24th April 2018, 21:11
#27
3 out of 3 members found this post helpful.
Vad ca e cazul sa vin cu anumite actualizari si informatii utile:
- Va recomand cu mare caldura sa cititi Regulamentul GDPR. Sau, pe situl UE gasiti unul mai bine formatat (descarcati varianta in romana).
Eventual sa cautati si ceva cursuri / webinar despre acest subiect, daca intereseaza (si ar trebui sa intereseze). Problema e mult mai complicata decat ce s-a discutat aici. Dar se poate rezolva, in timp, pas cu pas. Nota, este o lege lunga si s-ar putea sa va dea dureri de cap. Cursurile, la fel.
- Orice persoana care stocheaza date personale despre clienti in scop comercial (firma, ong, pfa etc) este sub incidenta legii.
- Cookie-urile persistente sunt in principiu date personale, pentru ca pot fi utilizate pentru identificarea unei persoane, singure sau in combinatie cu alte date care exista despre utilizator, cum ar fi adresa de IP, care conform GDPR constituie PII. (nota: PII=Personally Identifiable Information)
Recomandarea generala la acest moment vehiculata in cercurile care se ocupa de GDPR (consultanti etc) este sa cereti acceptul pentru toate cookies persistente, la care subscriu. Acceptul trebuie cerut segmentat (pe categorii de utilizare in parte), INAINTE de setarea cookies. Acest lucru include si banalele trackers precum Google Analytics sau StatCounter. Da, se vor pierde referrer-i si precizie.
- Este de asteptat ca peste 90% din utilizatori sa NU ofere consimtamantul catre terti (din pacate). Intr-un fel, e cam ca si cu AdBlock - de ce nu ar bloca reclamele? Alt domeniu desigur, dar utilizatorul va reactiona similar, in mod natural. Acest lucru va crea probleme celor care se bazeaza pe consent si se asteapta la aceleasi rezultate, ca pana acum. Nu se poate.
- Pentru Google Analytics, ca sa pastrati compatibilitatea trebuie sa treceti de la cookie-based la session-based tracking. Aveti aici un ghid util pentru configurare GA . Din pacate, statisticile nu vor fi la fel de precise si nu prea exista remediu.
- Pentru StatCounter (cine foloseste), intrati la Settings si folositi Opt-out cookie. Va trebui sa reinstalati codul nou pe site.
- Va recomand sa instalati extensia Cookie Inspector in Google Chrome si sa intrati pe propriul site, vedeti ce cookies persistente aveti. Acele cookies trebuie fie sa 1=dispara, 2=aveti acceptul pentru ele. Nu puteti folosi un accept general, trebuie butoane de accept pe fiecare categorie in parte (exemplu: tracker; marketing; cos de cumparaturi; etc). In plus nu este permis ca aceste butoane sa fie pre-bifate, si nici vreun buton de "Accept all and Continue". Utilizatorul trebuie sa le bifeze pe fiecare din proprie initiativa.
Nota, s-ar putea sa va surprinda ce cookies aveti despre care nu stiati.
- Aceasta lege va crea probleme mari in Internet, de adaptare la reglementari. Serviciul whois este deja afectat si va cam disparea (stiu, pare incredibil...). Exista o dezbatere intreaga in firmele de securitate pentru ca blocarea accesului la whois impiedica identificarea atacatorilor. Deci hacking, phishing vor creste, in timp ce firmele for fi afectate grav de o bresa.
- Marketing-ul este afectat, iar anumite categorii de marketing devin aproape imposibil de facut cu rezultate eficiente (exemplu: remarketing-ul, care va trebui acum sa obtina consent). Voi ati accepta sa setati o cookie care sa va urmareasca peste tot prin internet cu aceleasi reclame repetitiv? Probabil ca nu. Aveti aici un articol pe care il recomand cu caldura pe acest subiect. Ajuta si la intelegerea felului in care trebuie luat consent-ul, respectiv segmentat, granular, si cu informatii complete.
- Datele utilizatorilor trebuie stocate criptat, fie prin criptare filesystem sau prin criptarea bazei de date. Asta e o discutie lunga si poate fi greu de implementat. Nu exista o solutie banala pentru criptare si pentru pastrarea securizata a cheii (cel mai sigur sistem fiind probabil serverul in-house si cheia USB in buzunar).
- Shared hosting, din pacate, este cam incompatibil cu GDPR. Discutia e lunga dar intreg environment-ul din serverele shared, inclusiv cPanel /WHM nu sunt compatibile GDPR si nici nu prea pot fi facute, plus ca nici nu se streseaza sa incerce. Recomand shared hosting doar pentru bloguri personale care NU creeaza conturi ale utilizatorilor si nu au venit, situri simple fara implicatii de business.
- Pentru cloud hosting sau VPS, va recomand utilizarea unui provider VPS care este GDPR-compliant. Deocamdata OVH declara ca s-ar cam pregati in directia asta (e un provider major), dar ce spun ei acolo nu este 100% compliance. In acest moment este greu sa gasesti un host compliant. Am mai vazut ceva intentii pe la ArubaCloud sau EuroVPS. Restul... tacere. Amazon AWS, desigur, va fi compliant, pentru cine isi permite preturile ceva mai mari.
- O solutie buna dpdv GDPR ramane serverul in-house (cu dezavantajele de rigoare). Varianta simpla, un linux cu filesystem criptat si introducerea cheii la boot. Desigur ca atunci cand trebuie restartat, trebuie trezit admin-ul din somn si trimis sa bage cheia. N-am zis ca o sa fie usor, dar na, e sigur.
- Pe situri si grupuri se discuta de cookies si uneori de criptarea bazei de date. In realitate asta reprezinta poate doar 10% din partea de munca pentru compliance GDPR doar in zona de IT (si poate 2% din total).
- Nu prea exista recomandari specifice tech in prezent de la UE. Eu sunt o buna parte din an in UK si sunt foarte utile deocamdata recomandarile (sumare) oferite de ICO.ORG.UK firmelor din UK, pana apar recomandari specifice de la UE.
Spre exemplu, daca utilizatorul cere "uitarea", veti sterge datele personale; dar puteti pasta un registru cu date skeleton (numele) al celor care au cerut stergerea si data. Aceasta recomandare am primit-o de la ICO in UK.
- Sunt cam 3 directii de acoperit in compliance: 1. Consultanta / identificare initiala, 2 .Procese interne si documentatie (incluzand DPO unde e cazul) , si 3.Implementare tehnica /IT . Din nou, depinde de marimea firmei. Pentru consultanta GDPR recomand un avocat sau jurist cu experienta in GDPR (oricum cineva care a facut dreptul). Pentru 2, servicii externalizate in cele mai multe cazuri. Utilizatorii Seopedia se vor pricepe mai bine la 3), dar nu strica sa apelati la cineva pentru o consultanta de securitate daca e nevoie, firma e marisoara, date sensibile etc.
- Recomandarea mea finala este sa nu va impacientati. Respiram adanc si trecem usor-usor la treaba.
Observatie importanta. Masurile si adancimea compliance difera de la business la business, in functie de marime si senzitivitatea datelor. Recomand sa le luati pas cu pas si sa le implementati pe rand. In principiu, daca se vede intentia pozitiva si un proces continuu inspre compliance, riscul unei amenzi mari este foarte redus, chiar si dupa 25 Mai. In plus, firmele mici nu vor primi amenzi de milioane de euro daca incalca legea. Totul se va face proportional cu marimea firmei si gravitatea faptelor.
Nota secundara: In prezent lucrez la un site care va oferi un checklist /test/ quiz gratuit de auto-evaluare a propriului site dpdv. GDPR. Cand este gata voi posta un link pe forum (nu mai dureaza mult). Am observat ca se discuta cum spuneam de cele 2 probleme de mai sus, dar am gasit cateva zeci de probleme care fac situl incompatibil GDPR, nu cookies si criptarea bazei de date. Situl o sa genereze un raport cu care puteti lucra pe urma la compliance si documente + link-uri utile. Va fi actualizat periodic conform noilor recomandari care apar.
Il fac pentru ca e nevoie. 99% din business owners habar nu au ce au de facut. Iar avocatul specializat GDPR nu are toate raspunsurile tehnice, ofera doar recomandari generale pentru partea de IT. Daca va treziti cu un data breach, avocatul va ridica din umeri, si nu el primeste amenda. Este normal - nu e treaba lor, nu sunt specialisti IT.
Daca sunt intrebari la care am raspunsul potrivit, voi raspunde. Am raspunsuri limitate totusi, multe lucruri sunt in aer pana apar recomandari specifice de implementare.