Az európai jogszabályok bevezetése a online adatvédelem jelentős következményekkel fog járni abban, ahogyan a szervezetek hogyan kezelik felhasználóik személyes adatait a webhelyek és Android vagy IOS alkalmazások. Ez az új törvény kérdéseket vet fel az európai lakosok személyes adatait rendszeresen kezelő szervezetek számára.
Milyen hatással vannak a jogszabályok az online webes alkalmazásokra és műveletekre?
Általánosságban elmondható, hogy ez a törvény biztosítja, hogy az egyén ellenőrizhesse adatait. Ez azt jelenti, hogy amikor egy szervezet személyes adatokat kér online, közölnie kell az ügyféllel, hogy mi történik az adataival.
Az új jogszabály főbb szempontjai a következők:
- Könnyebb hozzáférés a saját adataihoz. A felhasználó több információt kap arról, hogyan használják fel adatait. Ezt az információt világosan elérhetővé kell tenni.
- Adatmozgatás képessége. Egyszerűbbnek kell lennie személyes adatainak egy másik szolgáltatóhoz való továbbítása.
- Lehetőség az adatok törlésére. Ha nem kívánja tovább felhasználni adatait, és ennek alapos oka van, törölnie kell személyes adatait.
- Tudja meg, ha adatait feltörték. Abban a pillanatban, amikor egy szervezetet feltörtek, a lehető leghamarabb értesítenie kell az illetékes hatóságot az eseményről. Ily módon a felhasználók elvégezhetik a méréseket.
Tehát hogyan valósítson meg egy megfelelő alkalmazást? GDPR és megadja a felhasználónak a személyes adatai feletti ellenőrzést? Íme néhány tipp az alkalmazásához.
Tippek a GDPR-kompatibilis alkalmazások fejlesztéséhez
Határozza meg, hogy az alkalmazásnak szüksége van-e az összes kért személyes adatra
Az ideális adatvédelmi megvalósítás megfelel a GDPR előírásainak a lehető legkevesebb személyes adat gyűjtése. Személyes adatokra gondolhat: név, születési idő, lakhely stb. Ez természetesen nem minden helyzetben lehetséges, mivel ez az információ néha szükséges. Minden helyzetben fontos, hogy a vezetőség és a fejlesztők határozzák meg, mi a legszükségesebb információ.
Minden személyes adat titkosítása
Ha egy alkalmazásnak érzékeny személyes adatokat kell tárolnia, fontos, hogy ezeket az adatokat megfelelően titkosítsa erős titkosítási algoritmusokkal, beleértve a kivonatolást is. Az Ashley Madison adatvédelmi incidens esetében minden információ egyszerű szövegben elérhető volt.
Ennek fontos következményei voltak a felhasználók számára. Kifejezetten jelezni kell, hogy minden személyes adat titkosított, így ezek az adatok nem használhatók fel a webalkalmazás feltörése esetén. Ez magában foglalja a következő információkat is: cím, telefonszám és lakóhely.
Gondolja át az OAUTH-ot az adatok átviteléhez
Az OAuth segítségével a felhasználók egyszerűen létrehozhatnak egy fiókot egy másik fiók használatával. Ezek a protokollok egyszeri bejelentkezést biztosítanak, és nem segítik a szükségesnél több információ összegyűjtését.
Használjon biztonságos kommunikációt HTTPS-en keresztül
Sok szervezet azért nem használ HTTPS-t webhelyein, mert szerintük nem szükséges. Például, ha egy alkalmazás nem igényel semmilyen típusú hitelesítést, előfordulhat, hogy a HTTPS nem szükséges. Könnyű azonban valamit kihagyni. Egyes alkalmazások személyes adatokat gyűjtenek a „Kapcsolatfelvétel” űrlapon keresztül.
Ha ezt az információt tiszta szövegben küldi el, akkor az látható lesz az interneten. Ezenkívül meg kell győződnie arról SSL tanúsítványok helyesen alkalmazzák, és nem érzékenyek az SSL protokollokkal kapcsolatos veszélyekre.
Tájékoztassa a felhasználókat, hogyan kezeli a „kapcsolatfelvételi” információkat
Az alkalmazások nem csak hitelesítéssel vagy előfizetéssel gyűjtenek információkat. Az adatgyűjtés kapcsolatfelvételi űrlapokon is történik. Ezek általában személyes adatok, például: telefonszám, lakóhely és e-mail cím. Tájékoztatja a felhasználókat, hogy mennyi ideig és hogyan tárolják ezeket az adatokat. Erősen ajánlott megfelelő biztonság alkalmazása ezen információk tárolására.
Győződjön meg arról, hogy a munkamenetek és a cookie-k lejárnak
hogy megfelel a GDPR előírásainak, a felhasználóknak tisztában kell lenniük azzal, hogy az alkalmazás hogyan használ cookie-kat. A felhasználót tájékoztatni kell arról, hogy az alkalmazás cookie-kat használ, és fel kell ajánlani a cookie-k elutasításának lehetőségét. Győződjön meg arról, hogy a cookie-k megfelelően törlődnek, ha valaki kijelentkezik vagy már nem aktív.
Ne kövesse nyomon a felhasználókat üzleti intelligencia céljából
Sok e-kereskedelmi alkalmazás nyomon követi a felhasználókat, hogy lássa, mit keresnek a keresési eredmények és az általuk vásárolt termékek segítségével. Az olyan cégek, mint a Netflix és az Amazon, gyakran használják ezeket az információkat a javasolt termékek megjelenítésére. Mivel ezeket az információkat kereskedelmi célból tároljuk, a felhasználónak meg kell adni a lehetőséget, hogy elfogadja-e vagy sem.
Ha utólag beleegyezést adnak ezen információk megőrzéséhez, a felhasználót tájékoztatni kell, hogyan és mennyi ideig tárolják ezeket az információkat. Természetesen minden személyes adatot titkosítani kell.
Tájékoztassa a felhasználót a nyilvántartásokról
Sok alkalmazás helyeket vagy IP-címeket használ a bejelentkezés engedélyezésére. Ezeket az információkat a rendszer arra az esetre tárolja, ha valaki megpróbálná megkerülni ezt a hitelesítést. Értesíti a felhasználókat, hogy ezeket az információkat és mennyi ideig tároljuk. Ne tároljon érzékeny információkat a naplókban, mint a jelszó.
Biztonsági kérdések
Sok alkalmazás biztonsági kérdéseket használ a felhasználó személyazonosságának megerősítésére. Próbáljon meg meggyőződni arról, hogy ezek az információk nem tartalmaznak személyes adatokat, például a felhasználó anyjának nevét, de még a kedvenc színét sem. Amikor csak lehetséges, próbáljon kéttényezős hitelesítést használni. Ha ez nem lehetséges, hagyja, hogy a felhasználó tegye fel saját kérdéseit, és figyelmeztesse, hogy személyes adatokat tartalmaz. A személyes adatokat titkosítva kell tárolni.
Tegye egyértelművé a feltételeket
Ne próbálja elrejteni a szerződési feltételeit. Ahhoz, hogy az új EU adatvédelmi jogszabály értelmében a GDPR-nak megfelelő legyen, a feltételeknek elérhetőnek kell lenniük a nyitóoldalon. Ezen túlmenően, a feltételeknek egyértelműnek és mindenkor elérhetőnek kell lenniük, amikor a felhasználó az alkalmazást böngészi.
A felhasználóknak el kell fogadniuk a feltételeket, mielőtt hozzáférnének az alkalmazáshoz. Ez különösen akkor érvényes, ha az általános szerződési feltételek megváltoztak. Magától értetődik, hogy a feltételek mindenki számára érthető nyelven érhetők el.
Adatok megosztása más felekkel
Ha szervezete személyes adatokat oszt meg más felekkel, ezt az általános szerződési feltételekben kell feltüntetni. Ez történhet leányvállalatokon, kormányzati szerveken vagy harmadik féltől származó beépülő modulokon keresztül.
Határozzon meg egyértelmű irányelveket, ha alkalmazását feltörték
Az egyik legfontosabb szempont a európai jogszabályokat az, hogy a felhasználókat értesíteni kell, ha egy alkalmazást feltörtek. A szervezeteknek világos iránymutatásokat kell kidolgozniuk a feladat és a szervezet által megtett lépések leírására. Ne feledje, hogy a felhasználót időben tájékoztatják.
Törölje a szolgáltatást leállító felhasználók adatait
Sok webalkalmazás nem határozza meg egyértelműen, hogy mi történik a személyes adatokkal, ha egy fiókot törölnek, vagy valaki megszünteti a fiókot. Az új jogszabály értelmében a cégeknek minden személyes adatot törölniük kell. Meg kell érteni, hogy valaki leállíthatja a szolgáltatás használatát, és akkor az adatai törlésre kerülnek. Azok a szervezetek, amelyek egy törölt fiókot inaktívként kezelnek, törvénysértőek lehetnek.
Távolítsa el a sebezhetőségeket
Az egyik legnagyobb adatvédelmi kockázat abból adódik, hogy az alkalmazás sebezhető. Ez mindig kockázatot jelent, ha egy rendszer érzékeny felhasználói információkat kezel. Egy olyan alkalmazást, amelyet nem fejlesztettek ki a kockázatok időben történő észlelésére, nagyobb valószínűséggel törik fel. Győződjön meg arról, hogy szervezete rendelkezik egy programmal a kiberkockázatok észlelésére és biztonsági tesztek elvégzésére.