실험 프로그램에서 데이터 프라이버시 우선 순위 지정
게시 됨: 2022-04-27VWO의 개인 정보 보호 우선 접근 방식: 그것이 수반하는 것, 그것이 필수적인 이유, 그리고 그것이 우리 고객에게 어떤 이점이 있는지.
실험 플랫폼에서 개인정보 보호란 무엇을 의미합니까?
데이터가 실험을 강화함에 따라 이 데이터의 기밀성과 보안을 유지하는 것이 필수적입니다. 실험을 실행하는 회사의 경우 해당 지역에서 적용되는 데이터 개인정보 보호, 보안 및 규정 준수 법률의 적용을 받습니다. 따라서 개인 정보 보호 우선 실험 도구를 선택하는 것이 필수적입니다.
그런 다음 질문이 생깁니다. 필요한 개인 정보 관련 기준을 충족하기 위해 실험 플랫폼을 신뢰할 수 있는지 어떻게 알 수 있습니까? 이를 확인하려면 플랫폼에서 수집하는 데이터의 종류, 저장 위치, 사용 방법 및 데이터 취약성 위험이 있는지 평가해야 합니다.
이 기사에서 우리는 VWO의 범위에서 이러한 중요한 질문에 답했습니다.
VWO는 프라이버시가 기본적인 인권이라고 믿습니다. 당사는 귀하와 귀하의 고객 정보를 수집하고 사용하는 방법을 선택할 수 있는 제품, 정보, 통제 및 투명성을 제공하기 위해 최선을 다하고 있습니다. 우리는 고객에게 성장을 빚지고 있으며 고객의 신뢰를 얻는 것이 최우선 과제입니다. 따라서 고객 데이터를 기밀로 유지하고 규정을 준수하는 것이 우리에게 가장 중요합니다.
보안은 높은 복원력을 제공하기 위해 제품, 정책 및 프로세스를 구축하는 방법의 핵심입니다. 우리는 보안 설계 원칙을 따라 정보 시스템과 고객 정보를 보호하므로 귀하가 진정으로 신뢰하는 플랫폼을 사용하여 최고의 고객 경험을 실험하고 구축할 수 있습니다.
VWO는 어떤 방문자 데이터를 수집합니까?
VWO에서 수집한 전체 데이터는 다음 두 가지 범주로 분류됩니다.
- 고객 데이터 : VWO 실험 플랫폼 및 서비스의 구매 및 사용과 관련된 VWO 고객의 데이터입니다. 이 데이터에는 고객의 로그인 및 연락처 정보, 캠페인 구성, 계정 구성, 청구 구성 및 VWO 애플리케이션을 사용하고 실행하는 데 필요한 기타 유사한 데이터가 포함됩니다.
- 방문자 데이터 : VWO를 통해 실행되는 캠페인의 일부로 수집된 방문자 또는 최종 사용자(고객의 웹사이트/어플리케이션에 도착한)의 데이터입니다. 이 데이터는 VWO 애플리케이션, 즉 세션 기록, 히트맵, 설문조사, A/B 테스트, MVT 등의 모든 기능을 지원합니다.
VWO 서버는 UUID(고유 사용자 식별자) 정보를 가명 형식으로 수집하고 저장합니다. UUID는 컴퓨터 시스템에서 정보를 식별하는 데 사용되는 128비트 숫자입니다. VWO는 UUID를 단방향 해싱 기능을 이용하여 가명화하여 저장하므로 방문자의 신원을 가리킬 수 있는 정보를 '가명'으로 대체하여 신원을 보호한다.
VWO 서버는 VWO 실험 플랫폼에서 보고서 세분화를 사용하는 고객을 위해 다음 정보를 포함하여 사용자 에이전트 데이터를 저장합니다.
- 익명 형식의 방문자 IP 주소입니다.
- 방문자가 귀하의 웹 사이트를 방문한 위치를 알 수 있는 참조 URL입니다.
- 방문자 유형 – 신규 또는 재방문.
- 국가, 도시 및 지역과 같은 위치입니다. 여기에서 저장할 위치 정보 수준을 선택할 수 있습니다.
- OS, 사용자 에이전트, 모바일/태블릿/데스크톱 및 브라우저를 포함하여 웹 사이트에 액세스하는 데 사용되는 장치에 대한 정보입니다.
- 방문자 행동 또는 목표 데이터의 시간에는 클릭, 스크롤, 수익 등이 포함됩니다.
이 데이터는 최종 사용자 또는 방문자가 귀하의 웹사이트와 상호작용할 때 수집됩니다.
VWO 서버는 히트맵, 세션 기록, 설문 조사 및 방문자 행동 통찰력을 제공하는 기타 기능에 대한 추가 데이터 유형을 처리합니다.
- 방문자 행동을 비디오 형식으로 분석하기 위해 웹사이트에서 방문자의 행동을 기록합니다.
- 데이터를 스크롤하여 웹사이트 콘텐츠에 대한 사용자 상호작용의 깊이를 이해합니다.
- 페이지에서 방문자 행동을 분석하기 위한 마우스 움직임.
- 돌연변이.
- 모바일 장치의 장치 방향 및 변경 동작.
- 웹페이지의 HTML 콘텐츠입니다.
VWO는 보안 및 기소 목적에 필요한 정보를 적법한 이익 기반으로 저장하고 제품, 마케팅 및 분석 목적(정당한 이익 또는 필요한 경우 사전 동의를 얻어)에 필요한 정보를 저장합니다. 이에 대한 자세한 내용은 개인 정보 보호 정책에서 확인할 수 있습니다.
VWO는 데이터를 어디에 저장합니까?
VWO는 항상 GDPR을 완벽하게 준수했습니다. VWO 고객 및 방문자의 데이터는 역사적으로 GDPR 법률에 따라 미국 기반 데이터 센터에 저장 및 처리되었습니다. 이 데이터 센터는 전 세계적으로 2,500명 이상의 만족스러운 고객에게 서비스를 제공하고 있으며 유럽 연합에 1,000명 이상이 있습니다.
우리는 개인 정보 보호 및 보안에 대한 지속적인 노력으로 자연스러운 다음 단계를 밟았습니다. 방문자 데이터가 국제 EU 국경을 벗어나지 않도록 최근에 유럽 연합(EU) 데이터 센터를 시작했습니다. 벨기에(GCP의 Europe-west1)에서 호스팅되는 이 데이터 센터는 EU 내에서 최종 사용자/방문자의 데이터를 저장하고 관리하는 것을 선호하는 사용자를 대상으로 합니다. VWO에서 처리하는 방문자의 데이터는 이 데이터 센터로 계정을 구성하기로 선택한 기업의 데이터 보호 계약(DPA)에 따릅니다.
VWO의 데이터는 얼마나 안전합니까? 누출, 배포 또는 액세스할 수 있습니까?
VWO의 엔터프라이즈급 플랫폼은 세계적 수준의 기업이 기대하는 높은 수준의 보안을 염두에 두고 설계되었습니다. VWO를 사용하면 당사가 저장한 모든 데이터가 안전하고 기밀로 유지되며 액세스할 수 있으므로 안심할 수 있습니다. '안전'하다는 것은 데이터가 모든 유형의 손실 또는 손상으로부터 보호된다는 의미입니다. '기밀'은 데이터에 대한 액세스 권한이 승인된 직원에게만 부여됨을 의미하고 '접근 가능'은 필요할 때마다 승인된 사용자만 데이터를 사용할 수 있음을 의미합니다.
이 데이터 보호 보장은 물리적 보안과 코드 보안, 구성 가능한 애플리케이션 액세스, 정기적인 취약성 스캔 및 일관된 데이터 가용성의 조합에서 비롯됩니다. 이에 대한 자세한 내용은 기술 자료 문서에서 읽을 수 있습니다.
귀하의 개인 데이터는 당사의 개인 정보 보호 정책에 설명된 대로 특수한 상황에서 비즈니스 파트너, 서비스 제공업체, 지불 게이트웨이, 전문 고문, 법 집행 기관, 규제 당국, 웹사이트 사용자 또는 제3자와 공유될 수 있습니다.
VWO는 데이터 삭제 및 액세스를 어떻게 관리합니까?
기본적으로 VWO는 개인 식별 정보(PII) 또는 사용자의 민감한 데이터를 서버에 저장하기 전에 식별하고 익명화합니다. PII에는 비밀번호, 주민등록번호, 전화번호, 카드 정보 및 기타 개인 데이터가 포함됩니다.
삭제 또는 만료된 계정의 경우 데이터는 만료일로부터 45~90일 이내에 삭제됩니다. VWO 고객은 우선 순위를 지정하려는 경우 계정 또는 특정 사용자 데이터의 즉각적인 삭제를 요청하는 VWO 지원에 편지를 보낼 수 있습니다.
VWO는 서버의 데이터 보안을 보장하기 위해 PII, 계정 데이터, 민감한 기밀 정보가 포함된 전자 및 물리적 매체를 폐기하는 정책과 절차를 수립했습니다. 이에 대한 자세한 내용은 기술 자료 문서에서 읽을 수 있습니다.
VWO의 제품 전략은 개인 정보 우선 접근 방식과 어떻게 일치합니까?
VWO에서 우리는 제품 엔지니어링 및 개발의 필수적인 부분을 형성하는 강력한 데이터 보안 및 개인 정보 보호 관행을 지원합니다. 이러한 원칙에는 기본적으로 설계에 따라 모든 위협 벡터를 처리하는 보안 시스템을 구축하기 위한 강력한 프레임워크가 있습니다.
이에 따라 아래 설정은 당사 제품군의 일부입니다.
1. 웹사이트에서 방문자의 경험을 방해하지 않고 방문자를 VWO 추적에서 제외할 수 있습니다.
VWO는 최종 사용자의 개인 데이터를 절대 추적하지 않지만 방문자는 VWO가 추적하지 않도록 선택할 수 있습니다.
웹사이트 소유자는 옵트아웃 링크를 생성하고 웹사이트 방문자와 공유하거나 VWO의 옵트아웃 API를 사용하여 방문자가 VWO를 옵트아웃하도록 할 수 있습니다.
옵트아웃 API에는 두 가지 버전이 있습니다. 첫 번째 버전에서 이 API를 실행하면 모든 VWO 쿠키가 삭제되고 VWO는 방문자 추적을 즉시 중지합니다. 문제의 방문자가 페이지를 다시 방문하더라도 여전히 VWO 추적으로 간주되지 않습니다. 따라서 재방문 시 캠페인 변경사항이 표시되지 않습니다.
두 번째 버전에서는 방문자를 VWO 추적에서 제외할 수 있지만 이전에 본 경험(캠페인 변경 사항)을 계속 표시할 수 있습니다. 예를 들어 방문자가 특정 캠페인의 변형 A를 보았고 이제 방문자가 재방문할 때 동일한 변형을 표시하면서 VWO 추적에서 해당 방문자를 선택 해제하려고 한다고 가정해 보겠습니다. 이 API를 실행하면 VWO는 방문자 추적을 즉시 중지합니다. 그러나 방문자는 이전에 일부였던 동일한 변형을 계속 볼 수 있습니다.
2. 방문자 데이터를 수집하기 전에 쉽게 동의를 구할 수 있으며, 이전보다 더 책임감 있게 수집할 수 있습니다.
데이터 보호 정책을 고려하여 방문자에게 쿠키에 대해 알리는 쿠키 배너를 표시하거나 데이터를 추적하기 전에 동의를 얻는 것이 필요합니다. 이렇게 하면 웹사이트의 도구/스크립트를 사용하여 개인과 개인 정보를 식별하는 경우에만 해당 권한을 가질 수 있습니다.
VWO는 VWO Insights에 대한 트리거를 구성할 수 있는 옵션을 제공하므로 방문자 데이터를 더 신중하고 책임감 있게 동의하에 추적할 수 있습니다. 모든 방문자 작업을 사용하여 Insights 데이터 수집을 트리거할 수 있습니다. 방문자 동작을 수신할 수 있는 사용자 지정 JavaScript 코드를 작성하고 Insights 데이터를 수집하기 전에 방문한 페이지의 종류 또는 유효성을 검사하려는 시나리오를 기반으로 결정할 수 있습니다. 이 기술 자료 문서에서는 VWO에서 사용자 지정 트리거를 설정하는 프로세스를 설명합니다.
쿠키 규정 준수를 어떻게 보장합니까?
VWO는 쿠키와 로컬 저장소를 사용하여 방문자의 행동을 이해하고 웹사이트에서 방문자 여정을 추적하여 최상의 경험을 제공합니다. 쿠키는 방문자가 보는 실험의 변형을 식별하고 방문자에게 일관되게 동일한 변형을 제공하는 데 도움이 됩니다. 이 쿠키는 또한 방문자의 행동을 추적하고 캠페인의 일부인지 여부 등을 결정합니다. 그러나 VWO가 쿠키에 대해 수집하는 유일한 정보는 방문자 ID, 즉 개인 데이터가 포함되지 않은 위에서 설명한 UUID입니다. 이 UUID는 방문자를 다른 방문자와 구별하는 데 도움이 되지만 VWO는 개인이나 소비자를 추적하거나 식별할 수 없습니다.
GDPR과 같은 데이터 보호 정책의 일환으로 데이터를 처리하기 위해 쿠키 또는 추적기를 배포하기 전에 방문자로부터 정보에 입각한 동의를 얻어야 합니다. VWO는 민감한 정보를 수집하지 않습니다. 그러나 사용자로서 쿠키 동의로 VWO를 구현할지 여부는 전적으로 귀하에게 달려 있습니다. 어떤 구현이 귀하에게 적합한지 결정하려면 항상 법률 고문과 상의하십시오. 그들은 귀하가 운영하는 국가의 데이터 개인 정보 보호 규칙을 고려하여 정보에 입각한 결정을 내리는 데 도움을 줄 수 있습니다.
VWO SmartCode는 웹사이트에서 VWO를 활성화하기 위해 추가해야 하는 자동으로 생성된 코드 조각입니다. 방문자의 동의 없이 SmartCode를 실행하도록 선택할 수 있습니다. 즉, 방문자 데이터를 처리하기 위해 쿠키 또는 추적기를 배포하기 전에 권한이 필요하지 않습니다. 방문자의 동의를 얻은 후 SmartCode를 실행하도록 선택할 수도 있습니다. 조건부 실행도 가능합니다. 여기에서 SmartCode는 사용하는 제품에 관계없이 방문자의 동의를 얻은 후에만 실행됩니다. 또한 방문자가 쿠키를 수락하거나 거부할 때 VWO는 콜백을 통해 쿠키 동의 관리자와 통신하므로 유효한 동의를 기반으로 SmartCode를 실행할 수 있습니다.
운영하는 국가의 데이터 개인 정보 보호 규칙에 따라 정보에 입각한 결정을 내릴 수 있습니다. 이 기술 자료 문서에서는 SmartCode를 구현하기 위한 올바른 방법을 선택하는 방법에 대해 설명합니다.
VWO는 보안을 어떻게 보장합니까?
2,500명 이상의 고객이 데이터와 함께 VWO Experience Optimization Platform을 신뢰하며 이 책임은 우리가 매우 진지하게 생각하는 것입니다. 녹음, 설문 조사 응답 또는 사용자 정의 차원에서 VWO 서버에 도달하는 모든 데이터는 업계 표준 AES-256 암호화 알고리즘을 사용하여 암호화됩니다. 자세한 내용은 이 기술 자료 문서를 읽을 수 있습니다.
또한 일상 업무의 다음 측면에 보안 기본 사항을 통합했습니다.
조직 구조 및 거버넌스
Wingify(VWO 제조사)는 회사 전반에 걸쳐 보안 및 규정 준수 문제를 식별하는 책임을 지는 핵심 인력으로 구성된 기업 보안 및 규정 준수 팀(CSC)을 설립했습니다. 이 팀은 적절한 보안 및 규정 준수 태세를 강화하는 첫 번째 방어선 역할을 합니다. 이 팀은 CEO에게 보고합니다.
위험 관리 – ISO
ISO/IEC 27701:2019(ISO 27701)는 국제적으로 인정되며 개인 식별 정보(PII)의 수집 및 처리에 중점을 둔 글로벌 개인 정보 보호 표준입니다. 모든 ISO/IEC 27701 심사는 조직이 심사 기준에서 해당 법률/규정을 선언하도록 요구합니다. 이는 표준이 GDPR, 캘리포니아 소비자 개인 정보 보호법(CCPA) 및 기타 법률에 따른 많은 요구 사항에 매핑될 수 있음을 의미합니다. 매핑이 완료되면 개인 정보 보호 전문가는 ISO/IEC 27701 운영 제어를 구현하고 내부 또는 제3자 감사인의 감사를 받아 인증 및 포괄적인 적합성 증거를 얻습니다.
VWO는 독립적인 제3자의 감사를 거친 후 PII 프로세서 및 컨트롤러로 공인된 ISO/IEC 27701:2019 인증을 받았습니다.
ISO/IEC 27001:2013(ISO 27001)은 조직 내 정보 보안 관리를 설정, 구현, 유지 관리 및 개선하기 위한 요구 사항을 지정하는 국제적으로 인정되는 프레임워크입니다. VWO는 국제 표준 기업인 BSI(British Standards Institution)로부터 ISO 27001:2013 인증을 받았습니다. ISO 27001:2013 인증은 모든 수준에서 정보 보안에 대한 우리의 약속을 보여줍니다. 독립적인 제3자 감사를 통해 검증된 이 국제적으로 인정된 표준을 준수함으로써 당사의 보안 관리 프로그램이 포괄적이고 업계 최고의 관행을 따르고 있음을 확인합니다.
액세스 관리
VWO 계정의 모든 사용자에게는 사용자가 VWO 계정에서 수행할 수 있는 작업을 결정하는 액세스 수준이 할당됩니다. 계정 소유자 또는 관리자는 언제든지 액세스 수준을 변경할 수 있습니다.
인증 및 비밀번호 관리
VWO 계정의 신성함을 보장하기 위해 2단계 인증(2FA) 형식의 보안 계층을 추가하여 악의적인 행위자가 귀하의 비밀번호를 알고 있더라도 귀하의 데이터에 액세스하지 못하도록 방지합니다.
이중 인증(2FA)은 침입자가 VWO 계정에 액세스하는 것을 방지하기 위해 두 가지 보안 조치에 의존합니다. 2FA가 활성화되면 계정에 로그인하기 위해 알고 있는 정보(예: 비밀번호)와 가지고 있는 정보(예: 로그인 시 이메일로 전송된 6자리 1회용 코드)를 제공해야 합니다. (또는 인기 있는 TOTP 기반 앱을 사용하여 코드 생성).
2FA를 사용하면 악의적인 바이러스가 암호를 노출하거나 해커가 무차별 대입으로 암호에 액세스하더라도 계정이 손상되지 않도록 할 수 있습니다.
세션 관리
VWO 사용자가 VWO 계정에 로그인할 때마다 시스템은 사용자에게 새 세션 식별자를 할당합니다. 세션 식별자는 무차별 대입 공격으로부터 계정을 보호하기 위해 64바이트로 무작위로 생성된 값입니다. 7일이 지나면 모든 세션이 시간 초과되어 사용자가 계정에 다시 로그인해야 합니다. 또한 모든 활성 세션은 4시간 동안 사용하지 않으면 시간 초과되도록 설정됩니다.
네트워크 및 전송 보안
VWO는 GCP에서 관리하는 보안 서버에서 호스팅됩니다. GCP 데이터 센터에 대한 모든 물리적 액세스는 모든 사람으로 제한됩니다. 방화벽은 업계 모범 사례를 사용하여 구성되며 불필요한 포트는 모두 차단됩니다.
VWO 사용자는 도청, 변조 및 메시지 위조로부터 보호하도록 설계된 암호화 프로토콜인 TLS(전송 계층 보안) 버전 1.2 이상을 사용하여 항상 HTTPS를 통해 VWO 웹 앱에 연결됩니다.
액세스 제어
계정에 추가하는 각 사용자에게 역할과 권한을 할당하여 VWO 계정에 대한 적절한 수준의 액세스를 보장할 수 있습니다. VWO 계정에 대한 액세스를 특정 IP 주소로 제한할 수 있습니다. 계정에서 특정 활동이 발생할 때마다 이메일로 알림을 받을 수도 있습니다.
데이터에 대한 내부 액세스
VWO의 프로덕션 서버에 저장된 데이터는 엔지니어링 SVP와 수석 엔지니어만 액세스할 수 있습니다. VWO의 다른 구성원은 기술 문제 해결을 위해 CEO 및 SVP-엔지니어링이 특정 액세스 권한을 부여하지 않는 한 고객 데이터에 액세스할 수 없습니다.
제품 개발의 일부로 엔지니어링 보안
철저한 품질 검사는 개발 프로세스의 필수적인 부분입니다. QA 팀에서 검토 및 승인하지 않는 한 코드가 실행되지 않습니다. 스테이징 또는 테스트 환경은 프로덕션과 완전히 분리되어 있으며 프로덕션 데이터를 사용하지 않습니다. 모든 새로운 기능은 프로덕션에 배포되기 전에 보안 검토를 거칩니다. 또한 외부 VAPT(Vulnerability Assessment and Penetration Testing) 감사를 시스템 수준에서 수행하여 잠재적인 취약점을 평가합니다.
데이터 침해
데이터 보안 침해가 발생하는 경우 당사는 사고 감지 후 48시간 이내에 고객에게 알립니다. 우리는 그러한 사건이나 비상 사태를 처리하기 위한 사고 관리 정책과 절차를 가지고 있습니다.
이 모든 것이 VWO 고객에게 의미하는 바는 무엇입니까?
VWO의 고객으로서 이것이 귀하에게 의미하는 바는 다음과 같습니다.
- VWO는 보안과 제품 향상, 마케팅 및 분석을 위해 필요한 데이터만 수집하며 방문자의 동의가 있어야 합니다. 수집된 모든 개인 정보는 익명으로 처리됩니다.
- 이 데이터는 GDPR 법률에 따라 안전하게 저장됩니다.
- 이 데이터는 안전하고 기밀로 유지되며 항상 액세스할 수 있습니다.
- 귀하의 계정이 삭제되거나 만료된 경우 강력하고 안전한 프로세스가 데이터 삭제를 관리합니다.
- 개인 정보 보호는 당사 제품 전략의 필수적인 부분을 형성하며 모든 제품 개선 사항은 개인 정보 보호 우선 원칙에 따라 설계되었습니다.
- GDPR과 같은 데이터 보호 정책의 일환으로 쿠키 규정 준수를 보장합니다.
- 강력한 액세스, 암호 및 세션 관리, 관련 재해 관리 정책을 통해 정보 보안 인증을 획득 및 유지함으로써 기업 보안 및 규정 준수 팀의 도움으로 데이터 보안을 보장합니다.
당사의 기업 보안 및 규정 준수 팀은 고위 경영진과 함께 다음 조치를 취했습니다.
- 내부 채널에서 빈번한 토론을 통해 조직 전체에 인식을 제고하고 직원이 데이터를 적절하게 처리하도록 교육했습니다.
- 우리는 GDPR의 요구 사항에 따라 모든 제품을 개별적으로 평가했습니다. 데이터를 더 잘 제어하고 GDPR 준수를 달성해야 하는 부담을 덜어주는 새로운 기능을 구현했습니다.
- 우리는 모든 팀을 위해 내부 개인정보 보호 트러스트 챔피언을 임명했습니다. 우리는 또한 데이터 보호 책임자(DPO)를 설립했습니다.
- 당사의 애플리케이션 팀은 설계상 개인정보 보호 개념을 수용했으며 귀하가 당사 시스템에 저장하는 데이터에 대한 더 많은 제어를 제공했습니다. 우리는 단계적으로 출시되는 더 많은 개선 사항을 제공하기 위해 지속적으로 노력합니다. 우리는 조직의 보안, 기밀성, 무결성 및 개인 정보 및 고객 데이터의 개인 정보를 보호하기 위해 적절한 조직적, 기술적, 관리적 및 물리적 보호 장치를 구현했습니다.
이러한 조치를 취함으로써 VWO의 고객으로서 귀하는 개인 정보 보호법을 준수하고 귀하의 데이터는 당사에서 안전하게 보호되며 웹 사이트 방문자의 개인 정보는 항상 존중되고 보호됩니다.
VWO를 사용하지 않는 실험 소유자로서 단순히 개인 정보를 중요하게 생각한다면 충분하지 않습니다. 데이터 프라이버시의 우선 순위를 정하고 로드맵과 실험 스택에 통합해야 합니다. VWO가 귀하를 도울 수 있는 방법에 대해 더 알고 싶다면 당사의 제품 전문가에게 연락할 수 있습니다.