Zavedenie európskej legislatívy o online súkromie údajov bude mať dôležité dôsledky na spôsob, akým organizácie zaobchádzajú s osobnými údajmi svojich používateľov, pokiaľ ide o webové stránky a aplikácie, či už Android alebo IOS. Tento nový zákon vyvoláva otázky pre organizácie, ktoré pravidelne spracúvajú osobné údaje európskych obyvateľov.
Aký vplyv má legislatíva na online webové aplikácie a operácie?
Vo všeobecnosti tento zákon zabezpečuje, že jednotlivec má kontrolu nad svojimi údajmi. To znamená, že keď organizácia požaduje osobné informácie online, musí zákazníkovi povedať, čo sa stane s ich údajmi.
Hlavné aspekty tohto nového právneho predpisu sú tieto:
- Ľahší prístup k vlastným údajom. Používateľ má viac informácií o tom, ako sa používajú jeho údaje. Tieto informácie musia byť sprístupnené jasným spôsobom.
- Schopnosť presúvať dáta. Malo by byť jednoduchšie preniesť vaše osobné údaje k inému poskytovateľovi služieb.
- Možnosť vymazania údajov. Ak už nechcete, aby sa vaše údaje používali a existuje na to platný dôvod, musíte svoje osobné údaje vymazať.
- Zistite, kedy boli vaše údaje napadnuté. Vo chvíli, keď bola organizácia napadnutá, musíte o tejto udalosti čo najskôr informovať príslušný orgán. Týmto spôsobom môžu používatelia vykonávať merania.
Ako teda implementujete vyhovujúcu aplikáciu? GDPR a dáva používateľovi kontrolu nad jeho osobnými údajmi? Tu je niekoľko tipov, ako ho aplikovať.
Tipy na vývoj aplikácií v súlade s GDPR
Zistite, či aplikácia potrebuje všetky osobné údaje, ktoré požaduje
Ideálna implementácia ochrany osobných údajov pre v súlade s GDPR je zhromažďovať čo najmenej osobných údajov. Pri osobných údajoch si môžete predstaviť: meno, dátum narodenia, bydlisko atď. To, samozrejme, nie je možné vo všetkých situáciách, keďže tieto informácie sú niekedy nevyhnutné. V každej situácii je dôležité, aby manažment a vývojári určili, aké informácie je potrebné zbierať.
Zašifrujte všetky osobné údaje
Ak aplikácia potrebuje uchovávať citlivé osobné informácie, je dôležité tieto údaje správne zašifrovať pomocou silných šifrovacích algoritmov vrátane hashovania. V prípade porušenia ochrany údajov Ashley Madison boli všetky informácie dostupné v čistom texte.
To malo dôležité dôsledky pre používateľov. Je potrebné výslovne uviesť, že všetky osobné údaje sú šifrované, takže tieto údaje nemožno použiť v prípade napadnutia webovej aplikácie. Patria sem aj informácie o: adrese, telefónnych číslach a mieste bydliska.
Myslite na OAUTH na prenos dát
Pomocou protokolu OAuth si používatelia môžu vytvoriť účet jednoducho pomocou iného účtu. Tieto protokoly poskytujú jednotné prihlásenie a nepomáhajú zhromažďovať viac informácií, ako je potrebné.
Používajte zabezpečenú komunikáciu cez HTTPS
Mnoho organizácií nepoužíva HTTPS pre svoje webové stránky, pretože sa verí, že to nie je potrebné. Ak napríklad aplikácia nevyžaduje žiadny typ autentifikácie, HTTPS sa nemusí zdať potrebné. Je však ľahké niečo prehliadnuť. Niektoré aplikácie zhromažďujú osobné údaje prostredníctvom formulára „Kontaktujte nás“.
Ak sú tieto informácie odoslané ako čistý text, budú viditeľné na internete. Tiež by ste sa mali uistiť SSL certifikáty sú správne aplikované a nie sú náchylné na nebezpečenstvá súvisiace s protokolmi SSL.
Dajte používateľom vedieť, ako narábate s informáciami „kontaktujte nás“.
Aplikácie nezhromažďujú informácie len prostredníctvom overovania alebo predplatného. Údaje sa zhromažďujú aj prostredníctvom kontaktných formulárov. Zvyčajne ide o osobné údaje ako: telefónne číslo, miesto bydliska a emailová adresa. Informuje používateľov, ako dlho a ako sú tieto údaje uložené. Na ukladanie týchto informácií sa dôrazne odporúča používať dobré zabezpečenie.
Uistite sa, že platnosť relácií a súborov cookie vyprší
na v súlade s GDPR, používatelia si musia byť vedomí toho, ako aplikácia používa súbory cookie. Používateľ musí byť informovaný o tom, že aplikácia používa cookies a ponúknutá možnosť cookies odmietnuť. Uistite sa, že súbory cookie sú správne vymazané, ak sa niekto odhlási alebo už nie je aktívny.
Nesledujte používateľov pre obchodné informácie
Mnoho aplikácií elektronického obchodu sleduje používateľov, aby videli, čo hľadajú, pomocou výsledkov vyhľadávania a produktov, ktoré kupujú. Spoločnosti ako Netflix a Amazon často používajú tieto informácie na zobrazenie navrhovaných produktov. Keďže tieto informácie sú uložené na komerčné účely, používateľ musí mať možnosť ich prijať alebo nie.
Ak sa následne udelí súhlas na uchovávanie týchto informácií, používateľ musí byť informovaný o tom, ako sa tieto informácie uchovávajú a ako dlho. Samozrejme, všetky osobné údaje musia byť zašifrované.
Informujte používateľa o záznamoch
Mnoho aplikácií používa na autorizáciu prihlásenia polohy alebo adresy IP. Tieto informácie sa uložia pre prípad, že by sa niekto pokúsil obísť toto overenie. Upozorní používateľov, že tieto informácie budú uložené a ako dlho. Neuchovávajte citlivé informácie v denníkoch, ako heslo.
Bezpečnostné otázky
Mnoho aplikácií používa bezpečnostné otázky na potvrdenie identity používateľa. Snažte sa zabezpečiť, aby tieto informácie neobsahovali žiadne osobné údaje, ako napríklad meno matky používateľa a dokonca ani obľúbenú farbu. Vždy, keď je to možné, skúste použiť dvojfaktorové overenie. Ak to nie je možné, nechajte používateľa klásť vlastné otázky a upozornite ho, že obsahuje osobné údaje. Osobné údaje musia byť uložené zašifrované.
Jasné podmienky
Nesnažte sa skryť svoje zmluvné podmienky. Aby boli v súlade s GDPR podľa novej legislatívy EÚ o ochrane súkromia, zmluvné podmienky musia byť dostupné na vstupnej stránke. Okrem toho musia byť zmluvné podmienky jasné a prístupné vždy, keď si používateľ prezerá aplikáciu.
Používatelia musia pred prístupom k aplikácii súhlasiť so zmluvnými podmienkami. To platí najmä pri zmene všeobecných obchodných podmienok. Je samozrejmé, že zmluvné podmienky sú dostupné v jazyku, ktorému rozumie každý.
Zdieľanie údajov s inými stranami
Ak vaša organizácia zdieľa osobné údaje s inými stranami, malo by to byť uvedené vo všeobecných podmienkach. Môže to byť prostredníctvom pridružených spoločností, vládnych agentúr alebo doplnkov tretích strán.
Nastavte jasné pokyny, ak je vaša aplikácia napadnutá
Jedným z najdôležitejších aspektov európska legislatíva je, že používatelia by mali byť upozornení, ak bola aplikácia napadnutá. Organizácie by si mali stanoviť jasné usmernenia na popis úlohy a krokov, ktoré organizácia podnikne. Majte na pamäti, že používateľ je včas informovaný.
Vymažte údaje používateľov, ktorí službu zastavili
V mnohých webových aplikáciách nie je jasne uvedené, čo sa stane s osobnými informáciami, keď je účet odstránený alebo keď ho niekto zruší. S novou legislatívou musia firmy vymazať všetky osobné údaje. Malo by byť zrejmé, že niekto môže prestať používať službu a potom budú jeho informácie vymazané. Organizácie, ktoré považujú vymazaný účet za neaktívny, môžu byť v rozpore so zákonom.
Odstráňte zraniteľné miesta
Jedno z najväčších rizík ochrany súkromia vzniká, pretože aplikácia je zraniteľná. Toto je vždy riziko, keď systém narába s citlivými používateľskými informáciami. Aplikácia, ktorá nebola vyvinutá na včasné odhalenie rizík, je pravdepodobnejšie napadnutá. Uistite sa, že vaša organizácia má program na zisťovanie kybernetických rizík a vykonávanie bezpečnostných testov.