Συμβουλές για την ανάπτυξη εφαρμογών συμβατών με το GDPR

Η εισαγωγή ευρωπαϊκής νομοθεσίας για διαδικτυακό απόρρητο δεδομένων θα έχει σημαντικές συνέπειες στον τρόπο με τον οποίο οι οργανισμοί χειρίζονται τα προσωπικά δεδομένα των χρηστών τους όσον αφορά τους ιστότοπους και εφαρμογές, είτε Android είτε IOS. Αυτός ο νέος νόμος εγείρει ερωτήματα για οργανισμούς που χειρίζονται τακτικά προσωπικά δεδομένα κατοίκων της Ευρώπης.

Τι αντίκτυπο έχει η νομοθεσία στις διαδικτυακές εφαρμογές και λειτουργίες του Διαδικτύου;

Σε γενικές γραμμές, αυτός ο νόμος διασφαλίζει ότι ένα άτομο έχει τον έλεγχο των δεδομένων του. Αυτό σημαίνει ότι όταν ένας οργανισμός ζητά προσωπικές πληροφορίες στο διαδίκτυο, πρέπει να πει στον πελάτη τι συμβαίνει με τα δεδομένα του.

Οι κύριες πτυχές αυτής της νέας νομοθεσίας είναι οι εξής:

  • Ευκολότερη πρόσβαση στα δικά σας δεδομένα. Ο χρήστης έχει περισσότερες πληροφορίες σχετικά με τον τρόπο χρήσης των δεδομένων του. Αυτές οι πληροφορίες πρέπει να είναι διαθέσιμες με σαφή τρόπο.
  • Δυνατότητα μετακίνησης δεδομένων. Θα πρέπει να είναι ευκολότερο να μεταφέρετε τα προσωπικά σας δεδομένα σε άλλο πάροχο υπηρεσιών.
  • Επιλογή διαγραφής των δεδομένων σας. Εάν δεν θέλετε πλέον να χρησιμοποιούνται τα δεδομένα σας και υπάρχει βάσιμος λόγος για αυτό, πρέπει να διαγράψετε τα προσωπικά σας δεδομένα.
  • Μάθετε πότε τα δεδομένα σας έχουν παραβιαστεί. Τη στιγμή που ένας οργανισμός έχει χακαριστεί, πρέπει να ενημερώσετε την αρμόδια αρχή για αυτό το συμβάν το συντομότερο δυνατό. Με αυτόν τον τρόπο, οι χρήστες μπορούν να λαμβάνουν τις μετρήσεις.

Πώς λοιπόν υλοποιείτε μια συμβατή εφαρμογή; GDPR και δίνει στον χρήστη τον έλεγχο των προσωπικών του δεδομένων; Ακολουθούν αρκετές συμβουλές για να το εφαρμόσετε.

Συμβουλές για την ανάπτυξη εφαρμογών που συμμορφώνονται με το GDPR

Προσδιορίστε εάν η εφαρμογή χρειάζεται όλα τα προσωπικά δεδομένα που ζητά

Η ιδανική εφαρμογή απορρήτου για συμμορφώνονται με τον GDPR είναι να συλλέγει όσο το δυνατόν λιγότερα προσωπικά δεδομένα. Με προσωπικά δεδομένα μπορείτε να σκεφτείτε: όνομα, ημερομηνία γέννησης, τόπος διαμονής κ.λπ. Αυτό, φυσικά, δεν είναι δυνατό σε όλες τις περιπτώσεις, καθώς μερικές φορές αυτές οι πληροφορίες είναι απαραίτητες. Είναι σημαντικό σε κάθε περίπτωση η διοίκηση και οι προγραμματιστές να καθορίζουν ποιες είναι οι πιο απαραίτητες πληροφορίες για συλλογή.

Κρυπτογραφήστε όλες τις προσωπικές πληροφορίες

Εάν μια εφαρμογή χρειάζεται να αποθηκεύσει ευαίσθητες προσωπικές πληροφορίες, είναι σημαντικό να κρυπτογραφήσει σωστά αυτά τα δεδομένα χρησιμοποιώντας ισχυρούς αλγόριθμους κρυπτογράφησης, συμπεριλαμβανομένου του κατακερματισμού. Στην περίπτωση της παραβίασης δεδομένων Ashley Madison, όλες οι πληροφορίες ήταν διαθέσιμες σε απλό κείμενο.

Αυτό είχε σημαντικές συνέπειες για τους χρήστες του. Πρέπει να αναφέρεται ρητά ότι όλα τα προσωπικά δεδομένα είναι κρυπτογραφημένα, επομένως αυτά τα δεδομένα δεν μπορούν να χρησιμοποιηθούν σε περίπτωση που η διαδικτυακή εφαρμογή παραβιαστεί. Αυτό περιλαμβάνει επίσης πληροφορίες για: διεύθυνση, αριθμούς τηλεφώνου και τόπο διαμονής.

Σκεφτείτε το OAUTH για μεταφορά δεδομένων

Με το OAuth, οι χρήστες μπορούν να δημιουργήσουν έναν λογαριασμό χρησιμοποιώντας απλώς έναν διαφορετικό λογαριασμό. Αυτά τα πρωτόκολλα παρέχουν μια ενιαία σύνδεση και δεν βοηθούν στη συλλογή περισσότερων πληροφοριών από ό,τι χρειάζεται.

Χρησιμοποιήστε ασφαλή επικοινωνία μέσω HTTPS

Πολλοί οργανισμοί δεν χρησιμοποιούν HTTPS για τους ιστότοπούς τους επειδή πιστεύεται ότι δεν είναι απαραίτητο. Για παράδειγμα, εάν μια εφαρμογή δεν απαιτεί κανένα είδος ελέγχου ταυτότητας, το HTTPS μπορεί να μην φαίνεται απαραίτητο. Ωστόσο, είναι εύκολο να χάσετε κάτι. Ορισμένες εφαρμογές συλλέγουν προσωπικές πληροφορίες μέσω της φόρμας "Επικοινωνήστε μαζί μας".

Εάν αυτές οι πληροφορίες αποστέλλονται σε καθαρό κείμενο, θα είναι ορατές στο Διαδίκτυο. Επίσης, θα πρέπει να βεβαιωθείτε ότι Πιστοποιητικά SSL εφαρμόζονται σωστά και δεν είναι επιρρεπείς σε κινδύνους που σχετίζονται με τα πρωτόκολλα SSL.

Ενημερώστε τους χρήστες πώς χειρίζεστε τις πληροφορίες "επικοινωνήστε μαζί μας".

Οι εφαρμογές δεν συλλέγουν μόνο πληροφορίες μέσω ελέγχου ταυτότητας ή συνδρομών. Τα δεδομένα συλλέγονται επίσης μέσω φορμών επικοινωνίας. Συνήθως πρόκειται για προσωπικά στοιχεία όπως: αριθμός τηλεφώνου, τόπος διαμονής και διεύθυνση email. Ενημερώνει τους χρήστες για πόσο καιρό και πώς αποθηκεύονται αυτά τα δεδομένα. Συνιστάται ανεπιφύλακτα η χρήση καλής ασφάλειας για την αποθήκευση αυτών των πληροφοριών.

Βεβαιωθείτε ότι οι περίοδοι σύνδεσης και τα cookie λήγουν

να συμμορφώνονται με τον GDPR, οι χρήστες πρέπει να γνωρίζουν πώς η εφαρμογή χρησιμοποιεί τα cookies. Ο χρήστης πρέπει να ενημερώνεται ότι η εφαρμογή χρησιμοποιεί cookies και να του παρέχεται η επιλογή απόρριψης cookies. Βεβαιωθείτε ότι τα cookies έχουν διαγραφεί σωστά εάν κάποιος αποσυνδεθεί ή δεν είναι πλέον ενεργός.

Μην παρακολουθείτε τους χρήστες για επιχειρηματική ευφυΐα

Πολλές εφαρμογές ηλεκτρονικού εμπορίου παρακολουθούν τους χρήστες για να δουν τι αναζητούν χρησιμοποιώντας τα αποτελέσματα αναζήτησης και τα προϊόντα που αγοράζουν. Εταιρείες όπως το Netflix και η Amazon χρησιμοποιούν συχνά αυτές τις πληροφορίες για να εμφανίσουν προτεινόμενα προϊόντα. Δεδομένου ότι αυτές οι πληροφορίες αποθηκεύονται για εμπορικούς σκοπούς, ο χρήστης πρέπει να έχει την επιλογή να τις αποδεχτεί ή όχι.

Εάν στη συνέχεια δοθεί η συγκατάθεση για τη διατήρηση αυτών των πληροφοριών, ο χρήστης πρέπει να ενημερώνεται πώς αποθηκεύονται αυτές οι πληροφορίες και για πόσο χρονικό διάστημα. Φυσικά, όλα τα προσωπικά στοιχεία πρέπει να είναι κρυπτογραφημένα.

Ενημερώστε τον χρήστη για τις εγγραφές

Πολλές εφαρμογές χρησιμοποιούν τοποθεσίες ή διευθύνσεις IP για να εξουσιοδοτήσουν μια σύνδεση. Αυτές οι πληροφορίες αποθηκεύονται σε περίπτωση που κάποιος προσπαθήσει να παρακάμψει αυτόν τον έλεγχο ταυτότητας. Ειδοποιεί τους χρήστες ότι αυτές οι πληροφορίες θα αποθηκευτούν και για πόσο χρονικό διάστημα. Μην αποθηκεύετε ευαίσθητες πληροφορίες σε αρχεία καταγραφής, όπως ο κωδικός πρόσβασης.

Ερωτήσεις ασφαλείας

Πολλές εφαρμογές χρησιμοποιούν ερωτήσεις ασφαλείας για να επιβεβαιώσουν την ταυτότητα ενός χρήστη. Προσπαθήστε να βεβαιωθείτε ότι αυτές οι πληροφορίες δεν περιέχουν προσωπικά δεδομένα, όπως το όνομα της μητέρας του χρήστη και ούτε καν το αγαπημένο χρώμα. Όποτε είναι δυνατόν, προσπαθήστε να χρησιμοποιήσετε έλεγχο ταυτότητας δύο παραγόντων. Εάν αυτό δεν είναι δυνατό, αφήστε τον χρήστη να κάνει τις δικές του ερωτήσεις και να προειδοποιήσει ότι περιέχει προσωπικές πληροφορίες. Τα προσωπικά στοιχεία πρέπει να αποθηκεύονται κρυπτογραφημένα.

Κάντε σαφείς όρους και προϋποθέσεις

Μην προσπαθείτε να κρύψετε τους όρους και τις προϋποθέσεις σας. Για να συμμορφωθείτε με τον GDPR σύμφωνα με τη νέα νομοθεσία της ΕΕ περί απορρήτου, οι όροι και οι προϋποθέσεις πρέπει να είναι διαθέσιμοι στη σελίδα προορισμού. Επιπλέον, οι όροι και οι προϋποθέσεις πρέπει να είναι σαφείς και προσβάσιμοι ανά πάσα στιγμή όταν ο χρήστης περιηγείται στην εφαρμογή.

Οι χρήστες πρέπει να συμφωνήσουν με τους όρους και τις προϋποθέσεις προτού μπορέσουν να αποκτήσουν πρόσβαση στην εφαρμογή. Αυτό ισχύει ιδιαίτερα όταν οι γενικοί όροι και προϋποθέσεις έχουν αλλάξει. Είναι αυτονόητο ότι οι όροι και οι προϋποθέσεις είναι διαθέσιμοι σε γλώσσα κατανοητή από όλους.

Κοινή χρήση δεδομένων με άλλα μέρη

Εάν ο οργανισμός σας μοιράζεται προσωπικά δεδομένα με άλλα μέρη, αυτό θα πρέπει να αναφέρεται στους γενικούς όρους και προϋποθέσεις. Αυτό μπορεί να γίνει μέσω θυγατρικών, κυβερνητικών υπηρεσιών ή προσθηκών τρίτων.

Ορίστε σαφείς οδηγίες εάν η εφαρμογή σας παραβιαστεί

Μία από τις πιο σημαντικές πτυχές του ευρωπαϊκή νομοθεσία είναι ότι οι χρήστες θα πρέπει να ειδοποιούνται εάν μια εφαρμογή έχει παραβιαστεί. Οι οργανισμοί θα πρέπει να καθορίσουν σαφείς κατευθυντήριες γραμμές για να περιγράψουν την εργασία και τα βήματα που θα λάβει ο οργανισμός. Λάβετε υπόψη ότι ο χρήστης ενημερώνεται έγκαιρα.

Διαγράψτε τα δεδομένα των χρηστών που σταματούν την υπηρεσία

Πολλές διαδικτυακές εφαρμογές δεν αναφέρουν ξεκάθαρα τι συμβαίνει με τα προσωπικά στοιχεία όταν διαγράφεται ένας λογαριασμός ή κάποιος ακυρώνει. Με τη νέα νομοθεσία, οι εταιρείες πρέπει να διαγράψουν όλα τα προσωπικά στοιχεία. Θα πρέπει να γίνει κατανοητό ότι κάποιος μπορεί να σταματήσει να χρησιμοποιεί την υπηρεσία και στη συνέχεια τα στοιχεία του θα διαγραφούν. Οργανισμοί που αντιμετωπίζουν έναν διαγραμμένο λογαριασμό ως ανενεργό ενδέχεται να είναι αντίθετοι με το νόμο.

Εξαλείψτε τα τρωτά σημεία

Ένας από τους μεγαλύτερους κινδύνους απορρήτου προκύπτει επειδή η εφαρμογή είναι ευάλωτη. Αυτός είναι πάντα ένας κίνδυνος όταν ένα σύστημα χειρίζεται ευαίσθητες πληροφορίες χρήστη. Μια εφαρμογή που δεν έχει αναπτυχθεί για την έγκαιρη ανίχνευση κινδύνων είναι πιο πιθανό να παραβιαστεί. Βεβαιωθείτε ότι ο οργανισμός σας διαθέτει ένα πρόγραμμα για τον εντοπισμό κινδύνων στον κυβερνοχώρο και τη διεξαγωγή δοκιμών ασφαλείας.


Γίνε ο πρώτος που θα σχολιάσει

Αφήστε το σχόλιό σας

Η διεύθυνση email σας δεν θα δημοσιευθεί. Τα υποχρεωτικά πεδία σημειώνονται με *

*

*