Sự ra đời của luật pháp Châu Âu về bảo mật dữ liệu trực tuyến sẽ gây ra những hậu quả quan trọng trong cách các tổ chức xử lý dữ liệu cá nhân của người dùng về các trang web và ứng dụng, cho dù Android hay IOS. Luật mới này đặt ra câu hỏi cho các tổ chức thường xuyên xử lý dữ liệu cá nhân của cư dân châu Âu.
Pháp luật có tác động gì đến các ứng dụng và hoạt động web trực tuyến?
Nói chung, luật này đảm bảo rằng một cá nhân có quyền kiểm soát dữ liệu của họ. Điều này có nghĩa là khi một tổ chức yêu cầu thông tin cá nhân trực tuyến, tổ chức đó phải cho khách hàng biết điều gì sẽ xảy ra với dữ liệu của họ.
Các khía cạnh chính của luật mới này là:
- Truy cập dễ dàng hơn vào dữ liệu của riêng bạn. Người dùng có thêm thông tin về cách dữ liệu của họ được sử dụng. Thông tin này phải được cung cấp một cách rõ ràng.
- Khả năng di chuyển dữ liệu. Việc chuyển dữ liệu cá nhân của bạn sang nhà cung cấp dịch vụ khác sẽ dễ dàng hơn.
- Tùy chọn để xóa dữ liệu của bạn. Nếu bạn không muốn sử dụng dữ liệu của mình nữa và có lý do chính đáng cho việc đó, bạn phải xóa dữ liệu cá nhân của mình.
- Biết khi nào dữ liệu của bạn bị tấn công. Thời điểm một tổ chức bị tấn công, bạn phải thông báo cho cơ quan có thẩm quyền thích hợp về sự kiện này càng sớm càng tốt. Bằng cách này, người dùng có thể thực hiện các phép đo.
Vì vậy, làm thế nào để bạn triển khai một ứng dụng tuân thủ? GDPR và cung cấp cho người dùng quyền kiểm soát dữ liệu cá nhân của họ? Dưới đây là một số mẹo để áp dụng nó.
Mẹo để phát triển các ứng dụng tuân thủ GDPR
Xác định xem ứng dụng có cần tất cả dữ liệu cá nhân mà ứng dụng yêu cầu hay không
Việc triển khai quyền riêng tư lý tưởng cho tuân thủ GDPR là thu thập càng ít dữ liệu cá nhân càng tốt. Với dữ liệu cá nhân, bạn có thể nghĩ đến: tên, ngày sinh, nơi cư trú, v.v. Tất nhiên, điều này là không thể trong mọi tình huống, vì thông tin này đôi khi là cần thiết. Trong mọi tình huống, điều quan trọng là quản lý và nhà phát triển xác định đâu là thông tin cần thiết nhất để thu thập.
Mã hóa tất cả thông tin cá nhân
Nếu một ứng dụng cần lưu trữ thông tin cá nhân nhạy cảm, điều quan trọng là phải mã hóa đúng cách dữ liệu này bằng các thuật toán mã hóa mạnh, bao gồm cả băm. Trong trường hợp vi phạm dữ liệu Ashley Madison, tất cả thông tin đều có sẵn dưới dạng văn bản thuần túy.
Điều này đã gây ra những hậu quả quan trọng cho người dùng của nó. Cần phải tuyên bố rõ ràng rằng tất cả dữ liệu cá nhân đều được mã hóa, vì vậy dữ liệu này không thể được sử dụng trong trường hợp ứng dụng web bị tấn công. Điều này cũng bao gồm thông tin về: địa chỉ, số điện thoại và nơi cư trú.
Hãy nghĩ OAUTH để truyền dữ liệu
Với OAuth, người dùng có thể tạo tài khoản đơn giản bằng cách sử dụng một tài khoản khác. Các giao thức này cung cấp một lần đăng nhập duy nhất và không giúp thu thập nhiều thông tin hơn mức cần thiết.
Sử dụng giao tiếp an toàn qua HTTPS
Nhiều tổ chức không sử dụng HTTPS cho các trang web của họ vì cho rằng nó không cần thiết. Ví dụ: nếu một ứng dụng không yêu cầu bất kỳ loại xác thực nào, thì HTTPS có vẻ không cần thiết. Tuy nhiên, rất dễ bỏ sót điều gì đó. Một số ứng dụng thu thập thông tin cá nhân thông qua biểu mẫu "Liên hệ với chúng tôi".
Nếu thông tin này được gửi dưới dạng văn bản rõ ràng, nó sẽ hiển thị trên Internet. Ngoài ra, bạn nên đảm bảo rằng Chứng chỉ SSL được áp dụng đúng cách và không dễ gặp nguy hiểm liên quan đến giao thức SSL.
Cho người dùng biết cách bạn xử lý thông tin "liên hệ với chúng tôi"
Các ứng dụng không chỉ thu thập thông tin thông qua xác thực hoặc đăng ký. Dữ liệu cũng được thu thập thông qua các biểu mẫu liên hệ. Đây thường là thông tin cá nhân như: số điện thoại, nơi ở và địa chỉ email. Nó thông báo cho người dùng về thời gian và cách dữ liệu này được lưu trữ. Chúng tôi đặc biệt khuyến khích sử dụng bảo mật tốt để lưu trữ thông tin này.
Đảm bảo các phiên và cookie hết hạn
đến tuân thủ GDPR, người dùng phải biết cách ứng dụng sử dụng cookie. Người dùng phải được thông báo rằng ứng dụng sử dụng cookie và được cung cấp tùy chọn từ chối cookie. Đảm bảo rằng cookie được xóa đúng cách nếu ai đó đăng xuất hoặc không còn hoạt động.
Không theo dõi người dùng để biết thông tin kinh doanh
Nhiều ứng dụng Thương mại điện tử theo dõi người dùng để biết những gì họ đang tìm kiếm bằng cách sử dụng kết quả tìm kiếm và sản phẩm họ mua. Các công ty như Netflix và Amazon thường sử dụng thông tin này để hiển thị các sản phẩm được đề xuất. Vì thông tin này được lưu trữ cho mục đích thương mại, người dùng phải có tùy chọn chấp nhận nó hoặc không.
Nếu sau đó được đồng ý để lưu giữ thông tin này, người dùng phải được thông báo về cách thông tin này được lưu trữ và trong thời gian bao lâu. Tất nhiên, tất cả thông tin cá nhân phải được mã hóa.
Thông báo cho người dùng về các bản ghi
Nhiều ứng dụng sử dụng vị trí hoặc địa chỉ IP để cho phép đăng nhập. Thông tin này được lưu trữ trong trường hợp ai đó cố gắng vượt qua xác thực này. Thông báo cho người dùng rằng thông tin này sẽ được lưu trữ và trong thời gian bao lâu. Không lưu trữ thông tin nhạy cảm trong nhật ký, giống như mật khẩu.
Câu hỏi bảo mật
Nhiều ứng dụng sử dụng câu hỏi bảo mật để xác nhận danh tính của người dùng. Cố gắng đảm bảo rằng thông tin này không chứa bất kỳ dữ liệu cá nhân nào, chẳng hạn như tên mẹ của người dùng và thậm chí không phải là màu sắc yêu thích. Bất cứ khi nào có thể, hãy cố gắng sử dụng xác thực hai yếu tố. Nếu không thể, hãy để người dùng tự đặt câu hỏi và cảnh báo rằng nó chứa thông tin cá nhân. Thông tin cá nhân phải được lưu trữ mã hóa.
Đưa ra các điều khoản và điều kiện rõ ràng
Đừng cố gắng che giấu các điều khoản và điều kiện của bạn. Để tuân thủ GDPR theo luật bảo mật mới của Liên minh Châu Âu, các điều khoản và điều kiện phải có sẵn trên trang đích. Ngoài ra, các điều khoản và điều kiện phải rõ ràng và có thể truy cập mọi lúc khi người dùng duyệt ứng dụng.
Người dùng được yêu cầu đồng ý với các điều khoản và điều kiện trước khi họ có thể truy cập ứng dụng. Điều này đặc biệt áp dụng khi các điều khoản và điều kiện chung đã được thay đổi. Không cần phải nói rằng các điều khoản và điều kiện có sẵn bằng ngôn ngữ mà mọi người có thể hiểu được.
Chia sẻ dữ liệu với các bên khác
Nếu tổ chức của bạn chia sẻ dữ liệu cá nhân với các bên khác, điều này phải được nêu trong các điều khoản và điều kiện chung. Điều này có thể thông qua các chi nhánh, cơ quan chính phủ hoặc các plugin của bên thứ ba.
Đặt ra các nguyên tắc rõ ràng nếu ứng dụng của bạn bị tấn công
Một trong những khía cạnh quan trọng nhất của luật pháp châu Âu là người dùng sẽ được thông báo nếu một ứng dụng đã bị tấn công. Các tổ chức nên thiết lập các hướng dẫn rõ ràng để mô tả nhiệm vụ và các bước tổ chức sẽ thực hiện. Hãy nhớ rằng người dùng được thông báo kịp thời.
Xóa dữ liệu của những người dùng ngừng dịch vụ
Nhiều ứng dụng web không trình bày rõ ràng điều gì sẽ xảy ra với thông tin cá nhân khi tài khoản bị xóa hoặc ai đó hủy. Với luật mới, các công ty phải xóa tất cả thông tin cá nhân. Cần hiểu rằng ai đó có thể ngừng sử dụng dịch vụ và sau đó thông tin của họ sẽ bị xóa. Các tổ chức coi tài khoản đã xóa là không hoạt động có thể vi phạm pháp luật.
Loại bỏ các lỗ hổng
Một trong những rủi ro lớn nhất về quyền riêng tư phát sinh do ứng dụng dễ bị tấn công. Đây luôn là một rủi ro khi một hệ thống xử lý thông tin nhạy cảm của người dùng. Một ứng dụng không được phát triển để phát hiện rủi ro kịp thời thì càng dễ bị hack. Đảm bảo rằng tổ chức của bạn có chương trình phát hiện rủi ro mạng và tiến hành kiểm tra bảo mật.