Dare priorità alla privacy dei dati nel tuo programma di sperimentazione

L'approccio incentrato sulla privacy di VWO: cosa comporta, perché è essenziale e in che modo avvantaggia i nostri clienti.

Cosa significa privacy per una piattaforma di sperimentazione?

Man mano che i dati alimentano gli esperimenti, mantenere la riservatezza e la sicurezza di questi dati diventa essenziale. Se sei un'azienda che esegue esperimenti, sei disciplinato dalle leggi sulla privacy, la sicurezza e la conformità dei dati applicabili nella tua regione. Pertanto, diventa essenziale per te scegliere uno strumento di sperimentazione incentrato sulla privacy.

Sorge quindi la domanda: come fai a sapere se puoi fidarti di una piattaforma di sperimentazione per soddisfare i necessari criteri relativi alla privacy? Per accertarlo, è necessario valutare che tipo di dati vengono raccolti dalla piattaforma, dove vengono archiviati, come vengono utilizzati e se esiste un rischio di vulnerabilità dei dati.

In questo articolo, abbiamo risposto a queste domande cruciali nell'ambito di VWO.

In VWO, crediamo che la privacy sia un diritto umano fondamentale. Ci impegniamo a fornirti prodotti, informazioni, controlli e trasparenza che ti consentano di scegliere come raccogliere e utilizzare le tue informazioni e quelle dei tuoi clienti. Dobbiamo la nostra crescita ai nostri clienti e conquistare la loro fiducia è la nostra massima priorità. Pertanto, per noi è fondamentale mantenere i dati dei clienti riservati e conformi.

La sicurezza è al centro del modo in cui costruiamo i nostri prodotti, politiche e processi per fornire un'elevata resilienza. Seguiamo i principi di sicurezza in base alla progettazione per proteggere i sistemi informativi e le informazioni sui clienti in modo che tu possa sperimentare e creare la migliore esperienza del cliente utilizzando la piattaforma di cui ti fidi veramente.

Quali dati sui visitatori vengono raccolti da VWO?

La totalità dei dati raccolti da VWO è classificata nelle seguenti due categorie:

• Dati del cliente : sono i dati del cliente di VWO, associati all'acquisto e all'utilizzo della piattaforma e dei servizi di sperimentazione VWO. Questi dati includono le informazioni di accesso e di contatto dei clienti, le configurazioni della campagna, le configurazioni dell'account, le configurazioni di fatturazione e altri dati simili necessari per utilizzare ed eseguire l'applicazione VWO.
• Dati del visitatore : sono i dati dei visitatori o degli utenti finali (che arrivano al sito Web/alle applicazioni dei clienti) raccolti nell'ambito delle campagne eseguite tramite VWO. Questi dati alimentano tutte le funzionalità dell'applicazione VWO, ovvero registrazioni di sessioni, mappe di calore, sondaggi, test A/B, MVT, ecc.

I server VWO raccolgono e memorizzano le informazioni UUID (Unique User Identifier) ​​in formato pseudonimizzato. Un UUID è un numero a 128 bit utilizzato per identificare le informazioni nei sistemi informatici. Poiché VWO pseudonimizza l'UUID prima di archiviarlo utilizzando una funzione di hashing unidirezionale, le informazioni che possono indicare l'identità di un visitatore vengono sostituite da "pseudonimi" e l'identità è protetta.

I server VWO memorizzano i dati dello user agent, comprese le seguenti informazioni per i clienti che utilizzano la segmentazione dei report nella piattaforma di sperimentazione di VWO:

• Indirizzo IP del visitatore in formato anonimo.
• URL di riferimento per sapere da dove il visitatore è arrivato al tuo sito web.
• Tipo di visitatore: nuovo o di ritorno.
• Una posizione come paese, città e regione. Puoi selezionare il livello di informazioni sulla posizione che desideri memorizzare qui.
• Informazioni sul dispositivo utilizzato per accedere al sito Web, inclusi sistema operativo, user agent, dispositivo mobile/tablet/desktop e browser.
• Il tempo dell'azione del visitatore o i dati sugli obiettivi includono clic, scroll, entrate, ecc.

Questi dati vengono raccolti quando l'utente finale o il visitatore interagisce con il tuo sito web.

I server VWO elaborano tipi di dati aggiuntivi per mappe di calore, registrazioni di sessioni, sondaggi e altre funzionalità che forniscono informazioni sul comportamento dei visitatori:

• Registrazioni delle azioni dei visitatori sul sito Web per analizzare il comportamento dei visitatori in formato video.
• Scorri i dati per comprendere la profondità dell'interazione dell'utente sui contenuti del tuo sito web.
• Movimenti del mouse per analizzare il comportamento dei visitatori su una pagina.
• Mutazioni.
• Orientamento del dispositivo e modifica del comportamento per i dispositivi mobili.
• Contenuto HTML della pagina web.

VWO memorizza le informazioni richieste per scopi di sicurezza e perseguimento su base di interesse legittimo e le informazioni necessarie per il prodotto, per scopi di marketing e analisi (interesse legittimo o, ove richiesto, ottenendo il tuo previo consenso). Puoi leggere di più su questo nella nostra politica sulla privacy.

Dove memorizza i dati VWO?

VWO è sempre stata pienamente conforme al GDPR. I dati sia dei clienti VWO che dei loro visitatori sono stati storicamente archiviati ed elaborati nel data center con sede negli Stati Uniti, in conformità con la legge GDPR. Questo data center serve oltre 2500 clienti soddisfatti in tutto il mondo, con più di un migliaio nell'Unione Europea.

Abbiamo fatto il passo successivo naturale con un impegno continuo per la privacy e la sicurezza. Di recente abbiamo lanciato un data center dell'Unione Europea (UE) per garantire che i dati dei visitatori non lascino i confini internazionali dell'UE. Ospitato in Belgio (Europa-ovest1 di GCP), questo data center si rivolge a coloro che preferiscono archiviare e gestire i dati dei propri utenti finali/visitatori all'interno dell'UE. I dati dei visitatori elaborati da VWO sono conformi all'Accordo sulla protezione dei dati (DPA) per le entità che scelgono di configurare i propri account con questo data center.

Quanto sono al sicuro i tuoi dati con VWO? Può essere divulgato, distribuito o consultato?

La piattaforma di livello aziendale di VWO è stata progettata tenendo presente l'alto livello di sicurezza previsto dalle aziende di livello mondiale. Con VWO, puoi essere certo che tutti i dati da noi archiviati rimangono al sicuro, confidenziali e accessibili. Con "sicuro" intendiamo che i dati saranno protetti contro qualsiasi tipo di perdita o danneggiamento. "Riservato" significa che l'accesso ai dati è concesso solo al personale autorizzato e per "accessibile" si intende che i dati sono disponibili solo agli utenti autorizzati ogniqualvolta richiesto.

Questa garanzia di protezione dei dati deriva da una combinazione di sicurezza fisica e del codice, accesso alle applicazioni configurabile, scansioni di vulnerabilità regolari e disponibilità coerente dei dati. Puoi leggere di più su questo nel nostro articolo della knowledge base.

I tuoi dati personali potrebbero essere condivisi con partner commerciali, fornitori di servizi, gateway di pagamento, consulenti professionali, forze dell'ordine, autorità di regolamentazione, utenti del sito Web o terze parti in circostanze speciali, come descritto nella nostra politica sulla privacy.

In che modo VWO gestisce la cancellazione e l'accesso ai dati?

Per impostazione predefinita, VWO identifica e rende anonime le informazioni di identificazione personale (PII) oi dati sensibili degli utenti prima di archiviarli sui propri server. Le PII includono password, numeri di previdenza sociale, telefono, informazioni sulla carta e altri dati personali.

Per gli account cancellati o scaduti, i dati vengono cancellati entro 45-90 giorni dalla data di scadenza. Come cliente VWO, puoi scrivere al supporto VWO richiedendo la cancellazione immediata di account o dati utente specifici se vuoi dare la priorità a questo.
VWO ha stabilito politiche e procedure per lo smaltimento dei supporti elettronici e fisici contenenti PII, dati dell'account e informazioni sensibili e riservate per garantire la sicurezza dei dati dei suoi server. Puoi leggere di più a riguardo nel nostro articolo della knowledge base.

In che modo la strategia di prodotto di VWO è allineata al nostro approccio incentrato sulla privacy?

In VWO, ci supportiamo con solide pratiche di sicurezza dei dati e privacy che costituiscono parte integrante dell'ingegneria e dello sviluppo dei nostri prodotti. Questi principi hanno una struttura solida per la creazione di sistemi sicuri che affrontano tutti i vettori di minacce per impostazione predefinita e in base alla progettazione.

In linea con questo, le impostazioni seguenti fanno parte della nostra suite di prodotti:

1. Puoi escludere i tuoi visitatori dal monitoraggio VWO senza ostacolare la loro esperienza sul tuo sito web.

Anche se VWO non tiene mai traccia dei dati personali dell'utente finale, i tuoi visitatori hanno la possibilità di scegliere di non essere tracciati da VWO.

In qualità di proprietario di un sito Web, puoi fare in modo che i tuoi visitatori smettano di accettare VWO generando un collegamento di esclusione e condividendolo con i visitatori del tuo sito Web o utilizzando l'API di esclusione di VWO.

L'API di opt-out ha due versioni. Quando attivi questa API nella prima versione, tutti i cookie VWO vengono eliminati e VWO interrompe immediatamente il monitoraggio dei visitatori. Se il visitatore in questione torna alla pagina, non verrà comunque preso in considerazione per il tracciamento VWO. Pertanto, non vedranno alcuna modifica alla campagna nelle visite successive.

Nella seconda versione, puoi disattivare un visitatore dal monitoraggio VWO ma mostrare comunque l'esperienza (modifiche alla campagna) che ha visto in precedenza. Ad esempio, supponiamo che un visitatore abbia visto la variazione A di una campagna specifica e che ora desideri disattivarlo dal monitoraggio VWO mostrando la stessa variazione al visitatore nelle sue visite successive. Quando attivi questa API, VWO interrompe immediatamente il monitoraggio dei visitatori. Tuttavia, i visitatori continuano a vedere la stessa variazione di cui facevano parte in precedenza.

2. Puoi facilmente chiedere il consenso prima di raccogliere i dati dei visitatori e puoi farlo in modo più responsabile di prima.

In considerazione delle politiche di protezione dei dati, è necessario visualizzare un cookie banner che informi i visitatori sui cookie o ottenere il consenso prima di tracciare i propri dati. Ciò garantisce che tu possa farlo solo con la loro autorizzazione se utilizzi strumenti/script sul tuo sito Web per identificare le persone e le loro informazioni personali.

VWO ti offre la possibilità di configurare i trigger per VWO Insights in modo da poter tracciare i dati dei visitatori in modo più accurato, responsabile e con il consenso. Qualsiasi azione del visitatore può essere utilizzata per attivare la raccolta dei dati di Insights. Puoi scrivere codice JavaScript personalizzato in grado di ascoltare le azioni dei visitatori e decidere in base al tipo di pagine visitate o a qualsiasi scenario che desideri convalidare prima di raccogliere i dati di Insights. Questo articolo della Knowledge Base descrive il processo di configurazione di un trigger personalizzato in VWO.

Come garantiamo la conformità ai cookie?

VWO utilizza i cookie e l'archiviazione locale per comprendere il comportamento dei visitatori e tenere traccia dei percorsi dei visitatori sul tuo sito Web per offrire le migliori esperienze. I cookie identificano la variazione in un esperimento che il visitatore visualizza e aiutano a fornire la stessa variazione al visitatore in modo coerente. Questi cookie tracciano anche le azioni dei visitatori, determinano se fanno parte di una campagna, ecc. Tuttavia, l'unica informazione che VWO raccoglie su un cookie è un ID visitatore, ovvero un UUID spiegato in precedenza che non contiene alcun dato personale. Questo UUID aiuta a distinguere un visitatore da un altro, ma nessun individuo o consumatore può essere rintracciato o identificato da VWO.

Nell'ambito delle politiche di protezione dei dati come il GDPR, è necessario ottenere il consenso informato dai visitatori prima di implementare qualsiasi cookie o tracker per elaborare i propri dati. VWO non raccoglie alcuna informazione sensibile. Tuttavia, come utente, la decisione di implementare VWO con o meno il consenso ai cookie spetta esclusivamente a te. Consulta sempre il tuo consulente legale per determinare quale implementazione è appropriata per te. Possono aiutarti a prendere una decisione informata considerando le norme sulla privacy dei dati dei paesi in cui operi.

Il VWO SmartCode è uno snippet di codice generato automaticamente che devi aggiungere per abilitare VWO sul tuo sito web. Puoi scegliere di eseguire lo SmartCode senza il consenso del visitatore, ovvero non è necessaria alcuna autorizzazione prima di implementare cookie o tracker per elaborare i dati dei visitatori. Puoi anche scegliere di eseguire lo SmartCode dopo aver ottenuto il consenso dei visitatori (questo è per VWO Insights ed Engage; le campagne di test vengono eseguite senza il permesso dei visitatori). Puoi anche optare per l'esecuzione condizionale: qui, lo SmartCode viene eseguito solo dopo aver ottenuto il consenso dei visitatori, indipendentemente dal prodotto che stai utilizzando. Inoltre, VWO comunica con i gestori del consenso dei cookie tramite callback quando il visitatore accetta o rifiuta il cookie, consentendo di eseguire lo SmartCode sulla base di un consenso valido.

A seconda delle norme sulla privacy dei dati nei paesi in cui operi, puoi prendere una decisione informata. Questo articolo della Knowledge Base illustra la scelta del metodo corretto per l'implementazione di SmartCode.

In che modo VWO garantisce la sicurezza?

Più di 2500+ clienti si affidano alla piattaforma di ottimizzazione dell'esperienza VWO con i loro dati e questa responsabilità è qualcosa che prendiamo molto sul serio. Tutti i dati che raggiungono i server VWO dalle registrazioni, dalle risposte ai sondaggi o dalla dimensione personalizzata vengono crittografati utilizzando l'algoritmo di crittografia AES-256 standard del settore. Puoi leggere questo articolo della knowledge base per i dettagli.

Abbiamo anche incorporato i fondamenti della sicurezza nei seguenti aspetti delle nostre operazioni quotidiane:

Struttura organizzativa e governance

Wingify (produttori di VWO) ha istituito un Corporate Security and Compliance Team (CSC) composto da personale chiave la cui responsabilità è identificare i problemi di sicurezza e conformità in tutta l'azienda. Questo team funge da prima linea di difesa per migliorare la sicurezza e la conformità appropriate. Questa squadra riporta al CEO.

Gestione del rischio – ISO

ISO/IEC 27701:2019 (ISO 27701) è riconosciuto a livello internazionale ed è uno standard di privacy globale che si concentra sulla raccolta e l'elaborazione delle informazioni di identificazione personale (PII). Qualsiasi audit ISO/IEC 27701 richiede all'organizzazione di dichiarare leggi/normative applicabili nei suoi criteri per l'audit. Ciò significa che lo standard può essere mappato a molti dei requisiti del GDPR, del California Consumer Privacy Act (CCPA) e di altre leggi. Una volta mappati, i professionisti della privacy implementano i controlli operativi ISO/IEC 27701 e sono verificati da revisori interni o di terze parti, ottenendo una certificazione e una prova completa di conformità.

VWO ha ricevuto una certificazione accreditata ISO/IEC 27701:2019 come responsabile del trattamento e responsabile del trattamento delle PII dopo essere stata sottoposta a un audit da parte di una terza parte indipendente.

ISO/IEC 27001:2013 (ISO 27001) è un framework riconosciuto a livello internazionale che specifica i requisiti per stabilire, implementare, mantenere e migliorare la gestione della sicurezza delle informazioni all'interno di un'organizzazione. VWO ha ricevuto la certificazione ISO 27001:2013 dalla British Standards Institution (BSI), la società di standard internazionali. La certificazione ISO 27001:2013 dimostra il nostro impegno per la sicurezza delle informazioni a tutti i livelli. La conformità a questo standard riconosciuto a livello internazionale, convalidato da un audit di terze parti indipendente, conferma che il nostro programma di gestione della sicurezza è completo e segue le pratiche leader del settore.

Gestione degli accessi

A tutti gli utenti in un account VWO viene assegnato un livello di accesso che determina le azioni che gli utenti possono eseguire nell'account VWO. Se sei il proprietario o l'amministratore di un account, puoi modificare il livello di accesso in qualsiasi momento.

Autenticazione e gestione password

Per garantire la santità del tuo account VWO, abbiamo aggiunto un ulteriore livello di sicurezza sotto forma di autenticazione a due fattori (2FA) che impedisce ai malintenzionati di accedere ai tuoi dati, anche se conoscono la tua password.

L'autenticazione a due fattori (2FA) si basa su due misure di sicurezza per impedire agli intrusi di accedere al tuo account VWO. Una volta abilitato 2FA, per accedere al tuo account, dovrai fornire qualcosa che conosci, ad esempio la tua password, e qualcosa che possiedi, ad esempio un codice monouso a sei cifre inviato alla tua email al momento dell'accesso (o utilizzando le popolari app basate su TOTP per generare il codice).

Con 2FA, puoi assicurarti che il tuo account non venga compromesso anche se un virus dannoso espone la tua password o se gli hacker accedono alla tua password con la forza bruta.

Gestione delle sessioni

Ogni volta che un utente VWO accede all'account VWO, il sistema assegna un nuovo identificatore di sessione per l'utente. L'identificatore di sessione è un valore generato casualmente di 64 byte per proteggere l'account dagli attacchi di forza bruta. Dopo sette giorni, tutte le sessioni scadono, richiedendo agli utenti di accedere nuovamente al proprio account. Inoltre, tutte le sessioni attive sono impostate per il timeout dopo 4 ore di inattività.

Sicurezza della rete e della trasmissione

VWO è ospitato su server sicuri gestiti da GCP. Qualsiasi accesso fisico ai data center GCP è limitato a tutti. I firewall vengono configurati utilizzando le migliori pratiche del settore e tutte le porte non necessarie vengono bloccate.

In qualità di utente VWO, sei sempre connesso all'app Web VWO tramite HTTPS utilizzando Transport Layer Security (TLS) versione 1.2 e successive, un protocollo crittografico progettato per proteggere da intercettazioni, manomissioni e falsificazione dei messaggi.

Controllo di accesso

Puoi assegnare ruoli e autorizzazioni a ciascun utente che aggiungi al tuo account per garantire un livello di accesso appropriato al tuo account VWO. Puoi limitare l'accesso al tuo account VWO a indirizzi IP specifici. Puoi anche abilitare gli avvisi per inviarti un'e-mail ogni volta che si verificano attività particolari nel tuo account.

Accesso interno ai dati

I dati archiviati sui server di produzione di VWO sono accessibili solo all'SVP of Engineering e ai lead engineer. Nessun altro membro di VWO ha accesso ai dati dei clienti a meno che non sia stato concesso un permesso di accesso specifico dall'amministratore delegato e dall'SVP-Engineering per la risoluzione di problemi tecnici.

Sicurezza nell'ingegneria come parte dello sviluppo del prodotto

Controlli di qualità accurati sono parte integrante del nostro processo di sviluppo. Nessun codice diventa attivo a meno che non venga esaminato e approvato dal team di controllo qualità. L'ambiente di gestione temporanea o di test è completamente separato dalla produzione e non utilizza alcun dato di produzione. Qualsiasi nuova funzionalità viene sottoposta a una revisione della sicurezza prima di essere distribuita alla produzione. Inoltre, vengono effettuati audit esterni VAPT (Vulnerability Assessment and Penetration Testing) a livello di sistema per valutare potenziali vulnerabilità.

Violazione dei dati

In caso di violazione della sicurezza dei dati, informiamo i nostri clienti entro quarantotto ore dal rilevamento dell'incidente. Disponiamo di politiche e procedure di gestione degli incidenti per gestire tali eventi o emergenze.

Cosa significa tutto questo per i clienti di VWO?

Come cliente di VWO, ciò che questo significa per te in poche parole è il seguente:

• VWO raccoglie solo i dati necessari per la sicurezza e ai fini del miglioramento del prodotto, del marketing e dell'analisi e con il consenso dei visitatori. Qualsiasi informazione personale, se raccolta, è anonimizzata.
• Questi dati sono conservati in modo sicuro e secondo la legge GDPR.
• Questi dati rimangono al sicuro, confidenziali e accessibili all'utente in qualsiasi momento.
• Processi solidi e sicuri regolano l'eliminazione dei dati se il tuo account con noi viene eliminato o scaduto.
• La privacy è parte integrante della nostra strategia di prodotto e qualsiasi miglioramento del prodotto è progettato in base ai principi della privacy.
• Garantiamo la conformità dei cookie nell'ambito delle politiche di protezione dei dati come il GDPR.
• Garantiamo la sicurezza dei tuoi dati con l'aiuto del nostro team di sicurezza e conformità aziendale, procurando e mantenendo la certificazione di sicurezza delle informazioni attraverso un solido accesso, una gestione di password e sessioni e politiche di gestione dei disastri pertinenti.

Il nostro team di sicurezza e conformità aziendale, insieme ai membri della nostra dirigenza senior, hanno adottato le seguenti misure:

• Abbiamo sensibilizzato l'intera organizzazione attraverso discussioni frequenti nei nostri canali interni e formato i dipendenti a gestire i dati in modo appropriato.
• Abbiamo valutato tutti i nostri prodotti individualmente rispetto ai requisiti del GDPR. Abbiamo implementato nuove funzionalità che ti daranno un maggiore controllo sui tuoi dati e alleggeriranno l'onere di raggiungere la conformità al GDPR.
• Abbiamo nominato campioni interni di privacy trust per tutti i nostri team. Abbiamo anche istituito un responsabile della protezione dei dati (DPO).
• I nostri team applicativi hanno abbracciato il concetto di privacy by design e ti hanno fornito un maggiore controllo sui dati che memorizzi nei nostri sistemi. Ci sforziamo costantemente di fornire ulteriori miglioramenti, implementati in più fasi. Abbiamo implementato adeguate misure di salvaguardia organizzative, tecniche, amministrative e fisiche per proteggere la sicurezza, la riservatezza, l'integrità e la riservatezza delle informazioni personali e dei dati dei clienti della nostra organizzazione.

Con queste misure in atto, come cliente di VWO, sei conforme alle leggi sulla privacy, i tuoi dati sono al sicuro con noi e la privacy dei visitatori del tuo sito web è rispettata e protetta in ogni momento.

Come proprietario di un esperimento che non utilizza VWO , non è sufficiente se sei semplicemente attento alla privacy. Dovrai dare la priorità alla privacy dei dati e integrarla nel tuo stack di sperimentazione e nella tua roadmap. Puoi metterti in contatto con i nostri esperti di prodotto se desideri saperne di più su come VWO può aiutarti a farlo.