开发符合 GDPR 的应用程序的提示

欧洲立法的引入 在线数据隐私 将对组织在网站和方面处理用户个人数据的方式产生重要影响 应用程序,无论是 Android 还是 IOS. 这项新法律对定期处理欧洲居民个人数据的组织提出了质疑。

立法对在线 Web 应用程序和运营有何影响?

一般而言,该法律确保个人可以控制其数据。 这意味着当一个组织在线请求个人信息时,它必须告诉客户他们的数据会发生什么。

这项新立法的主要方面如下:

  • 更轻松地访问您自己的数据. 用户有更多关于如何使用他们的数据的信息。 这些信息必须以明确的方式提供。
  • 移动数据的能力. 将您的个人数据传输给其他服务提供商应该更容易。
  • 删除数据的选项. 如果您不想再使用您的数据并且有正当理由,您必须删除您的个人数据。
  • 知道您的数据何时被黑客入侵. 一旦组织被黑客入侵,您必须尽快通知有关当局此事件。 这样,用户就可以进行测量。

那么如何实现兼容的应用程序呢? 《通用数据保护条例》(GDPR) 并让用户控制他们的个人数据? 这里有几个应用它的技巧。

开发符合 GDPR 的应用程序的提示

确定应用程序是否需要它请求的所有个人数据

理想的隐私实施 遵守 GDPR 是尽可能少地收集个人数据。 通过个人数据,您可以想到:姓名、出生日期、居住地等。 当然,这并非在所有情况下都是可能的,因为有时需要此信息。 在任何情况下,管理层和开发人员确定什么是最需要收集的信息都很重要。

加密所有个人信息

如果应用程序需要存储敏感的个人信息,使用强大的加密算法(包括散列)正确加密这些数据非常重要。 在 Ashley Madison 数据泄露事件中,所有信息均以纯文本形式提供。

这对其用户产生了重要影响。 必须明确指出,所有个人数据都是加密的,因此在 Web 应用程序被黑客入侵的情况下无法使用这些数据。 这还包括以下信息:地址、电话号码和居住地。

考虑 OAUTH 传输数据

使用 OAuth,用户只需使用不同的帐户即可创建帐户。 这些协议提供单点登录,不会帮助收集不必要的信息。

通过 HTTPS 使用安全通信

许多组织不为其网站使用 HTTPS,因为人们认为这没有必要。 例如,如果应用程序不需要任何类型的身份验证,则 HTTPS 似乎没有必要。 但是,很容易错过一些东西。 一些应用程序通过“联系我们”表格收集个人信息。

如果此信息以明文形式发送,它将在 Internet 上可见。 此外,您应该确保 SSL 证书 正确应用并且不易受到与 SSL 协议相关的危险的影响。

让用户知道您如何处理“联系我们”信息

应用程序不只是通过身份验证或订阅来收集信息。 数据也通过联系表格收集。 这通常是个人信息,例如:电话号码、居住地和电子邮件地址。 它会告知用户这些数据的存储时间和方式。 强烈建议使用良好的安全性来存储此信息。

确保会话和 cookie 过期

遵守 GDPR,用户必须了解应用程序如何使用 cookie。 必须告知用户应用程序使用 cookie 并提供拒绝 cookie 的选项。 如果有人注销或不再活动,请确保正确删除 cookie。

不要跟踪用户以获取商业智能

许多电子商务应用程序使用搜索结果和他们购买的产品跟踪用户以查看他们正在寻找的内容。 像 Netflix 和亚马逊这样的公司经常使用这些信息来展示推荐的产品。 由于此信息是出于商业目的而存储的,因此用户必须可以选择接受或不接受。

如果随后同意保留此信息,则必须告知用户此信息的存储方式和存储时间。 当然,所有个人信息都必须加密。

通知用户有关记录

许多应用程序使用位置或 IP 地址来授权登录。 存储此信息以防有人试图绕过此身份验证。 通知用户此信息将被存储以及存储多长时间。 不要在日志中存储敏感信息,比如密码。

安全问题

许多应用程序使用安全问题来确认用户的身份。 尽量确保此信息不包含任何个人数据,例如用户母亲的姓名,甚至不包含最喜欢的颜色。 只要有可能,请尝试使用双因素身份验证。 如果这不可能,让用户提出自己的问题并警告它包含个人信息。 个人信息必须加密存储。

明确条款和条件

不要试图隐藏您的条款和条件。 要根据新的欧盟隐私立法符合 GDPR,必须在登录页面上提供条款和条件。 此外,当用户浏览应用程序时,条款和条件必须清晰易懂。

用户必须同意条款和条件才能访问该应用程序。 这尤其适用于一般条款和条件已更改的情况。 不用说,条款和条件以每个人都能理解的语言提供。

与其他方共享数据

如果您的组织与其他方共享个人数据,则应在一般条款和条件中说明。 这可能是通过附属公司、政府机构或第三方插件。

如果您的应用被黑客入侵,请制定明确的指导方针

最重要的方面之一 欧洲法 如果应用程序被黑客入侵,应该通知用户。 组织应建立明确的指导方针来描述组织将采取的任务和步骤。 请记住,及时通知用户。

删除停止服务的用户数据

许多 Web 应用程序没有明确说明当帐户被删除或有人取消时,个人信息会发生什么。 根据新法规,公司必须删除所有个人信息。 应该理解,有人可以停止使用该服务,然后他们的信息将被删除。 将已删除帐户视为非活动帐户的组织可能是违法的。

消除漏洞

由于该应用程序易受攻击,因此出现了最大的隐私风险之一。 当系统处理敏感的用户信息时,这始终是一个风险。 尚未开发用于及时检测风险的应用程序更有可能被黑客入侵。 确保您的组织有一个程序来检测网络风险并进行安全测试。


成为第一个发表评论

发表您的评论

您的电子邮件地址将不会被发表。 必填字段标有 *

*

*