Советы по разработке приложений, соответствующих GDPR

Введение европейского законодательства о конфиденциальность данных в Интернете будут иметь важные последствия в том, как организации обращаются с персональными данными своих пользователей с точки зрения веб-сайтов и приложения, будь то Android или IOS. Этот новый закон вызывает вопросы у организаций, которые регулярно обрабатывают персональные данные жителей Европы.

Какое влияние законодательство оказывает на онлайновые веб-приложения и операции?

В общих чертах, этот закон гарантирует, что физическое лицо имеет контроль над своими данными. Это означает, что когда организация запрашивает личную информацию в Интернете, она должна сообщить клиенту, что происходит с его данными.

Основными аспектами этого нового законодательства являются следующие:

  • Упрощенный доступ к вашим собственным данным. Пользователь имеет больше информации о том, как используются его данные. Эта информация должна быть доступна в понятной форме.
  • Возможность перемещения данных. Передача ваших личных данных другому поставщику услуг должна быть проще.
  • Возможность удалить свои данные. Если вы больше не хотите, чтобы ваши данные использовались, и для этого есть уважительная причина, вы должны удалить свои личные данные.
  • Знайте, когда ваши данные были взломаны. В момент взлома организации вы должны как можно скорее сообщить об этом в соответствующие органы. Таким образом, пользователи могут проводить измерения.

Так как же реализовать совместимое приложение? GDPR и дает пользователю контроль над своими личными данными? Вот несколько советов по его применению.

Советы по разработке приложений, соответствующих GDPR

Определите, нужны ли приложению все личные данные, которые оно запрашивает

Идеальная реализация конфиденциальности для соблюдать GDPR заключается в сборе как можно меньшего количества персональных данных. С личными данными можно придумать: имя, дату рождения, место жительства и т.д. Это, конечно, возможно не во всех ситуациях, так как эта информация иногда необходима. В любой ситуации важно, чтобы руководство и разработчики определили, какую информацию необходимо собирать.

Шифровать всю личную информацию

Если приложению необходимо хранить конфиденциальную личную информацию, важно правильно зашифровать эти данные, используя надежные алгоритмы шифрования, включая хеширование. В случае с утечкой данных Эшли Мэдисон вся информация была доступна в виде открытого текста.

Это имело важные последствия для пользователей. Необходимо прямо указать, что все личные данные зашифрованы, поэтому эти данные нельзя использовать в случае взлома веб-приложения. Это также включает в себя информацию о: адрес, номера телефонов и место жительства.

Подумайте об OAUTH для передачи данных

С OAuth пользователи могут создать учетную запись, просто используя другую учетную запись. Эти протоколы обеспечивают единый вход и не помогают собирать больше информации, чем необходимо.

Используйте безопасную связь по HTTPS

Многие организации не используют HTTPS для своих веб-сайтов, поскольку считается, что в этом нет необходимости. Например, если приложение не требует какой-либо аутентификации, HTTPS может показаться необязательным. Однако легко что-то упустить. Некоторые приложения собирают личную информацию через форму «Свяжитесь с нами».

Если эта информация отправляется в открытом виде, она будет видна в Интернете. Кроме того, вы должны убедиться, что SSL-сертификаты применяются правильно и не подвержены опасностям, связанным с протоколами SSL.

Сообщите пользователям, как вы обрабатываете информацию «свяжитесь с нами».

Приложения не просто собирают информацию посредством аутентификации или подписки. Данные также собираются через контактные формы. Обычно это личная информация, такая как: номер телефона, место жительства и адрес электронной почты. Он информирует пользователей о том, как долго и как хранятся эти данные. Настоятельно рекомендуется использовать надежную защиту для хранения этой информации.

Убедитесь, что сеансы и файлы cookie истекают

к соблюдать GDPR, пользователи должны знать, как приложение использует файлы cookie. Пользователь должен быть проинформирован о том, что приложение использует куки-файлы, и ему должна быть предложена возможность отказаться от куки-файлов. Убедитесь, что файлы cookie правильно удаляются, если кто-то выходит из системы или больше не активен.

Не отслеживать пользователей для бизнес-аналитики

Многие приложения электронной коммерции отслеживают пользователей, чтобы узнать, что они ищут, используя результаты поиска и продукты, которые они покупают. Такие компании, как Netflix и Amazon, часто используют эту информацию для отображения рекомендуемых продуктов. Поскольку эта информация хранится в коммерческих целях, у пользователя должна быть возможность принять ее или нет.

Если впоследствии будет дано согласие на сохранение этой информации, пользователь должен быть проинформирован о том, как эта информация хранится и как долго. Разумеется, вся личная информация должна быть зашифрована.

Информировать пользователя о записях

Многие приложения используют местоположения или IP-адреса для авторизации входа в систему. Эта информация сохраняется на случай, если кто-то попытается обойти эту аутентификацию. Уведомляет пользователей о том, что эта информация будет храниться и как долго. Не храните конфиденциальную информацию в журналах, вроде пароль.

Вопросы безопасности

Многие приложения используют контрольные вопросы для подтверждения личности пользователя. Постарайтесь убедиться, что эта информация не содержит никаких личных данных, таких как имя матери пользователя и даже не любимый цвет. По возможности старайтесь использовать двухфакторную аутентификацию. Если это невозможно, позвольте пользователю задавать свои вопросы и предупредите, что он содержит личную информацию. Личная информация должна храниться в зашифрованном виде.

Сделайте четкие условия

Не пытайтесь скрыть свои условия. Чтобы соответствовать GDPR в соответствии с новым законодательством ЕС о конфиденциальности, условия должны быть доступны на целевой странице. Кроме того, условия должны быть четкими и доступными в любое время, когда пользователь просматривает приложение.

Пользователи должны согласиться с условиями, прежде чем они смогут получить доступ к приложению. Это особенно актуально, когда общие положения и условия были изменены. Само собой разумеется, что условия доступны на понятном каждому языке.

Обмен данными с другими сторонами

Если ваша организация передает персональные данные другим сторонам, это должно быть указано в общих положениях и условиях. Это может быть через филиалы, государственные учреждения или сторонние плагины.

Установите четкие правила, если ваше приложение взломано

Один из самых важных аспектов европейское право заключается в том, что пользователи должны быть уведомлены, если приложение было взломано. Организации должны установить четкие руководящие принципы для описания задачи и шагов, которые организация предпримет. Имейте в виду, что пользователь своевременно информируется.

Удалить данные пользователей, остановивших службу

Во многих веб-приложениях четко не указано, что происходит с личной информацией, когда учетная запись удаляется или кто-то ее отменяет. В соответствии с новым законодательством компании должны удалять всю личную информацию. Следует понимать, что кто-то может перестать пользоваться сервисом и тогда его информация будет удалена. Организации, рассматривающие удаленную учетную запись как неактивную, могут нарушать закон.

Устранение уязвимостей

Один из самых больших рисков для конфиденциальности возникает из-за уязвимости приложения. Это всегда риск, когда система обрабатывает конфиденциальную информацию пользователя. Приложение, которое не было разработано для своевременного обнаружения рисков, с большей вероятностью будет взломано. Убедитесь, что в вашей организации есть программа для обнаружения киберрисков и проведения тестов безопасности.


Будьте первым, чтобы комментировать

Оставьте свой комментарий

Ваш электронный адрес не будет опубликован. Обязательные для заполнения поля помечены *

*

*