Pengenalan perundangan Eropah pada privasi data dalam talian akan mempunyai akibat penting dalam cara organisasi mengurus data peribadi pengguna mereka dari segi tapak web dan aplikasi, sama ada Android atau IOS. Undang-undang baharu ini menimbulkan persoalan bagi organisasi yang kerap mengendalikan data peribadi penduduk Eropah.
Apakah kesan perundangan terhadap aplikasi dan operasi web dalam talian?
Secara umum, undang-undang ini memastikan bahawa seseorang individu mempunyai kawalan ke atas data mereka. Ini bermakna apabila organisasi meminta maklumat peribadi dalam talian, ia mesti memberitahu pelanggan apa yang berlaku kepada data mereka.
Aspek utama perundangan baharu ini adalah seperti berikut:
- Akses lebih mudah kepada data anda sendiri. Pengguna mempunyai lebih banyak maklumat tentang cara data mereka digunakan. Maklumat ini mesti disediakan dengan cara yang jelas.
- Keupayaan untuk memindahkan data. Ia sepatutnya lebih mudah untuk memindahkan data peribadi anda kepada pembekal perkhidmatan lain.
- Pilihan untuk memadam data anda. Jika anda tidak lagi mahu data anda digunakan dan terdapat sebab yang sah untuknya, anda mesti memadamkan data peribadi anda.
- Ketahui apabila data anda telah digodam. Apabila organisasi telah digodam, anda mesti memaklumkan pihak berkuasa yang berkenaan tentang acara ini secepat mungkin. Dengan cara ini, pengguna boleh mengambil ukuran.
Jadi bagaimana anda melaksanakan aplikasi yang mematuhi? GDPR dan memberikan pengguna kawalan ke atas data peribadi mereka? Berikut adalah beberapa petua untuk menerapkannya.
Petua untuk membangunkan apl yang mematuhi GDPR
Tentukan sama ada apl memerlukan semua data peribadi yang dimintanya
Pelaksanaan privasi yang ideal untuk mematuhi GDPR adalah untuk mengumpul data peribadi sesedikit mungkin. Dengan data peribadi anda boleh memikirkan: nama, tarikh lahir, tempat kediaman, dsb. Ini, sudah tentu, tidak mungkin dalam semua situasi, kerana maklumat ini kadangkala diperlukan. Adalah penting dalam apa jua keadaan bahawa pengurusan dan pembangun menentukan maklumat yang paling diperlukan untuk dikumpulkan.
Sulitkan semua maklumat peribadi
Jika aplikasi perlu menyimpan maklumat peribadi yang sensitif, adalah penting untuk menyulitkan data ini dengan betul menggunakan algoritma penyulitan yang kuat, termasuk pencincangan. Dalam kes pelanggaran data Ashley Madison, semua maklumat tersedia dalam teks biasa.
Ini telah membawa kesan penting kepada penggunanya. Ia mesti dinyatakan dengan jelas bahawa semua data peribadi disulitkan, jadi data ini tidak boleh digunakan sekiranya aplikasi web digodam. Ini juga termasuk maklumat tentang: alamat, nombor telefon dan tempat kediaman.
Fikirkan OAUTH untuk memindahkan data
Dengan OAuth, pengguna boleh membuat akaun hanya dengan menggunakan akaun lain. Protokol ini menyediakan satu log masuk dan tidak membantu mengumpul lebih banyak maklumat daripada yang diperlukan.
Gunakan komunikasi selamat melalui HTTPS
Banyak organisasi tidak menggunakan HTTPS untuk tapak web mereka kerana mereka fikir ia tidak perlu. Sebagai contoh, jika apl tidak memerlukan sebarang jenis pengesahan, HTTPS mungkin kelihatan tidak perlu. Walau bagaimanapun, mudah untuk terlepas sesuatu. Sesetengah aplikasi mengumpul maklumat peribadi melalui borang "Hubungi Kami".
Jika maklumat ini dihantar dalam teks yang jelas, ia akan kelihatan di Internet. Juga, anda harus memastikannya sijil SSL digunakan dengan betul dan tidak terdedah kepada bahaya yang berkaitan dengan protokol SSL.
Beritahu pengguna cara anda mengendalikan maklumat "hubungi kami".
Apl bukan sahaja mengumpul maklumat melalui pengesahan atau langganan. Data juga dikumpul melalui borang hubungan. Ini biasanya maklumat peribadi seperti: nombor telefon, tempat kediaman dan alamat e-mel. Ia memberitahu pengguna berapa lama dan cara data ini disimpan. Adalah sangat disyorkan untuk menggunakan keselamatan yang baik untuk menyimpan maklumat ini.
Pastikan sesi dan kuki tamat tempoh
kepada mematuhi GDPR, pengguna mesti mengetahui cara aplikasi menggunakan kuki. Pengguna mesti dimaklumkan bahawa aplikasi menggunakan kuki dan menawarkan pilihan untuk menolak kuki. Pastikan kuki dipadamkan dengan betul jika seseorang log keluar atau tidak lagi aktif.
Jangan jejak pengguna untuk kecerdasan perniagaan
Banyak apl eCommerce menjejaki pengguna untuk melihat perkara yang mereka cari menggunakan hasil carian dan produk yang mereka beli. Syarikat seperti Netflix dan Amazon sering menggunakan maklumat ini untuk memaparkan produk yang dicadangkan. Memandangkan maklumat ini disimpan untuk tujuan komersial, pengguna mesti mempunyai pilihan untuk menerimanya atau tidak.
Jika kebenaran diberikan kemudiannya untuk mengekalkan maklumat ini, pengguna mesti dimaklumkan bagaimana maklumat ini disimpan dan berapa lama. Sudah tentu, semua maklumat peribadi mesti disulitkan.
Maklumkan kepada pengguna tentang rekod
Banyak aplikasi menggunakan lokasi atau alamat IP untuk membenarkan log masuk. Maklumat ini disimpan sekiranya seseorang cuba memintas pengesahan ini. Memberitahu pengguna bahawa maklumat ini akan disimpan dan untuk berapa lama. Jangan simpan maklumat sensitif dalam log, seperti kata laluan.
Soalan keselamatan
Banyak aplikasi menggunakan soalan keselamatan untuk mengesahkan identiti pengguna. Cuba pastikan maklumat ini tidak mengandungi sebarang data peribadi, seperti nama ibu pengguna dan bukan juga warna kegemaran. Apabila boleh, cuba gunakan pengesahan dua faktor. Jika itu tidak mungkin, biarkan pengguna bertanya soalan mereka sendiri dan memberi amaran bahawa ia mengandungi maklumat peribadi. Maklumat peribadi mesti disimpan secara disulitkan.
Buat terma dan syarat yang jelas
Jangan cuba menyembunyikan terma dan syarat anda. Untuk mematuhi GDPR di bawah perundangan privasi EU baharu, terma dan syarat mesti tersedia di halaman pendaratan. Selain itu, terma dan syarat mestilah jelas dan boleh diakses pada setiap masa apabila pengguna menyemak imbas aplikasi.
Pengguna dikehendaki bersetuju menerima terma dan syarat sebelum mereka boleh mengakses apl. Ini terpakai terutamanya apabila terma dan syarat am telah diubah. Tidak perlu dikatakan bahawa terma dan syarat tersedia dalam bahasa yang boleh difahami oleh semua orang.
Berkongsi data dengan pihak lain
Jika organisasi anda berkongsi data peribadi dengan pihak lain, ini harus dinyatakan dalam terma dan syarat am. Ini mungkin melalui ahli gabungan, agensi kerajaan atau pemalam pihak ketiga.
Tetapkan garis panduan yang jelas jika apl anda digodam
Salah satu aspek terpenting dari undang-undang eropah ialah pengguna harus dimaklumkan jika aplikasi telah digodam. Organisasi harus menetapkan garis panduan yang jelas untuk menerangkan tugas dan langkah yang akan diambil oleh organisasi. Perlu diingat bahawa pengguna dimaklumkan tepat pada masanya.
Padamkan data pengguna yang menghentikan perkhidmatan
Banyak aplikasi web tidak menyatakan dengan jelas perkara yang berlaku kepada maklumat peribadi apabila akaun dipadamkan atau seseorang membatalkannya. Dengan perundangan baharu, syarikat mesti memadamkan semua maklumat peribadi. Perlu difahami bahawa seseorang boleh berhenti menggunakan perkhidmatan tersebut dan kemudian maklumat mereka akan dipadamkan. Organisasi yang menganggap akaun yang dipadamkan sebagai tidak aktif mungkin melanggar undang-undang.
Menghapuskan kelemahan
Salah satu risiko privasi terbesar timbul kerana apl itu terdedah. Ini sentiasa menjadi risiko apabila sistem mengendalikan maklumat pengguna yang sensitif. Aplikasi yang belum dibangunkan untuk mengesan risiko dalam masa lebih berkemungkinan digodam. Pastikan organisasi anda mempunyai program untuk mengesan risiko siber dan menjalankan ujian keselamatan.