Увођење европског законодавства о приватност података на мрежи имаће важне последице на начин на који организације третирају личне податке својих корисника у погледу веб страница и апликације, било Андроид или ИОС. Овај нови закон поставља питања за организације које редовно обрађују личне податке европских становника.
Какав утицај законодавство има на онлајн веб апликације и операције?
Уопштено говорећи, овај закон осигурава да појединац има контролу над својим подацима. То значи да када организација затражи личне податке на мрежи, мора рећи купцу шта се дешава са њиховим подацима.
Главни аспекти овог новог закона су следећи:
- Лакши приступ сопственим подацима. Корисник има више информација о томе како се његови подаци користе. Ове информације морају бити доступне на јасан начин.
- Могућност премештања података. Требало би да буде лакше да пренесете своје личне податке другом провајдеру услуга.
- Опција за брисање ваших података. Ако више не желите да се ваши подаци користе и за то постоји ваљан разлог, морате избрисати своје личне податке.
- Сазнајте када су ваши подаци хаковани. У тренутку када је организација хакована, морате обавестити надлежни орган о овом догађају што је пре могуће. На овај начин корисници могу да врше мерења.
Дакле, како имплементирати усаглашену апликацију? ГДПР и даје кориснику контролу над њиховим личним подацима? Ево неколико савета како да га примените.
Савети за развој апликација усаглашених са ГДПР-ом
Одредите да ли су апликацији потребни сви лични подаци које тражи
Идеална имплементација приватности за у складу са ГДПР је прикупљање што мање личних података. Са личним подацима можете мислити на: име, датум рођења, место становања итд. То, наравно, није могуће у свим ситуацијама, јер су ове информације понекад неопходне. У свакој ситуацији важно је да менаџмент и програмери одреде које су информације најнеопходније за прикупљање.
Шифрујте све личне податке
Ако апликација треба да складишти осетљиве личне податке, важно је правилно шифровати ове податке користећи јаке алгоритаме шифровања, укључујући хеширање. У случају повреде података Ешли Медисон, све информације су биле доступне у обичном тексту.
Ово је имало важне последице по његове кориснике. Мора се изричито навести да су сви лични подаци шифровани, тако да се ови подаци не могу користити у случају хаковане веб апликације. Ово такође укључује информације о: адреси, бројевима телефона и месту становања.
Мислите на ОАУТХ за пренос података
Са ОАутх-ом, корисници могу да креирају налог једноставно користећи други налог. Ови протоколи обезбеђују јединствену пријаву и не помажу у прикупљању више информација него што је потребно.
Користите безбедну комуникацију преко ХТТПС-а
Многе организације не користе ХТТПС за своје веб странице јер се верује да то није неопходно. На пример, ако апликација не захтева никакву врсту аутентификације, ХТТПС можда неће изгледати неопходан. Међутим, лако је нешто пропустити. Неке апликације прикупљају личне податке путем обрасца „Контактирајте нас“.
Ако се ова информација пошаље у чистом тексту, биће видљива на Интернету. Такође, требало би да се уверите у то ССЛ сертификати се правилно примењују и нису подложни опасностима везаним за ССЛ протоколе.
Обавестите кориснике како поступате са информацијама „контактирајте нас“.
Апликације не прикупљају информације само путем аутентификације или претплата. Подаци се такође прикупљају путем контакт образаца. То су обично лични подаци као што су: број телефона, место становања и адреса е-поште. Обавештава кориснике колико дуго и како се ови подаци чувају. Изричито се препоручује коришћење добре безбедности за чување ових информација.
Уверите се да сесије и колачићи истичу
у у складу са ГДПР, корисници морају бити свесни како апликација користи колачиће. Корисник мора бити обавештен да апликација користи колачиће и понудити му опцију да одбије колачиће. Уверите се да су колачићи правилно избрисани ако се неко одјави или више није активан.
Немојте пратити кориснике ради пословне интелигенције
Многе апликације за е-трговину прате кориснике да би видели шта траже користећи резултате претраге и производе које купују. Компаније као што су Нетфлик и Амазон често користе ове информације за приказ предложених производа. Пошто се ове информације чувају у комерцијалне сврхе, корисник мора имати опцију да их прихвати или не.
Ако се накнадно да сагласност за задржавање ових информација, корисник мора бити обавештен како се те информације чувају и колико дуго. Наравно, сви лични подаци морају бити шифровани.
Обавестите корисника о евиденцији
Многе апликације користе локације или ИП адресе за ауторизацију пријаве. Ове информације се чувају у случају да неко покуша да заобиђе ову аутентификацију. Обавештава кориснике да ће се ове информације чувати и колико дуго. Не чувајте осетљиве информације у евиденцији, попут лозинке.
Сигурносна питања
Многе апликације користе безбедносна питања за потврду идентитета корисника. Покушајте да се уверите да ове информације не садрже никакве личне податке, као што је име мајке корисника, па чак ни омиљена боја. Кад год је могуће, покушајте да користите двофакторску аутентификацију. Ако то није могуће, нека корисник поставља своја питања и упозори да садржи личне податке. Лични подаци морају да се чувају шифровани.
Наведите јасне услове
Не покушавајте да сакријете своје услове и одредбе. Да би били усаглашени са ГДПР-ом према новом законодавству ЕУ о приватности, услови и одредбе морају бити доступни на одредишној страници. Поред тога, услови и одредбе морају бити јасни и доступни у сваком тренутку када корисник прегледа апликацију.
Од корисника се тражи да пристану на одредбе и услове пре него што могу да приступе апликацији. Ово посебно важи када су општи услови промењени. Подразумева се да су услови и одредбе доступни на језику који свако може да разуме.
Дељење података са другим странама
Ако ваша организација дели личне податке са другим странама, то треба да буде наведено у општим условима. Ово може бити преко филијала, владиних агенција или додатака трећих страна.
Поставите јасне смернице ако је ваша апликација хакована
Један од најважнијих аспеката европско законодавство је да корисници треба да буду обавештени ако је апликација хакована. Организације треба да успоставе јасне смернице за опис задатка и корака које ће организација предузети. Имајте на уму да је корисник благовремено обавештен.
Избришите податке корисника који заустављају услугу
Многе веб апликације не наводе јасно шта се дешава са личним подацима када се налог избрише или неко откаже. Са новим законима, компаније морају да избришу све личне податке. Требало би разумети да неко може да престане да користи услугу и тада ће његови подаци бити избрисани. Организације које третирају избрисани налог као неактиван могу бити против закона.
Уклоните рањивости
Један од највећих ризика за приватност настаје зато што је апликација рањива. Ово је увек ризик када систем рукује осетљивим корисничким информацијама. Већа је вероватноћа да ће бити хакована апликација која није развијена да открије ризике на време. Уверите се да ваша организација има програм за откривање сајбер ризика и спровођење безбедносних тестова.