专栏首页智能计算时代「企业合规」开发符合GDPR标准的应用程序的15个步骤

「企业合规」开发符合GDPR标准的应用程序的15个步骤

引入欧洲在线数据隐私法将对组织如何处理和管理其用户的个人数据产生重大影响。该法律于1月份通过,将于2018年全面颁布。对于定期处理为欧洲公民提供服务的客户或个人数据的组织,会出现与其在线Web应用程序和操作的技术影响相关的问题。

该法的主要指令授权个人控制其数据。这意味着,要求人们在线提供个人信息的实体必须从提交的那一刻起准确告知他们该数据会发生什么。

法律最重要的方面是这四个方面:

  • “更容易访问您自己的数据:个人将获得有关如何处理其数据的更多信息,并且这些信息应以清晰易懂的方式提供。”
  • “数据可移植性的权利:在服务提供商之间传输您的个人数据会更容易。”
  • “澄清'被遗忘权':当您不再希望处理数据时,如果没有合法理由保留数据,则数据将被删除。”
  • “知道您的数据被黑客攻击的权利:例如,公司和组织必须尽快通知国家监管机构严重的数据泄露事件,以便用户采取适当的措施。”

那么如何实现符合指令的应用程序,该指令可以为用户提供对个人数据的完全控制?以下是基于OWASP十大隐私准则的15条准则:

1.确定应用程序是否确实需要所有请求的个人数据

理想的隐私实施可以节省尽可能少的个人数据,例如出生日期,姓名,居住国等。这在所有情况下都是不可能的。一些实体需要更多信息。但是,在所有情况下,开发人员和管理人员应确切地确定哪些数据是绝对必要的。

2.加密所有个人数据并通知用户

如果应用程序需要保存个人信息,则应使用适当且强大的加密算法(包括散列)对数据进行加密。在Ashley Madison数据泄露事件中,所有个人数据都是明文,这对用户造成了巨大影响。应明确向用户说明,他们所有的个人数据(包括电话号码,居住国和地址)都将加密和散列,以避免任何形式的数据提取和数据泄露时的潜在风险。

3.考虑OAUTH的数据可移植性

用于单点登录的协议(例如OAUTH)允许用户通过简单地提供另一个帐户来创建帐户,但是他们还确保不存储除了来自其他服务的身份验证ID之外的个人数据。

4.通过HTTPS实施安全通信

许多实体不为其网站使用HTTPS,因为他们认为没有必要。例如,如果应用程序不需要任何形式的身份验证,则可能似乎不需要HTTPS。但很容易忽略一些事情。例如,某些应用程序通过“联系我们”表单收集个人信息。如果此信息以明文形式发送,则将通过Internet公开。此外,您应确保已正确部署SSL证书,并且不会暴露于与SSL协议相关的漏洞。

5.通过“联系我们”表单通知用户并加密个人数据

应用程序不仅通过身份验证或订阅收集信息,还通过联系表单收集信息。大部分信息都是个人信息,包括电子邮件地址,电话号码和居住国家/地区。必须告知用户如何存储这些数据以及存储多长时间。强烈建议使用强加密来存储此信息。

6.确保会话和cookie过期并在注销后销毁

用户必须对应用程序使用cookie具有适当的可见性。必须告知他们应用程序正在使用cookie,应用程序应该为用户提供接受或拒绝cookie的机会,并且必须在不活动或注销后正确销毁cookie。

7.不要跟踪商业智能的用户活动

网络上的许多电子商务应用程序跟踪用户通过他们的搜索或购买的产品来确定他们的口味。通常,像亚马逊和Netflix这样的公司会将这类信息用于他们的推荐系统。由于用户的个人品味和选择正在被监控和存储以用于商业目的,因此用户应该能够接受或拒绝此选项。如果用户决定接受此类跟踪,则应告知他们如何在系统中保存数据以及保存多长时间。当然,任何与个人信息相关的内容都应加密。

8.告诉用户有关保存位置或IP地址的日志

许多应用程序使用IP地址或位置作为参数来控制身份验证和授权,并且如果有人试图绕过身份验证控件,他们会记录此信息。应该告诉用户这个,以及日志将在系统中保存多长时间。切勿在日志中包含更多敏感信息,如密码。

9.将日志存储在安全的地方,最好是加密的

将包含用户信息的任何日志保存在安全的位置,并告知用户这些日志会发生什么:它们的存储方式以及保留时间。日志本身应该加密。

10.安全问题不应该打开用户的个人数据

在许多应用程序中,安全问题用作确认用户身份的表单。这些问题不应包括个人成分,如母亲的婚前姓名,甚至用户喜欢的颜色。如果可能,请使用双因素身份验证替换这些问题。如果无法做到这一点,请让用户创建自己的问题,并警告他们不要创建包含个人数据的问题。提供的任何信息都应加密。

11.创建明确的条款和条件,并确保用户阅读它们

不要隐瞒你的条款和条件。根据新的欧盟隐私法,条款和条件应位于任何Web应用程序的登录页面上,并且在用户导航应用程序时始终高度可见。强制执行机制是必要的,以便用户在被允许访问应用程序之前必须同意条款和条件,尤其是在条款已更改时。条款和条件也应该使用易于理解的语言。

12.通知用户与第三方共享任何数据

如果您的组织与第三方共享个人数据,无论他们是外部插件,附属机构还是政府组织,该事实都应包含在条款和条件中。

13.为数据泄露创建明确的策略

欧盟法律最重要的一个方面是,如果发生数据泄露,用户有权获得通知。组织必须实施明确的策略来建立角色和遵循的步骤,以便例如及时向用户通知任何违规行为。

14.删除取消其服务的用户的数据

在用户取消服务或删除帐户后,许多Web应用程序都不清楚个人数据会发生什么。有权被遗忘,公司应尊重用户删除其所有帐户信息和相关数据的权利。用户必须可以看到他们可以留下服务并且他们的所有数据都将被删除。将已删除的帐户视为不活跃的公司可能违反法律。

15.修补Web漏洞

正如OWASP Top 10列表中所提到的,主要数据隐私风险之一涉及Web应用程序漏洞:“漏洞是任何保护或操作敏感用户数据的系统中的关键问题。未能适当地设计和实现应用程序,检测到问题或立即应用修补程序(补丁)可能会导致隐私泄露。“确保您的组织有一个计划来评估网络风险并有效地进行渗透测试和补丁。

分享以下适用于隐私法的应用的最佳做法。

本网站的内容反映了作者的观点,不一定是Micro Focus,其子公司或其他附属公司的观点。本网站包含的信息仅供参考,不应被视为对任何事项的法律建议。Micro Focus产品和服务的唯一保修条款在此类产品和服务附带的明确保修声明中列出。本文中的任何内容均不应视为构成额外保证。Micro Focus不对此处包含的技术或编辑错误或遗漏承担责任。

原文:https://techbeacon.com/security/15-steps-developing-gdpr-compliant-apps

本文:http://pub.intelligentx.net/15-steps-developing-gdpr-compliant-apps

讨论:请参加知识星球或者小红圈【首席架构师圈】

本文分享自微信公众号 - 智能时刻(intelligentx),作者:南极真君

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-07-18

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 区块链能挑战“FANG”科技巨头控制我们的数据吗?

    我们一直在给科技巨头免费控制数据的时间太长了。他们是天才。他们创造了无处不在的服务,我们现在使用它们甚至不考虑后果和权衡。像Facebook和谷歌这样的公司在创...

    首席架构师智库
  • 区块链101:比特币挖矿是如何工作的

    当你听说比特币“采矿”的时候,你会设想硬币被从地下挖出来。但是比特币不是物理的,那么我们为什么称它为采矿呢因为它类似于黄金开采,因为比特币存在于协议的设计中(就...

    首席架构师智库
  • 数据湖101:概述

    数据湖是非结构化和结构化数据池,按原样存储,没有特定的目的,可以建立在多种技术上,如Hadoop,NoSQL,Amazon Simple Storage Ser...

    首席架构师智库
  • 大数据时代媒体如何挖掘用户

    12月19日的“2014中国互联网企业领袖年会”上,就大数据在时代媒体如何挖掘用户、如何进行营销创新等实际操作问题,知名财经网站的相关负责人就各自经验和心得进...

    腾讯研究院
  • win10 uwp Markdown 输入需求文件文件格式文件类保存设置界面拼写检查云创建Html创建pdfGit

    输入标题方式可以使用快捷键,也可以手动输入“#”,一个“#” 表示一级标题,两个个“#” 表示二级标题,三个“#” 表示三级标题,其他表示多级标题。

    林德熙
  • 大数据与个人隐私的平衡:懂你,但不认识你

    数据猿
  • [译] 更好地将免费用户变成订阅用户的小窍门

    Android 开发者
  • 不会这四项数据分析标准,何谈精细化运营?

    一、明确数据分析的目的 1、如果数据分析的目的是要对比页面改版前后的优劣,则衡量的指标应该从页面的点击率,跳出率等维度出发,电商类应用还要观察订单转化率,社交类...

    BestSDK
  • 推荐算法的介绍,第一部分——协同过滤与奇异值分解

    推荐系统是指能够预测用户未来偏好项目(item)并推荐最优先项目的系统。现代社会之所以需要推荐系统,是由于互联网的普及,人们有太多的选择可供使用。过去,人们习惯...

    AiTechYun
  • 用《复联3》的豆瓣评分教会你正确使用条形图、饼图、漏斗模型

    导读: 每天跟数据打交道,或许你已经习惯了用数据说话。怎样能让人更懂你的数据?图表是展现数据的有效方式,几种最常见的图表你都会用了吗?基于图表和数据的常见分析方...

    华章科技

扫码关注云+社区

领取腾讯云代金券