Хранение и обработка ПДн в приложениях, так же, как и на сайтах, регулируется ФЗ № 152 и, для работающих с рынком Евросоюза, GDPR. И безопасность данных важна не только законодателям, но и самим пользователям. Как предотвратить нарушения и обеспечить защиту данных не «для галочки», расскажем в статье.
Что нужно выполнять?
О требованиях российского закона и европейского регламента сказано немало, поэтому вкратце напомним общие и специфические положения:
- данные, позволяющие идентифицировать пользователя, должны собираться, храниться и обрабатываться только с согласия владельца ПДн;
- под таким данными понимается совокупность любой информации, которая может быть связана с конкретным человеком (имя и фамилия, номер телефона, электронная почта, сведения о поле, социальном статусе, религии, национальности, приватная информация, такая как паспортные данные, номера банковских карт и др.);
- пользователь должен знать, кто, как и с какой целью собирает, обрабатывает, хранит и передает его данные;
- сбор и использование данных ограничены необходимостью в них, избыточные данные собирать запрещено;
- владелец ПДн имеет право запретить использование его данных;
- оператор ПДн, то есть тот, кто собирает и хранит данные, обязан обеспечить должную защиту информации о пользователях;
- ПДн россиян должны храниться на серверах в РФ;
- соблюдение GDPR обязательно для всех, чьи пользователи являются резидентами ЕС.
Мобильным приложениям для корректной работы часто требуется много различных данных, которые в совокупности легко становятся персональными и попадают под действие закона. Кроме того, приложения нередко дорабатываются уже после запуска, а при внедрении новых функций появляется необходимость в получении дополнительных сведений о пользователях. Как все предусмотреть, чтобы ничего не нарушить и никого не разочаровать?
Политика конфиденциальности и обновления
Первое, чему следует уделить внимание, — «Политика конфиденциальности» и/или «Лицензионное соглашение». Да, пользователи не всегда внимательно читают эти документы, но в случае проблем или вопросов с любой стороны важно иметь под рукой актуальные версии. В целом, план работы таков:
- составить «Политику» или «Соглашение» с подробной информацией о сборе, хранении и обработке данных, перечнем ПДн, целями работы с ними, о передаче третьим лицам и т.д. (можно посмотреть примеры у крупных компаний и доработать под себя);
- обеспечить обязательное ознакомление пользователей с этими документами до установки приложения («галочки» по умолчанию быть не должно);
- при доработках приложения дополнять «Политику» и уведомлять об этом пользователей при обновлениях.
Эти правила соблюдать несложно. Тем более что без грамотно составленных документов у приложения нет шансов попасть в Google Play и App Store. Но заявленные меры защиты нужно обеспечить не на бумаге, а в реальности, иначе возможны проблемы и, как следствие, потеря доверия пользователей.
Общие способы защиты ПДн
Оставим технические подробности специалистам и рассмотрим, что в принципе можно сделать для безопасности данных:
- пользовательские пароли и коды доступа — рекомендуется требовать минимум шесть знаков и цифр, ограничивать количество неправильных попыток ввода;
- «сворачивание» приложения — если доступ защищен паролем, при «сворачивании» последний открытый экран приложения «глушится» экраном для ввода кода доступа;
- фоновый режим — рекомендуется прерывать сессию на стороне сервера при долгом простаивании приложения на случай, если пользователь оставил телефон без присмотра;
- шифрование проверенными алгоритмами — специалисты советуют использовать надежные решения, а не самописные, с неизвестным уровнем защиты;
- отключение логгирования действий в незащищенные файлы — для защиты логов от третьих лиц;
- вывод ПДн на экран некрупными буквами — просто чтобы нельзя было разглядеть конфиденциальную информацию «через плечо».
Каждое приложение, в зависимости от функций, набора данных, платформы и многого другого, потребует своих мер защиты. И важно задуматься о безопасности в самом начале разработки, чтобы заранее все предусмотреть. Поэтому стоит тщательно выбирать разработчиков приложения, уделяющих пристальное внимание безопасности данных.
Вся ответственность на пользователе
Если нет возможности обеспечить безопасное хранение данных на сервере, можно выбрать такой вариант: создать приложение, хранящее всю персональную информацию на устройстве пользователя. В этом случае разработчик не отвечает за сохранность данных. Главное, четко и ясно доносить до пользователей информацию о такой ответственности. И действительно ничего не собирать и не хранить на своей стороне.
В заключение
ПДн мобильных пользователей уязвимы, поскольку речь идет о работе с носимыми устройствами. А их теряют, ломают, крадут и не всегда закрывают паролями. Поэтому важно предусмотреть надежную защиту данных, в первую очередь, в заботе о пользователях. Если все сделано на совесть, для соблюдения законов останется только подробно описать все свои действия и планы в «Соглашении» и «Политике конфиденциальности».