Vinkkejä GDPR-yhteensopivien sovellusten kehittämiseen

Euroopan unionin lainsäädännön käyttöönotto tietosuoja verkossa sillä on merkittäviä seurauksia tapaan, jolla organisaatiot käsittelevät käyttäjiensä henkilötietoja verkkosivustojen ja Android tai IOS. Tämä uusi laki herättää kysymyksiä organisaatioille, jotka käsittelevät säännöllisesti Euroopan asukkaiden henkilötietoja.

Miten lainsäädäntö vaikuttaa verkkosovelluksiin ja -toimintoihin?

Yleisesti ottaen tällä lailla varmistetaan, että henkilö voi hallita tietojaan. Tämä tarkoittaa, että kun organisaatio pyytää henkilötietoja verkossa, sen on kerrottava asiakkaalle, mitä heidän tiedoilleen tapahtuu.

Tämän uuden lain pääkohdat ovat seuraavat:

  • Helpompi pääsy omiin tietoihisi. Käyttäjällä on enemmän tietoa siitä, miten hänen tietojaan käytetään. Nämä tiedot on asetettava saataville selkeällä tavalla.
  • Mahdollisuus siirtää tietoja. Henkilötietojesi siirtämisen toiselle palveluntarjoajalle pitäisi olla helpompaa.
  • Mahdollisuus poistaa tietosi. Jos et enää halua, että tietojasi käytetään ja siihen on pätevä syy, sinun on poistettava henkilötietosi.
  • Tiedä, milloin tietosi on hakkeroitu. Kun organisaatioon on hakkeroitu, sinun on ilmoitettava asiasta asianomaiselle viranomaiselle mahdollisimman pian. Tällä tavalla käyttäjät voivat tehdä mittauksia.

Joten miten otat käyttöön yhteensopivan sovelluksen? GDPR ja antaa käyttäjälle mahdollisuuden hallita henkilötietojaan? Tässä on useita vinkkejä sen soveltamiseen.

Vinkkejä GDPR-yhteensopivien sovellusten kehittämiseen

Selvitä, tarvitseeko sovellus kaikki pyytämänsä henkilötiedot

Ihanteellinen yksityisyyden toteutus noudattaa GDPR:ää on kerätä mahdollisimman vähän henkilötietoja. Henkilötiedoilla voit ajatella: nimi, syntymäaika, asuinpaikka jne. Tämä ei tietenkään ole mahdollista kaikissa tilanteissa, koska tämä tieto on joskus tarpeen. Kaikissa tilanteissa on tärkeää, että johto ja kehittäjät päättävät, mikä on tarpeellisin kerättävä tieto.

Salaa kaikki henkilökohtaiset tiedot

Jos sovelluksen on tallennettava arkaluonteisia henkilökohtaisia ​​tietoja, on tärkeää salata nämä tiedot oikein vahvoilla salausalgoritmeilla, mukaan lukien hajautus. Ashley Madisonin tietomurron tapauksessa kaikki tiedot olivat saatavilla pelkkänä tekstinä.

Tällä on ollut merkittäviä seurauksia sen käyttäjille. On nimenomaisesti mainittava, että kaikki henkilötiedot on salattu, joten näitä tietoja ei voida käyttää, jos verkkosovellus on hakkeroitu. Tämä sisältää myös seuraavat tiedot: osoite, puhelinnumerot ja asuinpaikka.

Ajattele OAUTHia tietojen siirtämiseksi

OAuthin avulla käyttäjät voivat luoda tilin yksinkertaisesti käyttämällä toista tiliä. Nämä protokollat ​​tarjoavat kertakirjautumisen eivätkä auta keräämään enempää tietoa kuin on tarpeen.

Käytä suojattua viestintää HTTPS:n kautta

Monet organisaatiot eivät käytä HTTPS:ää verkkosivuillaan, koska he eivät pidä sitä tarpeellisena. Jos sovellus ei esimerkiksi vaadi minkäänlaista todennusta, HTTPS ei ehkä vaikuta tarpeelliselta. Jotain on kuitenkin helppo missata. Jotkut sovellukset keräävät henkilötietoja "Ota yhteyttä" -lomakkeen kautta.

Jos nämä tiedot lähetetään selkeänä tekstinä, ne näkyvät Internetissä. Sinun tulee myös varmistaa se SSL-sertifikaatit käytetään oikein, eivätkä ne ole alttiita SSL-protokolliin liittyville vaaroille.

Kerro käyttäjille, kuinka käsittelet "ota yhteyttä" -tietoja

Sovellukset eivät kerää tietoja vain todennuksen tai tilausten kautta. Tietoja kerätään myös yhteydenottolomakkeiden kautta. Nämä ovat yleensä henkilökohtaisia ​​tietoja, kuten: puhelinnumero, asuinpaikka ja sähköpostiosoite. Se ilmoittaa käyttäjille, kuinka kauan ja miten näitä tietoja säilytetään. On erittäin suositeltavaa käyttää hyvää suojausta näiden tietojen tallentamiseen.

Varmista, että istunnot ja evästeet vanhenevat

että noudattaa GDPR:ää, käyttäjien on oltava tietoisia siitä, kuinka sovellus käyttää evästeitä. Käyttäjälle tulee kertoa, että sovellus käyttää evästeitä ja tarjota mahdollisuus kieltäytyä evästeistä. Varmista, että evästeet poistetaan oikein, jos joku kirjautuu ulos tai ei ole enää aktiivinen.

Älä seuraa käyttäjiä liiketoimintatiedon saamiseksi

Monet verkkokauppasovellukset seuraavat käyttäjiä nähdäkseen heidän etsimänään hakutulosten ja heidän ostamiensa tuotteiden avulla. Yritykset, kuten Netflix ja Amazon, käyttävät usein näitä tietoja näyttääkseen ehdotettuja tuotteita. Koska nämä tiedot tallennetaan kaupallisiin tarkoituksiin, käyttäjällä on oltava mahdollisuus hyväksyä ne vai ei.

Jos myöhemmin annetaan suostumus näiden tietojen säilyttämiseen, käyttäjälle on kerrottava, kuinka näitä tietoja säilytetään ja kuinka kauan. Tietenkin kaikki henkilökohtaiset tiedot on salattava.

Ilmoita käyttäjälle tietueista

Monet sovellukset käyttävät sijainteja tai IP-osoitteita kirjautumisen valtuutukseen. Nämä tiedot tallennetaan siltä varalta, että joku yrittää ohittaa tämän todennuksen. Ilmoittaa käyttäjille, että nämä tiedot säilytetään ja kuinka kauan. Älä tallenna arkaluonteisia tietoja lokeihin, kuten salasana.

Turvallisuuskysymykset

Monet sovellukset käyttävät turvakysymyksiä käyttäjän henkilöllisyyden vahvistamiseen. Yritä varmistaa, että nämä tiedot eivät sisällä henkilökohtaisia ​​tietoja, kuten käyttäjän äidin nimeä eivätkä edes suosikkiväriä. Aina kun mahdollista, yritä käyttää kaksivaiheista todennusta. Jos tämä ei ole mahdollista, anna käyttäjän esittää omia kysymyksiä ja varoittaa, että se sisältää henkilökohtaisia ​​tietoja. Henkilötiedot on säilytettävä salattuna.

Tee selkeät ehdot

Älä yritä piilottaa ehtojasi. Jotta se olisi GDPR-yhteensopiva EU:n uuden tietosuojalainsäädännön mukaisesti, ehtojen on oltava saatavilla aloitussivulla. Lisäksi käyttöehtojen tulee olla selkeitä ja saatavilla aina, kun käyttäjä selaa sovellusta.

Käyttäjien on hyväksyttävä käyttöehdot, ennen kuin he voivat käyttää sovellusta. Tämä pätee erityisesti silloin, kun yleisiä ehtoja on muutettu. On sanomattakin selvää, että ehdot ovat saatavilla kielellä, jota kaikki ymmärtävät.

Tietojen jakaminen muiden osapuolten kanssa

Jos organisaatiosi jakaa henkilötietoja muille osapuolille, tämä tulee mainita yleisissä käyttöehdoissa. Tämä voi tapahtua tytäryhtiöiden, valtion virastojen tai kolmannen osapuolen laajennuksien kautta.

Aseta selkeät ohjeet, jos sovelluksesi on hakkeroitu

Yksi tärkeimmistä näkökohdista eurooppalainen laki on, että käyttäjille tulee ilmoittaa, jos sovellus on hakkeroitu. Organisaatioiden tulee laatia selkeät ohjeet kuvaamaan tehtävää ja organisaation toteuttamia toimia. Muista, että käyttäjälle tiedotetaan ajoissa.

Poista palvelun lopettaneiden käyttäjien tiedot

Monet verkkosovellukset eivät kerro selkeästi, mitä henkilötiedoille tapahtuu, kun tili poistetaan tai joku peruuttaa sen. Uuden lain myötä yritysten on poistettava kaikki henkilötiedot. On ymmärrettävä, että joku voi lopettaa palvelun käytön, jolloin hänen tietonsa poistetaan. Organisaatiot, jotka pitävät poistettua tiliä passiivisena, voivat olla lain vastaisia.

Poista haavoittuvuudet

Yksi suurimmista tietosuojariskeistä syntyy, koska sovellus on haavoittuvainen. Tämä on aina riski, kun järjestelmä käsittelee arkaluonteisia käyttäjätietoja. Sovellus, jota ei ole kehitetty havaitsemaan riskejä ajoissa, on todennäköisemmin hakkeroitu. Varmista, että organisaatiollasi on ohjelma kyberriskien havaitsemiseksi ja tietoturvatestien suorittamiseksi.


Ole ensimmäinen kommentti

Jätä kommentti

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

*

*