Datenschutz
Mary Kirtland
Microsoft Corporation
14. Februar 2001
In meiner letzten Spalte habe ich die Definition der Vision für das erste Beispielprojekt des Webdienstberatungsteams, den Favoritendienst, erläutert. Ich entschuldige mich für die lange Verzögerung zwischen den Spalten; Ich war den besseren Teil eines Monats mit einer bösen Erkältung. Ich hoffe, dass die Dinge jetzt wieder im Richtigen sind für die regelmäßigen wöchentlichen Spalten für die nächsten Monate.
Kurz: Das Ziel des Favoritendiensts besteht darin, Anwendungen eine Möglichkeit zu bieten, die bevorzugten Links von Endbenutzern zu Websites an einem sicheren, sicheren, zentralen Ort zu speichern, sodass ein Benutzer über diese Anwendungen auf seine Favoriten zugreifen kann, unabhängig davon, welchen Computer der Benutzer gerade verwendet. Aus technischer Sicht scheint dies ein ziemlich unkomplizierter Dienst zu sein. Es handelt sich im Grunde nur um einen spezialisierten Datenspeicher.
Ungefähr zur gleichen Zeit, als wir begonnen haben, den Favoriten-Dienst zu betrachten, gab es eine Flut von Nachrichtenartikeln über den Datenschutz der Benutzer – insbesondere über die Informationen, die Dritte durch Anzeigen auf Webseiten sammeln konnten. Dies brachte uns zum Nachdenken: Das gesamte Webdienstmodell basiert auf einer Webseite, die Drittanbieterdienste verwendet, höchstwahrscheinlich ohne das Wissen des Endbenutzers. Gab es Datenschutzprobleme, über die Sie sich Sorgen machen mussten?
Selbst ohne eine gute Definition der Privatsphäre der Benutzer konnten wir einige mögliche Szenarien ausfindig machen, die unser vorgeschlagener Favoritendienst ermöglicht, was fragwürdig erschien. Basierend auf unseren ersten Recherchen zu den Problemen haben wir beschlossen, den Favoritendienst in Phasen zu implementieren und die fragwürdigen Szenarien auf spätere Phasen zu verschieben. In dieser Spalte bespreche ich, was wir bei unserer ersten Recherche entdeckt haben, die schwierigen Probleme, die wir zurückgestellt haben, die Datenschutzprobleme, die in Phase 1 des Projekts verbleiben, und die Auswirkungen dieser auf unseren Entwurf und die Implementierung.
Definierter Datenschutz
Sehen wir uns zunächst an, was wir unter Datenschutz der Benutzer verstehen. Wir konzentrieren uns auf die Privatsphäre der Benutzer und das Web. Wenn Sie das Web verwenden, gibt es drei Arten von Informationen, die zwischen der von Ihnen verwendeten Anwendung (z. B. einem Webbrowser) und den Websites ausgetauscht werden können, mit denen die Anwendung verbunden ist (z. B. die im Browser angezeigten Seiten):
- Informationen, die Sie mit einer Kombination von Anwendungen erstellen, z. B. die von Ihnen geschriebene E-Mail, Ihre Urlaubsfotos, Ihre Finanzdaten usw.
- Informationen über Sie, z. B. Name, Adresse, persönliche Interessen usw., die von einer Anwendung gesammelt werden, um Ihnen Dienstleistungen zu erbringen.
- Informationen über den Computer und/oder die Netzwerkverbindung, die Sie verwenden, z. B. eine IP-Adresse, die von einer Anwendung erfasst werden, um Ihnen Dienste bereitzustellen.
Das Problem mit dem Datenschutz von Benutzern besteht darin, wie diese Informationen gesammelt, verwendet und verteilt werden. Wenn Sie ein Buch in einer Online-Buchhandlung kaufen, müssen Sie natürlich Ihren Namen, Ihre Adresse und Ihre Gutschrift Karte Nummer angeben, damit die Buchhandlung die Bestellung abschließen kann. Was aber, wenn die Buchhandlung diese Informationen in einer Datenbank zusammen mit Datensätzen der spezifischen Bücher, die Sie gekauft haben, in eine Datenbank einspeichert? Auf der einen Seite könnte es die Informationen verwenden, um nützliche Dienste bereitzustellen, z. B. um Sie zu benachrichtigen, wenn neue Bücher Von Ihren Lieblingsautoren veröffentlicht werden. Auf der anderen Seite könnte es Ihre persönlichen Informationen verkaufen, was zu einer Flut unerwünschter Junk-E-Mails führt. Was ist eine faire Nutzung dieser Informationen durch die Unternehmen, die die von Ihnen verwendeten Anwendungen bereitstellen?
Leider gibt es keine einmalige Antwort auf diese Frage. Das Richtige ist schwer zu bestimmen, vor allem, weil die öffentliche Wahrnehmung und staatliche Vorschriften im Fluss sind (und von Rechtssprechung zu Rechtssprechung variieren können). Die Standardpraxis für Websites besteht heute darin, eine Datenschutzrichtlinie zu veröffentlichen, die Benutzer darüber informiert, welche Informationen gesammelt werden und wie sie verwendet und verteilt werden können. Es gibt jedoch keinen Standard darüber, ob der Benutzer die Datenschutzrichtlinie lesen muss, bevor Informationen gesammelt werden oder bevor der Benutzer auf die Website zugreifen kann.
Mit Webdiensten wird die Situation noch unsicherer. Der Endbenutzer weiß wahrscheinlich nicht einmal, dass Webdienste verwendet werden. Wenn ein Webdienst Informationen sammelt, die an einen bestimmten Endbenutzer gebunden werden können (als personenbezogene Informationen bezeichnet), wie informiert der Dienstanbieter den Benutzer darüber, welche Informationen gesammelt werden und wie sie verwendet oder verteilt werden können? Müssen Anwendungen, die die persönlichen Informationen an Webdienste verteilen, dies für Endbenutzer offenlegen? Traditionell haben Unternehmen nicht offengelegt, dass sie bestimmte Aspekte ihrer Geschäftsprozesse auslagern. Beispielsweise kann ein Unternehmen nicht offenlegen, dass die Auftragserfüllung oder der Kundensupport ausgelagert wird, obwohl sowohl das Auftragsabwicklungsunternehmen als auch der Kundensupport Zugriff auf persönliche Kundeninformationen haben organization. Aber die Regeln können online unterschiedlich sein. Nur die Zeit wird es zeigen...
Faire Informationspraktiken
Faire Informationspraktiken halten Kunden auf dem Laufenden und behalten die Kontrolle über ihre persönlichen Daten. Solche Informationen sind vor unerwünschter Verwendung, Zugriff oder Verteilung geschützt, sodass Kunden bei der Verwendung der Produkte eines Unternehmens sicher und zufrieden sind. Unser erster Schritt, um zu verstehen, was der Datenschutz von Benutzern für den Favoritendienst bedeutet, bestand in der Kenntnis der fairen Informationspraktiken von Microsoft. Die Datenschutzgruppe von Microsoft definiert fünf Elemente fairer Informationspraktiken:
- Hinweis. Ihr Unternehmen sollte eine klare Richtlinie für die Sammlung, Verwendung und Verteilung personenbezogener Daten definieren. Diese Richtlinie sollte die primäre und sekundäre Verwendung von Daten, die Verteilung von Daten auf Geschäftsbereichen innerhalb des Unternehmens, die Datenfreigabe mit verbundenen und nicht verbundenen Unternehmen sowie Vertragsverpflichtungen mit Anbietern umfassen, die Geschäftstransaktionen unterstützen. Das Unternehmen sollte Richtlinien für Richtlinienänderungen und die Auswirkungen von Änderungen auf daten festlegen, die vor der Änderung erfasst wurden. Sie sollten mit Ihren Rechtsberatern zusammenarbeiten, um sicherzustellen, dass die Richtlinie etwas ist, das Sie in Ihren Websites und Webdiensten erzwingen können. Stellen Sie die Richtlinie für Kunden und Benutzer über mehrere Vertriebskanäle zur Verfügung, einschließlich online und offline.
- Zustimmung. Sie sollten flexible und zugängliche Mechanismen für Benutzer bereitstellen, um ihre Präferenzen für die Sammlung, Verwendung und Verteilung von Daten zu verwalten. Sie müssen Informationen in vernünftige und aussagekräftige Gruppierungen kategorisieren, damit Benutzer herausfinden können, wofür sie zustimmen, und damit es nicht zu lange dauert, bis der Benutzer Einstellungen einrichtet. Es ist wichtig, die Standardwerte für Benutzereinstellungen zu berücksichtigen. Muss der Benutzer eine bestimmte Verwendung personenbezogener Daten explizit aktivieren (auch als Opt-In bezeichnet) oder explizit deaktivieren (auch als Opt-out bezeichnet)?
- Zugriff. Der Benutzer sollte in der Lage sein, alle von Ihnen gespeicherten persönlichen Informationen anzuzeigen und/oder zu bearbeiten, um sicherzustellen, dass sie auf dem neuesten Stand bleiben und die Nutzungseinstellungen zu verwalten. Sie müssen herausfinden, welche Informationen der Benutzer bearbeiten kann und welche Informationen nur angezeigt werden können. Beispielsweise ist es dem Benutzer möglicherweise nicht gestattet, eine eindeutige Benutzer-ID zu bearbeiten, aber er kann ein Kennwort bearbeiten. Im Idealfall stehen die Tools zum Verwalten von persönlichen Informationen sowohl online als auch Offlinebenutzern zur Verfügung.
- Sicherheit: Sie sollten geeignete Sicherheitsmaßnahmen implementieren, um die persönlichen Daten der Benutzer zu schützen. Dazu gehören Authentifizierungs- und Autorisierungsmechanismen zum Schutz des Zugriffs auf gespeicherte Daten. Es kann auch Mechanismen zum Schutz von Daten während der Übertragung zwischen Maschinen enthalten. Sicherheitsmaßnahmen sollten proportional zur Vertraulichkeit der Informationen sein. Beispielsweise sind Sie viel besorgter über die Sicherheit, wenn Sie mit dem Bankkonto oder den Krankenakten eines Benutzers arbeiten, als wenn Sie mit einer Liste seiner Lieblingsautoren arbeiten.
- Erzwingung. Es ist nicht gut, eine Datenschutzrichtlinie zu haben, wenn Sie sie nicht befolgen. Ihr Unternehmen sollte Verfahren für die Überwachung Ihrer Informationssysteme auf Einhaltung Ihrer Datenschutzrichtlinien definieren (und befolgen). Definieren Sie Streitbeilegungsprozesse für alle Kundeninformationsdienste und pflegen Sie Safe Harbor-Beziehungen zu Zertifizierungsorganisationen von Drittanbietern. Obwohl die Erzwingung weitgehend von der Website oder dem Webdienst selbst erfolgt, sollten Sie überlegen, welche Arten von Überwachungsinformationen aufbewahrt werden sollten, um Erzwingungsprozesse zu unterstützen. Beispielsweise können Sie nachverfolgen, ob und wann Benutzer die Datenschutzrichtlinie gelesen haben, wann und wie ein Benutzer benutzereinstellungen geändert hat usw.
Fair Information Practices und Favoriten
Dies klang alles in der Theorie vernünftig, aber es war uns immer noch nicht ganz klar, wie dies auf unseren Webdienst angewendet wurde oder wie Sie all diese Elemente für Webdienste im Allgemeinen implementieren würden. Daher habe ich einige Stunden damit verbracht, die Probleme mit einem Mitglied der Corporate Policy Group zu besprechen. Wir haben mit einer Liste von Szenarien begonnen, die der Favoritendienst möglicherweise aktivieren konnte (basierend auf unserer ursprünglichen Visions-Anweisung):
- Ein Benutzer installiert ein Add-In im Internet Explorer, das eine Reihe von Menüoptionen wie Internet Explorer Favoriten bereitstellt, mit der Ausnahme, dass die Favoriten tatsächlich auf coldrooster.com gespeichert werden. (Wenn Sie die letzte Spalte lesen, wissen Sie, dass wir ein Geschäftsszenario um ein Beratungsunternehmen definiert haben. Wir können jetzt zeigen, dass der Name dieses fiktiven Beratungsunternehmens Cold Rooster Consulting lautet, zu Ehren des Hahns, der an unserem Gebäude auf dem Microsoft-Campus hängt. Daher coldrooster.com.)
- Coldrooster.com stellt eine Webanwendung bereit, mit der Benutzer ihre Favoriten verwalten können.
- Eine Website, z. B. msdn.microsoft.com, stellt auf jeder ihrer Seiten eine Schaltfläche bereit, auf die ein Benutzer klicken kann, um diese Seite dem bei coldrooster.com gespeicherten Favoriten des Benutzers hinzuzufügen.
- Msdn.microsoft.com stellt eine Webseite bereit, auf der die Favoriten eines Benutzers angezeigt werden, die ursprünglich von msdn.microsoft.com im Namen des Benutzers gespeichert wurden.
- Msdn.microsoft.com stellt eine Webanwendung bereit, mit der ein Benutzer die Favoriten verwalten kann, die ursprünglich von msdn.microsoft.com im Namen des Benutzers gespeichert wurden.
- Cold Rooster Consulting nimmt in regelmäßigen Abständen alle gespeicherten Favoriten, entfernt alle Informationen, die sie mit einem bestimmten Benutzer verknüpft, und speichert sie zur Analyse in einer separaten Datenbank.
- Msdn.microsoft.com stellt eine Webseite bereit, auf der alle von einem Benutzer gespeicherten Favoriten angezeigt werden, unabhängig von der Website, auf der der Favorit ursprünglich im Namen des Benutzers gespeichert wurde.
- Msdn.microsoft.com stellt eine Webanwendung bereit, mit der Benutzer alle ihre Favoriten verwalten können.
- Cold Rooster Consulting bietet einen separaten Webdienst, den msdn.microsoft.com lizenzieren können. Mit diesem Dienst können Lizenznehmer Informationen wie "Favoriten" oder "Personen, die diese Seite gespeichert haben auch diese Seiten gespeichert" abrufen, aber nur für die msdn.microsoft.com Domäne.
- Cold Rooster Consulting stellt den in Szenario 9 beschriebenen Webdienst bereit, mit der Ausnahme, dass die an msdn.microsoft.com zurückgegebenen Empfehlungen Favoriten aus anderen Domänen enthalten können.
Da wir die Favoriten eines Benutzers mit seiner persönlichen Identifikation verknüpfen müssten, z. B. eine E-Mail-Adresse oder eine Microsoft Passport-ID, um alle Favoriten des Benutzers über jede Anwendung und jeden Computer verfügbar zu machen, fielen die Favoritendaten des Benutzers definitiv in die Kategorie der persönlich identifizierbaren Informationen. Wenn wir bei dieser Definition des Favoritendiensts bleiben, müssten wir faire Informationspraktiken durch eine Kombination aus Richtlinien, Verfahren und Code implementieren.
Zum Zeitpunkt unserer Diskussion gab es keine Gesetze, die eine Benachrichtigung des Benutzers vor dem Speichern von Informationen in ihrem Namen erfordern würden. Daher könnten wir das Hinweiselement implementieren, indem wir eine Datenschutzrichtlinie auf coldrooster.com veröffentlichen. Wozu wissen Benutzer, dass sie die Richtlinie lesen müssen? Wir haben zwei Optionen: Entweder benutzer müssen sich bei coldrooster.com registrieren, bevor sie Favoriten über unseren Dienst speichern können, oder Clientanwendungen müssen ihre Benutzer darüber informieren, dass der Cold Rooster Consulting Favorites Service verwendet wird, mit einem Zeiger auf unsere Datenschutzrichtlinie.
Aus Sicherheitssicht fallen Benutzerfavoriten nicht in die gleiche Kategorie wie medizinische Aufzeichnungen, aber ein Benutzer möchte trotzdem eine gewisse Kontrolle darüber haben, wer auf sie zugreifen kann. Wenn Sie sich beispielsweise die Favoriten ansehen, die ich auf meinem Heimcomputer gespeichert habe, könnten Sie herausfinden, welche Sportteams ich unterstütze, welche Arten von Büchern ich gerne lese, welche Arten von Musik ich gerne höre und wo ich meine Bankkonten habe – nicht Informationen, auf die ich möchte, dass jeder auf der Welt Zugriff hat. Und wenn jemand meine Favoriten ändern könnte, könnte er die von mir ausgewählten Links durch andere Websites ersetzen (möglicherweise für schändliche Zwecke, wie das Abfangen vertraulicher Informationen) oder neue Links zu meinen Favoriten hinzufügen. Daher möchten wir auf jeden Fall den Zugriff auf Benutzerfavoriten sichern. Und wahrscheinlich möchten wir Benutzern erlauben, anzugeben, welche Anwendungen welche Favoriten lesen oder schreiben können. Ich könnte beispielsweise zulassen, dass MSDN meine Favoriten für die msdn.microsoft.com Domäne ändert, aber ich möchte nicht, dass MSDN die Links für meine bevorzugten Sportteams sieht. Warum sollte msdn sich um diese kümmern?
Damit Benutzer steuern können, welche Anwendungen welche Favoriten lesen oder schreiben können, müssen wir die Zustimmungs- und Zugriffselemente fairer Informationspraktiken implementieren. Wahrscheinlich möchten wir auch Überwachungscode implementieren, um das Erzwingungselement zu unterstützen.
Plötzlich klingt unser einfacher kleiner Webdienst nicht mehr so einfach! Welche Steuerungsebene sollten wir Benutzern geben? Sollten sie genau angeben lassen, welche Anwendungen Favoriten aus den einzelnen Domänen lesen oder schreiben können? Oder sollten wir Anwendungen und Domänen in Zonen gruppieren, um die Konfiguration zu vereinfachen? Und welches der oben aufgeführten Szenarien sollte standardmäßig aktiviert sein?
Unser Datenschutzexperte hatte keine Bedenken hinsichtlich der Szenarien 1 bis 5. Die typische Datenschutzrichtlinie würde diese Szenarien abdecken. Für Szenario 2 müssen wir jedoch überlegen, ob coldrooster.com in der Lage sein sollte, alle Favoriten eines Benutzers zu verwalten, unabhängig davon, in welcher Anwendung die Favoriten für den Benutzer gespeichert sind, oder nur die Favoriten, die die Anwendungen von Cold Rooster Consulting hinzugefügt haben. Wir würden wahrscheinlich auf der Seite der Vorsicht irren und sagen, dass die Anwendungen von Cold Rooster Consulting nur Benutzerfavoriten verwalten könnten, die über diese Apps hinzugefügt wurden, es sei denn, der Benutzer hat explizit angegeben, dass die Apps verwendet werden können, um alle Favoriten anzuzeigen oder zu bearbeiten, die im Namen des Benutzers gespeichert sind.
Selbst Szenario 6 stellt kein allzu großes Problem dar, solange die Datenschutzrichtlinie darauf hinweist, dass wir die gespeicherten Benutzerfavoriten zur weiteren Analyse verwenden können. Auch hier müssen wir berücksichtigen, ob die Daten partitioniert werden müssen – entweder nach Domäne oder von der Anwendung, die die Daten ursprünglich bereitgestellt hat –, bevor sie analysiert werden. Und da viele Personen bei der Datenprofilerstellung vorsichtig sind, möchten wir Benutzern möglicherweise die Möglichkeit geben, ihre Favoriten in die für die Analyse verwendeten gepoolten Daten zu deaktivieren.
Die restlichen Szenarien werden aus Datenschutzsicht immer würfelhafter. Das heißt nicht, dass sie nicht implementiert werden sollten, nur dass es schwieriger wäre, eine genaue, aber verständliche Richtlinienausweisung zu schreiben, und Die Benutzer sind möglicherweise mit den Szenarien nicht vertraut, sodass sie wahrscheinlich standardmäßig deaktiviert sein sollten (der Benutzer muss sich dafür entscheiden).
Szenario 7 klingt zunächst ziemlich harmlos, aber was aus Sicht des Webdiensts wirklich bedeutet, ist, dass eine Anwendung eine Kopie aller Favoriten eines Benutzers aus dem Favoritendienst abrufen kann. Sobald die Anwendung über eine Kopie der Daten verfügt, kann sie alles tun, was sie möchte. Wenn wir einen Webdienst bereitstellen, der dieses Szenario unterstützt, möchten wir wahrscheinlich den Zugriff auf den Webdienst auf bekannte Clients mit Datenschutzrichtlinien beschränken, die einige minimale Kriterien erfüllen.
Szenario 8 ist noch problematischer. Sobald eine Anwendung die Favoriten eines Benutzers ändern kann, was verhindert, dass die Anwendung zufällige Seiten zur Liste des Benutzers hinzufügt oder einen Favoriten, der auf die Website eines Mitbewerbers verweist, löschen kann? Anders ausgedrückt: Wie kann der Webdienst gültige Dienstanforderungen unterscheiden, die von einer Anwendung im Namen eines Endbenutzers von Dienstanforderungen einer Anwendung vorgenommen werden, die dem Endbenutzer nicht bekannt ist? Die verfügbaren Sicherheitsmechanismen, die mit HTTP und XML funktionieren, unterstützen diese Art von Client/Server/Dienstszenario nicht direkt– wir müssen eine benutzerdefinierte Sicherheitslösung implementieren. Selbst mit dem benutzerdefinierten Sicherheitsmechanismus wäre wahrscheinlich zusätzliche Arbeit erforderlich, um Benutzern die Möglichkeit zu geben, anzugeben, welche Anwendungen welche Favoriten bearbeiten könnten.
Schließlich gehen die Szenarien 9 und 10 noch weiter in den Bereich der Onlineprofilerstellung als Szenario 6. Die technischen Probleme unterscheiden sich wirklich nicht von den bereits erwähnten, aber die Unannehmlichkeit des Benutzers wäre noch höher.
Basierend auf dieser Analyse der Szenarien haben wir beschlossen, einen Schritt zurückzutreten und die Vision für die erste Bereitstellung des Favoritendiensts zu überdenken. Die neue Vision für Phase 1 konzentriert sich auf die oben genannten Szenarien 3 bis 5. Im Wesentlichen verfügt jede Anwendung über einen eigenen privaten Speicher für Benutzerfavoriten. Wenn ich zu msdn.microsoft.com gehe und einen Link zu dieser Spalte speichere, kann ich diesen Link nur über die Benutzeroberfläche anzeigen oder bearbeiten, die msdn.microsoft.com bereitstellt.
Dieser Ansatz beseitigt mehrere schwere Probleme. Tatsächlich beseitigt es das gesamte Datenschutzproblem der Benutzer, da es sich auf Benutzerfavoriten bezieht! Da jede Anwendung, die den Favoritendienst verwendet, effektiv über einen separaten Speicher von Benutzerfavoriten verfügt, ist kein globales Benutzeridentifikationsschema erforderlich, das der Favoritendienst versteht. Jede Anwendung kann jede beliebige Art von Bezeichner verwenden. Der Favoritendienst hat keine Möglichkeit, diese Bezeichner zu interpretieren oder informationen zu korrelieren, die von verschiedenen Anwendungen gespeichert sind. Da auf die Daten nur von einer einzelnen Anwendung (oder genauer gesagt einem einzelnen Lizenznehmer des Favoritendiensts) zugegriffen werden kann, müssen wir uns keine Gedanken darüber machen, wie Benutzer verschiedene Szenarien aktivieren oder deaktivieren können. Wir haben das Problem des Datenschutzes der Benutzer effektiv an die aufrufende Anwendung delegiert.
Das heißt nicht, dass es uns nicht darum geht, die technischen Herausforderungen zu lösen, die in unserer Analyse der oben genannten Szenarien aufgeworfen werden. Wir möchten diese in einer zukünftigen Phase des Favoritendiensts behandeln. Wir möchten uns einfach etwas mehr Zeit nehmen, um dinge zu durchdenken und eine Lösung zu entwickeln, die wir der Entwicklercommunity empfehlen können.
Was ist also, wenn Sie das Problem heute lösen müssen? Ich sehe keinen Weg an der Implementierung eines Lizenzierungsmechanismus für Benutzer und Anwendungen. Benutzer müssen sich für ein Konto bei Ihrem Dienst registrieren. Das bedeutet, dass Sie über eine Website verfügen, auf der sie Ihre Datenschutzrichtlinie lesen, sich für das Konto registrieren und ihre Einstellungen verwalten können. Unternehmen, die Anwendungen entwickeln, müssen sich auch für eine Lizenz registrieren, um Ihren Webdienst verwenden zu können. In Ihrem Lizenzvertrag sollte angegeben werden, wie Lizenznehmer ihre Benutzer über die Verwendung Ihres Webdiensts informieren. Sie müssen herausfinden, ob Sie den Lizenznehmern vertrauen können, dass sie den Webdienst nur ordnungsgemäß verwenden. Wenn ja, können Sie wahrscheinlich davon abkommen, dass die Website Benutzeranmeldeinformationen sammeln und an Ihren Webdienst weitergibt. Wenn dies nicht der Fall ist, müssen Sie Code bereitstellen, mit dem Lizenznehmer einen sicheren Mechanismus zum Abrufen von Benutzeranmeldeinformationen und deren Übergabe an den Webdienst bereitstellen können. So oder so, es wird eine beträchtliche Menge an Arbeit sein.
Die verbleibenden Datenschutzprobleme
Obwohl wir uns in Phase 1 keine Gedanken über die Privatsphäre der Benutzer in Bezug auf Benutzerfavoriten machen müssen, gibt es dennoch einige Datenschutzprobleme, über die wir nachdenken müssen. Wir haben uns entschieden, den Zugriff auf den Favoritendienst zu lizenzieren. Dies bedeutet, dass wir einige Kontaktinformationen zu Lizenznehmern verwalten müssen. Diese Informationen fallen in die Kategorie der persönlich identifizierbaren Informationen. Daher haben wir die standardmäßigen Datenschutzprobleme, denen jede Anwendung, die Kontoinformationen verwaltet, gegenübersteht.
Wir haben diese Probleme mithilfe einer Kombination aus Richtlinie und Code behoben. Das folgende Diagramm bietet eine allgemeine Übersicht über unsere Systemarchitektur:
Abbildung 1. Architektur des Favoritendiensts in Phase 1
Unser Dienst wird mit einer mehrstufigen Architektur implementiert und auf zwei physischen Ebenen bereitgestellt: der Webfarm und dem Datencluster. Die Informationen zum Lizenznehmerkonto werden in einer Datenbank im Datencluster gespeichert. Unser Webdienst und die Website, über die Lizenznehmer ihre Kontoinformationen verwalten, werden in der Webfarm bereitgestellt. Es gibt mehrere Schutzebenen für Lizenznehmerinformationen:
- Auf den Datencluster kann von Computern außerhalb von Cold Rooster Consulting nicht zugegriffen werden.
- Der Favoritendienst muss nicht auf Die Kontaktinformationen des Lizenznehmers zugreifen, daher verwendet er eine Anmeldekomponente zum Authentifizieren von Lizenznehmern. Die Anmeldekomponente ruft nur die benötigten Informationen ab.
- Andererseits muss die Website für die Lizenzverwaltung auf kontaktinformationen des Lizenznehmers zugreifen. Wie sonst kann der Lizenznehmer die Daten bearbeiten lassen? Die Website führt den gesamten Datenzugriff über die Lizenzierungskomponente aus. Zugriffssteuerungen für die Lizenzierungskomponente verhindern, dass die Komponente nicht von der Lizenzverwaltungswebsite aufgerufen wird.
- Zugriffssteuerungen für die Datenbank des Lizenznehmers verhindern, dass außer der Anmeldekomponente und der Lizenzierungskomponente auf die Datenbank zugegriffen wird.
- Bestätigungs-E-Mails werden bei jeder Änderung der Kontaktinformationen an die in den Kontaktinformationen angegebenen Adressen gesendet.
Nettoeffekt: Es sollte für nicht autorisierte Benutzer sehr schwierig sein, auf die Kontaktinformationen des Lizenznehmers zuzugreifen oder diese zu ändern, es sei denn, der Bezeichner und das Kennwort eines Lizenznehmers sind kompromittiert. Selbst in diesem Fall, wenn jemand versucht, Kontaktinformationen zu ändern, wird der aktuelle Kontakt informiert.
Darüber hinaus veröffentlichen wir eine Datenschutzrichtlinie auf unserer Website. Wir könnten auch die Datenschutzrichtlinie zusammen mit anderen Dokumentationen bereitstellen, die wir neuen Lizenznehmern zur Verfügung stellen, z. B. Dokumentation zum Schreiben von Anwendungen, die den Favoritendienst verwenden.
Zusammenfassung
Benutzerdatenschutz ist ein heikles Problem für Entwickler von Webdiensten und die Anwendungen, die sie verwenden. Unsere Analyse des Problems für den Favoritendienst hat dazu geführt, dass wir das gesamte Ziel für den Dienst überdenken. Auch mit dem reduzierten Umfang wurden eine erhebliche Anzahl von Anforderungen hinzugefügt, um sicherzustellen, dass Benutzerinformationen vor unangemessener Verwendung geschützt wurden. Die wichtigste Anforderung war die Notwendigkeit, den Zugriff auf lizenzierte Anwendungen einzuschränken. Nächste Woche werden wir uns die Lizenzierung genauer ansehen: die Geschäftsmodelle, die wir berücksichtigt haben, das ausgewählte Modell und die Auswirkungen des Modells auf unseren Entwurf und die Implementierung.
Wenn Ihr Webdienst persönlich identifizierbare Informationen verwalten muss, haben Sie über die Implementierung der Kernfunktionalität Ihres Diensts hinaus noch viel Zu tun. Sie müssen sich mit allen fünf Elementen fairer Informationspraktiken befassen: Benachrichtigung, Zustimmung, Zugriff, Sicherheit und Durchsetzung. Sie müssen bestimmen, wann Sie diese direkt mit Benutzern behandeln müssen und wann Sie die Datenschutzprobleme auf die Anwendungen mit Ihrem Webdienst zurückstellen können. Ich empfehle Dringend, Ihre Rechtsberater in Die Diskussion über diese Fragen einzubeziehen, um sicherzustellen, dass Sie in Bezug auf Die Datenschutzbestimmungen auf dem neuesten Stand sind, unabhängig davon, wo sich Ihre Benutzer befinden. Die folgenden Ressourcen enthalten zusätzliche Informationen zum Datenschutz von Benutzern: