fsociety-gr

Ο ρόλος του Privacy by Design στις λογισμικές εφαρμογές

Στις μέρες μας, οι χώρες και οι οργανισμοί αναγνωρίζουν πλήρως τη διαρκώς αυξανόμενη αξία που έχουν τα προσωπικά δεδομένα. Επίσης, αναγνωρίζουν και τους εξίσου υψηλούς κινδύνους που συνδέονται με αυτά τα δεδομένα.

Ένα λογισμικό, έχει αναδειχθεί ως ο πιο ισχυρός και επεκτάσιμος τρόπος εξατομίκευσης των υπηρεσιών και κατανόησης των αναγκών των πελατών. Επιπλέον ένα λογισμικό έχει μετατραπεί και σε έναν μηχανισμό, συλλογής τεράστιων ποσοτήτων δεδομένων χρηστών. Αυτή η συνθήκη ισχύει σε πολλές μορφές των λογισμικών. Για παράδειγμα, είτε είναι διαδικτυακό, είτε για κινητά, για επιτραπέζιους υπολογιστές (desktops) ή ακόμα και για IoT (Internet of Things).

Συνεπώς, υπάρχει μια αυξανόμενη ζήτηση για τη δημιουργία εσόδων από πληροφορίες και την απόκτηση ολοένα και νέων οφελών από αυτές. Ως αποτέλεσμα, κάτι τέτοιο έχει οδηγήσει σε ανησυχίες σχετικά με την ανήθικη συλλογή και χρήση δεδομένων. Κατά συνέπεια, αυτό το τοπίο εκτεταμένης συλλογής και διατήρησης δεδομένων έχει δημιουργήσει μια επείγουσα ανάγκη για την πρόληψη της κακής χρήσης προσωπικών πληροφοριών.

Ενώ οι εταιρείες δεν χρειάζεται να σταματήσουν εντελώς τη συλλογή/δημιουργία δεδομένων, πρέπει να βρουν έναν τρόπο να εξισορροπήσουν το απόρρητο των χρηστών και τα επιχειρηματικά τους συμφέροντα.

Η έννοια της Προστασίας της Ιδιωτικότητας από τον σχεδιασμό (PbD) μπορεί να βοηθήσει τους οργανισμούς να επιτύχουν τη σωστή ισορροπία.

Όπως αναφέραμε και σε παλαιότερο άρθρο μας, το PbD σημαίνει ότι το απόρρητο είναι ήδη ενσωματωμένο στην τεχνολογία, τα συστήματα πληροφορικής, τις υπηρεσίες και τα προϊόντα για να διασφαλιστεί η προστασία των δεδομένων. Βασικά, ολόκληρη η διαδικασία μηχανικής διεξάγεται με γνώμονα το απόρρητο.

Ο κανονισμός τους GDPR έχει ενσωματώσει το απόρρητο βάσει σχεδιασμού αναθέτοντας την ευθύνη στον υπεύθυνο επεξεργασίας και προστασίας δεδομένων (DPO). Επομένως, ο DPO οφείλει να εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα στο σχεδιασμό και τη λειτουργία συστημάτων και υποδομής.

Οι επτά θεμελιώδεις αρχές του PbD είναι:

  • Πρόληψη, όχι Αντίδραση – Αποτροπή, όχι Επανόρθωση.
  • Προστασία των δεδομένων ως Προεπιλεγμένη Ρύθμιση.
  • Προστασία των δεδομένων Ενσωματωμένη στον σχεδιασμό.
  • Πλήρης Λειτουργικότητα: Θετικό Άθροισμα, όχι Μηδενικό Άθροισμα.
  • Καθολική Ασφάλεια: Προστασία Καθ’ όλη τη διάρκεια του κύκλου ζωής.
  • Ορατότητα και Διαφάνεια: Διατήρηση Ανοιχτής Προσέγγισης.
  • Σεβασμός προς την Ιδιωτικότητα των Χρηστών: Διατήρηση του Χρήστη στο Επίκεντρο

Το μέγα ερώτημα εδώ είναι: Πώς μπορεί κανείς να ενσωματώσει αυτές τις αρχές στην ανάπτυξη λογισμικού;

Το PbD ακολουθεί μια προσέγγιση σχεδιαστικής σκέψης για τη διαχείριση του ατομικού ελέγχου της ροής προσωπικών δεδομένων. Δηλαδή γίνεται η ενσωμάτωση του σε συστήματα και τεχνολογίες από προεπιλογή. Οι χρήστες γενικά αντιμετωπίζουν αυτό το θέμα ως «μηχανικό ζήτημα», ενώ πιστεύουμε ότι είναι μια στρατηγική που πρέπει να εφαρμοστεί σε επίπεδο βάσης.

1. Ενσωματώστε τις επτά αρχές κατά τις φάσεις του πεδίου εφαρμογής και του σχεδιασμού.

Κατά τα αρχικά στάδια κάθε κύκλου ζωής ανάπτυξης λογισμικού (SDLC), οι ομάδες ανάπτυξης θα πρέπει να ξεκινούν με τον καθορισμό και τον περιορισμό των απαιτήσεων για προσωπικά δεδομένα ενόψει των μακροπρόθεσμων στρατηγικών στόχων δεδομένων.

Οι ακόλουθες οδηγίες μπορεί να είναι χρήσιμες για οποιαδήποτε δραστηριότητα οριοθέτησης:

1) Ελαχιστοποίηση συλλογής δεδομένων με σκοπό:

Όσον αφορά τα προσωπικά δεδομένα, θα πρέπει να υπάρχει μια προσέγγιση «λιγότερο είναι περισσότερο» (less is more).

Η ομάδα οριοθέτησης θα πρέπει να προσδιορίζει και να ορίζει με σαφήνεια τα στοιχεία δεδομένων που θα συγκεντρωθούν μέσω του προϊόντος. Κάθε ιστορία χρήστη που σχετίζεται με τη συλλογή δεδομένων θα πρέπει να περιγράφει δύο βασικές πτυχές: (α) τον σκοπό πίσω από τη συλλογή (β) τη χρήση των δεδομένων που συλλέγονται. Αυτές οι πτυχές θα εξασφαλίσουν ότι οι προγραμματιστές και οι σχεδιαστές κατανοούν και εκτιμούν την ευαισθησία και τον σκοπό των πληροφοριών που συλλέγονται από τους χρήστες και θα τους επιτρέψουν να ενσωματώσουν τα σχετικά μέτρα ασφαλείας στις επόμενες φάσεις της ανάπτυξης.

2) Συναίνεση του χρήστη:

Σε κάθε βήμα συλλογής δεδομένων εντός του προϊόντος θα πρέπει να προηγείται από μια σαφή ειδοποίηση προς τον χρήστη. Επιπλέον σε πολλές περιπτώσεις θα πρέπει να υπάρχει μια σαφή επιλογή για τον χρήστη να παράσχει τη συγκατάθεσή του. Τέτοιοι έλεγχοι θα πρέπει να σχεδιάζονται και να ενσωματώνονται σε εργασίες και υπό-εργασίες για κάθε περίπτωση. Επίσης, όπως υπαγορεύεται από τις θεμελιώδεις αρχές, αυτή η επιλογή συναίνεσης χρήστη θα πρέπει να οριστεί από προεπιλογή.

3) Ατομική επιλογή:

Οι διαχειριστές των έργων και οι σχεδιαστές θα πρέπει να δημιουργήσουν πλοηγήσεις χρήστη, αρχιτεκτονική λύσεων, διεπαφή χρήστη (UI) και άλλα στοιχεία του προϊόντος γύρω από μια σιωπηρή ιδέα. Δηλαδή, ότι οι χρήστες έχουν το δικαίωμα να ζητήσουν τη διαγραφή ή την ενημέρωση των δεδομένων τους σε οποιοδήποτε στάδιο της χρήσης του λογισμικού.

2. Προστατέψτε τα δεδομένα σε όλη τη διάρκεια του κύκλου ζωής τους και ενσωματώστε αποτελεσματικούς ελέγχους κατά την ανάπτυξη της λύσης.


Τα δεδομένα που συλλέγονται από το λογισμικό δεν είναι μόνο ποικίλα και εκτεταμένα στη φύση τους. Επιπλέον μπορεί επίσης να έχουν ένα πολύ μεγάλο κύκλο ζωής. Επομένως, οι βασικές αρχές του PbD θα πρέπει να εφαρμόζονται σε κάθε συγκυρία παραγωγής, μετασχηματισμού και χρήσης δεδομένων.

Προστατέψτε τα προσωπικά δεδομένα καθ’ όλη τη διάρκεια του κύκλου ζωής τους.

1. Παραγωγή δεδομένων:

Στις περισσότερες περιπτώσεις, τα δεδομένα ενός λογισμικού παράγονται από χρήστες μέσω διεπαφής χρήστη ή αλληλεπιδράσεων. Τέτοια μοντέλα εισαγωγής δεδομένων θα πρέπει να προστατεύονται σχολαστικά. Κατά την εισαγωγή δεδομένων, ο χρήστης θα πρέπει να μπορεί να κάνει εναλλαγή μεταξύ εμφάνισης και απόκρυψης των προσωπικών του πληροφοριών στο ίδιο το UI. Ειδικότερα για να αποτρέψουν μεθόδους shoulder hacking. Τέτοιου είδους στοιχεία ελέγχου χρησιμοποιούνται συνήθως για ευαίσθητες πληροφορίες, όπως κωδικοί πρόσβασης. Ωστόσο μπορούν εύκολα να επεκταθούν και σε άλλα σημεία δεδομένων.

2. Δεδομένα υπό διαβίβαση:

Είναι αρκετά ασφαλές στις μέρες μας ένα πρωτόκολλο μεταφοράς έναντι επιθέσεων. Ωστόσο ένα πρόσθετο επίπεδο κρυπτογράφησης για πακέτα δεδομένων που περιέχουν πληροφορίες χρήστη είναι ένα καλό μέτρο απορρήτου που πρέπει να υιοθετηθεί. Πληροφορίες όπως αριθμοί τηλεφώνου και αναγνωριστικά email συνήθως πλοηγούνται μεταξύ της διεπαφής χρήστη και του διακομιστή υποστήριξης με τη μορφή συμβολοσειρών ελεύθερου κειμένου. Η κωδικοποίηση τέτοιων στοιχείων μπορεί να εξασφαλίσει βελτιωμένο έλεγχο προστασίας της ιδιωτικής ζωής.

3. Δεδομένα σε κατάσταση ηρεμίας:

Παραδοσιακά, τα δεδομένα που αποθηκεύονται σε ένα σύστημα ήταν τα πιο ευάλωτα σε παραβιάσεις του απορρήτου. Σαφέστερα κάτι τέτοιο συνέβαινε λόγω του μεγάλου αριθμού προσωπικού που έχει πρόσβαση σε αυτά. Για να ελαχιστοποιηθεί αυτός ο κίνδυνος, οι σχεδιαστές θα πρέπει να μηχανοποιήσουν τα πρωτόκολλα κρυπτογράφησης σε κατάσταση ηρεμίας. Συγκεκριμένα αυτοί οι μηχανισμοί θα πρέπει να εφαρμόζονται τόσο για τα δεδομένα χρήστη όσο και για τα έγγραφα. Χρησιμοποιώντας μια απλή συμμετρική μέθοδο κρυπτογράφησης, τα δεδομένα μπορούν να κρυπτογραφηθούν κατά την αποθήκευση και να αποκρυπτογραφηθούν όταν είναι έτοιμα για χρήση. Τα κλειδιά κρυπτογράφησης μπορούν να αποθηκευτούν σε ασφαλείς τοποθεσίες μακριά από το ίδιο το περιβάλλον φιλοξενίας.

4. Δεδομένα που επισημαίνονται για διαγραφή:

Με την εμφάνιση των αρχών του «δικαιώματος στη λήθη», οποιοσδήποτε χρήστης μπορεί να απαιτήσει τη διαγραφή των πληροφοριών του από ένα λογισμικό. Αυτό περιλαμβάνει τη διαγραφή ή το «κενό» αρχείο καταγραφής εφαρμογών, εγγραφές συναλλαγών, αρχεία καταγραφής συνομιλιών και άλλα αρχεία δεδομένων που περιέχουν πληροφορίες χρήστη. Η λειτουργία «της λήθης» θα πρέπει να προγραμματιστεί στην αρχιτεκτονική του λογισμικού και κάθε τέτοια περίπτωση θα πρέπει να παρακολουθείται στενά από ένα συγκεκριμένο σύνολο ατόμων. Μέσα σε αυτούς θα πρέπει να είναι και ο υπεύθυνος απορρήτου/προστασίας δεδομένων (DPO) του οργανισμού. Κάθε αίτημα διαγραφής θα πρέπει να συνδέεται, να υπογράφεται, να παρακολουθείται και να αντιμετωπίζεται με ασφαλή και καθορισμένο τρόπο.

Επικυρώστε μαζικές μεταφορτώσεις ή μεταφορτώσεις εγγράφων.

Αποτελεί συνηθισμένη πρακτική η ενσωμάτωση σχετικών στοιχείων ελέγχου στα στοιχεία διεπαφής χρήστη για τον εντοπισμό, την επεξεργασία και την επικύρωση των εισροών των χρηστών. Ωστόσο, οι ομάδες ανάπτυξης, κατά καιρούς, αποτυγχάνουν να πραγματοποιήσουν παρόμοιους ελέγχους κατά τη διάρκεια εργασιών μαζικής μεταφόρτωσης. Αυτό οφείλεται λόγω της ασύγχρονης φύσης τέτοιων λειτουργιών και της ανάγκης ελαχιστοποίησης του χρόνου αναμονής για τον χρήστη. Επομένως οι προγραμματιστές μπορούν να επιλέξουν χαμηλότερο βαθμό επικύρωσης κατά τη μεταφόρτωση εγγράφων. Τα δεδομένα που μεταφορτώνονται μέσω εγγράφων θα πρέπει να υποβάλλονται στον ίδιο έλεγχο και επικύρωση με αυτά που μεταφορτώνονται μέσω της διεπαφής χρήστη. Επίσης θα πρέπει να ενσωματώνονται τα κατάλληλα μέτρα κατά την ανάπτυξη του λογισμικού.

Εφαρμόστε ηθικές πολιτικές χρήσης δεδομένων.

Κάθε οργανισμός που επεξεργάζεται ή επιλέγει να επεξεργάζεται τις πληροφορίες των χρηστών θα πρέπει να ακολουθεί μια λεπτομερή πολιτική ηθικής χρήσης δεδομένων. Η πολιτική μπορεί να έχει δύο υποδιαιρέσεις:

  1. για προβολή από το κοινό ή τον πελάτη – διασφαλίζοντας τη διαφάνεια σχετικά με την πολιτική χρήσης δεδομένων.
  2. για το προσωπικό – πρέπει να τηρείται από όλο το προσωπικό που εργάζεται σε ένα προϊόν ή λογισμικό.

Η πολιτική θα πρέπει να περιέχει κατευθυντήριες γραμμές για την υπεύθυνη διαχείριση δεδομένων, τη διαφάνεια, τη δικαιοσύνη και τη διαφύλαξη του απορρήτου των χρηστών. Επιπλέον, η έκδοση προσωπικού μπορεί να περιέχει ποινικές ρήτρες, μηδενική ανοχή και επιτρεπόμενες νομικές ενέργειες σε περίπτωση παραβίασης του απορρήτου.

Επιπλέον, το προσωπικό που εργάζεται στην ανάπτυξη λογισμικού θα πρέπει να εκπαιδεύεται και να πιστοποιείται σχετικά με τη δεοντολογία των δεδομένων και το απόρρητο περιοδικά και κατά τη στιγμή της εισαγωγής στον οργανισμό.

Ελέγξτε τα στοιχεία δικτύου, τις διαδρομές ελέγχου και τους ιχνηλάτες.

Τα τριτογενή δεδομένα και τα μεταδεδομένα αποτελούν κύριο συστατικό των πληροφοριών που συλλέγονται από το λογισμικό. Αυτά τα δεδομένα δεν μπορούν να θεωρηθούν ως προσωπικά δεδομένα άμεσα, όταν συνδέονται με πρόσθετες πληροφορίες. Ωστόσο ενδέχεται να αποκαλύψουν την ταυτότητα ενός ατόμου. Επομένως, κατά την ανάπτυξη λογισμικού, οι σχεδιαστές και οι προγραμματιστές θα πρέπει να αναγνωρίζουν την ανάγκη και τους κινδύνους που σχετίζονται με τη συλλογή διευθύνσεων IP, τοποθεσίας και άλλων μεταδεδομένων.

Κατά τη συλλογή μεταδεδομένων πρέπει να λαμβάνονται υπόψη τα ακόλουθα στοιχεία:

1. Δεδομένα προσανατολισμένα σε περιόδους σύνδεσης ή μεταβατικά δεδομένα που βασίζονται σε πρόγραμμα περιήγησης:

Ορισμένα μεταδεδομένα μπορούν να αποθηκευτούν με τη μορφή cookie ή μεταβλητών περιόδου λειτουργίας για να είναι διαθέσιμα μόνο στο πρόγραμμα περιήγησης ή στην περίοδο λειτουργίας χρήστη. Ακόμα κι αν τα μεταδεδομένα είναι αποθηκευμένα στο πίσω μέρος, αφού ο χρήστης αποσυνδεθεί (ή σε μια χρονική περίοδο), το cookie ή η μεταβλητή περιόδου λειτουργίας μπορεί να αφαιρεθεί.

2. Διαχωρισμός μεταδεδομένων:

Εάν απαιτούνται μεταδεδομένα για σκοπούς παρακολούθησης και ανάλυσης, μπορούν να αποθηκευτούν σε ξεχωριστή τοποθεσία από τα δεδομένα χρήστη/εφαρμογής. Αυτή η προσέγγιση θα εισαγάγει ένα τείχος προστασίας μεταξύ των δύο συνόλων δεδομένων, καθιστώντας δύσκολο για οποιονδήποτε εισβολέα να δημιουργήσει συνδέσμους.

Συμπεριλάβετε τον Υπεύθυνο Προστασίας Δεδομένων στην αρχική ιεραρχία έγκρισης.

Συνήθως, οι οργανισμοί και οι ομάδες ανάπτυξης ζητούν έγκριση και συμβουλές από τον DPO προς το τέλος της ανάπτυξης ενός λογισμικού προϊόντος. Και τέτοιες εγκρίσεις είναι, στις περισσότερες περιπτώσεις, ονομαστικές ή τυπικές. Ωστόσο, για να συμμορφωθούν με το PbD, είναι επιτακτική ανάγκη οι ιδιοκτήτες προϊόντων να αναζητούν συμβουλές και καθοδήγηση από τον DPO κατά τη διάρκεια των φάσεων σχεδιασμού και αρχικής ανάπτυξης. Τα μέτρα ασφαλείας και η συνολική σχεδίαση του λογισμικού πρέπει να ελεγχθούν και να εγκριθούν από τον Υπεύθυνο Προστασίας των Δεδομένων.

3. Παρακολούθηση των δεξαμενών δεδομένων του λογισμικού προϊόντος.

Ακούσια συλλογή δεδομένων.

Συχνά, το λογισμικό τείνει να συλλέγει πληροφορίες που είτε (α) δεν προορίζεται να συλλέξει, είτε (β) που είναι επιπλέον των πληροφοριών που έχει την αποστολή να συλλέξει από τον χρήστη. Για παράδειγμα, ενώ ένα απλό chatbot προσπαθεί γενικά να βοηθήσει έναν χρήστη με βάση τις περιορισμένες πληροφορίες που παρέχονται. Συνεπώς δεν περιορίζει έναν χρήστη από την εισαγωγή των προσωπικών του στοιχείων στο παράθυρο συνομιλίας. Εάν ένας χρήστης επιλέξει να εισαγάγει έναν αριθμό τηλεφώνου ή έχει κατανοήσει λάθος μια ερώτηση και εισαγάγει αυτόκλητες πληροφορίες (ακούσια ή κατά λάθος), το chatbot θα αποθηκεύσει το ίδιο στη βάση δεδομένων του.

Τέτοια απρόβλεπτα σενάρια είναι πάρα πολλά για να προβλεφθούν κατά τη φάση ανάπτυξης. Ως εκ τούτου, είναι συνετό να εκτελείτε τακτικούς και περιοδικούς ελέγχους στις δεξαμενές των δεδομένων του λογισμικού. Αυτοί οι έλεγχοι μπορούν να βοηθήσουν σε:

  1. Ανίχνευση και διαμόρφωση αποτρεπτικών παραγόντων για την αδικαιολόγητη συγκέντρωση δεδομένων.
  2. Επαναπροσδιορισμός αποτελεσματικών στοιχείων ελέγχου εισόδου, όπως η αλλαγή μιας συγκεκριμένης ερώτησης για την επίτευξη πιο ακριβούς και κατάλληλης απάντησης από τον χρήστη.
Αναφορές γενεαλογίας και χρήσης δεδομένων.

Κατά τη διάρκεια του κύκλου ζωής του λογισμικού, οι απαιτήσεις δεδομένων ενδέχεται να αλλάξουν περιοδικά ή τελικά. Μπορούν να προστεθούν ορισμένα νέα στοιχεία δεδομένων, ενώ μερικά από τα παλιά μπορεί να μείνουν αχρησιμοποίητα ή να καταστούν παρωχημένα στις καθημερινές λειτουργίες. Οι περιοδικοί έλεγχοι του λεξικού δεδομένων σε σχέση με την πρόθεση χρήσης ενδέχεται να αποφέρουν σημεία δεδομένων που δεν είναι κρίσιμα για τη λειτουργία της εφαρμογής. Επομένως μπορούν να εξαλειφθούν από τη διαδικασία συλλογής. Αυτή η μεθοδολογία συμμορφώνεται με την προσέγγιση της συλλογής δεδομένων για τη διασφάλιση του απορρήτου.

Αρχιτεκτονική ελεγκτή-επεξεργαστή.

Ορισμένα λογισμικά, ειδικά αυτά που είναι ενδοεταιρικά, αποτελεί μέρος ενός περίτεχνου πλέγματος δεδομένων. Αρκετές εφαρμογές ή «μεταγενέστερα» συστήματα ενδέχεται να βασίζονται ή να χρησιμοποιούν τα δεδομένα που τους παρέχονται. Σε τέτοιες περιπτώσεις, το λογισμικό που περιέχει ιδιωτικές πληροφορίες θα πρέπει να υιοθετεί μια αυστηρή «σύμβαση» επεξεργασίας δεδομένων με τους μηχανισμούς των καταναλωτών. Θα πρέπει να υπάρχει ένας μηχανισμός, παρόμοιος με αυτόν μιας σύμβασης υπευθύνου επεξεργασίας μεταξύ δύο μερών, για την αναζήτηση και λήψη πρόσβασης σε πληροφορίες που είναι αποθηκευμένες σε ευαίσθητα συστήματα. Ένα πρότυπο επεξεργασίας δεδομένων και οδηγίες περιοδικού ελέγχου δεδομένων για τον εκτελούντα την επεξεργασία θα πρέπει να καθοριστούν πριν από την παροχή πρόσβασης στα δεδομένα του υπευθύνου επεξεργασίας.

Οι κλήσεις από διεπαφές προγραμματισμού εφαρμογών (API) και μικροϋπηρεσίες θα πρέπει να επικυρώνονται και να εξουσιοδοτούνται πριν από την αντιμετώπισή τους. Συνεπώς τα δεδομένα που ανταλλάσσονται θα πρέπει να περιορίζονται στα χαρακτηριστικά που ορίζονται στις συμβάσεις επεξεργασίας δεδομένων μεταξύ των δύο συστημάτων.

4. Εξετάστε δεόντως αιτήματα αλλαγής, εκδόσεις και τροποποιήσεις.

Κάθε αίτημα αλλαγής θα πρέπει να διέρχεται από τον ίδιο αυστηρό μηχανισμό που περιγράφεται στις προαναφερθείσες ενότητες. Οι περιηγήσεις των χρηστών θα πρέπει να περιέχουν σαφώς καθορισμένες νέες παραμέτρους δεδομένων (εάν υπάρχουν) και τη χρήση τους.

Οι πολιτικές αποθήκευσης και προστασίας πρόσθετων δεδομένων θα πρέπει να συζητούνται, να τεκμηριώνονται και να εξουσιοδοτούνται από τα σχετικά ενδιαφερόμενα μέρη.

Τέλος, οι αλλαγές στη διεπαφή χρήστη θα πρέπει να συμμορφώνονται με τις επτά αρχές. Επιπλέον, όλα τα αιτήματα σημαντικών αλλαγών που συνεπάγονται τροποποίηση χαρακτηριστικών ή συλλογή δεδομένων θα πρέπει να εγκρίνονται από τον DPO.

5. Παρέχετε έλεγχο απορρήτου στους χρήστες.

Ενημερώστε τους χρήστες σχετικά με τα δεδομένα που συλλέγονται και λάβετε συναίνεση.

Πριν συλλέξετε τα δεδομένα τους, ενημερώστε τους χρήστες για τις ακόλουθες πτυχές:

  • Γιατί ή για ποιο σκοπό συλλέγονται τα δεδομένα τους.
  • Πώς αποθηκεύονται και προστατεύονται τα δεδομένα τους.
  • Για πόσο χρονικό διάστημα ο οργανισμός ή το λογισμικό θα αποθηκεύει τα δεδομένα.
  • Συμβουλές σχετικά με το είδος των δεδομένων που πρέπει να εισαχθούν στα πεδία εισαγωγής χρήστη, μετριάζοντας τη συλλογή δεδομένων που δεν ζητήθηκε.
  • Η συγκατάθεση του χρήστη πρέπει να ληφθεί πριν από την υποβολή της φόρμας ή τη φόρτωση της σελίδας.

Αυτοί οι δείκτες μπορούν να εφαρμοστούν σε επίπεδο φόρμας (πριν από τη φόρτωση ή την υποβολή) και σε ξεχωριστή οθόνη (φόρμα ή σελίδα) πριν από το πρότυπο συλλογής δεδομένων.

Δημιουργήστε μια φιλική προς τον χρήστη πολιτική απορρήτου και όχι ένα μακροχρόνιο νομικό έγγραφο.

Η επεξήγηση των πολιτικών απορρήτου, των μέτρων και της συναίνεσης ή η ειδοποίηση του τελικού χρήστη σχετικά με αυτά δεν θα πρέπει να εγγυάται ένα «τείχος κειμένου». Επίσης, δεν θα πρέπει να βομβαρδίζεται ο χρήστης με νομική/τεχνική ορολογία. Όπως υπαγορεύεται από τις επτά αρχές, η πολιτική απορρήτου και η σχετική τεκμηρίωση θα πρέπει να σχεδιάζονται με επίκεντρο στον χρήστη.

Η διεπαφή χρήστη για την πολιτική θα πρέπει:

  • Να είσαι καθαρή.
  • Να αναλυθεί σε ενότητες.
  • Να περιέχει εικόνες και μηνύματα για να εξηγεί οπτικά την πολιτική στους χρήστες.
  • Να μην τσιγκουνευτείτε το ίδιο το περιεχόμενο.

Ενημερώστε τους χρήστες σχετικά με αλλαγές στην πολιτική.

Οι νόμοι και οι κανόνες περί απορρήτου δεδομένων αλλάζουν συνεχώς. Επομένως η πολιτική απορρήτου μιας εφαρμογής λογισμικού θα απαιτούσε πρόσθετες ρήτρες ή τροποποιήσεις. Τέτοιες αλλαγές μπορούν να συγκεντρωθούν σε ένα email ή ένα έγγραφο και να αποσταλούν σε σχετικούς χρήστες.

Αυτή δεν χρειάζεται να είναι μια μη αυτόματη διαδικασία και μπορεί να χρησιμοποιηθεί ένας μηχανισμός εντός του λογισμικού για να επιτρέψει μια τέτοια επικοινωνία με τον χρήστη.

Επιπλέον, οι ειδοποιήσεις τύπου «push» μπορούν να χρησιμοποιηθούν για να ειδοποιούν τους χρήστες σχετικά με αλλαγές πολιτικής και να τους ανακατευθύνουν σε ένα έγγραφο ή μια ιστοσελίδα που περιέχει τις τροποποιήσεις.

Κάθε αλλαγή στην πολιτική απορρήτου θα πρέπει να ακολουθείται από αναζήτηση συγκατάθεσης από τον χρήστη, πριν από την υποβολή των δεδομένων ή τη συναλλαγή με το λογισμικό.

6. Τρέξτε εφαρμογή analytics για να εντοπίσετε συγκεντρωτές δεδομένων.

Οι ιδιοκτήτες των λογισμικών προϊόντων θα πρέπει να παρακολουθούν τη διοχέτευση δεδομένων (δεδομένα σε κατάσταση ηρεμίας και κατά τη μεταφορά) για να εντοπίσουν προγράμματα παρακολούθησης και bots που «τροφοδοτούνται» από τις πληροφορίες που περιέχονται στο λογισμικό. Η κρυπτογράφηση μπορεί να προστατεύσει τα δεδομένα από κακή χρήση. Ωστόσο, και η περιοδική ανάλυση της κυκλοφορίας δεδομένων μπορεί να χρησιμεύσει ως ένα πρόσθετο επίπεδο προστασίας της ιδιωτικής ζωής.

7. Προστατέψτε όλες τις διαδικασίες παροπλισμού και μετεγκατάστασης.

Τα πρωτόκολλα παροπλισμού και μετεγκατάστασης θα πρέπει να ορίζονται εντός του κύκλου ζωής του λογισμικού. Με αυτό τον τρόπο, γίνεται ο εξ ορθολογισμός της διαδικασίας «sundown» μιας εφαρμογής ή έκδοσης λογισμικού. Από την άποψη του απορρήτου δεδομένων, αυτή είναι μια κρίσιμη συγκυρία και θα πρέπει να περιλαμβάνει τα ακόλουθα:

  • Θα πρέπει να οριστεί μια ασφαλής μεθοδολογία εντός του λογισμικού για τη μετεγκατάσταση, διατήρηση ή κατάργηση δεδομένων χρήστη. Τα δεδομένα θα πρέπει να συσκευάζονται για μεταφορά ή διαγραφή και θα πρέπει να είναι κρυπτογραφημένα. Η διαδικασία μετεγκατάστασης/διαγραφής θα πρέπει να παρακολουθείται από κρίσιμα ενδιαφερόμενα μέρη και θα πρέπει να συγκεντρωθούν σχετικά αποδεικτικά στοιχεία (αρχεία καταγραφής, τεκμηρίωση και στιγμιότυπα οθόνης) για την καταγραφή των διαφόρων βημάτων της διαδικασίας για μελλοντική αναφορά/ελέγχους.
  • Οι χρήστες θα πρέπει να ενημερώνονται για τη διαδικασία, ειδικά κατά τη διάρκεια του παροπλισμού. Επίσης θα πρέπει να τους υπενθυμίζονται οι πολιτικές διατήρησης δεδομένων του οργανισμού. Στη συνέχεια, μπορούν να επιλέξουν να διαγραφούν οι πληροφορίες τους από το λογισμικό.
  • Η πολιτική διατήρησης δεδομένων θα πρέπει επίσης να συμμορφώνεται με τις αρχές PbD και να ελαχιστοποιεί τον όγκο των δεδομένων που συλλέγονται στο μέτρο του δυνατού. Συνεπώς θα διατηρείται μια ισορροπία μεταξύ του απορρήτου των χρηστών και των πολιτικών.
  • Κατά τον τερματισμό ή την επαναχρησιμοποίηση της υποδομής φιλοξενίας, θα πρέπει να χρησιμοποιούνται κατάλληλα μέτρα διαγραφής δεδομένων. Με αυτό τον τρόπο αποκλείεται η εξαγωγή πληροφοριών με τη χρήση «διατύπωσης δεδομένων».
  • Ο DPO θα πρέπει να ειδοποιείται για τη διαδικασία και θα πρέπει να αποτελεί μέρος της ιεραρχίας έγκρισης εντός του πρωτοκόλλου.

8. Εκτελέστε τη δέουσα επιμέλεια πριν από την εφαρμογή εξαρτημάτων/τεχνολογιών τρίτων.

Όλα τα στοιχεία τρίτων ή ανοιχτού κώδικα, οι λειτουργικές μονάδες, τα API και οι βιβλιοθήκες θα πρέπει να αναλυθούν για τρωτά σημεία πριν εφαρμοστούν στον κώδικα.

Θα πρέπει να εκτελείται περιοδική ανάλυση στατικού κώδικα και ανάλυση στοιχείων. Ειδικότερα για τον εντοπισμό καταργημένων λειτουργικών μονάδων που πρέπει να ενημερωθούν ή να αφαιρεθούν από το λογισμικό.

Επιπλέον, η επικοινωνία μεταξύ εξαρτημάτων τρίτων μέσω διακριτικών θα πρέπει να είναι ασφαλής. Επιπλέον τα δεδομένα που μοιράζονται μεταξύ τους θα πρέπει να συμμορφώνονται με την προαναφερθείσα αρχιτεκτονική ελεγκτή-επεξεργαστή.

9. Ελαχιστοποιήστε την πρόσβαση δεδομένων σε ομάδες υποστήριξης.

Παρέχετε στοιχεία ελέγχου συσκότισης ή ανωνυμοποίησης για διαχειριστές.

Κατά τη σχεδίαση λογισμικού, ο ρόλος του προσωπικού υποστήριξης θα πρέπει να λαμβάνεται υπόψη κριτικά. Ομάδες υποστήριξης, όπως διαχειριστές βάσεων δεδομένων, υποστήριξη δικτύου και υποστήριξη DevOps δεν θα πρέπει να έχουν πρόσβαση στα δεδομένα χρήστη. Αυτό δεν πρέπει να συμβαίνει είτε από τη διεπαφή είτε από το επίπεδο δεδομένων.
Τα στοιχεία ελέγχου συσκότισης και ανωνυμοποίησης μπορούν να χρησιμοποιηθούν για τις συνδέσεις που παρέχονται στις ομάδες υποστήριξης. Ακόμα κι αν μια εργασία απαιτεί από το προσωπικό υποστήριξης να κρυφοκοιτάξει τα δεδομένα, οι προσωπικές πληροφορίες μπορούν να συγκαλυφθούν στη διεπαφή χρήστη.
Επιπλέον, το προσωπικό υποστήριξης θα πρέπει να έχει ελάχιστη πρόσβαση στα κλειδιά αποκρυπτογράφησης. Μόνο σε λίγα μέλη (διευθυντές και άνω) θα πρέπει να ανατεθεί η ευθύνη διατήρησης κωδικών κρυπτογράφησης και άλλων βασικών στοιχείων στην υποδομή παραγωγής.

Διατηρήστε την πρόσβαση των προγραμματιστών και των διαχειριστών σε ξεχωριστά περιβάλλοντα.

Είναι επιτακτική ανάγκη να περιοριστεί η πρόσβαση στην παραγωγή στους προγραμματιστές. Η ομάδα ανάπτυξης μπορεί να παρέχει καθοδήγηση στο προσωπικό υποστήριξης για την αντιμετώπιση προβλημάτων. Ωστόσο δεν θα πρέπει να τους επιτρέπεται η άμεση πρόσβαση στο περιβάλλον παραγωγής. Αυτό το μέτρο διασφαλίζει ότι κανένα μέλος της ομάδας δεν έχει «κλειδιά σε όλες τις πόρτες» μιας εφαρμογής λογισμικού.

Ένας άλλος τρόπος για να διασφαλίσετε τα δεδομένα παραγωγής είναι η ομάδα υποστήριξης να αλλάξει τα κλειδιά κρυπτογράφησης, τις μεταβλητές περιβάλλοντος, τις συμβολοσειρές σύνδεσης και άλλα σχετικά στοιχεία μετά τη χρήση του λογισμικού. Αυτό μετριάζει τις παραβιάσεις του απορρήτου μέσω backdoors που χρησιμοποιούνται συνήθως από εσωτερικούς επιτιθέμενους.

Η χρησιμότητα του PbD στην ανάπτυξη των λογισμικών.

Το PbD δεν είναι μια νέα έννοια από μόνη της, και αξιοποιεί καθιερωμένες αρχές. Ουσιατικά, φέρνει μια αλλαγή νοοτροπίας προς την εφαρμογή παραμέτρων απορρήτου σε κάθε βήμα της ανάπτυξης λογισμικού. Μπορεί να χρησιμοποιηθεί τόσο ως προληπτικός όσο και ως ανιχνευτικός έλεγχος για την προστασία δεδομένων. Από την άποψη της ανάπτυξης λογισμικού, προστατεύει τόσο τον προγραμματιστή όσο και τον οργανισμό από πιθανές υποχρεώσεις. Επίσης βοηθά τους οργανισμούς να σχεδιάζουν προϊόντα συμμορφώνοντας τα πρότυπα και τους κανονισμούς απορρήτου.

Για οποιονδήποτε οργανισμό που οδεύει το μονοπάτι του PbD, τα ακόλουθα βήματα μπορούν να βοηθήσουν:

  • Αξιολογήστε τις τρέχουσες διαδικασίες και λειτουργίες του PbD: Έχετε πολιτική PbD; Διαθέτετε έγγραφο οδηγιών στον οργανισμό σας; Έχετε κάποια κατευθυντήρια έγγραφα στον οργανισμό σας που ενσωματώνουν αρχές PbD;
  • Αναπτύξτε οδηγίες απορρήτου: Αυτές οι πολιτικές πρέπει να δημιουργηθούν ειδικά για κατόχους εφαρμογών και προγραμματιστές. Για παράδειγμα υπάρχουν συγκεκριμένα σύνολα οδηγιών για διαχειριστές έργων, προγραμματιστές εφαρμογών και θεματοφύλακες δεδομένων;
  • Γνωρίστε τα δεδομένα: Αυτό περιλαμβάνει δεδομένα που υποβάλλονται σε επεξεργασία και συλλέγονται από το προϊόν λογισμικού, τα εργαλεία και την πλατφόρμα. Έχετε ταξινομήσει τα δεδομένα που συλλέχθηκαν, συμπεριλαμβανομένων των μεταδεδομένων; Εάν το λογισμικό είναι εκτός ραφιού, το έχετε αξιολογήσει από την άποψη του PbD; Γνωρίζετε πόσα και τι είδους δεδομένα παράγονται από τέτοιο λογισμικό;
  • Λάβετε βοήθεια από ειδικούς σε θέματα απορρήτου: Ο κίνδυνος και η ζημιά που θα μπορούσε να προκύψει από αυτήν την επεξεργασία αξιολογούνται από έναν εμπειρογνώμονα απορρήτου; Αυτός ο εμπειρογνώμονας μπορεί να κατανοεί τη νομοθεσία και είναι εκπαιδευμένος σε λογισμικό μηχανικής;
  • Δημιουργία λογοδοσίας: Είναι το απόρρητο μια προεπιλεγμένη ρύθμιση στην επιχείρηση λογισμικού; Έχετε εμπλεκόμενη δομή διακυβέρνησης απορρήτου και συμβούλιο; Παρακολουθούνται οι κίνδυνοι απορρήτου της μηχανικής λογισμικού και οδηγούνται στο κλείσιμο;
  • Δημιουργήστε ευαισθητοποίηση και προωθήστε μια κουλτούρα απορρήτου: Πόσο συχνά εκπαιδεύονται οι ομάδες σας σχετικά με το απόρρητο; Είναι οι μηχανικοί σας ευαισθητοποιημένοι για τη σημασία των προνομίων χρήστη; Η εστίαση δεν πρέπει να είναι μόνο στη συμμόρφωση αλλά και στο «άτομο» και στο «κάνει το σωστό».