実験プログラムにおけるデータプライバシーの優先順位付け

公開: 2022-04-27

VWOのプライバシー第一のアプローチ:それが何を伴うのか、なぜそれが不可欠なのか、そしてそれがどのようにお客様に利益をもたらすのか。

実験プラットフォームにとってプライバシーとはどういう意味ですか?

データが実験を強化するにつれて、このデータの機密性とセキュリティを維持することが不可欠になります。 実験を行う会社の場合は、お住まいの地域で適用されるデータのプライバシー、セキュリティ、およびコンプライアンスに関する法律が適用されます。 したがって、プライバシー第一の実験ツールを選択することが不可欠になります。

次に、疑問が生じます–必要なプライバシー関連の基準を満たすために、実験プラットフォームを信頼できるかどうかをどうやって知ることができますか? これを確認するには、プラットフォームによって収集されるデータの種類、データの保存場所、使用方法、およびデータの脆弱性のリスクがあるかどうかを評価する必要があります。

この記事では、VWOの範囲内でこれらの重要な質問に回答しました。

実験プログラムでのデータプライバシーの優先順位付け

VWOでは、プライバシーは基本的人権であると信じています。 当社は、お客様の情報およびお客様の情報を収集および使用する方法を選択できる製品、情報、管理、および透明性を提供することをお約束します。 私たちはお客様の成長のおかげであり、お客様の信頼を勝ち取ることが私たちの最優先事項です。 したがって、顧客データの機密性とコンプライアンスを維持することが私たちにとって最も重要です。

セキュリティは、高い復元力を提供するための製品、ポリシー、およびプロセスを構築する方法の中心です。 情報システムと顧客情報を保護するための設計原則によるセキュリティに従い、真に信頼できるプラットフォームを使用して最高の顧客体験を実験および構築できるようにします。

VWOによって収集される訪問者データはどれですか?

VWOによって収集されたデータ全体は、次の2つのカテゴリに分類されます。

  • 顧客のデータ:これは、VWO実験プラットフォームおよびサービスの購入と使用に関連するVWOの顧客のデータです。 このデータには、顧客のログインおよび連絡先情報、キャンペーン構成、アカウント構成、請求構成、およびVWOアプリケーションを使用および実行するために必要なその他の同様のデータが含まれます。
  • 訪問者のデータ:これは、VWOを介して実行されたキャンペーンの一部として収集された訪問者またはエンドユーザー(顧客のWebサイト/アプリケーションにアクセスした)のデータです。 このデータは、VWOアプリケーションのすべての機能、つまりセッションレコーディング、ヒートマップ、調査、A / Bテスト、MVTなどを強化します。

VWOサーバーは、UUID(Unique User Identifier)情報を仮名化された形式で収集して保存します。 UUIDは、コンピューターシステムの情報を識別するために使用される128ビットの数値です。 VWOは一方向ハッシュ関数を使用してUUIDを保存する前に仮名を付けるため、訪問者のIDを指すことができる情報は「仮名」に置き換えられ、IDが保護されます。

VWOサーバーは、VWOのExperimentationPlatformでレポートセグメンテーションを使用している顧客向けの次の情報を含むユーザーエージェントデータを保存します。

  • 匿名化された形式の訪問者のIPアドレス。
  • 訪問者がどこからあなたのウェブサイトに来たかを知るための参照URL。
  • 訪問者のタイプ–新規またはリピーター。
  • 国、都市、地域などの場所。 ここで保存する位置情報のレベルを選択できます。
  • OS、ユーザーエージェント、モバイル/タブレット/デスクトップ、ブラウザなど、Webサイトへのアクセスに使用されるデバイスに関する情報。
  • 訪問者のアクションまたは目標データの時間には、クリック、スクロール、収益などが含まれます。

このデータは、エンドユーザーまたは訪問者がWebサイトを操作するときに収集されます。

VWOサーバーは、ヒートマップ、セッションレコーディング、調査、および訪問者の行動に関する洞察を提供するその他の機能の追加のデータ型を処理します。

  • ビデオ形式で訪問者の行動を分析するためのWebサイトでの訪問者の行動の記録。
  • データをスクロールして、Webサイトコンテンツでのユーザーインタラクションの深さを理解します。
  • ページ上の訪問者の行動を分析するためのマウスの動き。
  • 突然変異。
  • モバイルデバイスのデバイスの向きと動作の変更。
  • WebページのHTMLコンテンツ。

VWOは、セキュリティおよび起訴の目的で必要な情報を正当な利益に基づいて保存し、製品、マーケティング、および分析の目的で必要な情報(正当な利益、または必要に応じて事前の同意を得ることにより)を保存します。 これについて詳しくは、プライバシーポリシーをご覧ください。

VWOはどこにデータを保存しますか?

VWOは常にGDPRに完全に準拠しています。 VWOの顧客とその訪問者の両方のデータは、これまで米国を拠点とするデータセンターに保存および処理されており、GDPR法に準拠しています。 このデータセンターは、世界中で2500を超える満足している顧客にサービスを提供しており、欧州連合では1,000を超える顧客にサービスを提供しています。

私たちは、プライバシーとセキュリティへの継続的な取り組みにより、次の自然な一歩を踏み出しました。 最近、訪問者のデータがEUの国境を越えないようにするために、欧州連合(EU)のデータセンターを立ち上げました。 ベルギー(GCPのEurope-west1)でホストされているこのデータセンターは、EU内でエンドユーザー/訪問者のデータを保存および管理することを好むユーザーを対象としています。 VWOによって処理される訪問者のデータは、このデータセンターでアカウントを構成することを選択したエンティティのデータ保護契約(DPA)に準拠しています。

EUのデータセンター
EUのデータ常駐を選択した場合、ヨーロッパを拠点とするデータセンターに訪問者のデータが保存されます。

VWOを使用したデータはどの程度安全ですか? リーク、配布、またはアクセスできますか?

VWOのエンタープライズグレードのプラットフォームは、世界クラスの企業が期待する高レベルのセキュリティを念頭に置いて設計されています。 VWOを使用すると、当社が保存するデータは安全で機密性が高く、アクセス可能であるため、安心してご利用いただけます。 「安全」とは、データがあらゆる種類の損失または破損から保護されることを意味します。 「機密」とは、データへのアクセスが許可された担当者にのみ許可されることを意味し、「アクセス可能」とは、必要なときにいつでも許可されたユーザーのみがデータを利用できることを意味します。

このデータ保護の保証は、物理的およびコードのセキュリティ、構成可能なアプリケーションアクセス、定期的な脆弱性スキャン、および一貫したデータ可用性の組み合わせによってもたらされます。 これについて詳しくは、ナレッジベースの記事をご覧ください。

お客様の個人データは、当社のプライバシーポリシーに記載されている特別な状況下で、ビジネスパートナー、サービスプロバイダー、支払いゲートウェイ、専門アドバイザー、法執行機関、規制当局、Webサイトのユーザー、またはサードパーティと共有される可能性があります。

VWOはデータの削除とアクセスをどのように管理しますか?

デフォルトでは、VWOは、サーバーに保存する前に、個人情報(PII)またはユーザーの機密データを識別して匿名化します。 PIIには、パスワード、社会保障番号、電話番号、カード情報、およびその他の個人データが含まれます。

削除または期限切れのアカウントの場合、データは有効期限の日から45〜90日以内に削除されます。 VWOのお客様は、これを優先したい場合は、アカウントまたは特定のユーザーデータの即時削除を要求するVWOサポートに書き込むことができます。
VWOは、サーバーのデータセキュリティを確保するために、PII、アカウントデータ、機密情報を含む電子メディアと物理メディアを廃棄するためのポリシーと手順を確立しています。 詳細については、ナレッジベースの記事を参照してください。

VWOの製品戦略は、プライバシーファーストのアプローチとどのように一致していますか?

VWOでは、製品エンジニアリングと開発の不可欠な部分を形成する堅牢なデータセキュリティとプライバシー慣行で自分たちをバックアップしています。 これらの原則には、デフォルトおよび設計によりすべての脅威ベクトルに対処する安全なシステムを構築するための堅牢なフレームワークがあります。

これに沿って、以下の設定は当社の製品スイートの一部です。

1. Webサイトでのエクスペリエンスを妨げることなく、訪問者をVWO追跡からオプトアウトできます。

VWOがエンドユーザーの個人データを追跡することはありませんが、訪問者はVWOによる追跡をオプトアウトすることを選択できます。

Webサイトの所有者は、オプトアウトリンクを生成してWebサイトの訪問者と共有するか、VWOのオプトアウトAPIを使用して、訪問者にVWOをオプトアウトさせることができます。

オプトアウトAPIには2つのバージョンがあります。 最初のバージョンでこのAPIを起動すると、すべてのVWO Cookieが削除され、VWOは訪問者の追跡をすぐに停止します。 問題の訪問者がページに戻った場合でも、VWO追跡の対象とは見なされません。 したがって、再訪問時にキャンペーンの変更は表示されません。

2番目のバージョンでは、訪問者をVWO追跡からオプトアウトできますが、それでも以前に見たエクスペリエンス(キャンペーンの変更)を表示できます。 たとえば、訪問者が特定のキャンペーンのバリエーションAを見たとし、訪問者に同じバリエーションを再訪問で表示しながら、VWO追跡からそれらをオプトアウトしたいとします。 このAPIを起動すると、VWOは訪問者の追跡をすぐに停止します。 ただし、訪問者は、以前に参加していたのと同じバリエーションを引き続き表示します。

2.訪問者データを収集する前に簡単に同意を求めることができ、以前よりも責任を持って収集することができます。

データ保護ポリシーの観点から、訪問者にCookieについて通知するCookieバナーを表示するか、データを追跡する前に同意を得る必要があります。 これにより、Webサイトでツール/スクリプトを使用して個人とその個人情報を特定する場合にのみ、許可を得てこれを行うことができます。

VWOには、VWO Insightsのトリガーを構成するオプションがあり、訪問者のデータをより注意深く、責任を持って、同意を得て追跡できます。 訪問者のアクションを使用して、Insightsデータの収集をトリガーできます。 訪問者のアクションをリッスンできるカスタムJavaScriptコードを記述し、訪問したページの種類や、Insightsデータを収集する前に検証するシナリオに基づいて決定できます。 このナレッジベースの記事では、VWOでカスタムトリガーを設定するプロセスについて説明します。

クッキーの同意
VWOを使用すると、ユーザーが行動データの追跡に同意することを簡単に受け入れたり拒否したりできます。

どうすればCookieのコンプライアンスを確保できますか?

VWOは、Cookieとローカルストレージを使用して、訪問者の行動を理解し、Webサイトでの訪問者の移動を追跡して、最高のエクスペリエンスを提供します。 Cookieは、訪問者が表示する実験のバリエーションを識別し、訪問者に同じバリエーションを一貫して提供するのに役立ちます。 これらのCookieは、訪問者のアクションを追跡し、それらがキャンペーンの一部であるかどうかを判断します。ただし、VWOがCookieに関して収集する情報は、訪問者ID、つまり、個人データを含まない前述のUUIDのみです。 このUUIDは、ある訪問者を別の訪問者と区別するのに役立ちますが、VWOによって個人または消費者を追跡または識別することはできません。

GDPRなどのデータ保護ポリシーの一環として、Cookieやトラッカーを導入してデータを処理する前に、訪問者からインフォームドコンセントを取得する必要があります。 VWOは機密情報を収集しません。 ただし、ユーザーとして、Cookieの同意を得てVWOを実装するかどうかの決定は、完全にあなた次第です。 どの実装が適切かを判断するには、常に弁護士に相談してください。 彼らはあなたが運営する国のデータプライバシー規則を考慮してあなたが情報に基づいた決定をするのを助けることができます。

VWO SmartCodeは自動生成されたコードスニペットであり、WebサイトでVWOを有効にするために追加する必要があります。 訪問者の同意なしにSmartCodeを実行することを選択できます。つまり、訪問者のデータを処理するためにCookieまたはトラッカーを展開する前に許可を必要としません。 訪問者の同意を得た後にSmartCodeを実行することもできます(これはVWO Insights and Engage用です。テストキャンペーンは訪問者の許可なしに実行されます)。 条件付き実行を行うこともできます。ここでは、使用している製品に関係なく、訪問者の同意が得られた後にのみSmartCodeが実行されます。 さらに、訪問者がCookieを承認または拒否すると、VWOはコールバックを介してCookie同意マネージャーと通信し、有効な同意に基づいてSmartCodeを実行できるようにします。

運営する国のデータプライバシールールに応じて、十分な情報に基づいて決定を下すことができます。 このナレッジベースの記事では、SmartCodeを実装するための正しい方法の選択について説明しています。

VWOはどのようにセキュリティを確保しますか?

2500以上の顧客が、データでVWO Experience Optimization Platformを信頼しており、この責任は私たちが非常に真剣に受け止めているものです。 記録、調査回答、またはカスタムディメンションからVWOサーバーに到達するすべてのデータは、業界標準のAES-256暗号化アルゴリズムを使用して暗号化されます。 詳細については、このナレッジベースの記事を参照してください。

また、セキュリティの基礎を日常業務の次の側面に組み込んでいます。

組織構造とガバナンス

Wingify(VWOのメーカー)は、企業全体のセキュリティとコンプライアンスの懸念を特定する責任を持つ主要な担当者で構成される企業セキュリティおよびコンプライアンスチーム(CSC)を設立しました。 このチームは、適切なセキュリティとコンプライアンスの姿勢を強化するための最初の防衛線として機能します。 このチームはCEOに報告します。

リスク管理– ISO

コンプライアンス
VWOは、国際的に認められたプライバシーおよびセキュリティ認証に準拠しています

ISO / IEC 27701:2019(ISO 27701)は国際的に認められており、個人を特定できる情報(PII)の収集と処理に焦点を当てたグローバルなプライバシー基準です。 ISO / IEC 27701監査では、組織が監査の基準で適用される法律/規制を宣言する必要があります。 これは、GDPR、カリフォルニア州消費者プライバシー法(CCPA)、およびその他の法律に基づく要件の多くに標準をマッピングできることを意味します。 マップされると、プライバシーの専門家はISO / IEC 27701の運用管理を実装し、内部またはサードパーティの監査人によって監査され、認証と適合性の包括的な証拠が得られます。

VWOは、独立した第三者による監査を受けた後、PIIプロセッサおよびコントローラとして認定されたISO / IEC 27701:2019認証を取得しています。


ISO / IEC 27001:2013(ISO 27001)は、組織内の情報セキュリティ管理を確立、実装、維持、および改善するための要件を指定する、国際的に認められたフレームワークです。 VWOは、国際規格会社である英国規格協会(BSI)からISO 27001:2013認証を取得しています。 ISO 27001:2013認定は、あらゆるレベルでの情報セキュリティへの取り組みを示しています。 独立した第三者監査によって検証されたこの国際的に認められた標準への準拠は、当社のセキュリティ管理プログラムが包括的であり、業界をリードする慣行に従っていることを確認します。

アクセス管理

VWOアカウントのすべてのユーザーには、ユーザーがVWOアカウントで実行できるアクションを決定するアクセスレベルが割り当てられます。 アカウントの所有者または管理者は、いつでもアクセスレベルを変更できます。

認証とパスワード管理

2要素認証
VWOでの2要素認証

VWOアカウントの安全性を確保するために、2要素認証(2FA)の形式でセキュリティの層を追加しました。これにより、悪意のある攻撃者がパスワードを知っている場合でも、データにアクセスできなくなります。

二要素認証(2FA)は、侵入者がVWOアカウントにアクセスするのを防ぐために、2つのセキュリティ対策に依存しています。 2FAを有効にしたら、アカウントにサインインするには、パスワードなどの既知の情報と、ログイン時にメールに送信される6桁のワンタイムコードなどの情報を提供する必要があります。 (または、一般的なTOTPベースのアプリを使用してコードを生成します)。

2FAを使用すると、悪意のあるウイルスがパスワードを公開したり、ハッカーが力ずくでパスワードにアクセスしたりした場合でも、アカウントが危険にさらされないようにすることができます。

セッション管理

VWOユーザーがVWOアカウントにサインインするたびに、システムはユーザーに新しいセッションIDを割り当てます。 セッション識別子は、ブルートフォース攻撃からアカウントを保護するためにランダムに生成された64バイトの値です。 7日後、すべてのセッションがタイムアウトし、ユーザーは自分のアカウントに再度サインインする必要があります。 また、すべてのアクティブなセッションは、4時間非アクティブになった後にタイムアウトするように設定されています。

ネットワークと伝送のセキュリティ

VWOは、GCPによって管理される安全なサーバーでホストされます。 GCPデータセンターへの物理的なアクセスはすべての人に制限されています。 ファイアウォールは業界のベストプラクティスを使用して構成され、不要なポートはすべてブロックされます。

VWOユーザーは、盗聴、改ざん、メッセージの偽造から保護するために設計された暗号化プロトコルであるトランスポート層セキュリティ(TLS)バージョン1.2以降を使用して、HTTPS経由で常にVWOWebアプリに接続します。

アクセス制御

アカウントに追加する各ユーザーに役割と権限を割り当てて、VWOアカウントへの適切なレベルのアクセスを確保できます。 VWOアカウントへのアクセスを特定のIPアドレスに制限できます。 アカウントで特定のアクティビティが発生したときにアラートを有効にしてメールで通知することもできます。

データへの内部アクセス

VWOの実稼働サーバーに保存されているデータには、エンジニアリングのSVPとリードエンジニアのみがアクセスできます。 技術的な問題を解決するために最高経営責任者およびSVP-Engineeringによって特定のアクセス許可が付与されない限り、VWOの他のメンバーは顧客データにアクセスできません。

製品開発の一環としてのエンジニアリングにおけるセキュリティ

徹底的な品質チェックは、私たちの開発プロセスの不可欠な部分です。 QAチームによるレビューと承認がない限り、コードは公開されません。 ステージング環境またはテスト環境は本番環境から完全に分離されており、本番環境のデータは使用されません。 新しい機能はすべて、本番環境に導入される前にセキュリティレビューを受けます。 また、潜在的な脆弱性を評価するために、外部VAPT(脆弱性評価および侵入テスト)監査がシステムレベルで実行されます。

データ侵害

データのセキュリティが侵害された場合は、インシデントが検出されてから48時間以内にお客様に通知します。 このようなイベントや緊急事態に対処するためのインシデント管理ポリシーと手順があります。

これはすべて、VWOの顧客にとって何を意味しますか?

VWOの顧客として、これが一言で言えばあなたにとって何を意味するかは、以下のとおりです。

  • VWOは、セキュリティ、製品の強化、マーケティング、分析の目的で、訪問者の同意を得て、必要なデータのみを収集します。 収集された個人情報は匿名化されます。
  • このデータは、GDPR法に従って安全に保存されます。
  • このデータは安全で機密性が高く、いつでもアクセスできます。
  • 当社のアカウントが削除または期限切れになった場合、堅牢で安全なプロセスがデータの削除を管理します。
  • プライバシーは当社の製品戦略の不可欠な部分を形成し、製品の機能強化はプライバシー第一の原則に基づいて設計されています。
  • GDPRなどのデータ保護ポリシーの一環としてCookieへの準拠を保証します。
  • 堅牢なアクセス、パスワードとセッションの管理、および関連する災害管理ポリシーを通じて情報セキュリティ認証を取得および維持することにより、企業のセキュリティおよびコンプライアンスチームの助けを借りて、データのセキュリティを確保します。

当社の企業セキュリティおよびコンプライアンスチームは、上級管理職のメンバーとともに、以下の措置を講じています。

  • 社内チャネルで頻繁に話し合い、データを適切に処理するように従業員をトレーニングすることで、組織全体の意識を高めてきました。
  • GDPRの要件に照らして、すべての製品を個別に評価しました。 データをより細かく制御し、GDPRコンプライアンスを達成する負担を軽減する新機能を実装しました。
  • 私たちは、すべてのチームに社内プライバシートラストチャンピオンを任命しました。 また、データ保護責任者(DPO)を設置しました。
  • 私たちのアプリケーションチームは、プライバシーの概念を設計によって採用し、システムに保存するデータをより細かく制御できるようにしました。 私たちは常に、段階的に展開される、より多くの機能強化を提供するよう努めています。 当社は、個人情報および顧客データの組織のセキュリティ、機密性、完全性、およびプライバシーを保護するために、適切な組織的、技術的、管理的、および物理的な保護手段を実装しています。

これらの措置を講じることで、VWOの顧客として、プライバシー法を遵守し、データを安全に保管し、Webサイト訪問者のプライバシーを常に尊重および保護します。

VWOを使用していない実験所有者として、単にプライバシーを意識しているだけでは十分ではありません。 データのプライバシーに優先順位を付け、それを実験スタックとロードマップに統合する必要があります。 VWOがどのように役立つかについて詳しく知りたい場合は、製品の専門家に連絡することができます。