歐洲立法的引入 在線數據隱私 將對組織在網站和方面處理用戶個人數據的方式產生重要影響 應用程序,無論是 Android 還是 IOS. 這項新法律對定期處理歐洲居民個人數據的組織提出了質疑。
立法對在線 Web 應用程序和運營有何影響?
一般而言,該法律確保個人可以控制其數據。 這意味著當一個組織在線請求個人信息時,它必須告訴客戶他們的數據會發生什麼。
這項新立法的主要方面如下:
- 更輕鬆地訪問您自己的數據. 用戶有更多關於如何使用他們的數據的信息。 這些信息必須以明確的方式提供。
- 移動數據的能力. 將您的個人數據傳輸給其他服務提供商應該更容易。
- 刪除數據的選項. 如果您不想再使用您的數據並且有正當理由,您必須刪除您的個人數據。
- 知道您的數據何時被黑客入侵. 一旦組織被黑客入侵,您必須盡快通知有關當局此事件。 這樣,用戶就可以進行測量。
那麼如何實現兼容的應用程序呢? GDPR 並讓用戶控制他們的個人數據? 這裡有幾個應用它的技巧。
開發符合 GDPR 的應用程序的提示
確定應用程序是否需要它請求的所有個人數據
理想的隱私實施 遵守 GDPR 是盡可能少地收集個人數據。 使用個人數據,您可以想到:姓名、出生日期、居住地等。 當然,這並非在所有情況下都是可能的,因為有時需要此信息。 在任何情況下,管理層和開發人員確定什麼是最需要收集的信息都很重要。
加密所有個人信息
如果應用程序需要存儲敏感的個人信息,使用強大的加密算法(包括散列)正確加密這些數據非常重要。 在 Ashley Madison 數據洩露事件中,所有信息均以純文本形式提供。
這對其用戶產生了重要影響。 必須明確指出,所有個人數據都是加密的,因此在 Web 應用程序被黑客入侵的情況下無法使用這些數據。 這還包括以下信息:地址、電話號碼和居住地。
考慮 OAUTH 傳輸數據
使用 OAuth,用戶只需使用不同的帳戶即可創建帳戶。 這些協議提供單點登錄,不會幫助收集不必要的信息。
通過 HTTPS 使用安全通信
許多組織不為其網站使用 HTTPS,因為他們認為沒有必要。 例如,如果應用不需要任何類型的身份驗證,HTTPS 可能看起來就沒有必要。 但是,很容易錯過一些東西。 一些應用程序通過“聯繫我們”表格收集個人信息。
如果此信息以明文形式發送,它將在 Internet 上可見。 此外,您應該確保 SSL 證書 正確應用並且不易受到與 SSL 協議相關的危險的影響。
讓用戶知道您如何處理“聯繫我們”信息
應用程序不只是通過身份驗證或訂閱來收集信息。 數據也通過聯繫表格收集。 這通常是個人信息,例如:電話號碼、居住地和電子郵件地址。 它會告知用戶這些數據的存儲時間和方式。 強烈建議使用良好的安全性來存儲此信息。
確保會話和 cookie 過期
至 遵守 GDPR,用戶必須了解應用程序如何使用 cookie。 必須告知用戶應用程序使用 cookie 並提供拒絕 cookie 的選項。 如果有人註銷或不再活動,請確保正確刪除 cookie。
不要跟踪用戶以獲取商業智能
許多電子商務應用程序使用搜索結果和他們購買的產品跟踪用戶以查看他們正在尋找的內容。 像 Netflix 和亞馬遜這樣的公司經常使用這些信息來展示推薦的產品。 由於此信息是出於商業目的而存儲的,因此用戶必須可以選擇接受或不接受。
如果隨後同意保留此信息,則必須告知用戶此信息的存儲方式和存儲時間。 當然,所有個人信息都必須加密。
通知用戶有關記錄
許多應用程序使用位置或 IP 地址來授權登錄。 存儲此信息以防有人試圖繞過此身份驗證。 通知用戶此信息將被存儲以及存儲多長時間。 不要在日誌中存儲敏感信息,如密碼。
安全問題
許多應用程序使用安全問題來確認用戶的身份。 盡量確保此信息不包含任何個人數據,例如用戶母親的姓名,甚至不包含最喜歡的顏色。 只要有可能,請嘗試使用雙因素身份驗證。 如果這不可能,讓用戶提出自己的問題並警告它包含個人信息。 個人信息必須加密存儲。
明確條款和條件
不要試圖隱藏您的條款和條件。 要根據新的歐盟隱私立法符合 GDPR,必須在登錄頁面上提供條款和條件。 此外,當用戶瀏覽應用程序時,條款和條件必須清晰易懂。
用戶必須同意條款和條件才能訪問該應用程序。 這尤其適用於一般條款和條件已更改的情況。 不用說,條款和條件以每個人都能理解的語言提供。
與其他方共享數據
如果您的組織與其他方共享個人數據,則應在一般條款和條件中說明。 這可能是通過附屬公司、政府機構或第三方插件。
如果您的應用被黑客入侵,請制定明確的指導方針
最重要的方面之一 歐洲立法 如果應用程序被黑客入侵,應該通知用戶。 組織應建立明確的指導方針來描述組織將採取的任務和步驟。 請記住,及時通知用戶。
刪除停止服務的用戶數據
許多 Web 應用程序沒有明確說明當帳戶被刪除或有人取消時,個人信息會發生什麼。 根據新法規,公司必須刪除所有個人信息。 應該理解,有人可以停止使用該服務,然後他們的信息將被刪除。 將已刪除帳戶視為非活動帳戶的組織可能是違法的。
消除漏洞
由於該應用程序易受攻擊,因此出現了最大的隱私風險之一。 當系統處理敏感的用戶信息時,這始終是一個風險。 尚未開髮用於及時檢測風險的應用程序更有可能被黑客入侵。 確保您的組織有一個程序來檢測網絡風險並進行安全測試。