Uvođenje europskog zakonodavstva o online privatnost podataka imat će važne posljedice na način na koji organizacije postupaju s osobnim podacima svojih korisnika u smislu web stranica i aplikacije, bilo da je to Android ili IOS. Ovaj novi zakon postavlja pitanja za organizacije koje redovito obrađuju osobne podatke europskih stanovnika.
Kakav utjecaj zakonodavstvo ima na online web aplikacije i operacije?
Općenito, ovaj zakon osigurava da pojedinac ima kontrolu nad svojim podacima. To znači da kada organizacija zatraži osobne podatke online, mora reći kupcu što se događa s njihovim podacima.
Glavni aspekti ovog novog zakona su sljedeći:
- Lakši pristup vlastitim podacima. Korisnik ima više informacija o tome kako se njegovi podaci koriste. Ove informacije moraju biti dostupne na jasan način.
- Sposobnost premještanja podataka. Trebalo bi biti lakše prenijeti svoje osobne podatke drugom pružatelju usluga.
- Mogućnost brisanja vaših podataka. Ako više ne želite da se vaši podaci koriste i za to postoji valjan razlog, morate izbrisati svoje osobne podatke.
- Saznajte kada su vaši podaci hakirani. U trenutku kada je organizacija hakirana, morate obavijestiti nadležno tijelo o ovom događaju što je prije moguće. Na taj način korisnici mogu izvršiti mjerenja.
Dakle, kako implementirati sukladnu aplikaciju? GDPR i daje korisniku kontrolu nad njegovim osobnim podacima? Evo nekoliko savjeta kako ga primijeniti.
Savjeti za razvoj aplikacija usklađenih s GDPR-om
Odredite trebaju li aplikaciji sve osobne podatke koje traži
Idealna implementacija privatnosti za u skladu s GDPR-om je prikupljanje što manje osobnih podataka. Uz osobne podatke možete misliti na: ime, datum rođenja, mjesto stanovanja itd. To, naravno, nije moguće u svim situacijama, jer su ti podaci ponekad nužni. U svakoj situaciji važno je da menadžment i programeri odrede koje su informacije najpotrebnije prikupiti.
Šifrirajte sve osobne podatke
Ako aplikacija treba pohraniti osjetljive osobne podatke, važno je pravilno šifrirati te podatke pomoću jakih algoritama šifriranja, uključujući raspršivanje. U slučaju povrede podataka Ashley Madison, sve su informacije bile dostupne u običnom tekstu.
To je imalo važne posljedice za njegove korisnike. Mora se izričito navesti da su svi osobni podaci kriptirani, pa se ti podaci ne mogu koristiti u slučaju hakiranja web aplikacije. To također uključuje podatke o: adresi, brojevima telefona i mjestu stanovanja.
Razmislite o OAUTH za prijenos podataka
Uz OAuth, korisnici mogu stvoriti račun jednostavno korištenjem drugog računa. Ovi protokoli pružaju jedinstvenu prijavu i ne pomažu u prikupljanju više informacija nego što je potrebno.
Koristite sigurnu komunikaciju putem HTTPS-a
Mnoge organizacije ne koriste HTTPS za svoje web stranice jer se smatra da to nije potrebno. Na primjer, ako aplikacija ne zahtijeva nikakvu vrstu provjere autentičnosti, HTTPS se možda neće činiti potrebnim. Međutim, lako je nešto propustiti. Neke aplikacije prikupljaju osobne podatke putem obrasca "Kontaktirajte nas".
Ako se te informacije pošalju u čistom tekstu, bit će vidljive na internetu. Također, trebali biste se uvjeriti u to SSL certifikati ispravno se primjenjuju i nisu podložni opasnostima vezanim za SSL protokole.
Obavijestite korisnike kako postupate s podacima "kontaktirajte nas".
Aplikacije ne prikupljaju podatke samo putem provjere autentičnosti ili pretplata. Podaci se također prikupljaju putem kontakt obrazaca. Obično su to osobni podaci kao što su: telefonski broj, mjesto stanovanja i adresa e-pošte. Obavještava korisnike koliko dugo i kako se ti podaci pohranjuju. Izričito se preporuča koristiti dobru sigurnost za pohranu ovih informacija.
Provjerite jesu li sesije i kolačići istekli
u u skladu s GDPR-om, korisnici moraju biti svjesni kako aplikacija koristi kolačiće. Korisnik mora biti obaviješten da aplikacija koristi kolačiće i ponuditi mu mogućnost odbijanja kolačića. Provjerite jesu li kolačići ispravno izbrisani ako se netko odjavi ili više nije aktivan.
Nemojte pratiti korisnike radi poslovne inteligencije
Mnoge aplikacije za e-trgovinu prate korisnike kako bi vidjeli što traže pomoću rezultata pretraživanja i proizvoda koje kupuju. Tvrtke poput Netflixa i Amazona često koriste ove informacije za prikaz predloženih proizvoda. Budući da se ovi podaci pohranjuju u komercijalne svrhe, korisnik mora imati mogućnost prihvaćanja ili ne.
Ako se naknadno da suglasnost za zadržavanje ovih podataka, korisnik mora biti obaviješten kako se te informacije pohranjuju i koliko dugo. Naravno, svi osobni podaci moraju biti šifrirani.
Obavijestite korisnika o zapisima
Mnoge aplikacije koriste lokacije ili IP adrese za autorizaciju prijave. Ove informacije se pohranjuju u slučaju da netko pokuša zaobići ovu provjeru autentičnosti. Obavještava korisnike da će te informacije biti pohranjene i koliko dugo. Ne spremajte osjetljive podatke u zapisnike, poput lozinke.
Sigurnosna pitanja
Mnoge aplikacije koriste sigurnosna pitanja za potvrdu identiteta korisnika. Pokušajte osigurati da ove informacije ne sadrže nikakve osobne podatke, poput imena majke korisnika, pa čak ni omiljene boje. Kad god je moguće, pokušajte koristiti dvofaktorsku autentifikaciju. Ako to nije moguće, neka korisnik postavlja svoja pitanja i upozori da sadrži osobne podatke. Osobni podaci moraju biti pohranjeni šifrirani.
Navedite jasne uvjete
Ne pokušavajte sakriti svoje uvjete i odredbe. Kako bi bili usklađeni s GDPR-om prema novom zakonodavstvu EU-a o privatnosti, uvjeti i odredbe moraju biti dostupni na odredišnoj stranici. Osim toga, uvjeti i odredbe moraju biti jasni i dostupni u svakom trenutku kada korisnik pregledava aplikaciju.
Korisnici su dužni pristati na uvjete i odredbe prije nego što mogu pristupiti aplikaciji. To se posebno odnosi na promjene općih uvjeta. Podrazumijeva se da su uvjeti dostupni na jeziku koji svi razumiju.
Dijeljenje podataka s drugim stranama
Ako vaša organizacija dijeli osobne podatke s drugim stranama, to treba biti navedeno u općim uvjetima. To može biti putem podružnica, državnih agencija ili dodataka trećih strana.
Postavite jasne smjernice ako je vaša aplikacija hakirana
Jedan od najvažnijih aspekata europski zakon je da bi korisnici trebali biti obaviješteni ako je aplikacija hakirana. Organizacije bi trebale uspostaviti jasne smjernice za opis zadatka i koraka koje će organizacija poduzeti. Imajte na umu da je korisnik pravodobno informiran.
Brisanje podataka korisnika koji zaustavljaju uslugu
Mnoge web aplikacije ne navode jasno što se događa s osobnim podacima kada se račun izbriše ili netko otkaže. S novim zakonodavstvom tvrtke moraju izbrisati sve osobne podatke. Treba imati na umu da netko može prestati koristiti uslugu i tada će njegovi podaci biti izbrisani. Organizacije koje tretiraju izbrisani račun kao neaktivan mogu biti protiv zakona.
Uklonite ranjivosti
Jedan od najvećih rizika privatnosti javlja se jer je aplikacija ranjiva. To je uvijek rizik kada sustav obrađuje osjetljive korisničke podatke. Vjerojatnije je da će biti hakirana aplikacija koja nije razvijena za otkrivanje rizika na vrijeme. Provjerite ima li vaša organizacija program za otkrivanje cyber rizika i provođenje sigurnosnih testova.