Приоритизация конфиденциальности данных в вашей экспериментальной программе

Подход VWO, ориентированный на конфиденциальность: что он влечет за собой, почему он важен и какую пользу он приносит нашим клиентам.

Что означает конфиденциальность для экспериментальной платформы?

Поскольку эксперименты основаны на данных, соблюдение конфиденциальности и безопасности этих данных становится важным. Если вы являетесь компанией, которая проводит эксперименты, вы руководствуетесь законами о конфиденциальности данных, безопасности и соответствии, действующими в вашем регионе. Поэтому для вас становится важным выбрать инструмент для экспериментов, ориентированный на конфиденциальность.

Тогда возникает вопрос: как узнать, можно ли доверять экспериментальной платформе в плане соответствия необходимым критериям конфиденциальности? Чтобы убедиться в этом, вам необходимо оценить, какие данные собирает платформа, где они хранятся, как они используются и существует ли риск уязвимости данных.

В этой статье мы ответили на эти важные вопросы в рамках VWO.

В VWO мы считаем, что неприкосновенность частной жизни является одним из основных прав человека. Мы стремимся предоставлять вам продукты, информацию, элементы управления и прозрачность, которые позволяют вам выбирать, как ваша информация и информация ваших клиентов будет собираться и использоваться. Своим ростом мы обязаны нашим клиентам, и завоевание их доверия является нашим главным приоритетом. Поэтому сохранение конфиденциальности и соответствия данных клиентов имеет для нас первостепенное значение.

Безопасность лежит в основе того, как мы создаем наши продукты, политики и процессы для обеспечения высокой отказоустойчивости. Мы следуем принципам безопасности при разработке, чтобы защитить информационные системы и информацию о клиентах, чтобы вы могли экспериментировать и создавать наилучшие условия для клиентов, используя платформу, которой вы действительно доверяете.

Какие данные о посетителях собирает VWO?

Все данные, собранные VWO, подразделяются на следующие две категории:

• Данные клиента : это данные клиента VWO, связанные с его покупкой и использованием экспериментальной платформы и услуг VWO. Эти данные включают в себя логин и контактную информацию клиентов, конфигурации кампаний, конфигурации учетных записей, конфигурации выставления счетов и другие подобные данные, необходимые для использования и запуска приложения VWO.
• Данные посетителей : это данные посетителей или конечных пользователей (которые заходят на веб-сайт/приложения клиентов), собранные в рамках кампаний, проводимых через VWO. Эти данные обеспечивают работу всех функций приложения VWO, включая записи сеансов, тепловые карты, опросы, A/B-тесты, MVT и т. д.

Серверы VWO собирают и хранят информацию UUID (уникальный идентификатор пользователя) в псевдонимизированном формате. UUID — это 128-битное число, используемое для идентификации информации в компьютерных системах. Поскольку VWO псевдонимизирует UUID перед его сохранением с помощью функции одностороннего хэширования, информация, которая может указывать на личность посетителя, заменяется «псевдонимами», и личность защищается.

Серверы VWO хранят данные пользовательского агента, включая следующую информацию для клиентов, использующих сегментацию отчетов на экспериментальной платформе VWO:

• IP-адрес посетителя в анонимизированном формате.
• Ссылающийся URL-адрес, чтобы узнать, откуда посетитель пришел на ваш сайт.
• Тип посетителя – новый или постоянный.
• Расположение, такое как страна, город и регион. Вы можете выбрать, какой уровень информации о местоположении вы хотите хранить здесь.
• Информация об устройстве, используемом для доступа к веб-сайту, включая ОС, пользовательский агент, мобильный телефон/планшет/настольный компьютер и браузер.
• Данные о времени действия или целях посетителя включают клики, прокрутки, доход и т. д.

Эти данные собираются, когда конечный пользователь или посетитель взаимодействует с вашим веб-сайтом.

Серверы VWO обрабатывают дополнительные типы данных для тепловых карт, записей сеансов, опросов и других функций, которые предоставляют информацию о поведении посетителей:

• Записи действий посетителей на сайте для анализа поведения посетителей в видеоформате.
• Прокрутите данные, чтобы понять глубину взаимодействия пользователей с контентом вашего веб-сайта.
• Движения мыши для анализа поведения посетителей на странице.
• Мутации.
• Ориентация устройства и изменение поведения для мобильных устройств.
• HTML-контент веб-страницы.

VWO хранит информацию, необходимую для целей безопасности и судебного преследования на основе законных интересов, а также информацию, необходимую для целей продукта, маркетинга и аналитики (законные интересы или, при необходимости, с вашего предварительного согласия). Вы можете прочитать больше об этом в нашей политике конфиденциальности.

Где VWO хранит данные?

VWO всегда полностью соответствовал GDPR. Данные как клиентов VWO, так и их посетителей исторически хранились и обрабатывались в центре обработки данных в США в соответствии с законом GDPR. Этот центр обработки данных обслуживает более 2500 довольных клиентов по всему миру, из них более тысячи в Европейском союзе.

Мы сделали следующий естественный шаг, сохранив приверженность конфиденциальности и безопасности. Недавно мы запустили центр обработки данных Европейского Союза (ЕС), чтобы гарантировать, что данные о посетителях не покидают международные границы ЕС. Этот центр обработки данных, расположенный в Бельгии (Европа-запад1 GCP), предназначен для тех, кто предпочитает хранить и управлять данными своих конечных пользователей/посетителей в ЕС. Данные посетителей, обрабатываемые VWO, соответствуют Соглашению о защите данных (DPA) для организаций, которые решили настроить свои учетные записи в этом центре обработки данных.

Насколько безопасны ваши данные с VWO? Возможна ли утечка, распространение или доступ?

Платформа корпоративного класса VWO была разработана с учетом высокого уровня безопасности, ожидаемого компаниями мирового класса. С VWO вы можете быть уверены, что любые данные, хранящиеся у нас, остаются безопасными, конфиденциальными и доступными. Под «безопасностью» мы подразумеваем, что данные будут защищены от любой потери или повреждения. «Конфиденциальный» означает, что доступ к данным предоставляется только уполномоченному персоналу, а под «доступным» мы подразумеваем, что данные доступны только авторизованным пользователям, когда это необходимо.

Эта гарантия защиты данных исходит из сочетания физической безопасности и безопасности кода, настраиваемого доступа к приложениям, регулярного сканирования уязвимостей и постоянной доступности данных. Подробнее об этом можно прочитать в нашей статье базы знаний.

Ваши личные данные могут быть переданы деловым партнерам, поставщикам услуг, платежным шлюзам, профессиональным консультантам, правоохранительным органам, регулирующим органам, пользователям веб-сайтов или третьим лицам при особых обстоятельствах, как описано в нашей политике конфиденциальности.

Как VWO управляет удалением данных и доступом к ним?

По умолчанию VWO идентифицирует и анонимизирует любую личную информацию (PII) или конфиденциальные данные пользователей перед их сохранением на своих серверах. PII включает в себя пароли, номера социального страхования, телефон, информацию о карте и другие личные данные.

Для удаленных учетных записей или учетных записей с истекшим сроком действия данные удаляются в течение 45–90 дней с даты истечения срока действия. Как клиент VWO, вы можете написать в службу поддержки VWO с просьбой о немедленном удалении учетных записей или определенных пользовательских данных, если вы хотите сделать это приоритетным.
VWO установила политики и процедуры по утилизации электронных и физических носителей, содержащих PII, данные учетной записи, а также важную и конфиденциальную информацию, чтобы обеспечить безопасность данных своих серверов. Вы можете прочитать больше об этом в нашей статье базы знаний.

Как продуктовая стратегия VWO согласуется с нашим подходом, ориентированным на конфиденциальность?

В VWO мы поддерживаем надежные методы обеспечения безопасности и конфиденциальности данных, которые являются неотъемлемой частью проектирования и разработки нашей продукции. Эти принципы составляют надежную основу для создания безопасных систем, которые по умолчанию и по замыслу учитывают все векторы угроз.

В соответствии с этим, следующие настройки являются частью нашего набора продуктов:

1. Вы можете отказаться от отслеживания VWO для своих посетителей, не мешая их работе на вашем веб-сайте.

Несмотря на то, что VWO никогда не отслеживает личные данные конечного пользователя, у ваших посетителей есть возможность отказаться от отслеживания VWO.

Как владелец веб-сайта, вы можете заставить своих посетителей отказаться от VWO, либо создав ссылку для отказа и поделившись ею с посетителями вашего веб-сайта, либо используя API отказа VWO.

API отказа имеет две версии. Когда вы запускаете этот API в первой версии, все файлы cookie VWO удаляются, и VWO немедленно прекращает отслеживание посетителей. Если посетитель, о котором идет речь, вернется на страницу, он все равно не будет учитываться для отслеживания VWO. Поэтому при повторном посещении они не увидят никаких изменений кампании.

Во второй версии вы можете отключить посетителя от отслеживания VWO, но по-прежнему показывать опыт (изменения кампании), который он видел ранее. Например, предположим, что посетитель видел вариант А определенной кампании, и теперь вы хотите отказаться от отслеживания VWO, показывая тот же вариант посетителю во время его повторных посещений. Когда вы запускаете этот API, VWO немедленно прекращает отслеживание посетителей. Однако посетители продолжают видеть ту же вариацию, частью которой они были ранее.

2. Вы можете легко запросить согласие перед сбором данных о посетителях, и вы можете делать это более ответственно, чем раньше.

В соответствии с политикой защиты данных необходимо отображать баннер файлов cookie, информирующий посетителей о файлах cookie, или получать согласие перед отслеживанием их данных. Это гарантирует, что вы можете делать это только с их разрешения, если вы используете инструменты/скрипты на своем веб-сайте для идентификации людей и их личной информации.

VWO дает вам возможность настроить триггеры для VWO Insights, чтобы вы могли более тщательно, ответственно и с согласия отслеживать данные о посетителях. Любое действие посетителя может быть использовано для запуска сбора данных Insights. Вы можете написать собственный код JavaScript, который будет прослушивать действия посетителей и принимать решения в зависимости от типа посещенных страниц или любого сценария, который вы хотите проверить перед сбором данных Insights. В этой статье базы знаний описывается процесс настройки пользовательского триггера в VWO.

Как мы обеспечиваем соответствие файлам cookie?

VWO использует файлы cookie и локальное хранилище, чтобы понять поведение посетителей и отслеживать их действия на вашем веб-сайте, чтобы обеспечить наилучшие впечатления. Файлы cookie идентифицируют вариант эксперимента, который просматривает посетитель, и помогают постоянно показывать посетителю один и тот же вариант. Эти файлы cookie также отслеживают действия посетителей, определяют, являются ли они частью кампании и т. д. Однако единственная информация, которую VWO собирает о файлах cookie, — это идентификатор посетителя, то есть UUID, описанный выше, который не содержит никаких личных данных. Этот UUID помогает отличить одного посетителя от другого, но VWO не может отследить или идентифицировать ни одного человека или потребителя.

В рамках политик защиты данных, таких как GDPR, необходимо получить информированное согласие посетителей, прежде чем развертывать какие-либо файлы cookie или средства отслеживания для обработки их данных. VWO не собирает никакой конфиденциальной информации. Однако, как пользователь, решение внедрить VWO с согласием на использование файлов cookie или нет, полностью зависит от вас. Всегда консультируйтесь со своим юрисконсультом, чтобы определить, какая реализация подходит для вас. Они могут помочь вам принять обоснованное решение с учетом правил конфиденциальности данных стран, в которых вы работаете.

VWO SmartCode — это автоматически сгенерированный фрагмент кода, который вы должны добавить, чтобы включить VWO на своем веб-сайте. Вы можете выбрать выполнение SmartCode без согласия посетителя, т. е. вам не требуется никакого разрешения перед развертыванием файлов cookie или средств отслеживания для обработки данных посетителей. Вы также можете выполнить SmartCode после получения согласия посетителей (это для VWO Insights and Engage; кампании тестирования выполняются без разрешения посетителей). Вы также можете пойти на условное исполнение — здесь SmartCode выполняется только после получения согласия посетителей, независимо от того, какой продукт вы используете. Кроме того, VWO связывается с диспетчерами согласия на использование файлов cookie с помощью обратного вызова, когда посетитель принимает или отклоняет файл cookie, что позволяет вам запускать SmartCode на основе действительного согласия.

В зависимости от правил конфиденциальности данных в странах, где вы работаете, вы можете принять взвешенное решение. В этой статье базы знаний обсуждается выбор правильного метода реализации SmartCode.

Как VWO обеспечивает безопасность?

Более 2500+ клиентов доверяют VWO Experience Optimization Platform свои данные, и мы очень серьезно относимся к этой ответственности. Все данные, поступающие на серверы VWO из записей, ответов на опросы или пользовательских измерений, шифруются с использованием стандартного алгоритма шифрования AES-256. Подробности можно прочитать в этой статье базы знаний.

Мы также включили основы безопасности в следующие аспекты нашей повседневной деятельности:

Организационная структура и управление

Компания Wingify (создатели VWO) создала группу корпоративной безопасности и соответствия требованиям (CSC), состоящую из ключевых сотрудников, в обязанности которых входит выявление проблем безопасности и соответствия требованиям во всей компании. Эта команда выступает в качестве первой линии защиты в повышении надлежащей безопасности и соответствия требованиям. Эта команда подчиняется генеральному директору.

Управление рисками – ИСО

ISO/IEC 27701:2019 (ISO 27701) является международно признанным и глобальным стандартом конфиденциальности, который фокусируется на сборе и обработке личной информации (PII). Любой аудит ISO/IEC 27701 требует, чтобы организация декларировала применимые законы/правила в своих критериях аудита. Это означает, что стандарт можно сопоставить со многими требованиями GDPR, Калифорнийского закона о конфиденциальности потребителей (CCPA) и других законов. После сопоставления специалисты по конфиденциальности внедряют операционные средства управления ISO/IEC 27701 и проходят аудит со стороны внутренних или сторонних аудиторов, что приводит к сертификации и исчерпывающим доказательствам соответствия.

VWO получила аккредитованную сертификацию ISO/IEC 27701:2019 в качестве процессора и контроллера PII после прохождения аудита независимой третьей стороной.

ISO/IEC 27001:2013 (ISO 27001) — это международно признанная система, определяющая требования к установлению, внедрению, поддержанию и совершенствованию управления информационной безопасностью в организации. VWO получила сертификат ISO 27001:2013 от Британского института стандартов (BSI), международной компании по стандартизации. Сертификация ISO 27001:2013 демонстрирует нашу приверженность информационной безопасности на всех уровнях. Соответствие этому международно-признанному стандарту, подтвержденному независимой независимой проверкой, подтверждает, что наша программа управления безопасностью является комплексной и соответствует передовым отраслевым практикам.

Управление доступом

Всем пользователям в учетной записи VWO назначается уровень доступа, который определяет действия, которые пользователи могут выполнять в учетной записи VWO. Если вы являетесь владельцем учетной записи или администратором, вы можете изменить уровень доступа в любой момент времени.

Аутентификация и управление паролями

Чтобы обеспечить неприкосновенность вашей учетной записи VWO, мы добавили дополнительный уровень безопасности в виде двухфакторной аутентификации (2FA), которая предотвращает доступ злоумышленников к вашим данным, даже если они знают ваш пароль.

Двухфакторная аутентификация (2FA) основана на двух мерах безопасности, чтобы предотвратить доступ злоумышленников к вашей учетной записи VWO. После включения 2FA, чтобы войти в свою учетную запись, вам нужно будет предоставить что-то, что вы знаете, например, свой пароль, и что-то, что у вас есть, например, шестизначный одноразовый код, отправленный на вашу электронную почту во время входа в систему. (или с помощью популярных приложений на основе TOTP для генерации кода).

С 2FA вы можете гарантировать, что ваша учетная запись не будет скомпрометирована, даже если вредоносный вирус раскроет ваш пароль или хакеры получат доступ к вашему паролю путем грубой силы.

Управление сеансом

Каждый раз, когда пользователь VWO входит в учетную запись VWO, система назначает пользователю новый идентификатор сеанса. Идентификатор сеанса представляет собой 64-байтовое случайно сгенерированное значение для защиты учетной записи от атак грубой силы. По истечении семи дней время ожидания всех сеансов истекает, и пользователям требуется снова войти в свою учетную запись. Кроме того, для всех активных сеансов установлено время ожидания после 4 часов бездействия.

Безопасность сети и передачи

VWO размещается на защищенных серверах, управляемых GCP. Любой физический доступ к центрам обработки данных GCP ограничен для всех. Брандмауэры настраиваются с использованием лучших отраслевых практик, и все ненужные порты блокируются.

Как пользователь VWO, вы всегда подключаетесь к веб-приложению VWO через HTTPS с использованием Transport Layer Security (TLS) версии 1.2 и выше, криптографического протокола, предназначенного для защиты от прослушивания, несанкционированного доступа и подделки сообщений.

Контроль доступа

Вы можете назначать роли и разрешения каждому пользователю, которого вы добавляете в свою учетную запись, чтобы обеспечить соответствующий уровень доступа к вашей учетной записи VWO. Вы можете ограничить доступ к своей учетной записи VWO определенными IP-адресами. Вы также можете включить оповещения, которые будут приходить вам по электронной почте всякий раз, когда в вашей учетной записи происходят определенные действия.

Внутренний доступ к данным

Данные, хранящиеся на производственных серверах VWO, доступны только старшему вице-президенту по проектированию и ведущим инженерам. Ни один другой член VWO не имеет доступа к данным клиентов, если Генеральный директор и SVP-Engineering не предоставили специальное разрешение на доступ для решения технических вопросов.

Безопасность в инжиниринге как часть разработки продукта

Тщательная проверка качества является неотъемлемой частью нашего процесса разработки. Ни один код не заработает, если его не просмотрит и не одобрит команда контроля качества. Промежуточная или тестовая среда полностью отделена от рабочей среды и не использует никаких рабочих данных. Любая новая функция проходит проверку безопасности перед развертыванием в рабочей среде. Кроме того, на системном уровне проводятся внешние аудиты VAPT (оценка уязвимостей и тестирование на проникновение) для выявления потенциальных уязвимостей.

Данные нарушения

В случае нарушения безопасности данных мы уведомляем наших клиентов в течение сорока восьми часов с момента обнаружения инцидента. У нас есть политики и процедуры управления инцидентами для обработки таких событий или чрезвычайных ситуаций.

Что все это значит для клиентов VWO?

Как клиент VWO, вкратце это означает для вас следующее:

• VWO собирает только те данные, которые необходимы для безопасности и в целях улучшения продукта, маркетинга и аналитики — и с согласия ваших посетителей. Любая личная информация, если она собирается, обезличивается.
• Эти данные хранятся надежно и в соответствии с законом GDPR.
• Эти данные остаются безопасными, конфиденциальными и доступными для вас в любое время.
• Надежные и безопасные процессы регулируют удаление данных, если ваша учетная запись у нас удалена или срок ее действия истек.
• Конфиденциальность является неотъемлемой частью нашей продуктовой стратегии, и любые усовершенствования продукта разрабатываются с учетом принципа конфиденциальности.
• Мы обеспечиваем соответствие файлам cookie в рамках политик защиты данных, таких как GDPR.
• Мы обеспечиваем безопасность ваших данных с помощью нашей группы корпоративной безопасности и соответствия требованиям, приобретая и поддерживая сертификацию информационной безопасности с помощью надежного доступа, управления паролями и сеансами, а также соответствующих политик управления аварийными ситуациями.

Наша группа по корпоративной безопасности и соблюдению требований вместе с членами высшего руководства приняли следующие меры:

• Мы повысили осведомленность всей организации посредством частых обсуждений по нашим внутренним каналам и обучили сотрудников правильно обращаться с данными.
• Мы индивидуально оценили все наши продукты на соответствие требованиям GDPR. Мы внедрили новые функции, которые предоставят вам больший контроль над вашими данными и облегчат вам задачу достижения соответствия GDPR.
• Мы назначили внутренних борцов за доверие к конфиденциальности для всех наших команд. Мы также создали сотрудника по защите данных (DPO).
• Наши команды разработчиков приняли концепцию конфиденциальности по умолчанию и предоставили вам больший контроль над данными, которые вы храните в наших системах. Мы постоянно стремимся предоставить вам больше улучшений, внедряемых поэтапно. Мы внедрили соответствующие организационные, технические, административные и физические меры безопасности для защиты безопасности нашей организации, конфиденциальности, целостности и конфиденциальности личной информации и данных клиентов.

Принимая эти меры, как клиент VWO, вы соблюдаете законы о конфиденциальности, ваши данные в безопасности с нами, а конфиденциальность посетителей вашего веб-сайта всегда уважается и защищается.

Как владельцу эксперимента, не использующему VWO , недостаточно просто заботиться о конфиденциальности. Вам нужно будет уделить первостепенное внимание конфиденциальности данных и интегрировать ее в свой стек экспериментов, а также в свою дорожную карту. Вы можете связаться с нашими экспертами по продуктам, если хотите узнать больше о том, как VWO может помочь вам в этом.