Запровадження європейського законодавства про конфіденційність даних в Інтернеті матиме важливі наслідки в тому, як організації обробляють персональні дані своїх користувачів щодо веб-сайтів та програми, будь то Android чи IOS. Цей новий закон викликає питання у організацій, які регулярно обробляють персональні дані мешканців Європи.
Який вплив має законодавство на онлайн-додатки та роботу веб-сайтів?
Загалом, цей закон гарантує, що особа має контроль над своїми даними. Це означає, що коли організація запитує особисту інформацію в Інтернеті, вона повинна повідомити клієнта, що відбувається з його даними.
Основними аспектами цього нового законодавства є наступні:
- Простіший доступ до власних даних. Користувач має більше інформації про те, як використовуються його дані. Ця інформація має бути доступною у чіткій формі.
- Можливість переміщення даних. Буде легше передати ваші особисті дані іншому постачальнику послуг.
- Можливість видалення ваших даних. Якщо ви більше не хочете, щоб ваші дані використовувалися і для цього є поважна причина, ви повинні видалити свої персональні дані.
- Дізнайтеся, коли ваші дані були зламані. У момент злому організації ви повинні якомога швидше повідомити відповідний орган про цю подію. Таким чином користувачі можуть проводити вимірювання.
Отже, як ви реалізуєте відповідну програму? GDPR і надає користувачеві контроль над його персональними даними? Ось кілька порад щодо його застосування.
Поради щодо розробки програм, що відповідають GDPR
Визначте, чи потрібні додатку всі особисті дані, які вона запитує
Ідеальна реалізація конфіденційності для відповідати GDPR полягає в тому, щоб зібрати якомога менше персональних даних. З особистими даними ви можете думати про: ім’я, дату народження, місце проживання тощо. Це, звичайно, можливо не у всіх ситуаціях, оскільки ця інформація іноді потрібна. У будь-якій ситуації важливо, щоб керівництво та розробники визначали, яку інформацію необхідно збирати.
Шифруйте всю особисту інформацію
Якщо програмі потрібно зберігати конфіденційну особисту інформацію, важливо правильно зашифрувати ці дані за допомогою надійних алгоритмів шифрування, включаючи хешування. У випадку порушення даних Ешлі Медісон вся інформація була доступна у вигляді простого тексту.
Це мало серйозні наслідки для користувачів. Необхідно чітко вказати, що всі персональні дані зашифровані, тому ці дані не можуть бути використані у випадку злому веб-додатку. Сюди також входить інформація про: адресу, номери телефонів та місце проживання.
Подумайте про OAUTH для передачі даних
За допомогою OAuth користувачі можуть створити обліковий запис, просто використовуючи інший обліковий запис. Ці протоколи забезпечують єдиний вхід і не допомагають зібрати більше інформації, ніж необхідно.
Використовуйте безпечний зв’язок через HTTPS
Багато організацій не використовують HTTPS для своїх веб-сайтів, оскільки вважають, що це не потрібно. Наприклад, якщо програма не вимагає жодного типу аутентифікації, HTTPS може не здаватися потрібним. Проте легко щось пропустити. Деякі програми збирають особисту інформацію через форму "Зв'язатися з нами".
Якщо ця інформація буде надіслана відкритим текстом, вона буде видима в Інтернеті. Крім того, ви повинні переконатися в цьому SSL сертифікати застосовуються правильно і не піддаються небезпеці, пов’язаної з протоколами SSL.
Повідомте користувачам, як ви обробляєте інформацію «зв’яжіться з нами».
Програми не просто збирають інформацію за допомогою автентифікації або підписок. Дані також збираються через контактні форми. Зазвичай це особиста інформація, така як: номер телефону, місце проживання та адреса електронної пошти. Він інформує користувачів, як довго і як ці дані зберігаються. Настійно рекомендується використовувати надійний захист для зберігання цієї інформації.
Переконайтеся, що термін дії сеансів і файлів cookie закінчився
в відповідати GDPR, користувачі повинні знати, як програма використовує файли cookie. Користувача необхідно повідомити про те, що програма використовує файли cookie, і запропонувати можливість відхилення файлів cookie. Переконайтеся, що файли cookie належним чином видалені, якщо хтось виходить із системи або більше не активний.
Не відстежуйте користувачів на предмет бізнес-аналітики
Багато програм електронної комерції відстежують користувачів, щоб побачити, що вони шукають, використовуючи результати пошуку та продукти, які вони купують. Такі компанії, як Netflix і Amazon, часто використовують цю інформацію для відображення пропонованих продуктів. Оскільки ця інформація зберігається в комерційних цілях, користувач повинен мати можливість прийняти її чи ні.
Якщо згодом буде надано згоду на збереження цієї інформації, користувач повинен бути поінформований, як ця інформація зберігається і як довго. Звичайно, вся особиста інформація повинна бути зашифрована.
Повідомте користувача про записи
Багато програм використовують розташування або IP-адреси для авторизації входу. Ця інформація зберігається на випадок, якщо хтось спробує обійти цю автентифікацію. Повідомляє користувачів, що ця інформація буде зберігатися і як довго. Не зберігайте конфіденційну інформацію в журналах, як і пароль.
Питання безпеки
Багато програм використовують таємні запитання для підтвердження особи користувача. Намагайтеся, щоб ця інформація не містила жодних особистих даних, наприклад, ім’я матері користувача і навіть улюбленого кольору. По можливості намагайтеся використовувати двофакторну аутентифікацію. Якщо це неможливо, дозвольте користувачу задати власні запитання та попередити, що він містить особисту інформацію. Особиста інформація повинна зберігатися в зашифрованому вигляді.
Сформулюйте чіткі умови
Не намагайтеся приховати свої умови. Щоб відповідати GDPR відповідно до нового законодавства ЄС про конфіденційність, положення та умови мають бути доступні на цільовій сторінці. Крім того, положення та умови мають бути зрозумілими та доступними в будь-який час, коли користувач переглядає програму.
Користувачі повинні погодитися з умовами, перш ніж отримати доступ до програми. Особливо це стосується випадків, коли загальні умови були змінені. Само собою зрозуміло, що положення та умови доступні мовою, яку всі розуміють.
Обмін даними з іншими сторонами
Якщо ваша організація ділиться персональними даними з іншими сторонами, це має бути зазначено в загальних умовах. Це може здійснюватися через філії, державні установи або плагіни сторонніх розробників.
Установіть чіткі вказівки, якщо ваш додаток зламано
Один з найважливіших аспектів європейське законодавство полягає в тому, що користувачі повинні бути сповіщені, якщо додаток було зламано. Організації повинні встановити чіткі вказівки для опису завдання та кроків, які буде робити організація. Майте на увазі, що користувач інформується вчасно.
Видалити дані користувачів, які припиняють роботу служби
Багато веб-додатків чітко не вказують, що відбувається з особистою інформацією, коли обліковий запис видаляється або хтось скасовує. Згідно з новим законодавством, компанії повинні видалити всю особисту інформацію. Слід розуміти, що хтось може припинити користуватися сервісом і тоді його інформація буде видалена. Організації, які вважають видалений обліковий запис неактивним, можуть порушувати закон.
Усунути вразливі місця
Один з найбільших ризиків для конфіденційності виникає через те, що додаток є вразливим. Це завжди є ризиком, коли система обробляє конфіденційну інформацію користувача. Додаток, який не був розроблений для вчасного виявлення ризиків, швидше за все, буде зламаний. Переконайтеся, що у вашій організації є програма для виявлення кіберризиків і проведення тестів безпеки.