliendo quei dati.
- Come vengono archiviati i dati.
Per creare e visualizzare un’informativa sulla privacy, è possibile utilizzare un plugin per WordPress come Complianz.
È inoltre fondamentale installare un certificato SSL/TLS e attivare l’HTTPS in modo che tutti i dati raccolti tramite il sito siano criptati quando passano dal browser dell’utente al server. Anche in questo caso, l’hosting WordPress di Kinsta offre certificati SSL/TLS gratuiti.
Infine, bisogna implementare delle politiche di conservazione dei dati che stabiliscano per quanto tempo li si conserva e cancellare regolarmente i dati che non sono più necessari.
Ad esempio, se si ha bisogno solo di determinate informazioni sugli studenti attivi, non ha senso continuare a conservare quei dati una volta che uno studente si è diplomato. Una politica di conservazione dei dati può garantire che si stanno eliminando correttamente i dati quando non sono più necessari.
Per automatizzare alcune di queste politiche di conservazione dei dati, si può utilizzare un plugin per WordPress come Advanced Database Cleaner. Questo plugin permette di eliminare determinati dati dal database in base a un calendario (oppure si può procedere manualmente quando necessario).
Proteggere tutti i file caricati e i permessi
Per proteggere il sito e i dati da file dannosi, è importante proteggere anche i file caricati sul sito. In questo modo si può evitare il caricamento intenzionale o meno di un file dannoso sul server che potrebbe causare una violazione dei dati.
Per cominciare, bisognerebbe limitare i tipi di file che possono essere caricati sul server bloccando tutti i tipi di file potenzialmente dannosi e consentendo solo i tipi di file che sono necessari per il sito. Su WordPress, è possibile controllare i tipi di file consentiti utilizzando un plugin gratuito come File Upload Types.
Si dovrebbe anche controllare con precisione quali utenti sono autorizzati a caricare file sul sito. Come abbiamo detto in precedenza, lo si può fare utilizzando il sistema di ruoli di WordPress. In particolare, si può utilizzare la funzionalità upload_files per controllare i ruoli utente che hanno la possibilità di caricare i file.
È anche importante configurare il server per limitare l’accesso ai file caricati, cosa che si può fare con le regole .htaccess o con nginx.conf. Si dovrebbe anche verificare di aver impostato i permessi giusti per controllare l’accesso ai file sul server.
Controllare e monitorare l’accesso ai dati degli studenti
È importante anche monitorare e controllare l’accesso ai dati degli studenti.
Ad esempio, se si vuole vedere chi ha visualizzato i dati degli studenti, le modifiche e così via. Questo può aiutare a segnalare possibili problemi e ad assicurarsi che i membri dello staff rispettino le politiche di archiviazione e gestione dei dati.
Per monitorare gli utenti di WordPress che visualizzano o modificano i dati degli studenti, si può utilizzare un plugin come WP Activity Log. Oltre a permettere di visualizzare un registro delle azioni all’interno della bacheca di WordPress, è anche possibile impostare degli avvisi via e-mail o SMS che aiutino a individuare rapidamente attività sospette.
Oltre a registrare le attività in WordPress, bisognerebbe anche effettuare controlli regolari per esaminare le voci del database e i registri di accesso degli utenti.
Sia MySQL che MariaDB hanno strumenti di registrazione che si possono utilizzare, anche se potrebbe essere necessario abilitarli:
Utilizzare solo plugin WordPress affidabili
L’ampia gamma di plugin di WordPress disponibili è una delle cose che rendono WordPress ideale per i siti dedicati all’istruzione.
Tuttavia, ogni plugin che si installa sul sito ha anche il potenziale per causare problemi di sicurezza. Per questo, è fondamentale valutare attentamente ogni plugin e utilizzare solo plugin di alta qualità di sviluppatori affidabili.
Prima di installare un qualsiasi plugin, bisogna considerare i seguenti fattori:
- Supporto e aggiornamenti dello sviluppatore. Bisogna assicurarsi che lo sviluppatore supporti attivamente il plugin e rilasci regolarmente nuovi aggiornamenti. Si presti particolare attenzione agli aggiornamenti di sicurezza. I problemi di sicurezza si verificano anche con i migliori software, ma gli sviluppatori si muovono per rilasciare rapidamente una patch di sicurezza e fornire informazioni sulla vulnerabilità.
- Recensioni degli utenti. Queste possono essere un’ottima finestra sulle esperienze degli altri utenti e sulla qualità complessiva del plugin.
- Attivazione delle installazioni. In genere bisognerebbe diffidare dei plugin con un basso numero di installazioni attive. Ci possono, però, essere delle eccezioni. Ad esempio, se un plugin risolve un problema di nicchia ma proviene da uno sviluppatore affidabile, non bisognerebbe escluderlo automaticamente.
Oltre a considerare la qualità del plugin e dello sviluppatore, bisognerebbe anche valutare se il plugin è stato progettato in modo da essere compatibile con le norme FERPA, GDPR e altre linee guida.
Ad esempio, anche se un plugin proviene da uno sviluppatore di alta qualità con un ottimo curriculum, potrebbe non essere adatto se il plugin raccoglie o memorizza dati in modo non conforme al FERPA o al GDPR.
Aggiornare tempestivamente WordPress, i plugin e i temi
Mantenere aggiornati il core di WordPress, i plugin e i temi è fondamentale per mantenere la sicurezza del sito. Un software non aggiornato può esporre vulnerabilità che possono essere sfruttate da malintenzionati.
Secondo un rapporto sulla sicurezza del 2023 di Sucuri, il 39,1% dei siti web CMS violati utilizzavano software non aggiornati al momento dell’infezione. Inoltre, nel 2023, i plugin sono stati responsabili del 97% di tutte le nuove vulnerabilità della sicurezza nell’ecosistema WordPress.
Per ridurre questi rischi, è fondamentale applicare tempestivamente tutti gli aggiornamenti di sicurezza al core di WordPress, ai plugin e ai temi. Aggiornamenti regolari assicurano che le vulnerabilità note vengano corrette, riducendo il rischio di sfruttamento.
Se si teme che gli aggiornamenti software causino problemi al sito, li si può testare su un sito di staging prima di applicarli al sito di produzione. Se il sito è ospitato su Kinsta, si può creare facilmente un sito di staging e attivare alcune o tutte le modifiche dopo averle testate.
In alternativa, Kinsta offre anche un componente aggiuntivo per gli Aggiornamenti Automatici che rende ancora più semplice l’esecuzione degli aggiornamenti:
- Aggiornamenti programmati per plugin e temi. Questo sistema esegue gli aggiornamenti per tutti i plugin e tutti i temi nei giorni scelti, assicurando che il sito sia sempre aggiornato.
- Backup automatici prima degli aggiornamenti. Esegue automaticamente un nuovo backup prima di eseguire gli aggiornamenti, in modo da avere sempre un punto di ripristino pulito.
- Test di regressione visiva. Si confronta l’aspetto del sito prima e dopo un aggiornamento. Se vengono rilevati problemi, il sistema torna automaticamente al punto di ripristino.
Si può anche prendere in considerazione un plugin come Easy Updates Manager. Può aiutare in diversi modi:
- Notifiche via e-mail per gli aggiornamenti disponibili. Si può ricevere un’e-mail quando è disponibile un nuovo aggiornamento di un plugin, il che è utile se non si controlla la bacheca di WordPress ogni giorno.
- Aggiornamenti automatici. Se si desidera attivare gli aggiornamenti automatici dei plugin, si hanno diversi strumenti, ad esempio per programmare il momento in cui eseguire gli aggiornamenti.
- Registrazione. È possibile visualizzare i log degli aggiornamenti eseguiti.
- Backup automatici. Se si utilizza il plugin UpdraftPlus, questo può eseguire automaticamente il backup del sito prima di aggiornare i plugin.
Preparare un protocollo di violazione dei dati
Se si seguono tutti i consigli di cui sopra, bisognerebbe essere in una posizione ottimale per proteggere i dati degli studenti.
Tuttavia, è sempre importante avere un piano per capire cosa succede se qualcosa va storto: ecco perché bisognerebbe avere un protocollo predefinito per qualsiasi violazione dei dati.
Per cominciare, bisognerebbe avere un piano di notifica per comunicare eventuali violazioni dei dati:
- Pianificare le modalità di notifica ai singoli utenti interessati. Bisogna farlo tempestivamente. Ad esempio, il GDPR impone di informare gli utenti entro 72 ore.
- Cercare le autorità a cui bisogna notificare le violazioni dei dati e come mettersi in contatto con loro.
Molti plugin per la conformità al GDPR di WordPress possono aiutare a segnalare le violazioni dei dati agli utenti che ne sono stati colpiti. Ad esempio, il plugin Complianz ha una procedura guidata per la segnalazione delle fughe di dati che permette di segnalare e gestire le fughe di dati. Anche altri plugin offrono strumenti simili.
Oltre a soddisfare i requisiti legati alla segnalazione, bisogna anche avere un piano per il ripristino del sito web. Ad esempio, se si verifica una violazione del sito, si dovrebbe ripristinare il backup pulito più recente.
Si dovrebbe anche testare periodicamente il ripristino di un backup in un ambiente di staging, in quanto questo permette di fare esperienza reale e di ripristinare il backup quando la pressione è alta.
Su Kinsta, si può facilmente ripristinare un backup in un ambiente di staging o di produzione semplicemente cliccando su un pulsante.
Riepilogo
Indipendentemente dal modo in cui si costruisce il sito web di un istituto scolastico, è importante proteggere i dati degli studenti per rispettare leggi come la FERPA negli Stati Uniti e il GDPR in Europa.
Se si usa WordPress, si possono sfruttare le funzioni principali del CMS e l’ampia libreria di plugin per proteggere i dati degli studenti e rispettare la normativa in vigore.
Se si combinanop una corretta configurazione di WordPress con la formazione degli utenti e un hosting web affidabile e sicuro, si può essere certi che i dati degli studenti sono al sicuro.
Per scoprire come l’hosting WordPress di Kinsta può aiutare a creare una base sicura per il sito di un istituto scolastico, dai un’occhiata all’hosting per l’istruzione di Kinsta.
Kinsta
Content & Marketing Editor presso Kinsta, web developer di WordPress e content writer. Al di fuori di tutto ciò che riguarda WordPress, mi piacciono la spiaggia, il golf e il cinema. Ho anche i problemi di tutte le persone più alte della media ;).
Pendidikan
Pendidikan
Download Anime
Berita Teknologi
Seputar Teknologi
