Въвеждането на европейското законодателство за онлайн поверителност на данните ще има важни последици за начина, по който организациите третират личните данни на своите потребители по отношение на уебсайтове и приложения, независимо дали Android или IOS. Този нов закон повдига въпроси за организациите, които редовно обработват лични данни на жители на Европа.
Какво въздействие оказва законодателството върху онлайн уеб приложенията и операциите?
В общи линии този закон гарантира, че дадено лице има контрол върху своите данни. Това означава, че когато една организация поиска лична информация онлайн, тя трябва да каже на клиента какво се случва с техните данни.
Основните аспекти на това ново законодателство са следните:
- По-лесен достъп до вашите собствени данни. Потребителят има повече информация за това как се използват неговите данни. Тази информация трябва да бъде предоставена по ясен начин.
- Възможност за преместване на данни. Би трябвало да е по-лесно да прехвърлите личните си данни към друг доставчик на услуги.
- Възможност за изтриване на вашите данни. Ако вече не искате вашите данни да се използват и има основателна причина за това, трябва да изтриете личните си данни.
- Знайте кога вашите данни са били хакнати. В момента, в който дадена организация е хакната, трябва да информирате съответния орган за това събитие възможно най-скоро. По този начин потребителите могат да правят измерванията.
И така, как да приложите съвместимо приложение? GDPR и дава на потребителя контрол върху личните му данни? Ето няколко съвета как да го приложите.
Съвети за разработване на приложения, съвместими с GDPR
Определете дали приложението се нуждае от всички лични данни, които изисква
Идеалната реализация на поверителност за спазват GDPR е да събира възможно най-малко лични данни. С лични данни можете да мислите за: име, дата на раждане, местоживеене и т.н. Това, разбира се, не е възможно във всички ситуации, тъй като тази информация понякога е необходима. Във всяка ситуация е важно ръководството и разработчиците да определят коя е най-необходимата информация за събиране.
Криптирайте цялата лична информация
Ако дадено приложение трябва да съхранява чувствителна лична информация, важно е правилно да шифровате тези данни с помощта на силни алгоритми за криптиране, включително хеширане. В случай на пробив в данните на Ashley Madison цялата информация беше налична в обикновен текст.
Това има важни последици за неговите потребители. Трябва изрично да се посочи, че всички лични данни са криптирани, така че тези данни не могат да бъдат използвани в случай, че уеб приложението е хакнато. Това включва и информация за: адрес, телефони и местоживеене.
Помислете за OAUTH за прехвърляне на данни
С OAuth потребителите могат да създадат акаунт, просто като използват друг акаунт. Тези протоколи осигуряват еднократно влизане и не помагат за събирането на повече информация, отколкото е необходимо.
Използвайте защитена комуникация през HTTPS
Много организации не използват HTTPS за своите уебсайтове, защото се смята, че не е необходимо. Например, ако дадено приложение не изисква никакъв тип удостоверяване, HTTPS може да не изглежда необходим. Въпреки това е лесно да пропуснете нещо. Някои приложения събират лична информация чрез формата „Свържете се с нас“.
Ако тази информация бъде изпратена в ясен текст, тя ще бъде видима в Интернет. Освен това трябва да се уверите в това SSL сертификати се прилагат правилно и не са податливи на опасности, свързани със SSL протоколи.
Уведомете потребителите как обработвате информацията „свържете се с нас“.
Приложенията не събират информация само чрез удостоверяване или абонаменти. Данните се събират и чрез формуляри за контакт. Обикновено това е лична информация като: телефонен номер, местоживеене и имейл адрес. Той информира потребителите за колко време и как се съхраняват тези данни. Силно препоръчително е да използвате добра сигурност за съхраняване на тази информация.
Уверете се, че сесиите и бисквитките изтичат
за спазват GDPR, потребителите трябва да са наясно как приложението използва бисквитки. Потребителят трябва да бъде информиран, че приложението използва бисквитки и да му бъде предложена опцията за отхвърляне на бисквитки. Уверете се, че бисквитките са правилно изтрити, ако някой излезе или вече не е активен.
Не проследявайте потребителите за бизнес разузнаване
Много приложения за електронна търговия проследяват потребителите, за да видят какво търсят, като използват резултатите от търсенето и продуктите, които купуват. Компании като Netflix и Amazon често използват тази информация за показване на предложени продукти. Тъй като тази информация се съхранява за търговски цели, потребителят трябва да има възможност да я приеме или не.
Ако впоследствие бъде дадено съгласие за запазване на тази информация, потребителят трябва да бъде информиран как се съхранява тази информация и за колко време. Разбира се, цялата лична информация трябва да бъде криптирана.
Информирайте потребителя за записите
Много приложения използват местоположения или IP адреси, за да оторизират влизане. Тази информация се съхранява в случай, че някой се опита да заобиколи това удостоверяване. Уведомява потребителите, че тази информация ще се съхранява и за колко време. Не съхранявайте чувствителна информация в регистрационни файлове, като паролата.
Въпроси за сигурност
Много приложения използват въпроси за сигурност, за да потвърдят самоличността на потребителя. Опитайте се да се уверите, че тази информация не съдържа никакви лични данни, като името на майката на потребителя и дори любимия цвят. Когато е възможно, опитайте се да използвате двуфакторна автентификация. Ако това не е възможно, оставете потребителя да зададе собствените си въпроси и да предупреди, че съдържа лична информация. Личната информация трябва да се съхранява криптирана.
Направете ясни условия
Не се опитвайте да скриете своите условия. За да отговаряте на GDPR съгласно новото законодателство на ЕС за поверителност, условията трябва да са налични на целевата страница. Освен това правилата и условията трябва да са ясни и достъпни по всяко време, когато потребителят разглежда приложението.
Потребителите трябва да се съгласят с общите условия, преди да имат достъп до приложението. Това важи особено, когато общите условия са променени. От само себе си се разбира, че условията са достъпни на език, който всеки разбира.
Споделяне на данни с други страни
Ако вашата организация споделя лични данни с други страни, това трябва да бъде посочено в общите условия. Това може да стане чрез филиали, правителствени агенции или плъгини на трети страни.
Задайте ясни насоки, ако приложението ви е хакнато
Един от най-важните аспекти на европейско право е, че потребителите трябва да бъдат уведомени, ако приложение е било хакнато. Организациите трябва да установят ясни насоки за описване на задачата и стъпките, които организацията ще предприеме. Имайте предвид, че потребителят е информиран своевременно.
Изтрийте данните на потребителите, които спират услугата
Много уеб приложения не посочват ясно какво се случва с личната информация, когато акаунт бъде изтрит или някой анулира. С новото законодателство компаниите трябва да изтрият цялата лична информация. Трябва да се разбере, че някой може да спре да използва услугата и тогава информацията му ще бъде изтрита. Организации, които третират изтрития акаунт като неактивен, може да са против закона.
Премахване на уязвимостите
Един от най-големите рискове за поверителността възниква, защото приложението е уязвимо. Това винаги е риск, когато една система обработва чувствителна потребителска информация. Приложение, което не е разработено за откриване на рискове навреме, е по-вероятно да бъде хакнато. Уверете се, че вашата организация има програма за откриване на кибер рискове и провеждане на тестове за сигурност.