Хранение личной информации Dos and Don'ts

Ответ 1

IANAL, но изучив правила, рассмотрите политику конфиденциальности с точки зрения ваших пользователей. Вероятно, они хотят знать, что вы собираетесь делать с информацией, а также то, что вы делаете, чтобы защитить свою информацию от несанкционированного использования другими людьми, в чьи руки она может упасть.

Например, вы собираетесь использовать адреса электронной почты для отправки им рекламных сообщений? Есть ли у вас политика отказа? Вы когда-нибудь хотели бы продать свой список рассылки? Это может иметь коммерческую ценность из-за особого интереса (фотографии) пользователей. Можете ли вы пообещать никогда не продавать свои адреса электронной почты? Или, если вы не можете обещать, можете ли вы пообещать предупредить их, прежде чем делать это?

Вы когда-нибудь выпустили личную информацию о пользователе, который разместил конкретную фотографию? Даже безвредная фотография пары или ребенка может иметь непредвиденные последствия, если выявить личность (и местоположение) фотографа.

Подумайте также о позиции руководства клуба. Они не хотят вступать в неприятности со своими членами клуба, потому что вы выпустили (или продали) их личную информацию или список членов клуба.

Чтобы заслужить доверие руководителей и членов клуба, подумайте о том, чтобы четко указать свою политику. Упомяните, что политика может измениться. Вы можете дать члену возможность объявить, что вся их личная информация будет конфиденциальной.

Если вы хотите расширить свой сайт, вам будет выгодно доверять вам.

Ответ 2

У вас есть правила хранения информации о кредитной карте. Abut личная информация как имя, телефон и т.д., Я думаю, это зависит от страны. Например, в Австралии у них есть конкретный акт: http://www.privacy.gov.au/publications/ipps.html. Вы должны зарегистрироваться в своей стране. Здесь, в Германии, у нас много проблем с утечкой информации.

Ответ 3

Канадские требования можно найти здесь.

Они обеспечивают отличное резюме требований:

• Будьте ответственны - сделайте все возможное, чтобы защитить имена и электронные письма, которые вам были предоставлены.

• Сообщите своим пользователям, какая информация вы держите и что вы делаете с ней

• Получить согласие - это может быть так же просто, как сообщить своим пользователям, что их согласие предполагается

• Ограничить сбор только теми данными, которые вам нужны

• Ограничить использование, раскрытие и сохранение данных

• Будьте точны - сделайте все возможное, чтобы держать электронные письма актуальными и правильными

• Используйте соответствующие меры безопасности

• Будьте открыты - опубликуйте свою политику конфиденциальности

• Предоставьте пользователям доступ к данным, которые вы храните в них.

• Предоставить регресс - назначить "сотрудника по вопросам конфиденциальности" для получения жалоб.

Публикация фотографий людей без их согласия, которые обычно достигаются с помощью "формы выпуска", может представлять определенные проблемы. На веб-сайте, на котором я участвую, есть выражение о конфиденциальности, подобное этому, где бы ни были опубликованы фотографии:

Этот сайт содержит фотографии.... Если по какой-либо причине вы предпочитаете, чтобы ваше имя или фотография не использовались, обратитесь к [email protected], и он будет удален.

P.S. Хорошо для вас для активного решения этой проблемы.

Ответ 4

Это то, о чем вы, вероятно, должны обратиться за юридической консультацией, но вот пара основ, как я их понимаю (в США):

Во-первых, основным регулятором этой проблемы в США является Федеральная торговая комиссия. У них есть некоторые материалы на их веб-сайт, на который вы можете посмотреть. Эти две основы заключаются в том, что у вас должна быть политика конфиденциальности и что вы должны делать то, что она говорит. Если вы просто загружаете политику с сайта elses и не делаете то, что она говорит, вы можете попасть в неприятности.

Вторая вещь, о которой нужно подумать, - это более современные законы штата, требующие уведомления, если ваша безопасность будет нарушена. Heres ресурс. Некоторые из них имеют "безопасные гавани", что означает правила, которые позволяют вам получать меньше хлопот за нарушения, если вы шифруете данные.

Я не даю юридических консультаций - это будет зависеть от вашего местоположения и многих других факторов, но это некоторые проблемы, чтобы заглянуть в адвоката.

Ответ 5

Это действительно основная вещь, но иногда она представлена ​​на thedailywtf.com.

Не храните пароли в открытом тексте.

Если вы запустили пароли через функцию md5, прежде чем хранить их, это сделает вашу базу данных имени пользователя и пароля бесполезной для воров.

Ответ 6

Это законно хранить электронную почту в вашей базе данных. Собираетесь ли вы хранить другую личную информацию, такую ​​как кредитная карта? Это может быть более проблематичным.

Ответ 7

В Швеции мы PUL, чтобы регулировать это.

Ответ 8

Там есть генератор политики конфиденциальности и некоторые шаблоны/примеры в Интернете:

http://www.dmaresponsibility.org/PPG/

и некоторые ссылки здесь:

http://www.gabrielweinberg.com/startupswiki/Ask_YC_Archive#toc28

(сортировка вне темы). Вам нужно быть бдительными на пару слоёв: соблюдение патчей PHP и обновлений для всех общедоступных программных продуктов (веб-сервер, балансировщик/прокси-сервер) и убедитесь, что, если кто-то получит root и файловой системы на сервере, они по-прежнему не могут читать данные MySQL: я не очень много помню о PHP, но я уверен, что есть возможности для шифрования данных как на стороне клиента, так и на стороне сервера. Здесь пример rails/mySQL

http://www.rorsecurity.info/journal/2007/2/27/rails-friends-securing-mysql-continued.html

http://ajaxpatterns.org/Host-Proof_Hosting