Aplikacja powinna być przyjazna użytkownikom i umożliwiać im realizację ich uprawnień. Jak o to zadbać?
Jak właściwie zadbać o uprawnienia użytkowników?
Aplikacja powinna realizować dwa cele – dostarczać wartość użytkownikom końcowym i być user – friendly. To ostatnie oznacza stworzenie użytkownikom warunków do bezproblemowej realizacji wszystkich swoich uprawnień. Z tego artykułu dowiesz się jak zabezpieczyć dane użytkowników aby nie popełnić błędu jednego z popularnych sklepów internetowych.
Aplikacja powinna umożliwiać użytkownikom realizację ich uprawnień:
- żądanie usunięcia danych
- zamknięcia konta
- sprostowania danych
- wycofania zgody
- wypowiedzenia umowy
Bądź user – friendly:
- stwórz użytkownikowi warunki do prostej i szybkiej realizacji jego uprawnień np. opracuj widoczny button „usuń konto” zamiast obowiązku wysłania w tym celu e-maila
CASE STUDY #1 | Aplikacja fitness
Klient zlecił stworzenie aplikacji motywującej użytkownika do poprawy stanu zdrowia. W ramach aplikacji użytkownik mógł przesyłać na bieżąco swoje zdjęcia, m.in. po to, aby naocznie obserwować poczynione z biegiem czasu postępy.
LESSON LEARNED:
W takiej sytuacji upewnij się, że:
zdjęcia nie będą wykorzystywane w celach marketingowych bez wiedzy użytkownika
aplikacja powinna umożliwiać w dowolnym momencie usunięcie zdjęć bez konieczności usuwania konta
aplikacja powinna mieć wbudowany mechanizm weryfikacji liczby osób na zdjęciu (w aplikacji powinny być zamieszczane tylko zdjęcia użytkownika. Jest to szczególnie ważne gdyby takie zdjęcie miało być wykorzystywane w celach marketingowych)
Spełnij obowiązek informacyjny
- jasno i czytelnie określ kto, po co i w jakim celu zbiera dane np.: wyeksponuj już na etapie logowania, a nie dopiero na etapie regulaminu, kto jest administratorem danych użytkownika
Bądź transparentny
- umowa lub regulamin aplikacji powinny znajdować się u góry lub na dole strony www jako odrębne i widoczne linki
- dostęp do nich powinien być możliwy w każdym czasie
Jak zabezpieczyć dane użytkowników?
- Szyfruj dane użytkowników
- Wykonuj kopie zapasowe – min. 2 lokalizacje
- Ogranicz do minimum dostęp do danych dla developerów
CASE STUDY #2 | Aplikacja HR
Klient zlecił opracowanie aplikacji wspierającej dział HR w obsłudze pracowników. Za jej pośrednictwem pracownicy mogli składać wnioski urlopowe, informować o chorobie, prywatnym wyjściu z biura w ciągu dnia, home office.
LESSON LEARNED:
Jak zaprojektować aplikacje aby przestrzegać zasady minimalizacji przetwarzania danych?
- Funkcjonalność aplikacji musi być zgodna z prawem
- Ogranicz dostęp do danych wyłącznie do osób, które tego niezbędnie potrzebują
- Zasada: im więcej danych zbierasz, tym mniej osób powinno mieć do nich dostęp!
4. Rejestruj logi w aplikacji oraz autora operacji
5. Zabezpiecz dostęp do konta użytkownika:
- myśl za użytkownika – wymóg mocnego hasła np. kombinacja liter, cyfr, znaków specjalnych
- stopień zabezpieczeń zależny od rodzaju danych (inny dla aplikacji przetwarzających dane wrażliwe, np. stan zdrowia, a inny dla pozostałych) – np. wymóg mocnego hasła – 20 znaków lub dwuskładnikowe uwierzytelnianie
6.Zapewnij dwuskładnikowe uwierzytelnianie:
- brak to poważne naruszenie – ostatnia kara dla e-sklepu Morele.net wyniosła 3 mln złotych
Jak długo przechowywać dane i kiedy je usuwać?
- gdy nie są już potrzebne
- po 6 latach – okres przedawnienia roszczeń
W kolejnym artykule opowiem jakie dokumenty należy dołączyć do aplikacji.