إدخال التشريع الأوروبي على خصوصية البيانات عبر الإنترنت سيكون له عواقب مهمة في الطريقة التي تتعامل بها المؤسسات مع البيانات الشخصية لمستخدميها من حيث مواقع الويب و التطبيقات سواء Android أو IOS. يثير هذا القانون الجديد أسئلة للمنظمات التي تتعامل بانتظام مع البيانات الشخصية للمقيمين في أوروبا.
ما هو تأثير التشريعات على تطبيقات وعمليات الويب عبر الإنترنت؟
بشكل عام ، يضمن هذا القانون أن يتحكم الفرد في بياناته. هذا يعني أنه عندما تطلب منظمة معلومات شخصية عبر الإنترنت ، يجب أن تخبر العميل بما يحدث لبياناتهم.
الجوانب الرئيسية لهذا التشريع الجديد هي كما يلي:
- وصول أسهل إلى بياناتك الخاصة. لدى المستخدم المزيد من المعلومات حول كيفية استخدام بياناته. يجب توفير هذه المعلومات بطريقة واضحة.
- القدرة على نقل البيانات. يجب أن يكون من الأسهل نقل بياناتك الشخصية إلى مزود خدمة آخر.
- خيار لحذف البيانات الخاصة بك. إذا لم تعد تريد استخدام بياناتك وكان هناك سبب وجيه لذلك ، يجب عليك حذف بياناتك الشخصية.
- اعرف متى تم اختراق بياناتك. في اللحظة التي يتم فيها اختراق منظمة ، يجب عليك إبلاغ السلطة المختصة بهذا الحدث في أقرب وقت ممكن. بهذه الطريقة ، يمكن للمستخدمين أخذ القياسات.
إذن كيف تقوم بتنفيذ تطبيق متوافق؟ GDPR ويمنح المستخدم التحكم في بياناته الشخصية؟ إليك عدة نصائح لتطبيقه.
نصائح لتطوير تطبيقات متوافقة مع القانون العام لحماية البيانات (GDPR)
حدد ما إذا كان التطبيق يحتاج إلى جميع البيانات الشخصية التي يطلبها
تطبيق الخصوصية المثالي لـ يتوافق مع اللائحة العامة لحماية البيانات هو جمع أقل قدر ممكن من البيانات الشخصية. مع البيانات الشخصية يمكنك التفكير في: الاسم ، وتاريخ الميلاد ، ومكان الإقامة ، وما إلى ذلك. هذا بالطبع غير ممكن في جميع المواقف ، لأن هذه المعلومات ضرورية في بعض الأحيان. من المهم في أي موقف أن تحدد الإدارة والمطورون المعلومات الأكثر ضرورة لجمعها.
تشفير كافة المعلومات الشخصية
إذا احتاج أحد التطبيقات إلى تخزين معلومات شخصية حساسة ، فمن المهم تشفير هذه البيانات بشكل صحيح باستخدام خوارزميات تشفير قوية ، بما في ذلك التجزئة. في حالة خرق بيانات Ashley Madison ، كانت جميع المعلومات متاحة بنص عادي.
كان لهذا عواقب مهمة لمستخدميها. يجب النص صراحة على أن جميع البيانات الشخصية مشفرة ، لذلك لا يمكن استخدام هذه البيانات في حالة اختراق تطبيق الويب. يتضمن هذا أيضًا معلومات عن: العنوان وأرقام الهواتف ومكان الإقامة.
فكر في OAUTH لنقل البيانات
باستخدام OAuth ، يمكن للمستخدمين إنشاء حساب ببساطة عن طريق استخدام حساب مختلف. توفر هذه البروتوكولات تسجيل دخول واحد ولا تساعد في جمع معلومات أكثر من اللازم.
استخدم الاتصال الآمن عبر HTTPS
لا تستخدم العديد من المنظمات HTTPS لمواقعها على الويب لأنه يعتقد أنه ليس ضروريًا. على سبيل المثال ، إذا كان التطبيق لا يتطلب أي نوع من المصادقة ، فقد لا يبدو HTTPS ضروريًا. ومع ذلك ، فمن السهل أن تفوت شيئا. تجمع بعض التطبيقات معلومات شخصية من خلال نموذج "اتصل بنا".
إذا تم إرسال هذه المعلومات بنص واضح ، فستكون مرئية على الإنترنت. أيضا ، يجب عليك التأكد من ذلك شهادات SSL يتم تطبيقها بشكل صحيح وليست عرضة للأخطار المتعلقة ببروتوكولات SSL.
دع المستخدمين يعرفون كيف تتعامل مع معلومات "اتصل بنا"
لا تجمع التطبيقات المعلومات فقط من خلال المصادقة أو الاشتراكات. يتم أيضًا جمع البيانات عبر نماذج الاتصال. عادة ما تكون هذه معلومات شخصية مثل: رقم الهاتف ومكان الإقامة وعنوان البريد الإلكتروني. يُعلم المستخدمين بمدة وكيفية تخزين هذه البيانات. يوصى بشدة باستخدام أمان جيد لتخزين هذه المعلومات.
تأكد من انتهاء صلاحية الجلسات وملفات تعريف الارتباط
إلى يتوافق مع اللائحة العامة لحماية البيانات، يجب أن يكون المستخدمون على دراية بكيفية استخدام التطبيق لملفات تعريف الارتباط. يجب إبلاغ المستخدم بأن التطبيق يستخدم ملفات تعريف الارتباط وعرض خيار رفض ملفات تعريف الارتباط. تأكد من حذف ملفات تعريف الارتباط بشكل صحيح إذا قام شخص ما بتسجيل الخروج أو لم يعد نشطًا.
لا تتبع المستخدمين لذكاء الأعمال
تتعقب العديد من تطبيقات التجارة الإلكترونية المستخدمين لمعرفة ما يبحثون عنه باستخدام نتائج البحث والمنتجات التي يشترونها. غالبًا ما تستخدم شركات مثل Netflix و Amazon هذه المعلومات لعرض المنتجات المقترحة. نظرًا لأنه يتم تخزين هذه المعلومات لأغراض تجارية ، يجب أن يكون لدى المستخدم خيار قبولها أو رفضها.
إذا تم منح الموافقة لاحقًا للاحتفاظ بهذه المعلومات ، فيجب إبلاغ المستخدم بكيفية تخزين هذه المعلومات ومدة ذلك. بالطبع ، يجب تشفير جميع المعلومات الشخصية.
أبلغ المستخدم عن السجلات
تستخدم العديد من التطبيقات المواقع أو عناوين IP لتخويل تسجيل الدخول. يتم تخزين هذه المعلومات في حالة محاولة شخص ما تجاوز هذه المصادقة. لإعلام المستخدمين بأنه سيتم تخزين هذه المعلومات وإلى متى. لا تقم بتخزين المعلومات الحساسة في السجلات، مثل كلمة المرور.
أسئلة الأمان
تستخدم العديد من التطبيقات أسئلة الأمان لتأكيد هوية المستخدم. حاول التأكد من أن هذه المعلومات لا تحتوي على أي بيانات شخصية ، مثل اسم والدة المستخدم ولا حتى اللون المفضل. كلما أمكن ، حاول استخدام المصادقة ذات العاملين. إذا لم يكن ذلك ممكنًا ، فدع المستخدم يسأل أسئلته ويحذر من أنه يحتوي على معلومات شخصية. يجب تخزين المعلومات الشخصية بشكل مشفر.
ضع شروطًا وأحكامًا واضحة
لا تحاول إخفاء الشروط والأحكام الخاصة بك. لتكون متوافقة مع اللائحة العامة لحماية البيانات (GDPR) بموجب تشريع الخصوصية الجديد للاتحاد الأوروبي ، يجب أن تكون البنود والشروط متاحة على الصفحة المقصودة. بالإضافة إلى ذلك ، يجب أن تكون الشروط والأحكام واضحة ويمكن الوصول إليها في جميع الأوقات عندما يتصفح المستخدم التطبيق.
يتعين على المستخدمين الموافقة على الشروط والأحكام قبل أن يتمكنوا من الوصول إلى التطبيق. هذا ينطبق بشكل خاص عندما يتم تغيير الشروط والأحكام العامة. وغني عن البيان أن الشروط والأحكام متوفرة بلغة يمكن للجميع فهمها.
مشاركة البيانات مع الأطراف الأخرى
إذا كانت مؤسستك تشارك البيانات الشخصية مع أطراف أخرى ، فيجب ذكر ذلك في الشروط والأحكام العامة. قد يكون هذا من خلال الشركات التابعة أو الوكالات الحكومية أو المكونات الإضافية لجهات خارجية.
ضع إرشادات واضحة إذا تم اختراق تطبيقك
أحد أهم جوانب القانون الأوروبي هو أنه يجب إخطار المستخدمين إذا تم اختراق أحد التطبيقات. يجب على المنظمات وضع مبادئ توجيهية واضحة لوصف المهمة والخطوات التي ستتخذها المنظمة. ضع في اعتبارك أنه يتم إبلاغ المستخدم في الوقت المناسب.
حذف بيانات المستخدمين الذين توقفوا عن الخدمة
لا تذكر العديد من تطبيقات الويب بوضوح ما يحدث للمعلومات الشخصية عند حذف حساب أو إلغاؤه. مع التشريع الجديد ، يجب على الشركات حذف جميع المعلومات الشخصية. يجب أن يكون مفهوما أنه يمكن لأي شخص التوقف عن استخدام الخدمة وبعد ذلك سيتم حذف معلوماته. قد تكون المنظمات التي تتعامل مع الحساب المحذوف على أنه غير نشط مخالفًا للقانون.
القضاء على نقاط الضعف
ينشأ أحد أكبر مخاطر الخصوصية لأن التطبيق ضعيف. هذا يمثل دائمًا مخاطرة عندما يتعامل النظام مع معلومات المستخدم الحساسة. من المرجح أن يتم اختراق التطبيق الذي لم يتم تطويره لاكتشاف المخاطر في الوقت المناسب. تأكد من أن مؤسستك لديها برنامج لاكتشاف المخاطر السيبرانية وإجراء اختبارات الأمان.