に関する欧州法の導入 オンラインデータのプライバシー 組織がウェブサイトや AndroidまたはIOSのいずれのアプリケーション。 この新しい法律は、ヨーロッパの居住者の個人データを定期的に処理する組織に疑問を投げかけています。
法律はオンラインWebアプリケーションと運用にどのような影響を及ぼしますか?
一般的に、この法律は、個人が自分のデータを管理できることを保証します。 つまり、組織がオンラインで個人情報を要求する場合、データがどうなるかを顧客に伝える必要があります。
この新しい法律の主な側面は次のとおりです。
- 自分のデータへのより簡単なアクセス。 ユーザーは、データの使用方法に関する詳細情報を持っています。 この情報は、明確な方法で利用できるようにする必要があります。
- データを移動する機能。 個人データを別のサービスプロバイダーに転送する方が簡単なはずです。
- データを削除するオプション。 データを使用する必要がなくなり、正当な理由がある場合は、個人データを削除する必要があります。
- データがいつハッキングされたかを知る。 組織がハッキングされた瞬間に、できるだけ早くこのイベントの適切な当局に通知する必要があります。 このようにして、ユーザーは測定を行うことができます。
では、準拠したアプリケーションをどのように実装しますか? GDPR ユーザーが個人データを管理できるようにしますか? これを適用するためのいくつかのヒントがあります。
GDPR準拠のアプリを開発するためのヒント
アプリが要求するすべての個人データを必要としているかどうかを判断します
の理想的なプライバシーの実装 GDPRに準拠する 可能な限り少ない個人データを収集することです。 個人データを使用すると、名前、生年月日、居住地などを考えることができます。 もちろん、これはすべての状況で可能というわけではありません。この情報が必要になる場合があるからです。 どのような状況でも、管理者と開発者が収集するのに最も必要な情報を決定することが重要です。
すべての個人情報を暗号化する
アプリケーションが機密性の高い個人情報を保存する必要がある場合は、ハッシュを含む強力な暗号化アルゴリズムを使用して、このデータを適切に暗号化することが重要です。 アシュレイマディソンのデータ侵害の場合、すべての情報はプレーンテキストで入手できました。
これは、ユーザーにとって重要な結果をもたらしました。 すべての個人データは暗号化されているため、Webアプリケーションがハッキングされた場合にこのデータを使用することはできません。 これには、住所、電話番号、居住地に関する情報も含まれます。
OAUTHがデータを転送すると考えてください
OAuthを使用すると、ユーザーは別のアカウントを使用するだけでアカウントを作成できます。 これらのプロトコルはシングルサインオンを提供し、必要以上の情報を収集するのに役立ちません。
HTTPS経由で安全な通信を使用する
多くの組織では、HTTPSは必要ないと考えられているため、WebサイトにHTTPSを使用していません。 たとえば、アプリケーションがどのタイプの認証も必要としない場合、HTTPSは必要ないように思われるかもしれません。 しかし、何かを見逃しがちです。 一部のアプリケーションは、「お問い合わせ」フォームから個人情報を収集します。
この情報がクリアテキストで送信された場合、インターネット上に表示されます。 また、次のことを確認する必要があります SSL証明書 正しく適用され、SSLプロトコルに関連する危険の影響を受けません。
「お問い合わせ」情報の取り扱い方法をユーザーに知らせます
アプリは、認証やサブスクリプションを通じて情報を収集するだけではありません。 データは、お問い合わせフォームからも収集されます。 これは通常、電話番号、居住地、電子メールアドレスなどの個人情報です。 このデータが保存される期間と方法をユーザーに通知します。 この情報を保存するには、適切なセキュリティを使用することを強くお勧めします。
セッションとCookieの有効期限が切れていることを確認してください
へ GDPRに準拠する、ユーザーは、アプリケーションがCookieをどのように使用するかを知っている必要があります。 ユーザーは、アプリケーションがCookieを使用し、Cookieを拒否するオプションを提供していることを通知する必要があります。 誰かがログアウトしたり、アクティブでなくなったりした場合は、Cookieが適切に削除されていることを確認してください。
ビジネスインテリジェンスのためにユーザーを追跡しない
多くのeコマースアプリは、ユーザーを追跡して、検索結果と購入した製品を使用して、ユーザーが探しているものを確認します。 NetflixやAmazonなどの企業は、この情報を使用して提案された製品を表示することがよくあります。 この情報は商業目的で保存されるため、ユーザーはそれを受け入れるかどうかを選択する必要があります。
その後、この情報を保持することに同意する場合は、この情報がどのように保存され、どのくらいの期間保存されるかをユーザーに通知する必要があります。 もちろん、すべての個人情報は暗号化する必要があります。
レコードについてユーザーに通知します
多くのアプリケーションは、場所またはIPアドレスを使用してログインを承認します。 この情報は、誰かがこの認証をバイパスしようとした場合に備えて保存されます。 この情報が保存される期間と期間をユーザーに通知します。 機密情報をログに保存しないでください、パスワードのように。
セキュリティの質問
多くのアプリケーションは、セキュリティの質問を使用してユーザーのIDを確認します。 この情報には、ユーザーの母親の名前や好きな色などの個人データが含まれていないことを確認してください。 可能な限り、XNUMX要素認証を使用するようにしてください。 それが不可能な場合は、ユーザーに自分の質問をさせ、個人情報が含まれていることを警告します。 個人情報は暗号化して保存する必要があります。
利用規約を明確にする
利用規約を隠そうとしないでください。 新しいEUプライバシー法の下でGDPRに準拠するには、利用規約がランディングページで利用可能である必要があります。 さらに、利用規約は、ユーザーがアプリケーションを閲覧するときに常に明確でアクセス可能である必要があります。
ユーザーは、アプリにアクセスする前に利用規約に同意する必要があります。 これは、一般的な利用規約が変更された場合に特に当てはまります。 言うまでもなく、利用規約は誰もが理解できる言語で利用できます。
他の当事者とデータを共有する
組織が他の当事者と個人データを共有している場合は、一般的な利用規約にその旨を記載する必要があります。 これは、アフィリエイト、政府機関、またはサードパーティのプラグインを介したものである可能性があります。
アプリがハッキングされた場合の明確なガイドラインを設定する
の最も重要な側面のXNUMXつ 欧州法 アプリがハッキングされた場合は、ユーザーに通知する必要があります。 組織は、タスクと組織が実行する手順を説明するための明確なガイドラインを確立する必要があります。 ユーザーにはタイムリーに通知されることに注意してください。
サービスを停止したユーザーのデータを削除する
多くのWebアプリケーションは、アカウントが削除されたとき、または誰かがキャンセルしたときに個人情報がどうなるかを明確に述べていません。 新しい法律では、企業はすべての個人情報を削除する必要があります。 誰かがサービスの使用を停止すると、その情報が削除されることを理解する必要があります。 削除されたアカウントを非アクティブとして扱う組織は、法律に違反する可能性があります。
脆弱性を排除する
アプリが脆弱であるため、最大のプライバシーリスクのXNUMXつが発生します。 システムが機密性の高いユーザー情報を処理する場合、これは常にリスクです。 時間内にリスクを検出するために開発されていないアプリケーションは、ハッキングされる可能性が高くなります。 組織にサイバーリスクを検出し、セキュリティテストを実施するプログラムがあることを確認してください。