GDPR و Jaarchi


GDPR چیست؟

GDPR مخفف «مقررات عمومی حفاظت از داده» (General Data Protection Regulation) است؛ قانونی که توسط اتحادیه اروپا برای حفاظت از داده‌های شخصی کاربران وضع شده است. این قانون جنبه‌های مختلفی از امنیت داده را در بر می‌گیرد. در ادامه توضیح می‌دهیم که چگونه از داده‌های شما محافظت می‌کنیم، مسئولیت ما چیست و مسئولیت شما چیست. قویاً توصیه می‌کنیم تمام مستندات ما یا سایر مقالات درباره‌ی GDPR را مطالعه کنید و بر اساس آن تصمیم بگیرید که از این اپلیکیشن استفاده کنید یا نه. ما مسئول هیچ کوتاهی یا قصور در حفاظت از داده از سمت شما یا هر شخص ثالث دیگری نیستیم. وقت بگذارید مستندات را بخوانید و آگاهانه عمل کنید.

 

تعریف داده‌ی شخصی:

هر داده‌ای که متعلق به یک فرد است، داده‌ی شخصی او محسوب می‌شود؛ می‌تواند نام، تصویر، آدرس ایمیل، آدرس فیزیکی، پست شبکه‌ی اجتماعی، موقعیت مکانی، آدرس IP رایانه و غیره باشد. مالکیت داده‌ی شخصی کاربر مطلق است؛ یعنی هر جا و به هر شکلی که داده ذخیره شود، منحصراً متعلق به کاربر است. جمع‌آورنده یا استفاده‌کننده‌ی داده (مانند فیسبوک، یوتیوب) بدون اجازه‌ی صریح یا ضمنی کاربر نمی‌تواند داده‌ی شخصی او را نمایش دهد، ذخیره کند، به اشتراک بگذارد یا هر فعالیت دیگری با آن انجام دهد. اگر کاربر برای نوع خاصی از فعالیت (ذخیره‌سازی داده، نمایش داده و غیره) اجازه دهد، مدیر اپلیکیشن می‌تواند از آن استفاده کند. برای درک بهتر، وضعیتی فرضی را در نظر بگیرید: شما یک پست در شبکه‌ی اجتماعی منتشر می‌کنید؛ در این حالت اجازه‌ی ضمنی برای نمایش آن پست به مخاطبان عمومی یا خصوصی خود داده‌اید. مدیر اپلیکیشن مسئول هیچ کامنت توهین‌آمیزی از سوی مخاطبانتان روی پست شما نیست. یعنی اگر داده‌ی خود را عمومی کرده باشید، مسئولیت آن با خودتان است؛ اما مدیر اپلیکیشن در قبال هرگونه اشتراک‌گذاری داده با شخص ثالث مسئول است. اگر داده‌ای به اشتراک گذاشته شود، باید از پیش و به‌صراحت اعلام شود. پس می‌بینیم که آپلود و نمایش داده هم به مدیر اپلیکیشن و هم به کاربر بستگی دارد. جزئیات بیشتر را با مطالعه‌ی کامل مستندات دریافت خواهید کرد.

 

مسئولیت توسعه‌دهنده:

حفاظت از داده‌ی شخصی کاربر در بک‌اند اپلیکیشن، مسئولیت توسعه‌دهنده است. توسعه‌دهنده مسئول نحوه‌ی ذخیره‌سازی داده‌ی کاربر (نام، شماره تلفن، ایمیل و غیره) و سایر اطلاعات (مانند لاگ‌های تعامل کاربر با اپلیکیشن) روی پایگاه‌داده و سرور است. در ادامه با جزئیات توضیح می‌دهیم که داده‌های ارسالی مستقیم شما (نام، ایمیل و غیره) و غیرمستقیم (نام مرورگر، IP رایانه و غیره) چگونه روی پایگاه‌داده و سرور ذخیره می‌شوند. پس از آپلود هر داده به سرور، امنیت آن به امنیت سرور و گاهی مدیر اپلیکیشن بستگی دارد. کاربر از تمام ذخیره‌سازی‌های موقت (کوکی و نشست) و دائمی (داده‌ی ذخیره‌شده در پایگاه‌داده) مطلع خواهد شد. کاربر گزینه‌ی حذف دائمی تمام داده‌های شخصی خود را در صورت حذف حساب یا لغو اشتراک خواهد داشت. به شما اطمینان می‌دهیم که هیچ لاگی از فعالیت کاربر یا هیچ راه نفوذ پنهانی برای استخراج داده‌ی کاربر نگه نمی‌داریم. گاهی برای پشتیبانی و نگهداری موقت اپلیکیشن پیش از انتشار کامل آنلاین، دسترسی cPanel و سایر اعتبارنامه‌های مدیر اپلیکیشن مورد نیاز توسعه‌دهنده است. قویاً توصیه می‌کنیم مدیر اپلیکیشن پس از پایان کار، این اعتبارنامه‌ها را تغییر دهد. توسعه‌دهنده مسئول هیچ افشای اعتبارنامه بر این اساس نیست و همچنین مسئول هیچ نقص امنیتی ناخواسته‌ای در اپلیکیشن نیست. در نهایت، داده‌ی به‌اشتراک‌گذاشته‌شده آنلاین همیشه ریسک افشا دارد؛ بنابراین قویاً توصیه می‌کنیم داده‌ای که ممکن است شما یا فرد دیگری را در معرض خطر قرار دهد به اشتراک نگذارید.

 

مسئولیت مدیر اپلیکیشن:

مدیر اپلیکیشن دسترسی نامحدود به داده‌ی شخصی کاربر دارد. مدیر می‌تواند به پایگاه‌داده، لاگ‌های سرور و سایر اطلاعات در دسترس خود دسترسی داشته باشد. مدیر اپلیکیشن می‌تواند داده‌ی ذخیره‌شده روی پایگاه‌داده و سرور را ببیند و کپی کند. مدیر اپلیکیشن می‌تواند داده‌ی شخصی کاربر را با اشخاص ثالث به اشتراک بگذارد. نحوه‌ی استفاده از داده‌ی کاربر باید پیش از ثبت‌نام کاربر، به‌صراحت توسط مدیر اپلیکیشن اعلام شود. مدیر نباید به هیچ‌کس اجازه دهد که به‌صورت آشکار یا زیر پوشش نظرسنجی، پرکردن فرم یا هر روش دیگری داده استخراج کند. مدیر اپلیکیشن بیشترین امتیاز را در اپلیکیشن دارد؛ بنابراین بالاترین مسئولیت حفاظت از داده‌ی شخصی کاربر را نیز بر عهده دارد.

 

مسئولیت کاربر:

همه چیز به کاربر بستگی دارد. اگر کاربر داده‌ای ارسال نکند، هیچ نشتی داده‌ای رخ نخواهد داد؛ اما این معمولاً یک گزینه نیست. اولویت اصلی کاربر این است که پیش از ارسال داده، تمام مستندات توسعه‌دهنده و مدیر اپلیکیشن را مطالعه کند. حفظ امنیت اعتبارنامه‌ی خود، مسئولیت انحصاری کاربر است. رمز عبور و نام کاربری ممکن است در پایگاه‌داده رمزنگاری‌شده باشند، اما یک کلمه‌ی رایج یا رمز عبور به‌شدت قابل‌حدس می‌تواند به‌راحتی دسترسی هکر به حساب کاربر را فراهم کند. در صورت هرگونه فعالیت مشکوک از سوی فرد غیرمجاز، یا در صورتی که به دلایل ناگزیر اعتبارنامه‌ی خود را با دیگری به اشتراک گذاشتید، اعتبارنامه‌ی خود را تغییر دهید. همیشه پیش از ارسال، فکر کنید.

 

اقدام ما درباره‌ی GDPR:

  • جمع‌آوری کمترین داده‌ی ممکن. اطلاع‌رسانی به کاربر درباره‌ی ضرورت جمع‌آوری داده‌ی خاص.
  • اجباری‌کردن HTTPS
  • حذف تمام نشست‌ها و کوکی‌ها پس از خروج از حساب.
  • عدم پیگیری فعالیت کاربر برای اهداف تجاری.
  • اطلاع‌رسانی به کاربران درباره‌ی هر لاگی که آدرس IP و موقعیت مکانی را ذخیره می‌کند.
  • شرایط و قوانین شفاف.
  • اطلاع‌رسانی به کاربر درباره‌ی هرگونه اشتراک‌گذاری داده با اشخاص ثالث.
  • ایجاد سیاست‌های شفاف درباره‌ی نشت داده.
  • حذف داده در صورت لغو اشتراک یا حذف حساب.
  • رفع آسیب‌پذیری‌های وب.

 

 

ویژگی‌های پشتیبانی‌شده‌ی GDPR:

خداحافظ اپلیکیشن: پس از لغو اشتراک یا حذف حساب، به شما امکان حذف تمام داده‌های موجود یا مرتبط با حساب‌تان را می‌دهیم. توجه داشته باشید که این عمل غیرقابل‌بازگشت است. به‌محض تأیید حذف، تمام داده‌های شما برای همیشه از پایگاه‌داده و سرور پاک می‌شود. می‌توانید پیش از حذف، از داده‌های خود نسخه‌ی پشتیبان تهیه کنید تا در صورت اشتراک یا ثبت‌نام مجدد از آن استفاده کنید.

 

رازداری حق من است: بیشتر داده‌ی شخصی شما را در پایگاه‌داده رمزنگاری می‌کنیم. اگر اتفاق بدی رخ دهد (نشت داده)، هکر هش رمزنگاری‌شده دریافت می‌کند، نه داده‌ی شخصی شما به‌صورت متن ساده. بنابراین رازداری شما حتی در صورت نشت داده حفظ می‌شود. توجه داشته باشید برخی داده‌ها را نمی‌توان رمزنگاری کرد، زیرا باید هنگام ورود به حساب نمایش داده شوند (مانند نام کاربری). ما تا حد ممکن تمام داده‌های شخصی شما را پنهان می‌کنیم.

 

بدون ذخیره‌سازی کوکی و نشست: گزینه‌ی ذخیره یا عدم ذخیره‌ی کوکی و نشست را در اختیار شما قرار می‌دهیم. حتی اگر کوکی و نشست را ذخیره کنید، پس از خروج از حساب حذف خواهند شد. قویاً توصیه می‌کنیم اعتبارنامه‌ی خود را در مرورگر ذخیره نکنید. لطفاً اعتبارنامه‌ی خود را به خاطر بسپارید یا از ابزارهایی مانند LastPass برای مدیریت آن استفاده کنید.

 

حذف رد پا: ما هیچ فعالیتی از شما را برای اهداف تجاری ذخیره یا پیگیری نمی‌کنیم. ممکن است زمان ورود یا IP شما را صرفاً برای اهداف امنیتی ذخیره کنیم. با حذف حساب، تک‌تک داده‌های شما از سرور حذف خواهد شد.

 

مهندسی اجتماعی بد است: ما هیچ فعالیت شخصی شما در اپلیکیشن را ثبت نمی‌کنیم. ثبت فعالیت شخصی کاربر، تحلیل آن و تلاش برای فروش محصول یا ترغیب کاربر به پیگیری یک فکر خاص بر اساس داده‌ی تحلیل‌شده، به یک رویه‌ی نادرست تبدیل شده است. ما چنین کاری نمی‌کنیم.

 

به من اطلاع بده: از تمام فعالیت‌های مرتبط با حساب خود (ایجاد حساب، تغییر رمز عبور) از طریق ایمیل مطلع شوید. در صورت مشاهده‌ی هر اتفاق غیرعادی، توصیه می‌کنیم اعتبارنامه‌ی خود را تغییر دهید.

 

اطلاع‌رسانی به‌روزرسانی سیاست‌ها: از هرگونه به‌روزرسانی سیاست حریم خصوصی یا سلب مسئولیت مطلع خواهید شد. ایمیل خود را در این باره بخوانید و تصمیم بگیرید. برای مشورت در این زمینه با ما در تماس باشید.

 

اتصال بدون نگرانی: ما HTTPS را در همه‌جا اجباری کرده‌ایم. شنود داده در این حالت امکان‌پذیر نیست. حتی در صورت امکان، شنودگر هش رمزنگاری‌شده دریافت می‌کند. پس با خیال راحت از اپلیکیشن ما استفاده کنید.

 

بدون جمع‌آوری داده: ما هیچ داده‌ای از کاربر جمع‌آوری نمی‌کنیم. هیچ راه نفوذ پنهان یا گزینه‌ی مخفی برای جمع‌آوری داده وجود ندارد. پس از آپلود اپلیکیشن روی سرور، حتی خود ما نیز بدون رمز عبور مدیر اپلیکیشن نمی‌توانیم وارد آن شویم. پس نگران هیچ نشت پنهان داده‌ای نباشید.

 

سیاست نشت داده: ما تمام تمهیدات امنیتی لازم برای ذخیره‌ی دقیق داده‌ی شما در پایگاه‌داده (رمزنگاری داده، MySQLi، جلوگیری از تزریق SQL، بررسی ورودی و غیره) را پیاده‌سازی می‌کنیم. اما هیچ مسئولیتی در قبال نشت داده از سرور نمی‌پذیریم، زیرا حفاظت از داده‌ی شما در برابر نشت، مسئولیت کامل مدیر اپلیکیشن و مدیر سرور است. هر رمز عبور ضعیف یا به‌شدت قابل‌حدس مدیر اپلیکیشن یا مدیر سرور می‌تواند پایگاه‌داده را به خطر بیندازد. هر نقص ذاتی در پیکربندی پایگاه‌داده می‌تواند پایگاه‌داده را افشا کند (مانند نقص امنیتی MongoDB). هر ضعف امنیتی در سرور می‌تواند به نشت داده منجر شود. در این زمینه لطفاً با مدیر اپلیکیشن خود تماس بگیرید.

 

 

آیا ارسال پیام انبوه به لیدهای فیسبوک با استفاده از سیستم ما مطابق GDPR است؟

 بله، ارسال پیام انبوه با استفاده از سیستم ما مطابق GDPR است؛ زیرا افراد با شروع مکالمه در مسنجر، به‌صورت داوطلبانه (OPTIN) به صفحه‌ی فیسبوک ما می‌پیوندند و ما می‌توانیم آن را اثبات کنیم. آن‌ها به‌شکل معتبری به لید ما تبدیل می‌شوند. تمام پیام‌هایی که ارسال می‌کنیم باید لینک لغو اشتراک داشته باشند (این ویژگی از قبل وجود دارد) یا راه دیگری داشته باشند که افراد بتوانند هر زمان لغو اشتراک کنند.