8 компонентов веб-сайта мирового класса, обеспечивающего конфиденциальность

Опубликовано: 1 Апреля, 2023
8 компонентов веб-сайта мирового класса, обеспечивающего конфиденциальность

От пользователей Интернета постоянно ожидают, что они будут доверять различным веб-сайтам, на которые они натыкаются, некоторые из своих наиболее конфиденциальных личных данных. Эти данные варьируются от их истории просмотров до номеров их кредитных карт. Если вы владеете веб-сайтом или управляете им, чем больше информации вы требуете от посетителей вашего сайта, тем большую ответственность ложится на ваши плечи, чтобы обеспечить постоянную защиту их конфиденциальности. Вы можете создать прочную основу доверия посетителей вашего веб-сайта, разработав и внедрив среду, обеспечивающую конфиденциальность. Безопасный для конфиденциальности веб-сайт основан на нескольких строительных блоках. Вот посмотрите на восемь самых важных из них.

1. Минимизируйте сбор персональных данных

Изображение 10051
Шаттерсток

Конфиденциальность начинается с характера вашего взаимодействия с данными клиентов. Первая и, пожалуй, самая важная стратегия конфиденциальности — свести сбор конфиденциальной личной информации к абсолютному минимуму. Чем меньше личных данных вы собираете, тем ниже риск того, что вы можете непреднамеренно нарушить политики, правила и стандарты конфиденциальности. Вы не можете злоупотреблять, злоупотреблять или разглашать конфиденциальную информацию, если ее вообще не существует. Существует несколько методов, которые вы можете использовать, чтобы свести к минимуму количество и глубину личных данных, которыми владеет ваша организация.

Во-первых, собирайте и обрабатывайте личные данные только тех людей, которые имеют непосредственное отношение к вашим текущим целям. Во-вторых, заранее исключите ненужные вам атрибуты и людей. Немедленно удалите любые такие данные, если вы когда-либо их получите. В-третьих, избавьтесь от любых данных, которые вам больше не нужны. Вы можете сделать это, назначив четкие временные рамки для каждой части информации, которую вы собираете, а затем настройте автоматическое удаление по истечении этого периода. В-четвертых, безвозвратно уничтожайте персональные данные, которые вам больше не нужны. Убедитесь, что уничтожение является полным и окончательным до такой степени, что информация не может быть восстановлена.

2. Разделяйте данные из разных контекстов

Вы должны физически или логически разделить личные данные, которые возникают или существуют в разных контекстах. Это гарантирует, например, что лица, чья работа связана с обработкой данных о клиентах из одного контекста, не имеют доступа к данным на том же веб-сайте, а принадлежат к другому контексту. Разделение снижает вероятность преднамеренного или случайного объединения или корреляции данных. Есть два метода, которые вы можете использовать для реализации разделения на веб-сайте, обеспечивающем конфиденциальность.

Во-первых, собирайте и обрабатывайте различные контексты конфиденциальной личной информации в разных приложениях или базах данных. Во-вторых, чтобы большая часть сбора и обработки данных происходила на собственном оборудовании субъекта (компьютер, смартфон, планшет и т. д.) и хранила данные на веб-сервере только тогда, когда у вас нет другого выбора. Идея состоит в том, чтобы сделать так, чтобы любой, кто получает полный контроль над устройством конечного пользователя или центральным веб-сервером, не мог видеть весь объем используемых вами персональных данных.

3. Максимально абстрагируйте конфиденциальные личные данные

Используйте подробные представления личных данных только в случае крайней необходимости. Чем больше вы «уменьшаете» личные данные и абстрагируете их, тем ниже становится риск нарушения конфиденциальности. Вы можете абстрагировать данные как на уровне атрибутов субъекта, так и на уровне субъекта. Три метода могут помочь вам сделать это для веб-сайта, обеспечивающего конфиденциальность.

Во-первых, обобщите атрибуты в более общей, грубой форме. Например, попросите посетителей выбрать возрастной диапазон, а не дату рождения. Во-вторых, объединяйте данные в связанные группы перед обработкой. Таким образом, вместо того, чтобы обрабатывать информацию о каждом человеке отдельно, соберите данные в группы, среднее значение которых приблизительно представляет людей, составляющих группу. В-третьих, используйте приблизительные значения или округленные значения вместо точного измерения параметра персональных данных.

Обратите внимание, что абстракция и группировка не устраняют риск конфиденциальности. Например, определенная группа может быть неотъемлемо связана с определенным профилем финансового риска или состоянием здоровья.

4. Скрыть личные данные

Сокрытие относится к незаметности, невозможности установления связи и конфиденциальности личных данных. Вы можете скрыть личные данные посетителей вашего сайта несколькими способами.

Во-первых, установите надежную политику управления доступом, которая ограничивает просмотр данных только теми, кому они нужны для выполнения возложенных на них обязанностей. Сделайте так, чтобы любому пользователю было чрезвычайно сложно случайно поделиться или утечь конфиденциальные данные. Во-вторых, зашифруйте и хэшируйте личные данные, чтобы сделать их бесполезными для тех, у кого нет ключа дешифрования.

В-третьих, разделяйте данные, разрывая связи и корреляции между данными, людьми и событиями. Это затруднило бы идентификацию человека путем соединения и анализа двух или более атрибутов. В-четвертых, анонимизируйте данные, скрывая их происхождение или связь.

5. Уведомлять посетителей веб-сайта об обработке их личных данных.

Звучит как оксюморон, но прозрачность является ключевым элементом конфиденциальности. Сообщите посетителям веб-сайта, какие их личные данные вы получили, а также как и почему они обрабатываются. Вооружившись этими знаниями, пользователи могут принимать решения в своих интересах, полностью осознавая последствия. Вы можете использовать три метода для повышения прозрачности веб-сайта с точки зрения конфиденциальности.

Во-первых, сделайте доступной информацию о том, что, как и почему обрабатываются персональные данные. Укажите срок хранения данных и порядок их удаления. Раскройте имена третьих лиц, которым передаются эти данные, и каковы условия обмена данными. Предоставьте ссылку на политику конфиденциальности вашего сайта и сообщите пользователям, как они могут связаться с вами, если у них есть какие-либо вопросы, касающиеся конфиденциальности их личных данных.

Во-вторых, объясните, почему вы обрабатываете конкретные персональные данные. В вашем объяснении должен использоваться простой, понятный язык, понятный практически каждому. Предоставьте ссылки на более подробные технические разъяснения для тех, кто хочет более подробно изучить ваши меры по защите конфиденциальности. В-третьих, информируйте своих пользователей в режиме реального времени, когда вы обрабатываете, делитесь или случайно раскрываете их личные данные. Такие уведомления должны быть краткими и по существу.

6. Предоставьте посетителям достаточный контроль над обработкой данных

Настоящая конфиденциальность невозможна, если посетители веб-сайта не имеют разумного контроля над обработкой своих данных. Помните, что цель законов, нормативных актов и передовых практик не состоит в том, чтобы запретить передачу и обработку конфиденциальных данных. Скорее, это делается для того, чтобы пользователи понимали, как обрабатываются их данные, и что они могут остановить обработку своих данных, когда захотят. Чтобы предоставить вашим посетителям необходимый контроль, процедуры вашего веб-сайта, обеспечивающие конфиденциальность, должны включать четыре элемента.

Во-первых, получить явное согласие пользователей на обработку их данных. Это должно включать предоставление им возможности отозвать согласие в любой момент в будущем. Во-вторых, дайте своим пользователям выбор в зависимости от того, в какой степени они готовы делиться своими личными данными. Несколько уровней продукта пригодятся в этом отношении. Вы можете, например, воспользоваться базовым планом для тех, кто вообще не хочет делиться какой-либо информацией, и предложить премиум-план для пользователей, которые не возражают предоставить столько личных данных для обработки, сколько вам нужно. В-третьих, предоставьте возможность (например, информационную панель), с помощью которой пользователи могут просматривать и обновлять свои личные данные. В-четвертых, дайте пользователям возможность отозвать свои личные данные.

Изображение 9959
Шаттерсток

7. Обеспечьте обработку данных веб-сайта, обеспечивающую конфиденциальность

Соблюдение конфиденциальности не может зависеть исключительно от технических средств. Без правильной корпоративной культуры и видимой поддержки руководства ваши сотрудники, подрядчики и поставщики не будут чувствовать себя обязанными соблюдать политики конфиденциальности. Хотя политика конфиденциальности представляет собой заявление для посетителей веб-сайта о том, как организация использует и защищает их личные данные, она бессмысленна, если она не применяется внутри организации. Существует три метода согласования организационной культуры с целями конфиденциальности сайта.

Во-первых, организация должна взять на себя полную ответственность за конфиденциальность, разработав политику конфиденциальности и выделив необходимые ресурсы для выполнения политики. Во-вторых, предприятие должно четко определить ответственность за реализацию средств контроля конфиденциальности. Все сотрудники и третьи лица, обрабатывающие данные клиентов, должны быть обучены политике конфиденциальности. В-третьих, политика конфиденциальности должна регулярно пересматриваться с учетом меняющихся правил, требований рынка и ожиданий клиентов.

8. Поступай правильно — и делай вид, что поступаешь правильно

Соблюдение законов и правил о конфиденциальности — это не то, что вы делаете тайно под предлогом «скромности». Это не приносит пользы ни вашему сайту, ни вашим посетителям. Крайне важно, чтобы веб-сайт продемонстрировал соответствие требованиям регуляторов конфиденциальности, пользователей, партнеров и поставщиков.

Для этого вы должны сначала задокументировать все шаги, которые вы предприняли для обеспечения конфиденциальности. Это включает в себя сбор системных журналов, реагирование на нарушения конфиденциальности, запись решений, влияющих на конфиденциальность, и мотивацию персонала к соблюдению требований. Во-вторых, регулярно проверяйте системные журналы и процедуры конфиденциальности на актуальность и актуальность. В-третьих, по мере необходимости подавайте аудиторские отчеты в соответствующие регулирующие органы.

Веб-сайт, обеспечивающий конфиденциальность, полезен для бизнеса

Составные части конфиденциальности, которые мы здесь рассмотрели, устанавливают четкие цели, достижение которых повышает общее качество веб-сайта, продуктов и бизнеса. Все заинтересованные стороны должны участвовать в разработке и реализации политики конфиденциальности. Это гарантирует, что все точки зрения и интересы будут учтены с самого начала.