הכנסת החקיקה האירופית בנושא פרטיות נתונים מקוונים יהיו השלכות חשובות באופן שבו ארגונים מתייחסים לנתונים האישיים של המשתמשים שלהם מבחינת אתרי אינטרנט ו יישומים, בין אם אנדרואיד או IOS. חוק חדש זה מעלה שאלות לארגונים המטפלים באופן קבוע בנתונים אישיים של תושבי אירופה.
איזו השפעה יש לחקיקה על יישומי אינטרנט ופעולות מקוונות?
באופן כללי, חוק זה מבטיח שלאדם יש שליטה על הנתונים שלו. המשמעות היא שכאשר ארגון מבקש מידע אישי באינטרנט, עליו לספר ללקוח מה קורה לנתונים שלו.
ההיבטים העיקריים של חקיקה חדשה זו הם הבאים:
- גישה קלה יותר לנתונים שלך. למשתמש יש מידע נוסף על אופן השימוש בנתונים שלו. מידע זה חייב להיות זמין בצורה ברורה.
- יכולת העברת נתונים. זה אמור להיות קל יותר להעביר את הנתונים האישיים שלך לספק שירות אחר.
- אפשרות למחיקת הנתונים שלך. אם אינך רוצה עוד שישתמשו בנתונים שלך ויש סיבה מוצדקת לכך, עליך למחוק את הנתונים האישיים שלך.
- דע מתי הנתונים שלך נפרצו. ברגע שארגון נפרץ, עליך להודיע לרשות המתאימה על אירוע זה בהקדם האפשרי. בדרך זו, המשתמשים יכולים לבצע את המדידות.
אז איך מיישמים אפליקציה תואמת? GDPR ונותן למשתמש שליטה על הנתונים האישיים שלו? להלן מספר טיפים ליישומו.
טיפים לפיתוח אפליקציות תואמות GDPR
קבע אם האפליקציה זקוקה לכל הנתונים האישיים שהיא מבקשת
יישום הפרטיות האידיאלי עבור לעמוד ב-GDPR הוא לאסוף כמה שפחות מידע אישי. עם נתונים אישיים אתה יכול לחשוב על: שם, תאריך לידה, מקום מגורים וכו'. זה, כמובן, לא אפשרי בכל המצבים, מכיוון שלעתים מידע זה נחוץ. חשוב בכל מצב שההנהלה והמפתחים יקבעו מהו המידע הנחוץ ביותר לאיסוף.
הצפין את כל המידע האישי
אם אפליקציה צריכה לאחסן מידע אישי רגיש, חשוב להצפין נכון את הנתונים הללו באמצעות אלגוריתמי הצפנה חזקים, כולל hashing. במקרה של הפרת הנתונים של אשלי מדיסון, כל המידע היה זמין בטקסט פשוט.
היו לכך השלכות חשובות על המשתמשים שלו. יש לציין במפורש שכל הנתונים האישיים מוצפנים, כך שלא ניתן להשתמש בנתונים אלו במקרה שלפריצה של אפליקציית האינטרנט. זה כולל גם מידע על: כתובת, מספרי טלפון ומקום מגורים.
תחשוב על OAUTH כדי להעביר נתונים
עם OAuth, משתמשים יכולים ליצור חשבון פשוט על ידי שימוש בחשבון אחר. פרוטוקולים אלה מספקים כניסה יחידה ואינם עוזרים באיסוף מידע נוסף מהנדרש.
השתמש בתקשורת מאובטחת באמצעות HTTPS
ארגונים רבים אינם משתמשים ב-HTTPS עבור אתרי האינטרנט שלהם, כי הם לא חושבים שזה הכרחי. לדוגמה, אם אפליקציה אינה דורשת שום סוג של אימות, ייתכן ש-HTTPS לא נראה הכרחי. עם זאת, קל לפספס משהו. חלק מהאפליקציות אוספות מידע אישי באמצעות טופס "צור קשר".
אם מידע זה נשלח בטקסט ברור, הוא יהיה גלוי באינטרנט. כמו כן, כדאי לוודא זאת תעודות SSL מיושמים בצורה נכונה ואינם רגישים לסכנות הקשורות לפרוטוקולי SSL.
ספר למשתמשים כיצד אתה מטפל במידע "צור קשר".
אפליקציות לא רק אוספות מידע באמצעות אימות או מנויים. הנתונים נאספים גם באמצעות טפסי יצירת קשר. לרוב מדובר במידע אישי כגון: מספר טלפון, מקום מגורים וכתובת מייל. זה מודיע למשתמשים כמה זמן וכיצד מאוחסנים נתונים אלה. מומלץ מאוד להשתמש באבטחה טובה כדי לאחסן מידע זה.
ודא שפג תוקפם של הפעלות וקובצי Cookie
כדי לעמוד ב-GDPR, על המשתמשים להיות מודעים לאופן שבו האפליקציה משתמשת בקובצי Cookie. יש ליידע את המשתמש שהאפליקציה משתמשת בעוגיות ולהציע לו אפשרות לדחות עוגיות. ודא שקובצי Cookie נמחקים כהלכה אם מישהו מתנתק או אינו פעיל יותר.
אל תעקוב אחר משתמשים לצורך בינה עסקית
אפליקציות מסחר אלקטרוני רבות עוקבות אחר משתמשים כדי לראות מה הם מחפשים באמצעות תוצאות החיפוש והמוצרים שהם קונים. חברות כמו נטפליקס ואמזון משתמשות לעתים קרובות במידע זה כדי להציג מוצרים מוצעים. מאחר שמידע זה נשמר למטרות מסחריות, למשתמש חייבת להיות אפשרות לקבל אותו או לא.
אם לאחר מכן תינתן הסכמה לשמירת מידע זה, יש ליידע את המשתמש כיצד מידע זה נשמר ולכמה זמן. כמובן שכל המידע האישי חייב להיות מוצפן.
ליידע את המשתמש על הרשומות
יישומים רבים משתמשים במיקומים או בכתובות IP כדי לאשר כניסה. מידע זה נשמר למקרה שמישהו ינסה לעקוף את האימות הזה. מודיע למשתמשים שהמידע הזה יישמר ולכמה זמן. אל תשמור מידע רגיש ביומנים, כמו הסיסמה.
שאלות אבטחה
יישומים רבים משתמשים בשאלות אבטחה כדי לאשר את זהות המשתמש. נסו לוודא שמידע זה אינו מכיל נתונים אישיים כלשהם, כגון שם אמו של המשתמש ואפילו לא הצבע המועדף. במידת האפשר, נסה להשתמש באימות דו-גורמי. אם זה לא אפשרי, תן למשתמש לשאול שאלות משלו ולהזהיר שהוא מכיל מידע אישי. מידע אישי חייב להיות מאוחסן מוצפן.
קבע תנאים והגבלות ברורים
אל תנסה להסתיר את התנאים וההגבלות שלך. כדי להיות תואם ל-GDPR במסגרת חקיקת הפרטיות החדשה של האיחוד האירופי, התנאים וההגבלות חייבים להיות זמינים בדף הנחיתה. בנוסף, התנאים וההגבלות חייבים להיות ברורים ונגישים בכל עת כאשר המשתמש גולש באפליקציה.
המשתמשים נדרשים להסכים לתנאים ולהגבלות לפני שהם יכולים לגשת לאפליקציה. זה חל במיוחד כאשר התנאים וההגבלות הכלליים שונו. מובן מאליו שהתנאים וההגבלות זמינים בשפה שכולם יכולים להבין.
שיתוף נתונים עם גורמים אחרים
אם הארגון שלך חולק נתונים אישיים עם גורמים אחרים, יש לציין זאת בתנאים וההגבלות הכלליים. זה עשוי להיות באמצעות שותפים, סוכנויות ממשלתיות או תוספים של צד שלישי.
הגדר הנחיות ברורות אם האפליקציה שלך נפרצה
אחד ההיבטים החשובים ביותר של החקיקה האירופית הוא שצריך להודיע למשתמשים אם אפליקציה נפרצה. ארגונים צריכים לקבוע קווים מנחים ברורים לתיאור המשימה והצעדים שהארגון ינקוט. זכור כי המשתמש מקבל מידע בזמן.
מחק נתונים של משתמשים שהפסיקו את השירות
יישומי אינטרנט רבים אינם מציינים בבירור מה קורה למידע אישי כאשר חשבון נמחק או מישהו מבטל. עם החקיקה החדשה, חברות חייבות למחוק את כל המידע האישי. צריך להבין שמישהו יכול להפסיק את השימוש בשירות ואז המידע שלו יימחק. ארגונים שמתייחסים לחשבון שנמחק כלא פעיל עלולים להיות בניגוד לחוק.
הסר נקודות תורפה
אחד מסיכוני הפרטיות הגדולים ביותר נובע מכיוון שהאפליקציה פגיעה. זה תמיד סיכון כאשר מערכת מטפלת במידע משתמש רגיש. אפליקציה שלא פותחה כדי לזהות סיכונים בזמן יש סיכוי גבוה יותר להיפרץ. ודא שלארגון שלך יש תוכנית לאיתור סיכוני סייבר ולערוך בדיקות אבטחה.