Una buena manera de mitigar el riesgo para los usuarios es no conservar datos sensibles sobre ellos que no necesites y que afecten su privacidad. Existen muchas formas de hacerlo sin dejar de cumplir con tus objetivos comerciales, y vale la pena considerar cada una de ellas. Podrías hacer lo siguiente:
- Explica para qué necesitas los datos.
- Recopilar datos con un nivel de detalle más bajo.
- Quita los datos después de usarlos.
- No la recopiles en primer lugar.
Cada uno de estos enfoques puede ayudar a los usuarios a sentirse más cómodos con lo que estás haciendo y por qué, y esto contribuye en gran medida. a tu relación con ellos. La transparencia genera confianza y, lo que es más importante, la confianza puede ser un argumento de venta único para ti. Muchas personas se supone que los usuarios y los clientes confían en ellos de forma predeterminada, pero los consumidores evalúan los productos y servicios constantemente, y esto puede no será así. Si estableces una relación con tus usuarios en la que confían en que administres sus datos y tus interacciones con respecto, puede entregarte una ventaja competitiva como proyecto o empresa: es algo que tus rivales podrían no coincide, es un verdadero diferenciador.
Analicemos los enfoques anteriores, ordenados desde el más efectivo (pero también el más significativo en su empresa) hasta el menos efectivo pero menos disruptivos para implementar.
No lo recopiles en primer lugar
La forma más obvia de evitar poner en riesgo la seguridad datos es no recopilarlos. Se necesita cierta recopilación de datos para proporcionar servicios, pero hay más lugares de los que crees que puedes evitar la recopilación de datos. Por ejemplo, considera la opción de comprar como invitado. Cuando los usuarios compran algo a través de tu aplicación web, es posible que les pidas que se registren para obtener una cuenta. Si recopilaste datos personales para su entrega posterior, puedes agregarlos a la lista de distribución y ya están precalificados. como un cliente interesado, etcétera. Sin embargo, los clientes reconocen esto y no les gusta: en 2021, un estudio descubrió que una de cada cuatro ventas abandonadas se debe a que el sitio exigía que el usuario creara una cuenta. Si no necesitas una cuenta, es más probable que conserves esos clientes. Permitir que completes una compra sin registrarte otorga mejores opciones a los usuarios y también significa que no tienes tantos datos para proteger y asegurar.
"fuzzing" tus datos
Por supuesto, evitar recopilar datos puede no ser una opción. Es importante recopilar datos para brindar servicios y hacer decisiones comerciales sensatas. También puede ser útil crear comunicaciones de marketing en el contexto de una relación de confianza. Sin embargo, también es importante tener en cuenta que las decisiones que se toman en conjunto (es decir, que afectan a muchos usuarios a la vez) se toman datos agregados (es decir, sobre propiedades colectivas de los datos).
Por ejemplo, a veces es útil conocer los datos demográficos de tu público: en qué rango de edad se encuentran, ubicación, etcétera. Esto puede cambiar su mensaje o enfoque. Pero esto no significa que necesites recopilar el mismo la antigüedad de cada usuario del servicio. Con frecuencia, se buscan tendencias y propiedades generales. Si la decisión que deseas El alcance se ve afectado por si la mayoría de su público pertenece al "grupo demográfico clave de 18 a 34 años", es decir, la única pregunta que necesita realmente para preguntar es si los usuarios se encuentran en ese segmento demográfico. Esto los recopila en dos “buckets”: en ese grupo y no en ese. Puede haber situaciones en las que necesites datos más detallados, pero es totalmente razonable tomar la lista de datos demográficos. que utilizas para tomar decisiones y pedirles a tus usuarios que se clasifiquen con esa lista.
Ejemplo
Por lo tanto, si te resulta útil saber cómo se divide tu base de usuarios entre las categorías de edad "18-34", "35-49", "49-64" y "65 o más", puedes pedirles a tus usuarios que elijan a qué categoría pertenecen. Resulta tentador pedir información muy detallada, datos personales y personalizados y, luego, clasificar a los usuarios tú mismo, ya que esto evita tener que volver a hacer la misma pregunta en en detalle más adelante; por ejemplo, solicitar una edad y fecha de nacimiento exactas y, luego, usar esta información para crear tus propias listas muchos usuarios están en el rango de "35 a 49 años" categoría. Sin embargo, es importante saber cómo se ve esto: dado que el curso ya se trató y Hablaremos de nuevo, solicitar niveles detallados de datos puede causar incomodidad a las personas y reducir la confianza de los usuarios en tu organización. y, al mismo tiempo, agregar riesgos.
También es importante considerar tus necesidades de datos. A veces, la «necesidad» de datos más detallados es especulativa, es decir, un requisito de seguridad. Tal vez solo debamos clasificar a los usuarios en esos cuatro grupos etarios ahora, pero más adelante reducir esa cantidad y, por lo tanto, debemos recopilar datos muy detallados ahora para mantener esa opción abierta para más adelante. Puede valer la pena teniendo en cuenta la frecuencia con la que los datos más detallados se usaron en el pasado para guiar las decisiones. Pedir datos que se percibirse como invasivo en relación con el servicio ofrecido, necesariamente, provoca una disminución en la confianza de los usuarios en los organización. Si esos datos se recopilan "por si acaso", entonces es posible que no solo esté negando la confianza del usuario por decisiones comerciales mejoradas, pero cambiarlas solo por la posibilidad de alguna decisión teórica futura que pueda ni siquiera existen, a la vez que asume requisitos de seguridad para esa información.
También existen formas algorítmicas más detalladas para reducir el nivel de detalle de los datos recopilados. Métodos de respuesta aleatorios significan que los datos se recopilan con un grado ajustable de inexactitud y estos se han utilizado durante décadas en el mundo social cuando se recopilan datos potencialmente invasivos o sensibles mientras se mantiene la confidencialidad de quien responde. El El método anterior de recopilación de datos implica ampliar las respuestas del usuario (para que «¿Qué edad tienes?» se convierte en "¿en cuál de los siguientes grupos etarios se encuentra"), donde la respuesta aleatoria implica tener una proporción determinada de los usuarios mienten en sus respuestas. Si se conoce la proporción de usuarios que responden de forma incorrecta, entonces las conclusiones significativas aún pueden extraerse de los datos recopilados, pero la privacidad individual del usuario no se ve comprometida, ya que los datos recopilados pueden puede ser incorrecto. En este caso, si el 80% de tu público aún dice que pertenece al segmento demográfico de 18 a 34 años, puedes relativamente seguro de que esta sigue siendo la mayor parte, incluso si el 10% de ellos da respuestas incorrectas deliberadamente. El grado de inexactitud también puede modificarse de forma programática, donde siempre se solicitan respuestas correctas, pero el el software altera un determinado porcentaje de respuestas antes de transmitir. Este proceso y sus consecuencias también pueden explicar a los usuarios cuando se recopilen los datos: significa que los usuarios no deben confiar en que no abusarás de su datos recopilados, porque los datos individuales no son confiables.
Un proceso similar, pero más técnico, es el de la privacidad diferencial. Se usan técnicas matemáticas para alterar el almacenamiento de datos y que las propiedades de agregación de los datos no es posible saber si una persona en particular proporcionó datos o cuáles, si lo hizo. Al igual que la respuesta aleatoria, esto protege la seguridad de los usuarios datos, incluso de ti, y demuestra una clara intención de tu parte: no puedes usar las claves si no los tienes.
Estos enfoques y otros similares también aumentan la seguridad contra las violaciones de la seguridad y las filtraciones de datos, ya que los datos recopilados reduce los riesgos para la privacidad del usuario, incluso para ti, y también disminuye el nivel de compromiso si se filtran los datos. Sin embargo, recuerda que si aplicas técnicas de privacidad diferencial en el servidor (de manera que tus usuarios te envíen datos no agregados y, luego, usas las técnicas para agregarlos), debes proteger esos datos sin procesar del usuario y y, luego, borrarlo después del procesamiento, y debe tener y seguir políticas claras para confirmar que no la agregación (o tienes claro para qué la usas).
Retención: Recopila datos y, luego, quítalos una vez que se usen.
Es útil recordar que los datos recopilados tienen un ciclo de vida. de que se recopilan, se usan para ayudarte a tomar decisiones empresariales y, en algún momento, debería eliminarse. Repito: cuando haces preguntas a tus usuarios o cuando almacenas información sobre otros sitios web que visitaron, o realizas un seguimiento de lo que consultan y por cuánto tiempo para hacer predicciones sobre sus preferencias, estos son los datos que se te otorgan con un propósito específico, no como una subvención abierta para que el desarrollador lo use cuando lo considere oportuno. Cuando esos datos ya no son necesarios para ese propósito, a veces, después de un minuto, a veces después de muchos años, debería borrarse.
Siempre que recopiles información sobre tus usuarios, debes saber para qué utilizarás esos datos (consulta a continuación). y también saber cuándo y por qué dejarás de almacenar esos datos. Puede ser cuando el usuario elige borrarlo o cuando firma después de un período específico o después de que ocurra un evento específico. Una excelente manera de generar confianza en la relación es dejar claro a los usuarios cómo pueden controlar los datos sobre ellos, incluida, cuando sea posible, un rechazo unilateral. ¿Cómo borran sus datos? ¿Cómo borra su cuenta? Además de ayudar a construir esa relación, lo mejor y recuerda almacenar los datos el tiempo necesario para procesarlos, no por más tiempo, y que debería haber una forma de que tus usuarios ver y quitar los datos que recopilas de ellos o en su nombre. Incluso es posible que exista legislación sobre este punto en territorios el que operas.
Esta es un área en la que puedes definir objetivos técnicos claros, lo que ayuda a los usuarios con el autoservicio. si tus usuarios pueden inhabilitar en su almacén de datos sin tener que pedir permiso, entonces se sentirán más cómodos con la habilitación. tomar cualquier recurso de apoyo para hacerlo.
Es importante reconocer la importancia de la inhabilitación fácil y predeterminada: “Para generar confianza y reconocimiento, las empresas pueden empieza por aceptar un contrato social en el que se comprometa a respetar a su público en cada punto de contacto, escuchar sus necesidades y responder en consecuencia", afirma IAPP. Según Nielsen Norman Group, los usuarios "necesitan un producto "salida de emergencia" para dejar la acción no deseada sin tener que pasar por un proceso extendido". Todos sabemos que es es más fácil suscribirse que anular la suscripción. Pero, como dice Nielsen Norman, darles a los usuarios la posibilidad de alejarse sin tener que saltear entre los puntos, “fomenta una sensación de libertad y confianza”. Los estudios académicos respaldan esto y lo nombran el "principio de revocabilidad", que indica: "La interfaz debe permitir que el usuario revoque fácilmente las autoridades que haya otorgado, donde sea y la revocación de los derechos de autor. Los usuarios deben poder revocar dicho consentimiento y, por lo tanto, reducir las autoridades para acceder a sus recursos si es posible”. (Consulta Yee y Iacono para ver ejemplos).
El tiempo para retener los datos y qué datos retener es un tema que difiere mucho entre las organizaciones y entre proyectos, pero hay algunas pautas comunes que se deben considerar.
Qué debes hacer
En este caso, es útil permitir que los usuarios borren las cuentas (y cualquier dato asociado, cuando sea posible) y que lo hagan de manera periódica (por ejemplo, cuando salen de sus cuentas). borrar los datos efímeros y almacenados localmente al salir con el encabezado Clear-Site-Data
Proporciona un encabezado Clear-Site-Data
para quitar algunos o todos los datos del usuario almacenados del lado del cliente (ya sea en cookies,
localStorage o IndexedDB, o en la caché del navegador), cuando sea razonable. El caso de uso obvio de Clear-Site-Data es cuando un usuario
sale de la cuenta, pero también se puede utilizar después de incidentes de seguridad para garantizar que una cuenta potencialmente comprometida no tenga rastros persistentes
de datos comprometidos
almacenados en el cliente.
Agregar compatibilidad con Clear-Site-Data
implica enviar un encabezado HTTP, Clear-Site-Data
, cuando el usuario sale de su cuenta (o en otro
veces en las que deseas liberar el almacenamiento del cliente), en la página que confirma el estado de sesión cerrada (https://your-site/logout
o similares). Este encabezado puede tener algunos o todos los siguientes valores, o "*"
para todos:
Clear-Site-Data: "cache", "cookies", "storage"
Estos valores borran, respectivamente, las páginas almacenadas en caché (y otros recursos almacenados en caché de HTTP), las cookies almacenadas y localStorage, IndexedDB y otros similares.
Es posible que veas referencias a otra opción, executionContexts
, pero muchos navegadores no la admiten.
Ten en cuenta que es probable que el encabezado Clear-Site-Data
sea más fácil que borrar por tu cuenta todos los recursos creados de forma individual, ya que no requiere que el código JavaScript
se ejecuta en el cliente (y es la única forma oficial de borrar la caché del navegador), pero no es compatible con todos los navegadores.
Nota de uso: Si borras la caché (mediante el envío de Clear-Site-Data: cache
), el encabezado Clear-Site-Data
no debería
enviados en la página real de salida, pero la página se carga en otro recurso. Esto se debe a que, en una computadora más lenta,
Si la caché es grande, la página se bloqueará mientras la borra, lo que impide la navegación. Esto puede tardar unos minutos,
lo que frustrará al usuario. Es poco probable que suceda, pero es difícil ponerlas a prueba, por lo que se recomienda tener esto en cuenta.
Explica para qué necesitas los datos
La importancia de la confianza en la seguridad relación con tu servicio se ha dicho varias veces, porque esto aumenta la longevidad de los usuarios. También proporciona una ventaja competitiva. Una forma de aumentar ese nivel de confianza es con la transparencia en tus procesos y una una buena manera de ser transparente es explicar para qué se necesitan los datos. Antes aprendiste que, por cada elemento recopilado, debes saber cuándo se borrará. Para saber eso, necesitas saber por qué quieres estos datos, qué preguntas específicas los necesitan para encontrar respuestas y qué decisiones se orientarán al recopilarlos. Una vez que sepas por qué necesitas los datos que le pediste a tu usuario se rinda, explícalo a esos usuarios para generar confianza. En tu política de privacidad o cuando hagas preguntas sobre la cuenta de la creación, describe por qué necesitas la respuesta a esta pregunta en particular, qué harás con esos datos y cuándo y cómo pueden quitarse.
Estas explicaciones son mucho más visibles cuando se presentan intercaladas. Ocultar las explicaciones en un documento de políticas denso en otro lugar del sitio web. puede parecer un intento de ocultarlos. Un formulario de registro, confirmación de la compra o solicitud puede presentar los motivos para recopilar datos junto con la recopilación. a sí mismo. A menudo, los campos de un formulario pueden tener un asterisco (*) para indicar que un campo es obligatorio. los formularios complicados suelen tener un vínculo de información (i) para explicar qué significa el campo; Considera agregar a estas explicaciones una descripción de por qué se recopilan los datos. A menudo, para esto es "¿Por qué necesitamos esto?" junto al campo del formulario, en el que, cuando se hace clic en él, se muestra una explicación en una ventana emergente.
Algunos ejemplos de HTML podrían verse de la siguiente manera, y CSS y JavaScript se encargarían de ocultar el <aside>
y mostrarlo como una ventana emergente cuando
se hace clic en el vínculo. (asegúrate de confirmar la accesibilidad del formulario que creas para tu sitio).
La forma exacta de diseñar esto depende de tus estilos y enfoques, pero el punto principal aquí es asociar directamente la recopilación de datos con
una explicación de por qué se recopilan esos datos. Esto no es necesario en todos los campos. Nadie necesita una explicación de por qué le exiges
elige una contraseña durante el registro. Pero decorar cada solicitud de información personal y de contacto con la forma en que planeas usarla y conservarla puede ayudar.
deja en claro a los usuarios
que estás comprometido a proteger sus datos.
<div>
<label for="email">Email address*</label>
<input id="email" type="email" name="email" required aria-describedby="whyemail">
<a href="#whyemail">Why do we need this?</a>
<aside id="whyemail">We need this information as a unique identifier for you, and if you forget your password we can send you a reminder. We will use your email address to send you regular updates on the service if you choose, and will delete your email address from any mailing lists if you delete your account.</aside>
</div>
Pasar por este proceso con toda la información que recopilas sobre un usuario también puede ayudar con los procesos y debates internos. Anteriormente, viste que puede dar la tentación de recopilar datos “por las dudas”. Cuando eres transparente sobre tus motivos para recolectarlas, puede ser bastante obvio que esto está sucediendo. Si no quieres escribir en público lo que quieres con los datos de los usuarios porque no les gustará la explicación, esto puede ser una señal de que vale la pena repensar la recopilación que la modifica. Esto se aplica si la explicación desagradable es demasiado invasiva ("utilizaremos esta información para rastrear los lugares que visitas cada hora"), demasiado amplio ("todavía no sabemos para qué lo usaremos, pero lo queremos en caso de que se nos ofrezca algo") o ser demasiado evasivos ("utilizaremos esto para fines internos no divulgados"). No se trata simplemente de una cuestión moral; la gente sabe lo suficiente como para reconozcan esto, como ya se describió, y existe la expectativa de los usuarios de que experimentar con algo no es el principio de un compromiso a largo plazo. Un espacio habitual en el diseño de la experiencia del usuario es hacer que el registro sea lo más sencillo y sin inconvenientes posible, ya que, en las primeras etapas, el usuario (por definición) no está muy comprometido con su servicio. Por eso, es importante permitir que se involucren más fácilmente cuando tienen poca tendencia a hacerlo. Si es tan fácil volver a salir, entonces experimentar con el servicio se convierte exactamente en experimentación y no en el comienzo involuntario de un compromiso forzado a largo plazo. Al igual que antes, es paradójico, pero cierto que la mejor manera de generar confianza es no exigir que los usuarios confíen en ti si lo hacen. no quieren.
Las personas tienen buenos motivos para no compartir datos o para compartir la cantidad mínima de datos. Al principio de tu relación con ellos, quizás no tenga una razón para confiar en ti y no debería tener que hacerlo. Tu objetivo es demostrar por qué deberían hacerlo.
Qué debes hacer
- Decide todos los datos que planeas recopilar por qué los quieres y por cuánto tiempo los conservarás.
- Cuando solicites esos datos, explícales a los usuarios por qué los recopilas.
- Bórralo de las bases de datos de tu servidor después de usarlo.
- Permite que los usuarios borren las cuentas que hayan creado y que los datos almacenados se borren de su almacenamiento con el encabezado
Clear-Site-Data
.
Por qué
El desarrollo de una relación con los usuarios se trata de confianza, y la confianza se trata de apertura. Si puedes demostrar que no estás recopilar la mayor cantidad de datos posible sobre tus usuarios y ocultar tus usos, eso ayuda a generar confianza y, por lo tanto, ser una ventaja competitiva para ti frente a otros rivales menos escrupulosos.