在创建应用程序时,将数据隐私和合规性放在首位有多重要?

根据IBM2021年数据泄露成本报告显示,大型数据泄露事件平均成本已增长至4.01亿美元,系统中存在漏洞的敏感数据模块为网络犯罪分子提供盗取数据的“契机”。

现如今的移动应用程序领域,为用户提供个性化的体验是打败竞争对手的关键。但在创建这样定制化体验的过程中需要采集个人数据,考虑到当前《数据安全法》、即将施行的《个人信息保护法》等的实施,和部分大型科技公司滥用个人数据现象,移动应用程序开发人员有必要优先考虑确保数据隐私和合规性。

数据泄露的风险

数据泄露对企业和个人都带来严重风险。发生数据泄露事件不但造成财务损失、系统运行中断、声誉受损,而且还可能引发更严重的后续影响,如被上诉、罚款等。虽然无法衡量企业声誉受损造成的具体影响,但数据安全欠佳导致的客户流失很可能导致公司破产。

企业采集到的用户数据可以是任何形式的内容,从用户名和电子邮件地址到电话姓名和物理地址。不太明显的敏感数据包括IP地址、日志数据和通过cookie收集的任何信息,以及用户的生物特征数据。

移动应用程序从用户那里收集个人信息的企业都应有隐私政策。无论应用的地理位置还是业务领域,都有强制性法规,如GDPR、CCPA和PDPA,以及苹果、谷歌和Android指南,确保问责制和用户数据隐私。有些应用程序并不直接收集个人数据,而是使用第三方工具,如谷歌Analytics——它们也需要隐私政策。

构建安全应用程序

数据隐私和合规性应和应用程序的创建过程融合在一起,不论应用程序的外观、设计和和性能如何,数据安全等问题都应该是应用程序的核心,尤其软件中存储数据的关键模块安全问题更当引起重视。当前,数据隐私和安全问题是所有企业运营的基本要求,在整个移动应用程序构建和开发周期中,企业应高度重视个人身份信息 ( PII )。

此外,整体开发战略的一部分应包括向用户正确传达移动应用程序合规性。员工手册(适用于B2E应用程序)、服务条款和条件以及隐私政策(适用于 B2C 应用程序)都是向客户解释用户权利的既定手段。这些材料应该让用户很容易理解收集了什么个人数据、为什么收集、在哪里转移以及如何收集。同样,如果有第三方参与,应用程序必须通知用户。

在创建安全合规的应用程序另一个关键,是要了解到随着软件新功能的添加,很可能会需要收集更多的用户信息。应用程序的设计应该能应对法规变化、用户同意无效、数据删除或许可撤销等情况,同时保持用户体验的一致性。

其他应该注意的事项

首先,合规的应用程序不仅要清楚地向用户解释他们的数据是如何被处理的,而且应用还应让这些解释易于访问。用户需要能够访问市场上应用程序的元数据,以及有关应用程序为何可以进入其设备的广告标识符(iOS IFDA、Android AAID)的任何解释。同样,当应用试图追踪用户的位置或收集分析数据时,它也需要向用户提供许可请求。

其次,确保数据安全和合规不仅是应用程序开发人员的职责,而且也是所有相关方的共同责任。每个处理用户敏感数据的实体都需要通过正式的安全测试并获得必要的授权。

再次,要依法保障用户权限,应用程序使用个人数据在广告和其他利益上,应确保用户意识到自己的权利,如有权选择退出或取消订阅,查看或删除收集的数据的权力。

在即将施行的《个人信息保护法》中,个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取一定措施,确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失。可见企业在保障数据安全上承担很大一部分责任。

严格遵守相关法律法规和应用商店要求,拥有隐私政策和安全保证,有助于提高应用软件在安全性上和客户之间的透明度,同时增加软件产品的良好声誉。

安全可靠的应用程序有助于提高网络安全,而网络安全的核心问题是保护数据。在应用程序开发过程中借助安全测试工具提高软件安全性,不但可以让开发人员免于回溯安全漏洞及缺陷的麻烦,而且可以增强软件保护数据能力,利于加强网络安全。

 

参读链接:

https://www.helpnetsecurity.com/2021/09/13/mobile-app-creation/

posted @ 2021-10-15 11:17  中科天齐软件原生安全  阅读(156)  评论(0编辑  收藏  举报