Azienda e servizi Guida

Cosa ci serve per avviare l'audit del Suo store — accesso, sicurezza dei dati e GDPR

Cosa serve per avviare l'audit del tuo store PrestaShop e come proteggiamo i dati: sola lettura, privilegi minimi, accesso revocabile e GDPR.

Ciò di cui abbiamo bisogno per avviare l'audit del Suo negozio – e come manteniamo al sicuro i Suoi dati

Ogni audit dei nostri Expert Services viene svolto da uno specialista sul Suo vero negozio PrestaShop, non su una demo generica né su una lista di controllo compilata a distanza. Per farlo bene abbiamo bisogno di alcune informazioni in anticipo – e poiché ciò talvolta comporta la concessione di accessi, questa pagina riguarda altrettanto il modo in cui proteggiamo il Suo negozio e i dati dei Suoi clienti. In breve: per impostazione predefinita lavoriamo in sola lettura, chiediamo il minor accesso possibile e non tocchiamo né portiamo via i dati dei Suoi clienti.

1. L'URL del Suo negozio (obbligatorio)

Su ogni pagina prodotto dell'audit troverà un campo Dominio / URL del negozio con un pulsante Verifica idoneità. Inserisca l'indirizzo pubblico del Suo negozio (per esempio https://your-store.com) e vi clicchi. Eseguiamo una verifica istantanea, in sola lettura, che conferma che il negozio è raggiungibile tramite HTTPS, che il certificato TLS è valido e che si tratta di PrestaShop. Nulla viene modificato sul Suo negozio. Una volta superata la verifica, l'audit viene aggiunto al Suo carrello e l'URL del Suo negozio viaggia con l'ordine, così sappiamo esattamente quale negozio sottoporre ad audit.

La verifica di idoneità è lo stesso tipo di richiesta che effettua il browser di qualsiasi visitatore – carica le Sue pagine pubbliche e legge ciò che esse già espongono. Non effettua l'accesso, non sonda aree private e non scrive nulla. Utilizzi l'indirizzo pubblico che i Suoi clienti visitano realmente, compreso il sottodominio corretto e il percorso linguistico se il Suo negozio funziona in più di una lingua. Se il Suo negozio si trova dietro una schermata di manutenzione, una password di staging o un elenco di indirizzi IP consentiti, ce lo comunichi semplicemente durante la presa in carico, così che lo specialista possa comunque raggiungerlo.

2. Accesso a Search Console / analytics (consigliato, non obbligatorio)

Per un SEO Audit, un accesso in lettura delegato a Google Search Console affina i risultati. È facoltativo, concesso dal Suo stesso account e revocabile in qualsiasi momento con un solo clic – non Le chiediamo mai la password.

Perché aiuta: la Search Console mostra come Google esegue effettivamente la scansione e il posizionamento del Suo negozio – le query per cui compare, le pagine che guadagnano o perdono impressioni, i problemi di indicizzazione e le azioni manuali. Questi dati reali consentono all'audit di passare da "questo potrebbe contare" a "ecco ciò che Le sta costando traffico, ed ecco la pagina". Lo concede tramite la condivisione propria di Google, al livello Limitato (sola lettura), all'indirizzo e-mail che Le forniamo durante la presa in carico; non vediamo mai la Sua password di Google e può rimuovere il nostro accesso nel momento in cui l'audit viene consegnato. Lo stesso vale per l'accesso in lettura a Google Analytics se desidera che i risultati SEO o di prestazione siano supportati dai Suoi dati di traffico. Nulla di tutto ciò è obbligatorio – un audit SEO viene comunque eseguito con il solo URL pubblico – ma rende il rapporto più specifico per il Suo negozio.

3. Accesso all'amministrazione o all'hosting (solo quando aggiunge valore)

La maggior parte degli audit viene eseguita dall'esterno, nel modo in cui Google e i Suoi clienti vedono il negozio. Quando un accesso in lettura aiuta davvero – tipicamente un Security Audit o un Hosting Audit – lo schema più sicuro è creare per noi un account dipendente temporaneo, in sola lettura ed eliminarlo al termine del lavoro. Chiediamo il privilegio minimo di cui un determinato audit ha bisogno e non abbiamo mai bisogno di accedere al Suo database clienti o ordini.

Se un accesso all'amministrazione è utile per il Suo audit, ecco lo schema che consigliamo, perché Le lascia il controllo per tutto il tempo:

  • Crei un account dedicato, non condiviso. Crei per noi un nuovo dipendente o un profilo amministratore limitato anziché consegnare un accesso esistente. In questo modo l'accesso è chiaramente nostro, chiaramente delimitato e chiaramente tracciabile nei registri del Suo negozio.
  • Lo mantenga in sola lettura dove PrestaShop lo consente. Conceda i permessi di visualizzazione sulle aree di cui l'audit ha bisogno e lasci disattivati creazione, modifica ed eliminazione. Se una particolare verifica richiede che un'impostazione sia solo visibile, è tutto ciò che chiediamo.
  • Lo limiti nel tempo. Abiliti l'account per la finestra dell'audit e lo disabiliti o elimini non appena consegniamo – Le ricorderemo di fare esattamente questo.
  • Invii le credenziali separatamente e in modo sicuro. Condivida l'accesso tramite un canale di cui si fida, idealmente separando nome utente e password, ed eviti di incollare le password in una semplice e-mail. Successivamente reimposti o rimuova l'account affinché le credenziali non funzionino più.

Per un audit di hosting, lo stesso principio si applica all'accesso al server o al pannello di controllo: un accesso delimitato, temporaneo e in sola lettura è sufficiente per ispezionare configurazione, registri e utilizzo delle risorse. Non ci serve l'accesso root, non ci serve l'accesso in scrittura e non abbiamo mai bisogno di raggiungere le Sue tabelle clienti o ordini.

I Suoi dati – e quelli dei Suoi clienti – restano al sicuro

Questi non sono slogan; sono le regole che lo specialista segue in ogni incarico. Se qualcosa in un determinato audit dovesse richiedere un'eccezione, ne parliamo prima con Lei e lo mettiamo per iscritto.

  • Sola lettura per impostazione predefinita. Un audit è una diagnosi. Osserviamo, misuriamo e riportiamo – non modifichiamo mai nulla sul Suo negozio senza un ambito separato, scritto e concordato.
  • Accesso minimo, limitato nel tempo, revocabile. Chiediamo solo ciò di cui un determinato audit ha bisogno, per il tempo necessario, e Le ricorderemo di revocarlo non appena avremo finito.
  • Non copiamo, esportiamo né conserviamo i dati dei Suoi clienti. Gli audit esaminano configurazione, struttura, codice e segnali pubblici – non i Suoi record clienti o ordini. Se una verifica specifica dovesse mai richiedere l'accesso al database, è in sola lettura, e non estraiamo mai dati personali.
  • Nulla viene conservato in seguito. Quando l'audit viene consegnato non tratteniamo i Suoi dati – a meno che non ci chieda espressamente di conservare una copia di backup per Lei.
  • Non mettiamo mai in mostra il Suo negozio. Non utilizziamo il Suo negozio come caso di studio, elemento di portfolio o esempio – nemmeno in forma anonimizzata – senza il Suo consenso scritto. Se è felice di essere menzionato, La ringrazieremo volentieri con uno sconto.
  • Il Suo rapporto è Suo. I risultati vengono condivisi solo con Lei, archiviati in modo sicuro e mai riutilizzati né trasmessi a chiunque altro.

Il filo conduttore di tutto questo è il principio del privilegio minimo: la minor quantità di accesso, per il minor tempo, con il minor numero di persone, e nulla conservato che non debba esserlo. È lo stesso standard che vorremmo che qualsiasi specialista esterno applicasse al nostro stesso negozio.

Cosa può preparare prima di iniziare

Nulla di tutto ciò è necessario per effettuare un ordine, ma qualche minuto di preparazione rende l'audit più rapido e Le offre maggiore tranquillità:

  • Effettui un backup recente. Anche se un audit è in sola lettura, un backup aggiornato dei Suoi file e del database è semplicemente buona pratica prima che qualcuno esamini un negozio attivo. Lo conservi in un luogo sicuro e confermi che si ripristini davvero.
  • Consideri una copia di staging. Se il Suo audit comporta l'accesso all'amministrazione o al server e preferisce che non tocchiamo mai l'ambiente di produzione, ci indirizzi invece a uno staging o a un clone. Molti risultati si trasferiscono direttamente alla produzione.
  • Conosca la Sua configurazione di hosting. Per gli audit di prestazione e di hosting, avere a portata di mano la Sua versione di PHP, la versione di PrestaShop, il tipo di hosting ed eventuali dettagli su caching o CDN ci consente di passare direttamente all'analisi.
  • Annoti i sintomi. Qualunque cosa abbia spinto all'audit – un calo di traffico, pagine lente, un problema al checkout, un accesso sospetto – annoti quando è iniziato e cosa ha già provato. Il contesto trasforma un buon rapporto in uno preciso.
  • Decida in anticipo il Suo livello di accesso preferito. Se preferisce solo l'URL, lo dica. Se è disposto a concedere un accesso in lettura delimitato, prepari l'account temporaneo affinché sia pronto quando lo specialista inizia.

GDPR & riservatezza

Siamo un'azienda con sede nell'UE (Tychy, Polonia), quindi il GDPR è il nostro punto di partenza, non un ripensamento. Quando un audit comporta un qualsiasi accesso a dati personali, agiamo rigorosamente come responsabile del trattamento secondo le Sue istruzioni, esclusivamente per quell'audit e per nessun altro scopo – non trasferiamo i Suoi dati, non li riutilizziamo, non addestriamo nulla su di essi e non facciamo marketing verso chicchessia. Se il Suo team di compliance ne ha bisogno, siamo lieti di firmare un accordo di riservatezza (NDA) o un accordo sul trattamento dei dati prima di iniziare; basta richiederlo durante la presa in carico. Per la posizione GDPR del Suo stesso negozio, consulti la nostra guida GDPR per PrestaShop.

In pratica, ciò significa che trattiamo i dati del Suo negozio nel modo in cui il regolamento si aspetta da un responsabile del trattamento: l'accesso è limitato allo specialista che svolge il lavoro, utilizzato solo per l'audit concordato e non conservato un istante più di quanto l'audit richieda. Poiché abbiamo sede nell'UE, i Suoi dati non lasciano il blocco per le nostre finalità. Se desidera che il rapporto sia documentato prima che venga concesso qualsiasi accesso, sia un accordo di riservatezza sia un accordo sul trattamento dei dati possono essere in vigore prima dell'inizio del lavoro – li menzioni durante la presa in carico e sbrigheremo prima le formalità. Se desidera comprendere il quadro più ampio del nostro approccio alla riservatezza e all'irrobustimento dei negozi, la nostra pagina Security Audit illustra la stessa mentalità applicata al Suo negozio stesso.

Se preferisce che non tocchiamo affatto dati personali, lo dica – la maggior parte degli audit (SEO, prestazione, tema, hosting) si svolge interamente dall'esterno, con nient'altro che l'URL pubblico del Suo negozio.

Cosa aspettarsi dall'audit stesso

Una volta superata la verifica di idoneità ed effettuato l'ordine, uno specialista esamina il Suo negozio secondo l'ambito che ha scelto. Esaminiamo configurazione, struttura, codice e segnali pubblici, verifichiamo incrociando tutto ciò che l'accesso permette di confermare e mettiamo per iscritto ciò che troviamo. Riceve un rapporto chiaro: cosa funziona, cosa La sta frenando e cosa fare al riguardo, ordinato per priorità così da poter agire prima sulle cose che contano di più.

Il rapporto è scritto per essere utile indipendentemente dal fatto che acquisti mai altro da noi. Laddove un risultato indica una correzione, spieghiamo la correzione in termini semplici – a volte è un'impostazione, a volte un contenuto, a volte l'hosting e a volte un modulo. Le diciamo quale, e perché.

Di cosa ha bisogno ciascun audit

Un riferimento rapido su cosa avere pronto prima di eseguire la verifica di idoneità per ciascun servizio:

Una parola onesta sui moduli

Molte correzioni possono essere implementate con i nostri strumenti a codice aperto – SEO Revolution, Security Revolution, Performance Revolution. Ma il compito di un audit è dirLe se un modulo è la risposta giusta, non spingerne uno. A volte la soluzione è la configurazione, il contenuto o l'hosting – e lo diremo. Scelga l'audit adatto sulla pagina Expert Services, esegua la verifica di idoneità e da lì in poi ce ne occupiamo noi.

Caricamento...
Torna su