Padomi GDPR saderīgu lietotņu izstrādei

Eiropas tiesību aktu ieviešana par tiešsaistes datu privātums būs nozīmīgas sekas tam, kā organizācijas apstrādā savu lietotāju personas datus saistībā ar tīmekļa vietnēm un Android vai IOS lietojumprogrammas. Šis jaunais likums rada jautājumus organizācijām, kas regulāri apstrādā Eiropas iedzīvotāju personas datus.

Kā tiesību akti ietekmē tiešsaistes tīmekļa lietojumprogrammas un darbības?

Kopumā šis likums nodrošina, ka persona var kontrolēt savus datus. Tas nozīmē, ka tad, kad organizācija tiešsaistē pieprasa personas informāciju, tai ir jāpaziņo klientam, kas notiek ar viņa datiem.

Šī jaunā tiesību akta galvenie aspekti ir šādi:

  • Vieglāka piekļuve saviem datiem. Lietotājam ir plašāka informācija par to, kā tiek izmantoti viņa dati. Šai informācijai jābūt pieejamai skaidrā veidā.
  • Iespēja pārvietot datus. Jūsu personas datu pārsūtīšanai citam pakalpojumu sniedzējam vajadzētu būt vienkāršākai.
  • Iespēja izdzēst savus datus. Ja vairs nevēlaties, lai jūsu dati tiktu izmantoti un tam ir pamatots iemesls, jums savi personas dati ir jādzēš.
  • Uzziniet, kad jūsu dati ir uzlauzti. Brīdī, kad organizācija ir uzlauzta, jums pēc iespējas ātrāk jāinformē attiecīgā iestāde par šo notikumu. Tādā veidā lietotāji var veikt mērījumus.

Tātad, kā ieviest atbilstošu lietojumprogrammu? GDPR un ļauj lietotājam kontrolēt savus personas datus? Šeit ir daži padomi, kā to piemērot.

Padomi GDPR saderīgu lietotņu izstrādei

Nosakiet, vai lietotnei ir nepieciešami visi tās pieprasītie personas dati

Ideāla privātuma ieviešana atbilst GDPR ir vākt pēc iespējas mazāk personas datu. Ar personas datiem jūs varat iedomāties: vārdu, dzimšanas datumu, dzīvesvietu utt. Tas, protams, nav iespējams visās situācijās, jo šī informācija dažkārt ir nepieciešama. Jebkurā situācijā ir svarīgi, lai vadība un izstrādātāji noteiktu, kāda ir visnepieciešamākā informācija.

Šifrēt visu personisko informāciju

Ja lietojumprogrammai ir jāsaglabā sensitīva personas informācija, ir svarīgi pareizi šifrēt šos datus, izmantojot spēcīgus šifrēšanas algoritmus, tostarp jaukšanu. Ešlijas Medisones datu pārkāpuma gadījumā visa informācija bija pieejama vienkāršā tekstā.

Tam ir bijušas svarīgas sekas tā lietotājiem. Ir skaidri jānorāda, ka visi personas dati ir šifrēti, tāpēc šos datus nevar izmantot gadījumā, ja tīmekļa lietojumprogramma tiek uzlauzta. Tas ietver arī informāciju par: adresi, tālruņu numuriem un dzīvesvietu.

Padomājiet par OAUTH, lai pārsūtītu datus

Izmantojot OAuth, lietotāji var izveidot kontu, vienkārši izmantojot citu kontu. Šie protokoli nodrošina vienreizēju pierakstīšanos un nepalīdz savākt vairāk informācijas, nekā nepieciešams.

Izmantojiet drošu saziņu, izmantojot HTTPS

Daudzas organizācijas neizmanto HTTPS savās vietnēs, jo uzskata, ka tas nav nepieciešams. Piemēram, ja lietotnei nav nepieciešama nekāda veida autentifikācija, HTTPS var nebūt vajadzīgs. Tomēr ir viegli kaut ko palaist garām. Dažas lietojumprogrammas apkopo personas informāciju, izmantojot veidlapu "Sazinieties ar mums".

Ja šī informācija tiks nosūtīta skaidrā tekstā, tā būs redzama internetā. Turklāt jums tas jāpārliecinās SSL sertifikāti tiek lietoti pareizi un nav pakļauti briesmām, kas saistītas ar SSL protokoliem.

Informējiet lietotājus par to, kā jūs rīkojaties ar “sazinieties ar mums” informāciju

Lietotnes ne tikai apkopo informāciju, izmantojot autentifikāciju vai abonementus. Dati tiek vākti arī, izmantojot kontaktu veidlapas. Parasti tā ir personas informācija, piemēram: tālruņa numurs, dzīvesvieta un e-pasta adrese. Tas informē lietotājus, cik ilgi un kā šie dati tiek glabāti. Šīs informācijas glabāšanai ļoti ieteicams izmantot labu drošību.

Pārliecinieties, vai sesijām un sīkfailiem ir beidzies derīguma termiņš

līdz atbilst GDPR, lietotājiem ir jāzina, kā lietojumprogramma izmanto sīkfailus. Lietotājs ir jāinformē, ka aplikācija izmanto sīkdatnes un jāpiedāvā iespēja atteikt sīkdatnes. Pārliecinieties, vai sīkfaili ir pareizi izdzēsti, ja kāds atsakās vai vairs nav aktīvs.

Nesekojiet lietotājiem biznesa informācijas iegūšanai

Daudzas e-komercijas lietotnes izseko lietotājus, lai redzētu, ko viņi meklē, izmantojot meklēšanas rezultātus un iegādātos produktus. Uzņēmumi, piemēram, Netflix un Amazon, bieži izmanto šo informāciju, lai parādītu ieteiktos produktus. Tā kā šī informācija tiek glabāta komerciāliem nolūkiem, lietotājam ir jābūt iespējai to pieņemt vai nē.

Ja pēc tam tiek dota piekrišana šīs informācijas glabāšanai, lietotājs ir jāinformē, kā šī informācija tiek glabāta un cik ilgi. Protams, visai personiskajai informācijai jābūt šifrētai.

Informējiet lietotāju par ierakstiem

Daudzas lietojumprogrammas izmanto atrašanās vietas vai IP adreses, lai autorizētu pieteikšanos. Šī informācija tiek saglabāta gadījumam, ja kāds mēģina apiet šo autentifikāciju. Brīdina lietotājus, ka šī informācija tiks saglabāta un cik ilgi. Neglabājiet sensitīvu informāciju žurnālos, piemēram, parole.

Drošības jautājumi

Daudzas lietojumprogrammas izmanto drošības jautājumus, lai apstiprinātu lietotāja identitāti. Centieties pārliecināties, ka šī informācija nesatur nekādus personas datus, piemēram, lietotāja mātes vārdu un pat ne mīļāko krāsu. Kad vien iespējams, mēģiniet izmantot divu faktoru autentifikāciju. Ja tas nav iespējams, ļaujiet lietotājam uzdot savus jautājumus un brīdināt, ka tajā ir ietverta personas informācija. Personiskā informācija ir jāuzglabā šifrētā veidā.

Skaidri formulējiet noteikumus un nosacījumus

Nemēģiniet slēpt savus noteikumus un nosacījumus. Lai nodrošinātu atbilstību GDPR saskaņā ar jaunajiem ES privātuma tiesību aktiem, noteikumiem un nosacījumiem ir jābūt pieejamiem galvenajā lapā. Turklāt noteikumiem un nosacījumiem ir jābūt skaidriem un pieejamiem vienmēr, kad lietotājs pārlūko lietojumprogrammu.

Lietotājiem ir jāpiekrīt noteikumiem un nosacījumiem, lai viņi varētu piekļūt lietotnei. Tas jo īpaši attiecas uz gadījumiem, kad ir mainīti vispārīgie noteikumi un nosacījumi. Pats par sevi saprotams, ka noteikumi un nosacījumi ir pieejami ikvienam saprotamā valodā.

Datu koplietošana ar citām pusēm

Ja jūsu organizācija kopīgo personas datus ar citām pusēm, tas ir jānorāda vispārīgajos noteikumos un nosacījumos. To var darīt, izmantojot filiāles, valsts aģentūras vai trešo pušu spraudņus.

Iestatiet skaidras vadlīnijas, ja jūsu lietotne ir uzlauzta

Viens no vissvarīgākajiem Eiropas tiesību akti ir tas, ka lietotāji ir jābrīdina, ja lietotne ir uzlauzta. Organizācijām ir jāizstrādā skaidras vadlīnijas, lai aprakstītu uzdevumu un darbības, ko organizācija veiks. Ņemiet vērā, ka lietotājs tiek savlaicīgi informēts.

Dzēst to lietotāju datus, kuri pārtrauc pakalpojumu

Daudzās tīmekļa lietojumprogrammās nav skaidri norādīts, kas notiek ar personisko informāciju, kad konts tiek dzēsts vai kāds to atceļ. Saskaņā ar jaunajiem tiesību aktiem uzņēmumiem ir jādzēš visa personiskā informācija. Jāsaprot, ka kāds var pārtraukt pakalpojuma lietošanu un tad viņa informācija tiks dzēsta. Organizācijas, kas dzēstu kontu uzskata par neaktīvu, var būt pretrunā ar likumu.

Novērst ievainojamības

Viens no lielākajiem privātuma riskiem rodas tāpēc, ka lietotne ir neaizsargāta. Tas vienmēr ir risks, ja sistēma apstrādā sensitīvu lietotāja informāciju. Lietojumprogramma, kas nav izstrādāta, lai laikus atklātu riskus, visticamāk, tiks uzlauzta. Pārliecinieties, vai jūsu organizācijai ir programma kiberrisku noteikšanai un drošības testu veikšanai.


Esi pirmais, kas komentārus

Atstājiet savu komentāru

Jūsu e-pasta adrese netiks publicēta. Obligātie lauki ir atzīmēti ar *

*

*