Avrupa mevzuatının tanıtılması çevrimiçi veri gizliliği kuruluşların, kullanıcılarının kişisel verilerini web siteleri açısından ele alma biçiminde önemli sonuçları olacaktır. ister Android ister IOS olsun uygulamalar. Bu yeni yasa, Avrupa'da ikamet edenlerin kişisel verilerini düzenli olarak işleyen kuruluşlar için sorular ortaya çıkarmaktadır.
Mevzuatın çevrimiçi web uygulamaları ve operasyonları üzerindeki etkisi nedir?
Genel anlamda, bu yasa, bir bireyin verileri üzerinde kontrol sahibi olmasını sağlar. Bu, bir kuruluşun çevrimiçi olarak kişisel bilgi talep ettiğinde müşteriye verilerine ne olduğunu söylemesi gerektiği anlamına gelir.
Bu yeni mevzuatın ana yönleri şunlardır:
- Kendi verilerinize daha kolay erişim. Kullanıcı, verilerinin nasıl kullanıldığı hakkında daha fazla bilgiye sahiptir. Bu bilgiler açık bir şekilde sunulmalıdır.
- Veri taşıma yeteneği. Kişisel verilerinizi başka bir servis sağlayıcıya aktarmak daha kolay olmalıdır.
- Verilerinizi silme seçeneği. Verilerinizin artık kullanılmasını istemiyorsanız ve bunun için geçerli bir nedeniniz varsa, kişisel verilerinizi silmelisiniz.
- Verilerinizin ne zaman saldırıya uğradığını bilin. Bir kuruluş saldırıya uğradığı anda, bu olayı ilgili makama mümkün olan en kısa sürede bildirmelisiniz. Bu sayede kullanıcılar ölçü alabilirler.
Peki uyumlu bir uygulamayı nasıl uygularsınız? KVKK ve kullanıcıya kişisel verileri üzerinde kontrol sağlıyor mu? İşte bunu uygulamak için birkaç ipucu.
GDPR uyumlu uygulamalar geliştirmeye yönelik ipuçları
Uygulamanın istediği tüm kişisel verilere ihtiyacı olup olmadığını belirleyin
için ideal gizlilik uygulaması GDPR'ye uymak mümkün olduğunca az kişisel veri toplamaktır. Kişisel verilerle şunları düşünebilirsiniz: isim, doğum tarihi, ikamet yeri vb. Bu, elbette, her durumda mümkün değildir, çünkü bu bilgi bazen gerekli olabilir. Herhangi bir durumda yönetimin ve geliştiricilerin, toplanacak en gerekli bilgilerin ne olduğunu belirlemesi önemlidir.
Tüm kişisel bilgileri şifreleyin
Bir uygulamanın hassas kişisel bilgileri depolaması gerekiyorsa, hashing de dahil olmak üzere güçlü şifreleme algoritmaları kullanarak bu verileri düzgün bir şekilde şifrelemek önemlidir. Ashley Madison veri ihlali durumunda, tüm bilgiler düz metin olarak mevcuttu.
Bunun kullanıcıları için önemli sonuçları oldu. Tüm kişisel verilerin şifreli olduğu açıkça belirtilmelidir, bu nedenle web uygulamasının saldırıya uğraması durumunda bu veriler kullanılamaz. Bu aynı zamanda şu bilgileri de içerir: adres, telefon numaraları ve ikamet yeri.
Veri aktarmak için OAUTH'u düşünün
OAuth ile kullanıcılar sadece farklı bir hesap kullanarak bir hesap oluşturabilir. Bu protokoller tek bir oturum açma sağlar ve gereğinden fazla bilgi toplanmasına yardımcı olmaz.
HTTPS üzerinden güvenli iletişim kullanın
Birçok kuruluş web siteleri için HTTPS kullanmaz çünkü gerekli olmadığına inanılır. Örneğin, bir uygulama herhangi bir kimlik doğrulama türü gerektirmiyorsa HTTPS gerekli görünmeyebilir. Ancak, bir şeyi kaçırmak kolaydır. Bazı uygulamalar, "Bize Ulaşın" formu aracılığıyla kişisel bilgiler toplar.
Bu bilgiler açık metin olarak gönderilirse internette görünür olacaktır. Ayrıca, bundan emin olmalısınız SSL sertifikaları doğru uygulanır ve SSL protokolleriyle ilgili tehlikelere açık değildir.
Kullanıcıların "bize ulaşın" bilgilerini nasıl ele aldığınızı bilmelerini sağlayın
Uygulamalar yalnızca kimlik doğrulama veya abonelikler yoluyla bilgi toplamaz. Veriler ayrıca iletişim formları aracılığıyla toplanır. Bunlar genellikle telefon numarası, ikamet yeri ve e-posta adresi gibi kişisel bilgilerdir. Bu verilerin ne kadar süreyle ve nasıl saklandığı konusunda kullanıcılara bilgi verir. Bu bilgileri saklamak için iyi bir güvenlik kullanmanız şiddetle tavsiye edilir.
Oturumların ve çerezlerin süresinin dolmasını sağlayın
Daha GDPR'ye uymak, kullanıcılar, uygulamanın çerezleri nasıl kullandığının farkında olmalıdır. Kullanıcı, uygulamanın tanımlama bilgileri kullandığı konusunda bilgilendirilmeli ve tanımlama bilgilerini reddetme seçeneği sunulmalıdır. Birisi oturumu kapatırsa veya artık aktif değilse, çerezlerin düzgün şekilde silindiğinden emin olun.
Kullanıcıları iş zekası için takip etmeyin
Birçok e-ticaret uygulaması, arama sonuçlarını ve satın aldıkları ürünleri kullanarak aradıklarını görmek için kullanıcıları izler. Netflix ve Amazon gibi şirketler, önerilen ürünleri görüntülemek için genellikle bu bilgileri kullanır. Bu bilgiler ticari amaçlarla saklandığından, kullanıcının bunu kabul edip etmeme seçeneğine sahip olması gerekir.
Daha sonra bu bilgilerin saklanması için izin verilirse, kullanıcı bu bilgilerin nasıl ve ne kadar süreyle saklandığı konusunda bilgilendirilmelidir. Tabii ki, tüm kişisel bilgiler şifrelenmelidir.
Kullanıcıyı kayıtlar hakkında bilgilendirin
Birçok uygulama, oturum açma yetkisi vermek için konumları veya IP adreslerini kullanır. Bu bilgi, birinin bu kimlik doğrulamasını atlamaya çalışması durumunda saklanır. Kullanıcılara bu bilgilerin ne kadar süreyle saklanacağını bildirir. Hassas bilgileri günlüklerde saklamayın, şifre gibi.
Güvenlik soruları
Birçok uygulama, bir kullanıcının kimliğini doğrulamak için güvenlik soruları kullanır. Bu bilgilerin kullanıcının annesinin adı ve hatta favori rengi gibi herhangi bir kişisel veri içermediğinden emin olmaya çalışın. Mümkün olduğunda, iki faktörlü kimlik doğrulamayı kullanmayı deneyin. Bu mümkün değilse, kullanıcının kendi sorularını sormasına ve kişisel bilgiler içerdiği konusunda uyarmasına izin verin. Kişisel bilgiler şifreli olarak saklanmalıdır.
Şartları ve koşulları netleştirin
Hüküm ve koşullarınızı saklamaya çalışmayın. Yeni AB gizlilik yasası kapsamında GDPR ile uyumlu olması için şartlar ve koşullar açılış sayfasında mevcut olmalıdır. Ayrıca, şartlar ve koşullar, kullanıcı uygulamada gezinirken her zaman açık ve erişilebilir olmalıdır.
Kullanıcıların uygulamaya erişmeden önce şartlar ve koşulları kabul etmesi gerekir. Bu, özellikle genel şartlar ve koşullar değiştirildiğinde geçerlidir. Şartlar ve koşulların herkesin anlayabileceği bir dilde mevcut olduğunu söylemeye gerek yok.
Verileri diğer taraflarla paylaşma
Kuruluşunuz kişisel verileri diğer taraflarla paylaşıyorsa, bu genel hüküm ve koşullarda belirtilmelidir. Bu, bağlı kuruluşlar, devlet kurumları veya üçüncü taraf eklentiler aracılığıyla olabilir.
Uygulamanız saldırıya uğradıysa net yönergeler belirleyin
En önemli yönlerinden biri avrupa hukuku bir uygulamanın saldırıya uğraması durumunda kullanıcılara bildirilmesi gerektiğidir. Kuruluşlar, görevi ve kuruluşun atacağı adımları tanımlamak için açık yönergeler oluşturmalıdır. Kullanıcının zamanında bilgilendirildiğini unutmayın.
Hizmeti durduran kullanıcıların verilerini silin
Birçok web uygulaması, bir hesap silindiğinde veya birisi iptal ettiğinde kişisel bilgilere ne olduğunu açıkça belirtmez. Yeni mevzuatla birlikte şirketlerin tüm kişisel bilgileri silmeleri gerekiyor. Birisinin hizmeti kullanmayı bırakabileceği ve ardından bilgilerinin silineceği anlaşılmalıdır. Silinen bir hesabı etkin değil olarak değerlendiren kuruluşlar yasalara aykırı olabilir.
Güvenlik açıklarını ortadan kaldırın
En büyük gizlilik risklerinden biri, uygulamanın savunmasız olması nedeniyle ortaya çıkar. Bir sistem hassas kullanıcı bilgilerini işlediğinde bu her zaman bir risktir. Riskleri zamanında tespit etmek için geliştirilmeyen bir uygulamanın hacklenme olasılığı daha yüksektir. Kuruluşunuzun siber riskleri tespit etmek ve güvenlik testleri yapmak için bir programı olduğundan emin olun.