Uvedba evropske zakonodaje o spletno zasebnost podatkov bo imela pomembne posledice na način, kako organizacije obravnavajo osebne podatke svojih uporabnikov v smislu spletnih strani in aplikacije, bodisi Android ali IOS. Ta novi zakon sproža vprašanja za organizacije, ki redno obdelujejo osebne podatke evropskih prebivalcev.
Kakšen vpliv ima zakonodaja na spletne spletne aplikacije in delovanje?
Na splošno ta zakon zagotavlja, da ima posameznik nadzor nad svojimi podatki. To pomeni, da ko organizacija zahteva osebne podatke na spletu, mora stranki povedati, kaj se zgodi z njihovimi podatki.
Glavni vidiki te nove zakonodaje so naslednji:
- Lažji dostop do lastnih podatkov. Uporabnik ima več informacij o tem, kako se uporabljajo njegovi podatki. Te informacije morajo biti na voljo na jasen način.
- Sposobnost premikanja podatkov. Vaše osebne podatke bi bilo lažje prenesti drugemu ponudniku storitev.
- Možnost brisanja vaših podatkov. Če ne želite več, da se vaši podatki uporabljajo in za to obstaja utemeljen razlog, morate svoje osebne podatke izbrisati.
- Vedite, kdaj so bili vaši podatki vdrti. V trenutku, ko je bila organizacija vdrta, morate o tem dogodku čim prej obvestiti pristojni organ. Na ta način lahko uporabniki izvajajo meritve.
Kako torej implementirati skladno aplikacijo? GDPR in daje uporabniku nadzor nad njegovimi osebnimi podatki? Tukaj je nekaj nasvetov za njegovo uporabo.
Nasveti za razvoj aplikacij, skladnih z GDPR
Ugotovite, ali aplikacija potrebuje vse osebne podatke, ki jih zahteva
Idealna izvedba zasebnosti za v skladu z GDPR je zbrati čim manj osebnih podatkov. Z osebnimi podatki si lahko omislite: ime, datum rojstva, kraj bivanja itd. To seveda ni mogoče v vseh situacijah, saj so ti podatki včasih nujni. V vsaki situaciji je pomembno, da vodstvo in razvijalci določijo, katere informacije so najbolj potrebne.
Šifrirajte vse osebne podatke
Če mora aplikacija shraniti občutljive osebne podatke, je pomembno, da te podatke pravilno šifrirate z uporabo močnih algoritmov šifriranja, vključno z zgoščevanjem. V primeru kršitve podatkov Ashley Madison so bile vse informacije na voljo v golem besedilu.
To je imelo pomembne posledice za njegove uporabnike. Izrecno je treba navesti, da so vsi osebni podatki šifrirani, zato teh podatkov ni mogoče uporabiti v primeru vdora v spletno aplikacijo. To vključuje tudi podatke o: naslovu, telefonskih številkah in kraju bivanja.
Za prenos podatkov pomislite na OAUTH
Z OAuth lahko uporabniki ustvarijo račun preprosto z uporabo drugega računa. Ti protokoli zagotavljajo enotno prijavo in ne pomagajo pri zbiranju več informacij, kot je potrebno.
Uporabite varno komunikacijo prek HTTPS
Številne organizacije ne uporabljajo HTTPS za svoja spletna mesta, ker menijo, da to ni potrebno. Na primer, če aplikacija ne zahteva nobene vrste preverjanja pristnosti, se HTTPS morda ne bo zdel potreben. Vendar pa je enostavno nekaj zamuditi. Nekatere aplikacije zbirajo osebne podatke prek obrazca »Pišite nam«.
Če bodo te informacije poslane v jasnem besedilu, bodo vidne na internetu. Prav tako se morate prepričati o tem SSL certifikati se uporabljajo pravilno in niso dovzetni za nevarnosti, povezane s protokoli SSL.
Sporočite uporabnikom, kako ravnate z informacijami »obrnite se na nas«.
Aplikacije ne zbirajo podatkov samo prek preverjanja pristnosti ali naročnin. Podatki se zbirajo tudi preko kontaktnih obrazcev. To so običajno osebni podatki, kot so: telefonska številka, kraj bivanja in elektronski naslov. Uporabnike obvešča, kako dolgo in kako so ti podatki shranjeni. Močno je priporočljivo uporabiti dobro varnost za shranjevanje teh informacij.
Prepričajte se, da seje in piškotki potečejo
za v skladu z GDPR, se morajo uporabniki zavedati, kako aplikacija uporablja piškotke. Uporabnik mora biti obveščen, da aplikacija uporablja piškotke, in mu ponuditi možnost zavrnitve piškotkov. Prepričajte se, da so piškotki pravilno odstranjeni, če se nekdo odjavi ali ni več aktiven.
Ne sledite uporabnikom zaradi poslovne inteligence
Številne aplikacije za e-trgovino sledijo uporabnikom, da vidijo, kaj iščejo z rezultati iskanja in izdelki, ki jih kupijo. Podjetja, kot sta Netflix in Amazon, pogosto uporabljajo te informacije za prikaz predlaganih izdelkov. Ker so ti podatki shranjeni v komercialne namene, mora imeti uporabnik možnost, da jih sprejme ali ne.
Če se naknadno da soglasje za hrambo teh podatkov, mora biti uporabnik obveščen, kako se ti podatki shranjujejo in kako dolgo. Seveda morajo biti vsi osebni podatki šifrirani.
Obvestite uporabnika o zapisih
Številne aplikacije uporabljajo lokacije ali naslove IP za avtorizacijo prijave. Te informacije se shranijo v primeru, da kdo poskuša zaobiti to preverjanje pristnosti. Obvešča uporabnike, da bodo ti podatki shranjeni in kako dolgo. Ne shranjujte občutljivih podatkov v dnevnike, kot geslo.
Varnostna vprašanja
Številne aplikacije uporabljajo varnostna vprašanja za potrditev identitete uporabnika. Poskusite se prepričati, da ti podatki ne vsebujejo nobenih osebnih podatkov, na primer imena mame uporabnika in niti najljubše barve. Kadar koli je mogoče, poskusite uporabiti dvofaktorsko preverjanje pristnosti. Če to ni mogoče, naj uporabnik sam postavi vprašanja in opozori, da vsebuje osebne podatke. Osebni podatki morajo biti shranjeni šifrirani.
Navedite jasne pogoje
Ne poskušajte skriti svojih pogojev. Za skladnost z GDPR v skladu z novo zakonodajo EU o zasebnosti morajo biti pogoji na voljo na ciljni strani. Poleg tega morajo biti pogoji poslovanja jasni in dostopni ves čas, ko uporabnik brska po aplikaciji.
Uporabniki se morajo strinjati s pogoji in določili, preden lahko dostopajo do aplikacije. To še posebej velja, če so bili splošni pogoji spremenjeni. Samoumevno je, da so pogoji na voljo v jeziku, ki ga vsi razumejo.
Izmenjava podatkov z drugimi strankami
Če vaša organizacija osebne podatke deli z drugimi, mora to biti navedeno v splošnih pogojih. To je lahko prek podružnic, vladnih agencij ali vtičnikov tretjih oseb.
Nastavite jasne smernice, če je vaša aplikacija vdrta
Eden najpomembnejših vidikov evropska zakonodaja je, da je treba uporabnike obvestiti, če je bila aplikacija vdrta. Organizacije bi morale določiti jasne smernice za opis naloge in korakov, ki jih bo organizacija sprejela. Upoštevajte, da je uporabnik pravočasno obveščen.
Izbrišite podatke uporabnikov, ki ustavijo storitev
Številne spletne aplikacije ne navajajo jasno, kaj se zgodi z osebnimi podatki, ko je račun izbrisan ali nekdo prekliče. Z novo zakonodajo morajo podjetja izbrisati vse osebne podatke. Treba je razumeti, da lahko nekdo preneha uporabljati storitev in potem bodo njegovi podatki izbrisani. Organizacije, ki obravnavajo izbrisan račun kot neaktiven, so lahko v nasprotju z zakonom.
Odpravite ranljivosti
Eno največjih tveganj glede zasebnosti nastane, ker je aplikacija ranljiva. To je vedno tveganje, ko sistem obravnava občutljive uporabniške podatke. V aplikacijo, ki ni bila razvita za pravočasno odkrivanje tveganj, je večja verjetnost, da bo vdrta. Prepričajte se, da ima vaša organizacija program za odkrivanje kibernetskih tveganj in izvajanje varnostnih testov.