Uvođenje evropskog zakonodavstva o privatnost podataka na mreži će imati važne posljedice na način na koji organizacije tretiraju lične podatke svojih korisnika u smislu web stranica i aplikacije, bilo da je to Android ili IOS. Ovaj novi zakon postavlja pitanja za organizacije koje redovno obrađuju lične podatke evropskih stanovnika.
Kakav uticaj zakonodavstvo ima na online web aplikacije i operacije?
Uopšteno govoreći, ovaj zakon osigurava da pojedinac ima kontrolu nad svojim podacima. To znači da kada organizacija zatraži lične podatke na mreži, mora reći kupcu šta se dešava sa njihovim podacima.
Glavni aspekti ovog novog zakona su sljedeći:
- Lakši pristup vlastitim podacima. Korisnik ima više informacija o tome kako se njegovi podaci koriste. Ove informacije moraju biti dostupne na jasan način.
- Mogućnost premještanja podataka. Trebalo bi biti lakše prenijeti vaše lične podatke drugom pružaocu usluga.
- Mogućnost brisanja vaših podataka. Ako više ne želite da se vaši podaci koriste i za to postoji valjan razlog, morate izbrisati svoje lične podatke.
- Saznajte kada su vaši podaci hakovani. U trenutku kada je organizacija hakovana, morate obavijestiti nadležni organ o ovom događaju što je prije moguće. Na ovaj način korisnici mogu izvršiti mjerenja.
Dakle, kako implementirati usaglašenu aplikaciju? GDPR i daje korisniku kontrolu nad njihovim ličnim podacima? Evo nekoliko savjeta kako ga primijeniti.
Savjeti za razvoj aplikacija usklađenih s GDPR-om
Odredite da li su aplikaciji potrebni svi lični podaci koje traži
Idealna implementacija privatnosti za u skladu sa GDPR je prikupljanje što manje ličnih podataka. Uz lične podatke možete misliti na: ime, datum rođenja, mjesto stanovanja itd. To, naravno, nije moguće u svim situacijama, jer su ove informacije ponekad neophodne. U svakoj situaciji važno je da menadžment i programeri odrede koje su informacije najpotrebnije prikupiti.
Šifrirajte sve lične podatke
Ako aplikacija treba pohraniti osjetljive osobne podatke, važno je pravilno šifrirati te podatke koristeći jake algoritame šifriranja, uključujući heširanje. U slučaju povrede podataka Ashley Madison, sve informacije su bile dostupne u običnom tekstu.
To je imalo važne posljedice za njegove korisnike. Mora se izričito navesti da su svi lični podaci šifrovani, tako da se ti podaci ne mogu koristiti u slučaju hakovane web aplikacije. Ovo također uključuje informacije o: adresi, brojevima telefona i mjestu stanovanja.
Razmislite o OAUTH za prijenos podataka
Uz OAuth, korisnici mogu kreirati nalog jednostavno koristeći drugi nalog. Ovi protokoli pružaju jedinstvenu prijavu i ne pomažu u prikupljanju više informacija nego što je potrebno.
Koristite sigurnu komunikaciju preko HTTPS-a
Mnoge organizacije ne koriste HTTPS za svoje web stranice jer se vjeruje da to nije neophodno. Na primjer, ako aplikacija ne zahtijeva nikakvu vrstu provjere autentičnosti, HTTPS se možda neće činiti potrebnim. Međutim, lako je nešto propustiti. Neke aplikacije prikupljaju lične podatke putem obrasca "Kontaktirajte nas".
Ako se ova informacija pošalje u čistom tekstu, bit će vidljiva na internetu. Takođe, trebalo bi da se u to uverite SSL sertifikati se pravilno primjenjuju i nisu podložni opasnostima vezanim za SSL protokole.
Obavijestite korisnike kako postupate s informacijama „kontaktirajte nas“.
Aplikacije ne prikupljaju informacije samo putem provjere autentičnosti ili pretplata. Podaci se također prikupljaju putem kontakt obrazaca. To su obično lični podaci kao što su: broj telefona, mjesto stanovanja i adresa e-pošte. Obavještava korisnike koliko dugo i kako se ti podaci čuvaju. Izričito se preporučuje korištenje dobre sigurnosti za čuvanje ovih informacija.
Provjerite jesu li sesije i kolačići istekli
para u skladu sa GDPR, korisnici moraju biti svjesni kako aplikacija koristi kolačiće. Korisnik mora biti obaviješten da aplikacija koristi kolačiće i ponuditi mu mogućnost odbijanja kolačića. Provjerite jesu li kolačići ispravno izbrisani ako se neko odjavi ili više nije aktivan.
Nemojte pratiti korisnike radi poslovne inteligencije
Mnoge aplikacije za e-trgovinu prate korisnike kako bi vidjeli što traže koristeći rezultate pretraživanja i proizvode koje kupuju. Kompanije poput Netflixa i Amazona često koriste ove informacije za prikaz predloženih proizvoda. Budući da se ove informacije pohranjuju u komercijalne svrhe, korisnik mora imati mogućnost da ih prihvati ili ne.
Ako se naknadno da pristanak za zadržavanje ovih informacija, korisnik mora biti obaviješten kako se te informacije čuvaju i koliko dugo. Naravno, svi lični podaci moraju biti šifrovani.
Obavijestite korisnika o zapisima
Mnoge aplikacije koriste lokacije ili IP adrese za autorizaciju prijave. Ove informacije se pohranjuju u slučaju da neko pokuša zaobići ovu autentifikaciju. Obavještava korisnike da će se ove informacije čuvati i koliko dugo. Nemojte pohranjivati osjetljive informacije u dnevnike, poput lozinke.
Sigurnosna pitanja
Mnoge aplikacije koriste sigurnosna pitanja za potvrdu identiteta korisnika. Pokušajte osigurati da ove informacije ne sadrže nikakve lične podatke, kao što je ime majke korisnika, pa čak ni omiljena boja. Kad god je moguće, pokušajte koristiti dvofaktorsku autentifikaciju. Ako to nije moguće, neka korisnik postavlja svoja pitanja i upozori da sadrži lične podatke. Lični podaci moraju biti pohranjeni šifrirani.
Jasno postavite uslove
Ne pokušavajte sakriti svoje uslove i odredbe. Da bi bili usklađeni sa GDPR-om prema novom zakonodavstvu EU o privatnosti, uslovi i odredbe moraju biti dostupni na odredišnoj stranici. Osim toga, uslovi i odredbe moraju biti jasni i dostupni u svakom trenutku kada korisnik pregledava aplikaciju.
Od korisnika se traži da pristanu na odredbe i uvjete prije nego što mogu pristupiti aplikaciji. Ovo posebno važi kada su opšti uslovi promenjeni. Podrazumeva se da su uslovi i odredbe dostupni na jeziku koji svi razumeju.
Dijeljenje podataka sa drugim stranama
Ako vaša organizacija dijeli lične podatke sa drugim stranama, to treba da bude navedeno u opštim uslovima. To može biti putem podružnica, vladinih agencija ili dodataka trećih strana.
Postavite jasne smjernice ako je vaša aplikacija hakovana
Jedan od najvažnijih aspekata evropski zakon je da bi korisnici trebali biti obaviješteni ako je aplikacija hakovana. Organizacije bi trebale uspostaviti jasne smjernice za opis zadatka i koraka koje će organizacija preduzeti. Imajte na umu da je korisnik blagovremeno obaviješten.
Izbrišite podatke korisnika koji zaustavljaju uslugu
Mnoge web aplikacije ne navode jasno šta se dešava sa ličnim podacima kada se nalog izbriše ili neko otkaže. Sa novim zakonima, kompanije moraju izbrisati sve lične podatke. Treba imati na umu da neko može prestati koristiti uslugu i tada će njegovi podaci biti izbrisani. Organizacije koje tretiraju izbrisani nalog kao neaktivan mogu biti protiv zakona.
Uklonite ranjivosti
Jedan od najvećih rizika privatnosti nastaje jer je aplikacija ranjiva. Ovo je uvijek rizik kada sistem rukuje osjetljivim korisničkim informacijama. Vjerovatnije je da će biti hakovana aplikacija koja nije razvijena da otkrije rizike na vrijeme. Uvjerite se da vaša organizacija ima program za otkrivanje sajber rizika i provođenje sigurnosnih testova.