Donner la priorité à la confidentialité des données dans votre programme d'expérimentation

Publié: 2022-04-27

L'approche de VWO axée sur la confidentialité : ce qu'elle implique, pourquoi elle est essentielle et comment elle profite à nos clients.

Que signifie la confidentialité pour une plate-forme d'expérimentation ?

Alors que les données alimentent les expériences, le maintien de la confidentialité et de la sécurité de ces données devient essentiel. Si vous êtes une entreprise qui mène des expériences, vous êtes régi par les lois sur la confidentialité, la sécurité et la conformité des données applicables dans votre région. Par conséquent, il devient essentiel pour vous de choisir un outil d'expérimentation axé sur la confidentialité.

La question se pose alors : comment savoir si l'on peut faire confiance à une plateforme d'expérimentation pour répondre aux critères nécessaires en matière de confidentialité ? Pour le savoir, vous devez évaluer le type de données collectées par la plate-forme, où elles sont stockées, comment elles sont utilisées et s'il existe un risque de vulnérabilité des données.

Dans cet article, nous avons répondu à ces questions cruciales dans le cadre de VWO.

Prioriser la confidentialité des données dans votre programme d'expérimentation

Chez VWO, nous pensons que la vie privée est un droit humain fondamental. Nous nous engageons à vous fournir des produits, des informations, des contrôles et une transparence qui vous permettent de choisir comment vos informations et celles de vos clients sont collectées et utilisées. Nous devons notre croissance à nos clients et gagner leur confiance est notre priorité absolue. Par conséquent, la confidentialité et la conformité des données clients sont primordiales pour nous.

La sécurité est au cœur de la façon dont nous concevons nos produits, politiques et processus pour fournir une haute résilience. Nous suivons les principes de sécurité dès la conception pour protéger les systèmes d'information et les informations client afin que vous puissiez expérimenter et créer la meilleure expérience client en utilisant la plate-forme en laquelle vous avez vraiment confiance.

Quelles sont les données des visiteurs collectées par VWO ?

L'ensemble des données recueillies par VWO est classée dans les deux catégories suivantes :

  • Données Clients : Il s'agit des données clients de VWO, associées à leur achat et utilisation de la plateforme et des services VWO Experimentation. Ces données comprennent les informations de connexion et de contact des clients, les configurations de campagne, les configurations de compte, les configurations de facturation et d'autres données similaires nécessaires pour utiliser et exécuter l'application VWO.
  • Données visiteurs : Il s'agit des données des visiteurs ou utilisateurs finaux (qui arrivent sur le site/applications des clients) collectées dans le cadre des campagnes exécutées via VWO. Ces données alimentent toutes les fonctionnalités de l'application VWO, à savoir les enregistrements de session, les cartes thermiques, les enquêtes, les tests A/B, les MVT, etc.

Les serveurs VWO collectent et stockent les informations UUID (Unique User Identifier) ​​dans un format pseudonymisé. Un UUID est un numéro de 128 bits utilisé pour identifier les informations dans les systèmes informatiques. Étant donné que VWO pseudonymise l'UUID avant de le stocker à l'aide d'une fonction de hachage à sens unique, les informations pouvant pointer vers l'identité d'un visiteur sont remplacées par des "pseudonymes" et l'identité est protégée.

Les serveurs VWO stockent les données de l'agent utilisateur, y compris les informations suivantes pour les clients utilisant la segmentation des rapports dans la plate-forme d'expérimentation de VWO :

  • Adresse IP du visiteur dans un format anonymisé.
  • URL de référence pour savoir d'où le visiteur est venu sur votre site Web.
  • Type de visiteur – nouveau ou de retour.
  • Un lieu tel que le pays, la ville et la région. Vous pouvez sélectionner le niveau d'informations de localisation que vous souhaitez stocker ici.
  • Informations sur l'appareil utilisé pour accéder au site Web, y compris le système d'exploitation, l'agent utilisateur, le mobile/tablette/ordinateur de bureau et le navigateur.
  • Le temps de l'action du visiteur ou les données sur les objectifs incluent les clics, les défilements, les revenus, etc.

Ces données sont collectées lorsque l'utilisateur final ou le visiteur interagit avec votre site Web.

Les serveurs VWO traitent des types de données supplémentaires pour les cartes thermiques, les enregistrements de session, les enquêtes et d'autres fonctionnalités qui fournissent des informations sur le comportement des visiteurs :

  • Enregistrements des actions des visiteurs sur le site Web pour analyser le comportement des visiteurs dans un format vidéo.
  • Faites défiler les données pour comprendre la profondeur de l'interaction de l'utilisateur sur le contenu de votre site Web.
  • Mouvements de la souris pour analyser le comportement des visiteurs sur une page.
  • Mutations.
  • Orientation de l'appareil et changement de comportement pour les appareils mobiles.
  • Contenu HTML de la page Web.

VWO stocke les informations nécessaires à des fins de sécurité et de poursuites sur la base d'un intérêt légitime et les informations nécessaires à des fins de produit, de marketing et d'analyse (intérêt légitime ou, le cas échéant, en obtenant votre consentement préalable). Vous pouvez en savoir plus à ce sujet dans notre politique de confidentialité.

Où VWO stocke-t-il les données ?

VWO a toujours été entièrement conforme au RGPD. Les données des clients VWO et de leurs visiteurs ont toujours été stockées et traitées dans le centre de données basé aux États-Unis, conformément à la loi GDPR. Ce centre de données dessert plus de 2 500 clients satisfaits dans le monde, dont plus d'un millier dans l'Union européenne.

Nous avons franchi la prochaine étape naturelle avec un engagement continu envers la confidentialité et la sécurité. Nous avons récemment lancé un centre de données de l'Union européenne (UE) pour garantir que les données des visiteurs ne quittent pas les frontières internationales de l'UE. Hébergé en Belgique (Europe-ouest1 de GCP), ce centre de données s'adresse à ceux qui préfèrent stocker et gérer les données de leurs utilisateurs finaux/visiteurs au sein de l'UE. Les données des visiteurs traitées par VWO sont conformes à l'accord de protection des données (DPA) pour les entités qui choisissent de configurer leurs comptes avec ce centre de données.

Centre de données dans l'UE
Notre centre de données basé en Europe stockera les données de vos visiteurs si vous optez pour la résidence des données dans l'UE.

Dans quelle mesure vos données sont-elles en sécurité avec VWO ? Peut-il être divulgué, distribué ou consulté ?

La plate-forme de niveau entreprise de VWO a été conçue en gardant à l'esprit le haut niveau de sécurité attendu par les entreprises de classe mondiale. Avec VWO, vous pouvez être assuré que toutes les données que nous stockons restent sûres, confidentielles et accessibles. Par « sûr », nous entendons que les données seront protégées contre tout type de perte ou de corruption. « Confidentiel » signifie que l'accès aux données est accordé uniquement au personnel autorisé, et par « accessible », nous entendons que les données ne sont disponibles qu'aux utilisateurs autorisés chaque fois que cela est nécessaire.

Cette garantie de protection des données provient d'une combinaison de sécurité physique et de code, d'un accès configurable aux applications, d'analyses régulières des vulnérabilités et d'une disponibilité constante des données. Vous pouvez en savoir plus à ce sujet dans notre article de base de connaissances.

Vos données personnelles peuvent être partagées avec des partenaires commerciaux, des prestataires de services, des passerelles de paiement, des conseillers professionnels, des organismes chargés de l'application de la loi, des autorités réglementaires, des utilisateurs de sites Web ou des tiers dans des circonstances particulières, comme décrit dans notre politique de confidentialité.

Comment VWO gère-t-il la suppression et l'accès aux données ?

Par défaut, VWO identifie et anonymise toute Information Personnelle Identifiable (PII) ou données sensibles des utilisateurs avant de les stocker sur ses serveurs. Les PII comprennent les mots de passe, les numéros de sécurité sociale, le téléphone, les informations de carte et d'autres données personnelles.

Pour les comptes supprimés ou expirés, les données sont supprimées dans un délai de 45 à 90 jours à compter de la date d'expiration. En tant que client VWO, vous pouvez écrire au support VWO pour demander la suppression immédiate de comptes ou de données utilisateur spécifiques si vous souhaitez donner la priorité à cela.
VWO a établi des politiques et des procédures pour éliminer les supports électroniques et physiques contenant des PII, des données de compte et des informations sensibles et confidentielles afin d'assurer la sécurité des données de ses serveurs. Vous pouvez en savoir plus à ce sujet dans notre article de base de connaissances.

Comment la stratégie produit de VWO est-elle alignée sur notre approche axée sur la confidentialité ?

Chez VWO, nous nous appuyons sur de solides pratiques de sécurité et de confidentialité des données qui font partie intégrante de l'ingénierie et du développement de nos produits. Ces principes disposent d'un cadre solide pour la construction de systèmes sécurisés qui traitent tous les vecteurs de menace par défaut et par conception.

Dans cette optique, les paramètres ci-dessous font partie de notre suite de produits :

1. Vous pouvez retirer vos visiteurs du suivi VWO sans entraver leur expérience sur votre site Web.

Même si VWO ne suit jamais les données personnelles de l'utilisateur final, vos visiteurs ont le choix de ne pas être suivis par VWO.

En tant que propriétaire de site Web, vous pouvez demander à vos visiteurs de se retirer de VWO en générant un lien de désinscription et en le partageant avec les visiteurs de votre site Web ou en utilisant l'API de désinscription de VWO.

L'API de désactivation a deux versions. Lorsque vous lancez cette API dans la première version, tous les cookies VWO sont supprimés et VWO arrête immédiatement le suivi des visiteurs. Si le visiteur en question revient sur la page, il ne sera toujours pas pris en compte pour le suivi VWO. Par conséquent, ils ne verront aucune modification de campagne lors des visites ultérieures.

Dans la deuxième version, vous pouvez exclure un visiteur du suivi VWO, mais toujours montrer l'expérience (changements de campagne) qu'il a vue précédemment. Par exemple, supposons qu'un visiteur ait vu la variante A d'une campagne spécifique et que vous souhaitiez maintenant le désactiver du suivi VWO tout en montrant la même variante au visiteur lors de ses visites ultérieures. Lorsque vous lancez cette API, VWO arrête immédiatement le suivi des visiteurs. Cependant, les visiteurs continuent de voir la même variation dont ils faisaient auparavant partie.

2. Vous pouvez facilement demander le consentement avant de collecter les données des visiteurs, et vous pouvez le faire de manière plus responsable qu'auparavant.

Au vu des politiques de protection des données, il est nécessaire d'afficher un bandeau cookie informant les visiteurs sur les cookies ou d'obtenir leur consentement avant de tracer leurs données. Cela garantit que vous ne pouvez le faire qu'avec leur permission si vous utilisez des outils/scripts sur votre site Web pour identifier des personnes et leurs informations personnelles.

VWO vous donne la possibilité de configurer des déclencheurs pour VWO Insights afin que vous puissiez suivre les données des visiteurs de manière plus attentive, responsable et avec leur consentement. Toute action de visiteur peut être utilisée pour déclencher la collecte de données Insights. Vous pouvez écrire un code JavaScript personnalisé qui peut écouter les actions des visiteurs et décider en fonction du type de pages visitées ou de tout scénario que vous souhaitez valider avant de collecter des données Insights. Cet article de la base de connaissances décrit le processus de configuration d'un déclencheur personnalisé dans VWO.

Consentement aux cookies
VWO vous permet de laisser plus facilement vos utilisateurs accepter ou refuser le consentement au suivi des données comportementales.

Comment assurons-nous la conformité des cookies ?

VWO utilise des cookies et un stockage local pour comprendre le comportement des visiteurs et suivre les parcours des visiteurs sur votre site Web afin d'offrir les meilleures expériences. Les cookies identifient la variation d'une expérience que le visiteur visualise et aident à proposer la même variation au visiteur de manière cohérente. Ces cookies suivent également les actions des visiteurs, déterminent s'ils font partie d'une campagne, etc. Cependant, la seule information que VWO collecte à propos d'un cookie est un identifiant de visiteur, c'est-à-dire un UUID expliqué précédemment qui ne contient aucune donnée personnelle. Cet UUID permet de distinguer un visiteur d'un autre, mais aucun individu ou consommateur ne peut être suivi ou identifié par VWO.

Dans le cadre des politiques de protection des données comme le RGPD, il est nécessaire d'obtenir le consentement éclairé des visiteurs avant de déployer tout cookie ou traceur pour traiter leurs données. VWO ne collecte aucune information sensible. Cependant, en tant qu'utilisateur, la décision d'implémenter VWO avec le consentement des cookies ou non vous appartient entièrement. Consultez toujours votre conseiller juridique pour déterminer quelle mise en œuvre vous convient. Ils peuvent vous aider à prendre une décision éclairée en tenant compte des règles de confidentialité des données des pays dans lesquels vous opérez.

Le VWO SmartCode est un extrait de code généré automatiquement que vous devez ajouter pour activer VWO sur votre site Web. Vous pouvez choisir d'exécuter le SmartCode sans le consentement du visiteur, c'est-à-dire que vous n'avez besoin d'aucune autorisation avant de déployer des cookies ou des traceurs pour traiter les données des visiteurs. Vous pouvez également choisir d'exécuter le SmartCode après avoir obtenu le consentement des visiteurs (c'est pour VWO Insights et Engage ; les campagnes de test s'exécutent sans l'autorisation des visiteurs). Vous pouvez également opter pour une exécution conditionnelle - ici, le SmartCode n'est exécuté qu'après avoir obtenu le consentement des visiteurs, quel que soit le produit que vous utilisez. De plus, VWO communique avec les gestionnaires de consentement aux cookies via un rappel lorsque le visiteur accepte ou rejette le cookie, vous permettant d'exécuter le SmartCode sur la base d'un consentement valide.

En fonction des règles de confidentialité des données dans les pays où vous opérez, vous pouvez prendre une décision éclairée. Cet article de la base de connaissances explique comment choisir la bonne méthode pour implémenter le SmartCode.

Comment VWO assure-t-il la sécurité ?

Plus de 2 500 clients font confiance à la plate-forme d'optimisation de l'expérience VWO pour leurs données, et cette responsabilité est quelque chose que nous prenons très au sérieux. Toutes les données atteignant les serveurs VWO à partir des enregistrements, des réponses aux enquêtes ou de la dimension personnalisée sont cryptées à l'aide de l'algorithme de cryptage standard AES-256. Vous pouvez lire cet article de la base de connaissances pour plus de détails.

Nous avons également intégré les fondamentaux de la sécurité dans les aspects suivants de nos opérations quotidiennes :

Structure organisationnelle et gouvernance

Wingify (fabricants de VWO) a mis en place une équipe de sécurité et de conformité d'entreprise (CSC) composée de personnel clé dont la responsabilité est d'identifier les problèmes de sécurité et de conformité dans l'ensemble de l'entreprise. Cette équipe agit en tant que première ligne de défense pour améliorer la posture de sécurité et de conformité appropriée. Cette équipe rend compte au PDG.

Gestion des risques – ISO

Conformité
VWO respecte les certifications de confidentialité et de sécurité internationalement reconnues

ISO/IEC 27701:2019 (ISO 27701) est internationalement reconnue et une norme mondiale de confidentialité qui se concentre sur la collecte et le traitement des informations personnellement identifiables (PII). Tout audit ISO/CEI 27701 exige que l'organisation déclare les lois/réglementations applicables dans ses critères d'audit. Cela signifie que la norme peut être mappée à de nombreuses exigences du RGPD, du California Consumer Privacy Act (CCPA) et d'autres lois. Une fois cartographiés, les professionnels de la protection de la vie privée mettent en œuvre les contrôles opérationnels ISO/IEC 27701 et audités par des auditeurs internes ou tiers, ce qui se traduit par une certification et une preuve complète de conformité.

VWO a reçu une certification accréditée ISO/IEC 27701:2019 en tant que processeur et contrôleur PII après avoir subi un audit par un tiers indépendant.


ISO/IEC 27001:2013 (ISO 27001) est un cadre internationalement reconnu qui spécifie les exigences pour établir, mettre en œuvre, maintenir et améliorer la gestion de la sécurité de l'information au sein d'une organisation. VWO a reçu la certification ISO 27001:2013 de la British Standards Institution (BSI), l'entreprise internationale de normalisation. La certification ISO 27001:2013 démontre notre engagement envers la sécurité de l'information à tous les niveaux. La conformité à cette norme internationalement reconnue et validée par un audit tiers indépendant confirme que notre programme de gestion de la sécurité est complet et suit les meilleures pratiques du secteur.

Gestion des accès

Tous les utilisateurs d'un compte VWO se voient attribuer un niveau d'accès qui détermine les actions que les utilisateurs peuvent effectuer dans le compte VWO. Si vous êtes propriétaire ou administrateur d'un compte, vous pouvez modifier le niveau d'accès à tout moment.

Authentification et gestion des mots de passe

Authentification à 2 facteurs
Authentification à deux facteurs dans VWO

Pour garantir la confidentialité de votre compte VWO, nous avons ajouté une couche de sécurité supplémentaire sous la forme d'une authentification à deux facteurs (2FA) qui empêche les mauvais acteurs d'accéder à vos données, même s'ils connaissent votre mot de passe.

L'authentification à deux facteurs (2FA) repose sur deux mesures de sécurité pour empêcher les intrus d'accéder à votre compte VWO. Une fois 2FA activé, pour vous connecter à votre compte, vous devrez fournir quelque chose que vous connaissez, c'est-à-dire votre mot de passe, et quelque chose que vous avez, c'est-à-dire un code à usage unique à six chiffres envoyé à votre adresse e-mail au moment de la connexion. (ou en utilisant des applications populaires basées sur TOTP pour générer le code).

Avec 2FA, vous pouvez vous assurer que votre compte n'est pas compromis même si un virus malveillant expose votre mot de passe ou si des pirates accèdent à votre mot de passe par force brute.

Gestion des sessions

Chaque fois qu'un utilisateur VWO se connecte au compte VWO, le système attribue un nouvel identifiant de session à l'utilisateur. L'identifiant de session est une valeur générée aléatoirement de 64 octets pour protéger le compte contre les attaques par force brute. Après sept jours, toutes les sessions expirent, obligeant les utilisateurs à se reconnecter à leur compte. De plus, toutes les sessions actives sont réglées pour expirer après 4 heures d'inactivité.

Sécurité des réseaux et des transmissions

VWO est hébergé sur des serveurs sécurisés gérés par GCP. Tout accès physique aux centres de données GCP est limité à tout le monde. Les pare-feu sont configurés selon les meilleures pratiques du secteur et tous les ports inutiles sont bloqués.

En tant qu'utilisateur VWO, vous êtes toujours connecté à l'application Web VWO via HTTPS à l'aide de Transport Layer Security (TLS) version 1.2 et supérieure, un protocole cryptographique conçu pour protéger contre l'écoute clandestine, la falsification et la falsification de messages.

Contrôle d'accès

Vous pouvez attribuer des rôles et des autorisations à chaque utilisateur que vous ajoutez à votre compte pour garantir un niveau d'accès approprié à votre compte VWO. Vous pouvez limiter l'accès à votre compte VWO à des adresses IP spécifiques. Vous pouvez également activer les alertes pour vous envoyer un e-mail chaque fois que des activités particulières se produisent dans votre compte.

Accès interne aux données

Les données stockées sur les serveurs de production de VWO ne sont accessibles qu'au SVP of Engineering et aux ingénieurs principaux. Aucun autre membre de VWO n'a accès aux données des clients à moins qu'une autorisation d'accès spécifique ne soit accordée par le directeur général et SVP-Engineering pour résoudre les problèmes techniques.

Sécurité dans l'ingénierie dans le cadre du développement de produits

Des contrôles de qualité approfondis font partie intégrante de notre processus de développement. Aucun code n'est mis en ligne à moins d'être examiné et approuvé par l'équipe d'assurance qualité. L'environnement intermédiaire ou de test est entièrement séparé de la production et n'utilise aucune donnée de production. Toute nouvelle fonctionnalité passe par un examen de sécurité avant d'être déployée en production. De plus, des audits externes VAPT (Vulnerability Assessment and Penetration Testing) sont effectués au niveau du système pour évaluer les vulnérabilités potentielles.

Violation de données

En cas de violation de la sécurité des données, nous informons nos clients dans les quarante-huit heures suivant la détection de l'incident. Nous avons des politiques et des procédures de gestion des incidents pour gérer de tels événements ou urgences.

Qu'est-ce que tout cela signifie pour les clients de VWO ?

En tant que client de VWO, ce que cela signifie pour vous en quelques mots est le suivant :

  • VWO ne collecte que les données nécessaires à la sécurité et à des fins d'amélioration des produits, de marketing et d'analyse - et avec le consentement de vos visiteurs. Toute information personnelle, si elle est collectée, est anonymisée.
  • Ces données sont stockées en toute sécurité et conformément à la loi GDPR.
  • Ces données restent sûres, confidentielles et accessibles à tout moment.
  • Des processus robustes et sûrs régissent la suppression des données si votre compte chez nous est supprimé ou a expiré.
  • La confidentialité fait partie intégrante de notre stratégie produit, et toute amélioration de produit est conçue selon les principes de la confidentialité.
  • Nous garantissons la conformité des cookies dans le cadre des politiques de protection des données telles que GDPR.
  • Nous assurons la sécurité de vos données avec l'aide de notre équipe de sécurité et de conformité d'entreprise en obtenant et en maintenant une certification de sécurité des informations grâce à une gestion robuste des accès, des mots de passe et des sessions, et des politiques de gestion des catastrophes pertinentes.

Notre équipe de sécurité et de conformité d'entreprise, ainsi que les membres de notre haute direction, ont pris les mesures suivantes :

  • Nous avons sensibilisé l'ensemble de l'organisation grâce à des discussions fréquentes dans nos canaux internes et formé les employés à gérer les données de manière appropriée.
  • Nous avons évalué tous nos produits individuellement par rapport aux exigences du RGPD. Nous avons mis en place de nouvelles fonctionnalités qui vous donneront plus de contrôle sur vos données et vous faciliteront la tâche pour vous conformer au RGPD.
  • Nous avons nommé des champions internes de confiance en matière de confidentialité pour toutes nos équipes. Nous avons également mis en place un Délégué à la Protection des Données (DPO).
  • Nos équipes d'application ont adopté le concept de confidentialité dès la conception et vous ont fourni plus de contrôle sur les données que vous stockez dans nos systèmes. Nous nous efforçons constamment de vous fournir davantage d'améliorations, déployées par phases. Nous avons mis en place des mesures de protection organisationnelles, techniques, administratives et physiques appropriées pour protéger la sécurité, la confidentialité, l'intégrité et la confidentialité des informations personnelles et des données clients de notre organisation.

Avec ces mesures en place, en tant que client de VWO, vous respectez les lois sur la confidentialité, vos données sont en sécurité avec nous et la confidentialité des visiteurs de votre site Web est respectée et protégée à tout moment.

En tant que propriétaire d'expérience n'utilisant pas VWO , il ne suffit pas que vous soyez simplement soucieux de la confidentialité. Vous devrez donner la priorité à la confidentialité des données et l'intégrer dans votre pile d'expérimentation ainsi que dans votre feuille de route. Vous pouvez contacter nos experts produits si vous souhaitez en savoir plus sur la manière dont VWO peut vous aider à le faire.