Introducerea legislaţiei europene privind confidențialitatea datelor online va avea consecințe importante în modul în care organizațiile tratează datele personale ale utilizatorilor lor în ceea ce privește site-urile web și aplicații, indiferent dacă sunt Android sau IOS. Această nouă lege ridică întrebări pentru organizațiile care manipulează în mod regulat datele personale ale rezidenților europeni.
Ce impact are legislația asupra aplicațiilor și operațiunilor web online?
În termeni generali, această lege asigură că o persoană are control asupra datelor sale. Aceasta înseamnă că atunci când o organizație solicită online informații personale, trebuie să spună clientului ce se întâmplă cu datele lor.
Principalele aspecte ale acestei noi legislații sunt următoarele:
- Acces mai ușor la propriile date. Utilizatorul are mai multe informații despre modul în care sunt utilizate datele sale. Aceste informații trebuie să fie disponibile într-un mod clar.
- Abilitatea de a muta date. Ar trebui să fie mai ușor să transferați datele dumneavoastră personale către alt furnizor de servicii.
- Opțiune de ștergere a datelor. Dacă nu mai doriți ca datele dumneavoastră să fie folosite și există un motiv întemeiat pentru aceasta, trebuie să vă ștergeți datele personale.
- Aflați când datele dvs. au fost piratate. În momentul în care o organizație a fost piratată, trebuie să informați autoritatea competentă despre acest eveniment cât mai curând posibil. În acest fel, utilizatorii pot efectua măsurătorile.
Deci, cum implementați o aplicație conformă? GDPR și oferă utilizatorului controlul asupra datelor sale personale? Iată câteva sfaturi pentru a-l aplica.
Sfaturi pentru dezvoltarea de aplicații conforme cu GDPR
Stabiliți dacă aplicația are nevoie de toate datele personale pe care le solicită
Implementarea ideală de confidențialitate pentru respectă GDPR este de a colecta cât mai puține date cu caracter personal. Cu datele personale te poți gândi la: nume, data nașterii, locul de reședință etc. Acest lucru, desigur, nu este posibil în toate situațiile, deoarece aceste informații sunt uneori necesare. Este important în orice situație ca managementul și dezvoltatorii să stabilească care sunt informațiile cele mai necesare de colectat.
Criptați toate informațiile personale
Dacă o aplicație trebuie să stocheze informații personale sensibile, este important să criptați corect aceste date folosind algoritmi puternici de criptare, inclusiv hashing. În cazul încălcării datelor Ashley Madison, toate informațiile au fost disponibile în text simplu.
Acest lucru a avut consecințe importante pentru utilizatorii săi. Trebuie precizat în mod explicit că toate datele personale sunt criptate, astfel încât aceste date nu pot fi utilizate în cazul în care aplicația web este piratată. Aceasta include și informații despre: adresa, numerele de telefon și locul de reședință.
Gândiți-vă la OAUTH pentru a transfera date
Cu OAuth, utilizatorii pot crea un cont pur și simplu folosind un alt cont. Aceste protocoale oferă o conectare unică și nu ajută la colectarea mai multor informații decât este necesar.
Utilizați comunicarea securizată prin HTTPS
Multe organizații nu folosesc HTTPS pentru site-urile lor web, deoarece se crede că nu este necesar. De exemplu, dacă o aplicație nu necesită niciun tip de autentificare, HTTPS ar putea să nu pară necesar. Cu toate acestea, este ușor să ratezi ceva. Unele aplicații colectează informații personale prin intermediul formularului „Contactați-ne”.
Dacă aceste informații sunt trimise în text clar, acestea vor fi vizibile pe Internet. De asemenea, ar trebui să vă asigurați că Certificate SSL sunt aplicate corect și nu sunt susceptibile la pericolele legate de protocoalele SSL.
Informați utilizatorii cum gestionați informațiile „contactați-ne”.
Aplicațiile nu colectează doar informații prin autentificare sau abonamente. Datele sunt colectate și prin intermediul formularelor de contact. Acestea sunt de obicei informații personale, cum ar fi: număr de telefon, locul de reședință și adresa de e-mail. Acesta informează utilizatorii pentru cât timp și cum sunt stocate aceste date. Este recomandat să folosiți o securitate bună pentru a stoca aceste informații.
Asigurați-vă că sesiunile și cookie-urile expiră
la respectă GDPR, utilizatorii trebuie să fie conștienți de modul în care aplicația utilizează cookie-uri. Utilizatorul trebuie informat că aplicația folosește cookie-uri și i se oferă opțiunea de a respinge cookie-urile. Asigurați-vă că cookie-urile sunt șterse corect dacă cineva se deconectează sau nu mai este activ.
Nu urmăriți utilizatorii pentru business intelligence
Multe aplicații de comerț electronic urmăresc utilizatorii pentru a vedea ceea ce caută folosind rezultatele căutării și produsele pe care le cumpără. Companii precum Netflix și Amazon folosesc adesea aceste informații pentru a afișa produse sugerate. Deoarece aceste informații sunt stocate în scopuri comerciale, utilizatorul trebuie să aibă opțiunea de a le accepta sau nu.
Dacă se acordă ulterior consimțământul pentru păstrarea acestor informații, utilizatorul trebuie să fie informat cum sunt stocate aceste informații și pentru cât timp. Desigur, toate informațiile personale trebuie să fie criptate.
Informați utilizatorul despre înregistrări
Multe aplicații folosesc locații sau adrese IP pentru a autoriza o conectare. Aceste informații sunt stocate în cazul în care cineva încearcă să ocolească această autentificare. Notifică utilizatorii că aceste informații vor fi stocate și pentru cât timp. Nu stocați informații sensibile în jurnale, cum ar fi parola.
Întrebări de securitate
Multe aplicații folosesc întrebări de securitate pentru a confirma identitatea unui utilizator. Încercați să vă asigurați că aceste informații nu conțin date personale, cum ar fi numele mamei utilizatorului și nici măcar culoarea preferată. Ori de câte ori este posibil, încercați să utilizați autentificarea cu doi factori. Dacă acest lucru nu este posibil, lăsați utilizatorul să își pună propriile întrebări și să avertizeze că conține informații personale. Informațiile personale trebuie stocate criptate.
Faceți termeni și condiții clare
Nu încercați să vă ascundeți termenii și condițiile. Pentru a fi conform cu GDPR în conformitate cu noua legislație privind confidențialitatea a UE, termenii și condițiile trebuie să fie disponibile pe pagina de destinație. În plus, termenii și condițiile trebuie să fie clare și accesibile în orice moment când utilizatorul navighează în aplicație.
Utilizatorii trebuie să fie de acord cu termenii și condițiile înainte de a putea accesa aplicația. Acest lucru se aplică în special atunci când termenii și condițiile generale au fost modificate. Este de la sine înțeles că termenii și condițiile sunt disponibile într-o limbă pe care toată lumea o poate înțelege.
Partajarea datelor cu alte părți
Dacă organizația dvs. împărtășește date cu caracter personal cu alte părți, acest lucru ar trebui să fie menționat în termenii și condițiile generale. Acest lucru poate fi prin intermediul afiliaților, agențiilor guvernamentale sau pluginurilor terțelor părți.
Setați linii directoare clare dacă aplicația dvs. este piratată
Unul dintre cele mai importante aspecte ale drept european este că utilizatorii ar trebui să fie notificați dacă o aplicație a fost piratată. Organizațiile ar trebui să stabilească linii directoare clare pentru a descrie sarcina și pașii pe care îi va face organizația. Rețineți că utilizatorul este informat în timp util.
Ștergeți datele utilizatorilor care opresc serviciul
Multe aplicații web nu precizează clar ce se întâmplă cu informațiile personale atunci când un cont este șters sau cineva îl anulează. Odată cu noua legislație, companiile trebuie să șteargă toate informațiile personale. Trebuie înțeles că cineva poate înceta să mai folosească serviciul și apoi informațiile sale vor fi șterse. Organizațiile care tratează un cont șters ca inactiv pot fi împotriva legii.
Eliminați vulnerabilitățile
Unul dintre cele mai mari riscuri de confidențialitate apare deoarece aplicația este vulnerabilă. Acesta este întotdeauna un risc atunci când un sistem gestionează informații sensibile ale utilizatorului. O aplicație care nu a fost dezvoltată pentru a detecta riscurile la timp este mai probabil să fie piratată. Asigurați-vă că organizația dvs. are un program pentru a detecta riscurile cibernetice și a efectua teste de securitate.