Парады па распрацоўцы прыкладанняў, якія адпавядаюць GDPR

Увядзенне еўрапейскага заканадаўства аб канфідэнцыяльнасць дадзеных у Інтэрнэце будзе мець важныя наступствы ў тым, як арганізацыі абыходзяцца з персанальнымі дадзенымі сваіх карыстальнікаў з пункту гледжання вэб-сайтаў і прыкладання, будзь то Android або IOS. Гэты новы закон выклікае пытанні ў арганізацый, якія рэгулярна апрацоўваюць персанальныя даныя жыхароў Еўропы.

Які ўплыў заканадаўства аказвае на інтэрнэт-прыкладанні і аперацыі?

У агульным плане гэты закон гарантуе, што фізічная асоба мае кантроль над сваімі дадзенымі. Гэта азначае, што калі арганізацыя запытвае асабістую інфармацыю ў Інтэрнэце, яна павінна паведаміць кліенту, што адбываецца з іх дадзенымі.

Асноўнымі аспектамі гэтага новага заканадаўства з'яўляюцца наступныя:

  • Больш лёгкі доступ да вашых уласных даных. Карыстальнік мае больш інфармацыі аб тым, як выкарыстоўваюцца яго дадзеныя. Гэтая інфармацыя павінна быць даступная ў дакладнай форме.
  • Магчымасць перамяшчэння дадзеных. Перадача вашых асабістых даных іншаму пастаўшчыку паслуг павінна быць прасцей.
  • Магчымасць выдалення вашых даных. Калі вы больш не хочаце, каб вашы дадзеныя выкарыстоўваліся і для гэтага ёсць уважлівая прычына, вы павінны выдаліць свае асабістыя даныя.
  • Даведайцеся, калі вашы даныя былі ўзламаныя. У момант узлому арганізацыі вы павінны як мага хутчэй паведаміць адпаведны орган аб гэтай падзеі. Такім чынам, карыстальнікі могуць праводзіць вымярэння.

Такім чынам, як вы рэалізуеце сумяшчальнае прыкладанне? GDPR і дае карыстальніку кантроль над сваімі асабістымі дадзенымі? Вось некалькі саветаў па яго прымяненні.

Парады па распрацоўцы прыкладанняў, якія адпавядаюць GDPR

Вызначце, ці патрэбныя прыкладання ўсе асабістыя даныя, якія яна запытвае

Ідэальная рэалізацыя прыватнасці для адпавядаць GDPR заключаецца ў зборы як мага менш персанальных дадзеных. З персанальнымі дадзенымі вы можаце думаць пра: імя, дату нараджэння, месца жыхарства і г.д. Гэта, вядома, магчыма не ва ўсіх сітуацыях, бо гэтая інфармацыя часам неабходная. У любой сітуацыі важна, каб кіраўніцтва і распрацоўшчыкі вызначалі, якую інфармацыю трэба сабраць найбольш неабходна.

Зашыфраваць усю асабістую інфармацыю

Калі прыкладанню неабходна захоўваць канфідэнцыйную асабістую інфармацыю, важна правільна зашыфраваць гэтыя даныя з дапамогай моцных алгарытмаў шыфравання, уключаючы хэшаванне. У выпадку ўзлому дадзеных Эшлі Мэдысан уся інфармацыя была даступная адкрытым тэкстам.

Гэта мела важныя наступствы для карыстальнікаў. Неабходна дакладна пазначыць, што ўсе асабістыя даныя зашыфраваныя, таму гэтыя дадзеныя нельга выкарыстоўваць у выпадку ўзлому вэб-прыкладанні. Гэта таксама інфармацыя аб: адрасе, тэлефонах і месцы жыхарства.

Падумайце OAUTH для перадачы даных

З дапамогай OAuth карыстальнікі могуць стварыць уліковы запіс, проста выкарыстоўваючы іншы ўліковы запіс. Гэтыя пратаколы забяспечваюць адзіны ўваход і не дапамагаюць сабраць больш інфармацыі, чым неабходна.

Выкарыстоўвайце бяспечную сувязь праз HTTPS

Многія арганізацыі не выкарыстоўваюць HTTPS для сваіх вэб-сайтаў, таму што лічыцца, што гэта неабавязкова. Напрыклад, калі прыкладанне не патрабуе ніякага тыпу аўтэнтыфікацыі, HTTPS можа не здавацца неабходным. Аднак лёгка нешта прапусціць. Некаторыя праграмы збіраюць асабістую інфармацыю праз форму «Звязацца з намі».

Калі гэтая інфармацыя будзе адпраўлена чыстым тэкстам, яна будзе бачная ў інтэрнэце. Акрамя таго, вы павінны пераканацца ў гэтым Сертыфікаты SSL прымяняюцца правільна і не падвяргаюцца небяспекам, звязаных з пратаколамі SSL.

Паведаміце карыстальнікам, як вы апрацоўваеце інфармацыю «звязацца з намі».

Прыкладання не толькі збіраюць інфармацыю праз аўтэнтыфікацыю або падпіску. Дадзеныя таксама збіраюцца праз кантактныя формы. Звычайна гэта асабістая інфармацыя, такая як: нумар тэлефона, месца жыхарства і адрас электроннай пошты. Ён інфармуе карыстальнікаў, як доўга і як гэтыя дадзеныя захоўваюцца. Настойліва рэкамендуецца выкарыстоўваць надзейную бяспеку для захоўвання гэтай інфармацыі.

Пераканайцеся, што сеансы і файлы cookie заканчваюцца

да адпавядаць GDPR, карыстальнікі павінны ведаць, як прыкладанне выкарыстоўвае файлы cookie. Карыстальнік павінен быць праінфармаваны аб тым, што прыкладанне выкарыстоўвае файлы cookie, і прапанавана магчымасць адхіліць файлы cookie. Пераканайцеся, што файлы cookie належным чынам выдалены, калі хтосьці выходзіць з сістэмы або больш не актыўны.

Не адсочвайце карыстальнікаў для атрымання бізнес-аналітыкі

Многія праграмы электроннай камерцыі адсочваюць карыстальнікаў, каб убачыць, што яны шукаюць, выкарыстоўваючы вынікі пошуку і прадукты, якія яны купляюць. Такія кампаніі, як Netflix і Amazon, часта выкарыстоўваюць гэтую інфармацыю для паказу прапанаваных прадуктаў. Паколькі гэтая інфармацыя захоўваецца ў камерцыйных мэтах, карыстальнік павінен мець магчымасць прыняць яе ці не.

Калі пасля будзе дадзена згода на захаванне гэтай інфармацыі, карыстальнік павінен быць праінфармаваны, як гэтая інфармацыя захоўваецца і як доўга. Вядома, уся асабістая інфармацыя павінна быць зашыфраваная.

Інфармаваць карыстальніка аб запісах

Многія прыкладання выкарыстоўваюць месцазнаходжанне або IP-адрасы для аўтарызацыі ўваходу. Гэтая інфармацыя захоўваецца на выпадак, калі хтосьці паспрабуе абыйсці гэтую аўтэнтыфікацыю. Паведамляе карыстальнікам, што гэтая інфармацыя будзе захоўвацца і як доўга. Не захоўвайце канфідэнцыйную інфармацыю ў часопісах, як пароль.

Пытанні бяспекі

Многія праграмы выкарыстоўваюць сакрэтныя пытанні, каб пацвердзіць асобу карыстальніка. Паспрабуйце пераканацца, што гэтая інфармацыя не ўтрымлівае ніякіх асабістых дадзеных, напрыклад, імя маці карыстальніка і нават не любімы колер. Па магчымасці старайцеся выкарыстоўваць двухфакторную аўтэнтыфікацыю. Калі гэта немагчыма, дазвольце карыстальніку задаць свае пытанні і папярэдзіць, што ён змяшчае асабістую інфармацыю. Асабістая інфармацыя павінна захоўвацца ў зашыфраваным выглядзе.

Зрабіце выразныя ўмовы

Не спрабуйце схаваць свае ўмовы. Каб адпавядаць GDPR у адпаведнасці з новым заканадаўствам ЕС аб ​​прыватнасці, умовы павінны быць даступныя на мэтавай старонцы. Акрамя таго, умовы павінны быць зразумелымі і даступнымі ў любы час, калі карыстальнік праглядае прыкладанне.

Карыстальнікі павінны пагадзіцца з умовамі, перш чым атрымаць доступ да прылажэння. Асабліва гэта тычыцца тых выпадкаў, калі агульныя ўмовы былі зменены. Само сабой зразумела, што ўмовы даступныя на мове, зразумелай кожнаму.

Абмен данымі з іншымі бакамі

Калі ваша арганізацыя перадае асабістыя даныя іншым бакам, гэта павінна быць пазначана ў агульных умовах. Гэта можа быць праз філіялы, дзяржаўныя ўстановы або ўбудовы трэціх бакоў.

Усталюйце дакладныя рэкамендацыі, калі ваша праграма ўзламана

Адзін з найбольш важных аспектаў еўрапейскае заканадаўства заключаецца ў тым, што карыстальнікі павінны быць апавешчаныя, калі прыкладанне было ўзламана. Арганізацыі павінны ўсталяваць дакладныя рэкамендацыі для апісання задачы і крокаў, якія будзе рабіць арганізацыя. Майце на ўвазе, што карыстальнік інфармуецца своечасова.

Выдаліць даныя карыстальнікаў, якія спынілі службу

Многія вэб-прыкладанні не ўдакладняюць дакладна, што адбываецца з асабістай інфармацыяй, калі ўліковы запіс выдаляецца або нехта адмяняе. З новым заканадаўствам кампаніі павінны выдаліць усю асабістую інфармацыю. Варта разумець, што нехта можа спыніць карыстацца сэрвісам, і тады яго інфармацыя будзе выдалена. Арганізацыі, якія разглядаюць выдалены ўліковы запіс як неактыўны, могуць парушаць закон.

Ліквідаваць уразлівасці

Адна з самых вялікіх рызык для канфідэнцыяльнасці ўзнікае таму, што праграма ўразлівая. Гэта заўсёды рызыка, калі сістэма апрацоўвае канфідэнцыйную інфармацыю карыстальніка. Прыкладанне, якое не было распрацавана для своечасовага выяўлення рызык, хутчэй за ўсё падвергнецца ўзлому. Пераканайцеся, што ў вашай арганізацыі ёсць праграма для выяўлення кіберрызыкі і правядзення тэстаў бяспекі.


Змест артыкула адпавядае нашым прынцыпам рэдакцыйная этыка. Каб паведаміць пра памылку, націсніце тут.

Будзьце першым, каб каментаваць

Пакіньце свой каментар

Ваш электронны адрас не будзе апублікаваны.

*

*