에 대한 유럽 법률의 도입 온라인 데이터 프라이버시 조직이 웹사이트 및 안드로이드든 IOS든 애플리케이션. 이 새로운 법률은 유럽 거주자의 개인 데이터를 정기적으로 처리하는 조직에 문제를 제기합니다.
법률은 온라인 웹 애플리케이션 및 운영에 어떤 영향을 미칩니까?
일반적으로 이 법은 개인이 자신의 데이터를 통제할 수 있도록 합니다. 즉, 조직에서 온라인으로 개인 정보를 요청할 때 고객에게 데이터가 어떻게 되는지 알려야 합니다.
이 새로운 법안의 주요 측면은 다음과 같습니다.
- 자신의 데이터에 더 쉽게 액세스. 사용자는 자신의 데이터가 사용되는 방식에 대해 더 많은 정보를 가지고 있습니다. 이 정보는 명확한 방식으로 제공되어야 합니다.
- 데이터 이동 기능. 귀하의 개인 데이터를 다른 서비스 제공자에게 이전하는 것이 더 쉬워야 합니다.
- 데이터 삭제 옵션. 귀하의 데이터가 더 이상 사용되는 것을 원하지 않고 이에 대한 타당한 이유가 있는 경우 개인 데이터를 삭제해야 합니다.
- 데이터가 해킹당했을 때 확인. 조직이 해킹당하는 순간 최대한 빨리 해당 기관에 이 사건을 알려야 합니다. 이러한 방식으로 사용자는 측정을 수행할 수 있습니다.
그렇다면 호환 애플리케이션을 어떻게 구현합니까? GDPR 사용자에게 개인 데이터에 대한 제어 권한을 부여합니까? 다음은 이를 적용하기 위한 몇 가지 팁입니다.
GDPR 준수 앱 개발을 위한 팁
앱에서 요청하는 모든 개인 데이터가 필요한지 확인
이상적인 개인 정보 보호 구현 GDPR 준수 가능한 한 적은 개인 데이터를 수집하는 것입니다. 개인 데이터를 사용하면 이름, 생년월일, 거주지 등을 생각할 수 있습니다. 물론 이 정보가 필요할 때도 있기 때문에 모든 상황에서 가능한 것은 아닙니다. 어떤 상황에서도 경영진과 개발자가 수집해야 할 가장 필요한 정보를 결정하는 것이 중요합니다.
모든 개인 정보를 암호화
애플리케이션이 민감한 개인 정보를 저장해야 하는 경우 해싱을 포함한 강력한 암호화 알고리즘을 사용하여 이 데이터를 적절하게 암호화하는 것이 중요합니다. Ashley Madison 데이터 유출의 경우 모든 정보가 일반 텍스트로 제공되었습니다.
이것은 사용자에게 중요한 결과를 가져왔습니다. 모든 개인 데이터는 암호화되어 있음을 명시해야 하므로 이 데이터는 웹 애플리케이션이 해킹당할 경우 사용할 수 없습니다. 여기에는 주소, 전화번호 및 거주지에 대한 정보도 포함됩니다.
데이터를 전송하기 위해 OAUTH를 생각하십시오.
OAuth를 사용하면 사용자는 다른 계정을 사용하여 간단하게 계정을 만들 수 있습니다. 이러한 프로토콜은 싱글 사인온을 제공하며 필요한 것보다 더 많은 정보를 수집하는 데 도움이 되지 않습니다.
HTTPS를 통한 보안 통신 사용
많은 조직에서는 필요하지 않다고 생각하기 때문에 웹사이트에 HTTPS를 사용하지 않습니다. 예를 들어 앱에 어떤 유형의 인증도 필요하지 않은 경우 HTTPS가 필요하지 않은 것처럼 보일 수 있습니다. 그러나 무언가를 놓치기 쉽습니다. 일부 응용 프로그램은 "문의하기" 양식을 통해 개인 정보를 수집합니다.
이 정보가 일반 텍스트로 전송되면 인터넷에서 볼 수 있습니다. 또한 다음을 확인해야 합니다. SSL 인증서 올바르게 적용되고 SSL 프로토콜과 관련된 위험에 취약하지 않습니다.
사용자에게 "문의하기" 정보를 처리하는 방법을 알립니다.
앱은 인증이나 구독을 통해서만 정보를 수집하지 않습니다. 데이터는 연락처 양식을 통해서도 수집됩니다. 이것은 일반적으로 전화 번호, 거주지 및 이메일 주소와 같은 개인 정보입니다. 이 데이터가 저장되는 기간과 방법을 사용자에게 알려줍니다. 이 정보를 저장하려면 보안을 잘 사용하는 것이 좋습니다.
세션 및 쿠키 만료 확인
에 GDPR 준수, 사용자는 응용 프로그램이 쿠키를 사용하는 방법을 알고 있어야 합니다. 사용자는 응용 프로그램이 쿠키를 사용하고 쿠키를 거부할 수 있는 옵션을 제공했음을 알려야 합니다. 누군가 로그아웃하거나 더 이상 활동하지 않는 경우 쿠키가 제대로 제거되었는지 확인하십시오.
비즈니스 인텔리전스를 위해 사용자를 추적하지 마십시오.
많은 전자 상거래 앱은 사용자를 추적하여 검색 결과와 구매하는 제품을 사용하여 무엇을 찾고 있는지 확인합니다. Netflix 및 Amazon과 같은 회사는 종종 이 정보를 사용하여 제안된 제품을 표시합니다. 이 정보는 상업적 목적으로 저장되기 때문에 사용자는 수락 여부에 대한 선택권이 있어야 합니다.
이후에 이 정보를 보유하는 데 동의하는 경우 사용자는 이 정보가 저장되는 방법과 기간을 알려야 합니다. 물론 모든 개인 정보는 암호화되어야 합니다.
사용자에게 기록에 대해 알립니다.
많은 애플리케이션이 위치 또는 IP 주소를 사용하여 로그인을 승인합니다. 이 정보는 누군가가 이 인증을 우회하려고 할 경우에 저장됩니다. 이 정보가 저장되는 기간과 기간을 사용자에게 알립니다. 로그에 민감한 정보를 저장하지 마십시오, 비밀번호처럼.
보안 질문
많은 응용 프로그램에서 보안 질문을 사용하여 사용자의 신원을 확인합니다. 이 정보에 사용자의 어머니 이름과 같은 개인 데이터가 포함되어 있지 않은지, 좋아하는 색상도 포함되어 있지 않은지 확인하세요. 가능하면 이중 인증을 사용하십시오. 그것이 불가능한 경우 사용자가 스스로 질문하게 하고 개인 정보가 포함되어 있음을 경고합니다. 개인정보는 암호화하여 보관해야 합니다.
이용약관을 명확히 하라
이용 약관을 숨기려고 하지 마십시오. 새로운 EU 개인정보 보호법에 따라 GDPR을 준수하려면 이용약관이 방문 페이지에서 제공되어야 합니다. 또한 이용 약관은 사용자가 애플리케이션을 탐색할 때 항상 명확하고 액세스할 수 있어야 합니다.
사용자는 앱에 액세스하기 전에 이용 약관에 동의해야 합니다. 이는 특히 일반 약관이 변경된 경우에 적용됩니다. 모든 사람이 이해할 수 있는 언어로 이용 약관을 사용할 수 있다는 것은 말할 필요도 없습니다.
다른 당사자와 데이터 공유
귀하의 조직이 다른 당사자와 개인 데이터를 공유하는 경우 일반 이용약관에 이를 명시해야 합니다. 이는 계열사, 정부 기관 또는 타사 플러그인을 통해 이루어질 수 있습니다.
앱이 해킹된 경우 명확한 지침 설정
의 가장 중요한 측면 중 하나 유럽 법 앱이 해킹당하면 사용자에게 알려야 한다는 것입니다. 조직은 작업과 조직이 취할 단계를 설명하는 명확한 지침을 설정해야 합니다. 사용자에게 적시에 정보를 제공한다는 점을 명심하십시오.
서비스를 중지하는 사용자의 데이터 삭제
많은 웹 애플리케이션은 계정이 삭제되거나 누군가가 취소할 때 개인 정보가 어떻게 되는지 명확하게 설명하지 않습니다. 새로운 법률에 따라 기업은 모든 개인 정보를 삭제해야 합니다. 누군가가 서비스 사용을 중지할 수 있으며, 그 후 해당 정보가 삭제된다는 점을 이해해야 합니다. 삭제된 계정을 비활성화된 것으로 취급하는 조직은 법에 위배될 수 있습니다.
취약점 제거
앱이 취약하기 때문에 가장 큰 개인 정보 위험 중 하나가 발생합니다. 시스템이 민감한 사용자 정보를 처리할 때 항상 위험합니다. 적시에 위험을 감지하도록 개발되지 않은 애플리케이션은 해킹을 당할 가능성이 더 큽니다. 조직에 사이버 위험을 감지하고 보안 테스트를 수행하는 프로그램이 있는지 확인하십시오.