Priorizando a privacidade de dados em seu programa de experimentação

A abordagem de privacidade em primeiro lugar da VWO: o que ela implica, por que é essencial e como beneficia nossos clientes.

O que significa privacidade para uma Plataforma de Experimentação?

Como os dados impulsionam os experimentos, manter a confidencialidade e a segurança desses dados se torna essencial. Se você é uma empresa que realiza experimentos, é regido pelas leis de privacidade, segurança e conformidade de dados aplicáveis ​​em sua região. Portanto, torna-se essencial que você escolha uma ferramenta de experimentação com privacidade em primeiro lugar.

Surge então a pergunta – Como você sabe se pode confiar em uma plataforma de experimentação para atender aos critérios necessários relacionados à privacidade? Para verificar isso, você precisa avaliar que tipo de dados são coletados pela plataforma, onde são armazenados, como são usados ​​e se há algum risco de vulnerabilidade de dados.

Neste artigo, respondemos a essas perguntas cruciais no âmbito da VWO.

Na VWO, acreditamos que a privacidade é um direito humano fundamental. Temos o compromisso de fornecer a você produtos, informações, controles e transparência que permitem que você escolha como suas informações e as de seus clientes são coletadas e usadas. Devemos o nosso crescimento aos nossos clientes e ganhar a sua confiança é a nossa principal prioridade. Portanto, manter a confidencialidade e a conformidade dos dados dos clientes é fundamental para nós.

A segurança está no centro de como construímos nossos produtos, políticas e processos para fornecer alta resiliência. Seguimos os princípios de segurança por design para proteger os sistemas de informação e as informações do cliente, para que você possa experimentar e criar a melhor experiência do cliente usando a plataforma em que realmente confia.

Quais dados de visitantes são coletados pela VWO?

A totalidade dos dados coletados pelo VWO é classificada nas duas categorias a seguir:

• Dados do Cliente : São os dados do cliente da VWO, associados à sua compra e uso da plataforma e serviços de Experimentação VWO. Esses dados incluem informações de login e contato dos clientes, configurações de campanha, configurações de conta, configurações de cobrança e outros dados semelhantes necessários para usar e executar o aplicativo VWO.
• Dados do visitante : São os dados dos visitantes ou usuários finais (que chegam ao site/aplicativos dos clientes) coletados como parte das campanhas executadas via VWO. Esses dados alimentam todos os recursos do aplicativo VWO, como gravações de sessões, mapas de calor, pesquisas, testes A/B, MVTs, etc.

Os servidores VWO coletam e armazenam informações de UUID (Identificador Único de Usuário) no formato pseudonimizado. Um UUID é um número de 128 bits usado para identificar informações em sistemas de computador. Como o VWO pseudonimiza o UUID antes de armazená-lo usando uma função de hash unidirecional, as informações que podem apontar para a identidade de um visitante são substituídas por “pseudônimos” e a identidade é protegida.

Os servidores VWO armazenam dados do agente do usuário, incluindo as seguintes informações para clientes que usam a segmentação de relatório na plataforma de experimentação da VWO:

• Endereço IP do visitante em formato anônimo.
• URL de referência para saber de onde o visitante chegou ao seu site.
• Tipo de visitante – novo ou recorrente.
• Um local como país, cidade e região. Você pode selecionar o nível de informações de localização que deseja armazenar aqui.
• Informações sobre o dispositivo usado para acessar o site, incluindo o sistema operacional, agente do usuário, celular/tablet/desktop e navegador.
• O tempo da ação do visitante ou os dados das metas incluem cliques, rolagens, receita etc.

Esses dados são coletados à medida que o usuário final ou visitante interage com seu site.

Os servidores VWO processam tipos de dados adicionais para mapas de calor, gravações de sessões, pesquisas e outros recursos que fornecem informações sobre o comportamento do visitante:

• Gravações das ações dos visitantes no site para analisar o comportamento do visitante em formato de vídeo.
• Role os dados para entender a profundidade da interação do usuário no conteúdo do seu site.
• Movimentos do mouse para analisar o comportamento do visitante em uma página.
• Mutações.
• Orientação do dispositivo e comportamento de mudança para dispositivos móveis.
• Conteúdo HTML da página da web.

A VWO armazena as informações necessárias para fins de segurança e processo judicial com base em interesse legítimo e as informações necessárias para fins de produto, marketing e análise (interesse legítimo ou, quando necessário, obtendo seu consentimento prévio). Você pode ler mais sobre isso em nossa política de privacidade.

Onde o VWO armazena dados?

A VWO sempre foi totalmente compatível com o GDPR. Os dados dos clientes e visitantes da VWO são historicamente armazenados e processados ​​no data center dos EUA, em conformidade com a lei GDPR. Este data center atende a mais de 2.500 clientes satisfeitos em todo o mundo, com mais de mil na União Europeia.

Demos o próximo passo natural com um compromisso contínuo com a privacidade e a segurança. Recentemente, lançamos um data center da União Europeia (UE) para garantir que os dados dos visitantes não saiam das fronteiras internacionais da UE. Hospedado na Bélgica (Europa-oeste1 do GCP), este data center atende àqueles que preferem armazenar e gerenciar os dados de seus usuários/visitantes finais dentro da UE. Os dados dos visitantes processados ​​pela VWO estão de acordo com o Data Protection Agreement (DPA) para as entidades que optam por configurar suas contas neste data center.

Quão seguros estão seus dados com o VWO? Pode ser vazado, distribuído ou acessado?

A plataforma de nível empresarial da VWO foi projetada tendo em mente o alto nível de segurança esperado por empresas de classe mundial. Com o VWO, você pode ter certeza de que todos os dados armazenados por nós permanecem seguros, confidenciais e acessíveis. Por 'seguro', queremos dizer que os dados estarão protegidos contra qualquer tipo de perda ou corrupção. 'Confidencial' significa que o acesso aos dados é concedido apenas a pessoal autorizado e, por 'acessível', significa que os dados estão disponíveis apenas para usuários autorizados sempre que necessário.

Essa garantia de proteção de dados vem de uma combinação de segurança física e de código, acesso configurável a aplicativos, verificações regulares de vulnerabilidades e disponibilidade consistente de dados. Você pode ler mais sobre isso em nosso artigo da base de conhecimento.

Seus dados pessoais podem ser compartilhados com parceiros de negócios, provedores de serviços, gateways de pagamento, consultores profissionais, agências de aplicação da lei, autoridades regulatórias, usuários de sites ou terceiros em circunstâncias especiais, conforme descrito em nossa política de privacidade.

Como o VWO gerencia a exclusão e o acesso aos dados?

Por padrão, a VWO identifica e anonimiza quaisquer Informações de Identificação Pessoal (PII) ou dados confidenciais dos usuários antes de armazená-los em seus servidores. PII inclui senhas, números de segurança social, telefone, informações de cartão e outros dados pessoais.

Para contas excluídas ou expiradas, os dados são excluídos dentro de 45 a 90 dias a partir da data de expiração. Como cliente VWO, você pode escrever para o suporte VWO solicitando a exclusão imediata de contas ou dados de usuários específicos se desejar priorizar isso.
A VWO estabeleceu políticas e procedimentos para descartar mídia eletrônica e física contendo PII, dados de contas e informações sensíveis e confidenciais para garantir a segurança dos dados de seus servidores. Você pode ler mais sobre isso em nosso artigo da base de conhecimento.

Como a estratégia de produtos da VWO está alinhada à nossa abordagem de privacidade em primeiro lugar?

Na VWO, nos apoiamos em práticas robustas de segurança e privacidade de dados que são parte integrante de nossa engenharia e desenvolvimento de produtos. Esses princípios têm uma estrutura robusta para construir sistemas seguros que abordam todos os vetores de ameaças por padrão e por design.

Mantendo-se alinhado com isso, as configurações abaixo fazem parte do nosso conjunto de produtos:

1. Você pode excluir seus visitantes do rastreamento VWO sem prejudicar a experiência deles em seu site.

Mesmo que o VWO nunca rastreie os dados pessoais do usuário final, seus visitantes têm a opção de não serem rastreados pelo VWO.

Como proprietário de um site, você pode fazer com que seus visitantes desativem o VWO gerando um link de desativação e compartilhando-o com os visitantes do seu site ou usando a API de desativação do VWO.

A API de desativação tem duas versões. Quando você aciona essa API na primeira versão, todos os cookies VWO são excluídos e o VWO interrompe o rastreamento de visitantes imediatamente. Se o visitante em questão retornar à página, ele ainda não será considerado para rastreamento VWO. Portanto, eles não verão nenhuma mudança de campanha nas visitas de retorno.

Na segunda versão, você pode desativar o rastreamento do VWO por um visitante, mas ainda mostrar a experiência (alterações de campanha) que ele viu anteriormente. Por exemplo, digamos que um visitante tenha visto a variação A de uma campanha específica e agora você queira desativá-lo do rastreamento VWO enquanto mostra a mesma variação ao visitante em suas visitas de retorno. Quando você aciona essa API, o VWO interrompe o rastreamento de visitantes imediatamente. No entanto, os visitantes continuam a ver a mesma variação da qual faziam parte anteriormente.

2. Você pode facilmente solicitar consentimento antes de coletar dados de visitantes, e pode fazê-lo com mais responsabilidade do que antes.

Tendo em vista as políticas de proteção de dados, é necessário exibir um banner de cookies informando os visitantes sobre cookies ou obter consentimento antes de rastrear seus dados. Isso garante que você só possa fazer isso com a permissão deles se usar ferramentas/scripts em seu site para identificar indivíduos e suas informações pessoais.

O VWO oferece a opção de configurar gatilhos para o VWO Insights para que você possa rastrear os dados do visitante com mais cuidado, responsabilidade e consentimento. Qualquer ação do visitante pode ser usada para acionar a coleta de dados do Insights. Você pode escrever um código JavaScript personalizado que pode ouvir as ações do visitante e decidir com base no tipo de página visitada ou em qualquer cenário que deseja validar antes de coletar dados do Insights. Este artigo da base de conhecimento descreve o processo de configuração de um gatilho personalizado no VWO.

Como garantimos a conformidade dos cookies?

A VWO usa cookies e armazenamento local para entender o comportamento dos visitantes e rastrear as jornadas dos visitantes em seu site para oferecer as melhores experiências. Os cookies identificam a variação em um experimento que o visitante visualiza e ajudam a fornecer a mesma variação ao visitante de forma consistente. Esses cookies também rastreiam as ações do visitante, determinam se fazem parte de uma campanha, etc. No entanto, a única informação que a VWO coleta sobre um cookie é um ID de visitante, ou seja, um UUID explicado anteriormente que não contém dados pessoais. Esse UUID ajuda a distinguir um visitante do outro, mas nenhum indivíduo ou consumidor pode ser rastreado ou identificado pelo VWO.

Como parte de políticas de proteção de dados como o GDPR, é necessário obter o consentimento informado dos visitantes antes de implantar cookies ou rastreadores para processar seus dados. A VWO não coleta nenhuma informação sensível. No entanto, como usuário, a decisão de implementar o VWO com consentimento de cookies ou não depende inteiramente de você. Sempre consulte seu advogado para determinar qual implementação é apropriada para você. Eles podem ajudá-lo a tomar uma decisão informada, considerando as regras de privacidade de dados dos países em que você opera.

O VWO SmartCode é um trecho de código gerado automaticamente que você deve adicionar para habilitar o VWO em seu site. Você pode optar por executar o SmartCode sem o consentimento do visitante, ou seja, você não precisa de nenhuma permissão antes de implantar cookies ou rastreadores para processar os dados dos visitantes. Você também pode optar por executar o SmartCode após obter o consentimento dos visitantes (isso é para VWO Insights e Engage; as campanhas de teste são executadas sem a permissão dos visitantes). Você também pode optar pela execução condicional – aqui, o SmartCode é executado somente após a obtenção do consentimento dos visitantes, independentemente do produto que você está usando. Além disso, o VWO se comunica com os gerenciadores de consentimento de cookies por meio de retorno de chamada quando o visitante aceita ou rejeita o cookie, permitindo que você execute o SmartCode com base no consentimento válido.

Dependendo das regras de privacidade de dados nos países em que você opera, você pode tomar uma decisão informada. Este artigo da base de conhecimento discute a escolha do método correto para implementar o SmartCode.

Como a VWO garante a segurança?

Mais de 2.500 clientes confiam na VWO Experience Optimization Platform com seus dados, e essa responsabilidade é algo que levamos muito a sério. Todos os dados que chegam aos servidores VWO a partir de gravações, respostas de pesquisas ou da dimensão personalizada são criptografados usando o algoritmo de criptografia AES-256 padrão do setor. Você pode ler este artigo da base de conhecimento para obter detalhes.

Também incorporamos os fundamentos de segurança nos seguintes aspectos de nossas operações diárias:

Estrutura organizacional e governança

A Wingify (criadora do VWO) estabeleceu uma Equipe de Segurança e Conformidade Corporativa (CSC) composta por pessoal-chave cuja responsabilidade é identificar preocupações de segurança e conformidade em toda a empresa. Essa equipe atua como a primeira linha de defesa no aprimoramento da postura adequada de segurança e conformidade. Essa equipe se reporta ao CEO.

Gestão de riscos – ISO

A ISO/IEC 27701:2019 (ISO 27701) é reconhecida internacionalmente e um padrão de privacidade global que se concentra na coleta e processamento de informações de identificação pessoal (PII). Qualquer auditoria ISO/IEC 27701 exige que a organização declare as leis/regulamentos aplicáveis ​​em seus critérios para a auditoria. Isso significa que o padrão pode ser mapeado para muitos dos requisitos do GDPR, da Lei de Privacidade do Consumidor da Califórnia (CCPA) e de outras leis. Uma vez mapeados, os profissionais de privacidade implementam os controles operacionais da ISO/IEC 27701 e são auditados por auditores internos ou terceirizados, resultando em certificação e evidências abrangentes de conformidade.

A VWO recebeu uma certificação ISO/IEC 27701:2019 credenciada como processador e controlador de PII após passar por uma auditoria por um terceiro independente.

A ISO/IEC 27001:2013 (ISO 27001) é uma estrutura internacionalmente reconhecida que especifica os requisitos para estabelecer, implementar, manter e melhorar o gerenciamento de segurança da informação dentro de uma organização. A VWO recebeu a certificação ISO 27001:2013 da British Standards Institution (BSI), a empresa de padrões internacionais. A certificação ISO 27001:2013 demonstra nosso compromisso com a segurança da informação em todos os níveis. A conformidade com este padrão reconhecido internacionalmente e validado por uma auditoria independente de terceiros confirma que nosso programa de gerenciamento de segurança é abrangente e segue as práticas líderes do setor.

Gerenciamento de acesso

Todos os usuários em uma conta VWO recebem um nível de acesso que determina as ações que os usuários podem realizar na conta VWO. Se você for proprietário ou administrador de uma conta, poderá alterar o nível de acesso a qualquer momento.

Autenticação e gerenciamento de senhas

Para garantir a integridade de sua conta VWO, adicionamos uma camada extra de segurança na forma de autenticação de dois fatores (2FA) que impede que agentes mal-intencionados acessem seus dados, mesmo que saibam sua senha.

A autenticação de dois fatores (2FA) depende de duas medidas de segurança para impedir que invasores obtenham acesso à sua conta VWO. Assim que a 2FA estiver habilitada, para fazer login em sua conta, você precisará fornecer algo que sabe, ou seja, sua senha, e algo que você tenha, ou seja, um código único de seis dígitos enviado ao seu e-mail no momento do login (ou usando aplicativos populares baseados em TOTP para gerar o código).

Com o 2FA, você pode garantir que sua conta não seja comprometida, mesmo que um vírus malicioso exponha sua senha ou hackers obtenham acesso à sua senha por força bruta.

Gerenciamento de sessão

Sempre que um usuário VWO entra na conta VWO, o sistema atribui um novo identificador de sessão para o usuário. O identificador de sessão é um valor gerado aleatoriamente de 64 bytes para proteger a conta contra ataques de força bruta. Após sete dias, todas as sessões expiram, exigindo que os usuários façam login em suas contas novamente. Além disso, todas as sessões ativas são definidas para expirar após 4 horas de inatividade.

Segurança de rede e transmissão

O VWO é hospedado em servidores seguros gerenciados pelo GCP. Qualquer acesso físico aos data centers do GCP é restrito a todos. Os firewalls são configurados usando as práticas recomendadas do setor e todas as portas desnecessárias são bloqueadas.

Como usuário VWO, você está sempre conectado ao aplicativo da web VWO via HTTPS usando Transport Layer Security (TLS) versão 1.2 e superior, um protocolo criptográfico projetado para proteger contra espionagem, adulteração e falsificação de mensagens.

Controle de acesso

Você pode atribuir funções e permissões a cada usuário adicionado à sua conta para garantir um nível apropriado de acesso à sua conta VWO. Você pode restringir o acesso à sua conta VWO a endereços IP específicos. Você também pode ativar alertas para e-mail sempre que ocorrerem atividades específicas em sua conta.

Acesso interno aos dados

Os dados armazenados nos servidores de produção da VWO podem ser acessados ​​apenas pelo vice-presidente sênior de engenharia e engenheiros líderes. Nenhum outro membro da VWO tem acesso aos dados do cliente, a menos que uma permissão de acesso específica seja concedida pelo CEO e pelo SVP-Engineering para resolver problemas técnicos.

Segurança na engenharia como parte do desenvolvimento de produtos

Verificações de qualidade completas são parte integrante do nosso processo de desenvolvimento. Nenhum código é ativado a menos que seja revisado e aprovado pela equipe de controle de qualidade. O ambiente de preparo ou teste é totalmente separado da produção e não usa nenhum dado de produção. Qualquer novo recurso passa por uma revisão de segurança antes de ser implantado em produção. Além disso, auditorias externas de VAPT (Avaliação de Vulnerabilidade e Teste de Penetração) são realizadas no nível do sistema para avaliar possíveis vulnerabilidades.

Violação de dados

Em caso de violação de segurança de dados, notificamos nossos clientes dentro de quarenta e oito horas após a detecção do incidente. Temos políticas e procedimentos de gerenciamento de incidentes para lidar com tais eventos ou emergências.

O que tudo isso significa para os clientes da VWO?

Como cliente da VWO, o que isso significa para você em poucas palavras é o seguinte:

• A VWO coleta apenas os dados necessários para segurança e para fins de aprimoramento de produtos, marketing e análise – e com o consentimento de seus visitantes. Qualquer informação pessoal, se coletada, é anonimizada.
• Esses dados são armazenados de forma segura e de acordo com a lei GDPR.
• Esses dados permanecem seguros, confidenciais e acessíveis a você o tempo todo.
• Processos robustos e seguros regem a exclusão de dados se sua conta conosco for excluída ou expirada.
• A privacidade é parte integrante de nossa estratégia de produto, e quaisquer melhorias de produto são projetadas com base nos princípios de privacidade em primeiro lugar.
• Garantimos a conformidade de cookies como parte de políticas de proteção de dados, como GDPR.
• Garantimos a segurança de seus dados com a ajuda de nossa Equipe de Segurança e Conformidade Corporativa, adquirindo e mantendo a certificação de segurança da informação por meio de acesso robusto, gerenciamento de senhas e sessões e políticas relevantes de gerenciamento de desastres.

Nossa Equipe de Segurança e Conformidade Corporativa, juntamente com membros de nossa liderança sênior, tomaram as seguintes medidas:

• Aumentamos a conscientização em toda a organização por meio de discussões frequentes em nossos canais internos e treinamos funcionários para lidar com os dados adequadamente.
• Avaliamos todos os nossos produtos individualmente em relação aos requisitos do GDPR. Implementamos novos recursos que lhe darão mais controle sobre seus dados e aliviarão o fardo de alcançar a conformidade com o GDPR.
• Nomeamos defensores internos de confiança em privacidade para todas as nossas equipes. Também estabelecemos um Encarregado de Proteção de Dados (DPO).
• Nossas equipes de aplicativos adotaram o conceito de privacidade desde o design e forneceram a você mais controle sobre os dados armazenados em nossos sistemas. Nós nos esforçamos constantemente para fornecer a você mais aprimoramentos, implementados em fases. Implementamos proteções organizacionais, técnicas, administrativas e físicas apropriadas para proteger a segurança, confidencialidade, integridade e privacidade de Informações Pessoais e dados de clientes de nossa organização.

Com essas medidas em vigor, como cliente da VWO, você está em conformidade com as leis de privacidade, seus dados estão seguros conosco e a privacidade dos visitantes do seu site é respeitada e protegida em todos os momentos.

Como proprietário de um experimento que não usa VWO , não é suficiente se você simplesmente se preocupa com a privacidade. Você precisará priorizar a privacidade dos dados e integrá-la à sua pilha de experimentação, bem como ao seu roteiro. Você pode entrar em contato com nossos especialistas em produtos se desejar entender mais sobre como a VWO pode ajudá-lo a fazer isso.