• Никакой политики на форуме. Иначе - бан!
  • Вопрос без рабочей ссылки на проблему считается риторическим. Без ссылки и скриншота - провокацией!
  • Темы озаглавленные с маленькой буквы или капсом удаляются без предупреждения!

Важно! GDPR и владелец магазина WooCommerce.

D&B

Администратор
Команда форума
Местный
Не важно, матерый ли вы владелец WooCommerce-магазина, или же только недавно основали его, в любом случае вы, вероятно, задумывались о том, что вам нужно знать о новом европейском законе, который называется «Общий регламент по защите данных» (GDPR). В этом цикле статей мы расскажем о том, что такое GDPR, и как он затронет ваш магазин.

Что, вообще, из себя представляет GDPR?

GDPR – это новый закон, который касается обработки персональных данных резидентов Европейского союза. Он приобрел юридическую 25 мая 2018.
В течение ближайших нескольких лет GDPR должен дать членам Евросоюза больше контроля над своими персональными данными и сделать процесс обработки и использования этих данных более прозрачным. Среди прочего станет абсолютно понятно: как веб-сайты, включая интернет-магазины, собирают данные, куда они их распространяют, какие технологии трекинга мониторят эти данные в интернете.

Если вы ведете торговлю с членами Евросоюза, то это постановление касается и вас, даже если вы сами не являетесь членом Европейского союза.

Какие новые права, касающиеся конфиденциальности, даст GDPR резидентам Евросоюза?

Новое постановление обязывает магазины информировать своих клиентов о том, какие данные собираются, хранятся и распространяются. Кроме того, он устанавливает определённые правила, касающиеся согласия, которое требуется для того, чтоб магазины могли собирать личные данные. Это значит, что магазины должны будут напрямую спрашивать согласие на использование персональных данных и прописывать то, как они будут использовать персональных данных более детально в своей политике конфиденциальности.
Вместе с более понятными уведомлениями и более прозрачной политикой конфиденциальности GDPR также дает резидентам Евросоюза новые мощные права, среди которых право доступа, право на исправление и право на стирание
Это значит, что резидент Евросоюза может:
  • Запросить копию всех данных, которые у вас есть
  • Запросить корректировку любых ошибок, допущенных в данных
  • Запросить удаление всех персональных данных
GDPR также дает резидентам Евросоюза право узнавать о том, находятся ли его персональные данные оказались под угрозой. Магазины обязаны будут информировать клиента, если его персональные данные были украдены.

Что именно мы понимаем под личными данными?

GDPR не затрагивает все информацию – новые права касаются именно Личных данных резидентов.
Персональные данные – это любые данные, которые могут идентифицировать человека, в независимости от того сугубо это персональные данные или их комбинации с другими данными:
  • Имя
  • Физический адрес проживания или email адрес
  • Номер телефона
  • Последние 4 номера кредитной карты
  • Трек коды доставки (они уникальны для каждого заказа и человека)
  • IP адрес

Что я должен сделать прямо сейчас?

Далее в этой серии мы рассмотрим следующие вопросы:

  • Почему вам нужно назначить кого-то ответственным за вопросы конфиденциальности. Если вы единственный владелец сайта, то этот ответственный – вы.
  • Что из себя представляет GDPR-приемлемая политика конфиденциальности. Вам нужно будет раскрыть, как и зачем вы собираете личную информацию, как долго она будет использоваться, и кто еще получит к ней доступ. Так же учитывая тот факт, что вы используете WordPress и WooCommerce, вам нужно будет полное понимание того, как именно влияют на конфиденциальность плагины и сервисы, которые вы используются.
  • Как отвечать на запросы, касающиеся права на доступ и права на стирание. Для WordPress и WooCommerce есть некоторые полезные инструменты экспорта данных
  • Что делать в случае возникновения брешей безопасности. Никто такого не хочет, но нужно всегда надеяться на лучшее, а готовится, увы, к худшему, так как безопасность персональных данных - это зона вашей ответственности согласно постановлению GDPR.
Оригинальный текст на сайте WOO
 

D&B

Администратор
Команда форума
Местный
GDPR: запросы, которые касаются права на доступ

Любой резидент Евросоюза имеет право запросить копию всех данных, которые вы собрали о нем или ней, в идеале в электронном формате. Сюда входит такая обыденная информация, как имя, адрес, номер телефона, а также более специфичная информация, типа трек кода доставки или VAT ID. WordPress 4.9.6, WooCommerce 3.4 и множество WooCommerce-расширений позволяют нам обрабатывать запросы, которые касаются Права на доступ, в автоматическом режиме. Давайте разберем данный процесс по косточкам

export-1_1.jpg

В WordPress появился новый инструмент, который позволяет отвечать на запросы, которые касаются Права на доступ.

Пока вы не получили первый запрос

Для начала давайте сделаем несколько тестовых заказов в вашем магазине, чтоб понять, какие именно данные вы собираете, а затем разработать стандартную процедуру реагирования на подобные запросы. Итак вам нужно:

Идентифицировать личность пользователя: вы же не будете отсылать данные первому встречному!

Установить, откуда брать нужные данные. Некоторые данные вы сможете получить, используя новые инструменты, которые предоставляют WordPress и WooCommerce. Некоторые плагины хранят данные отдельно. Кроме того, вы можете использовать и другие отдельные от WordPress/WooCommerce системы для хранения входных данных. Сделайте список всех ресурсов, где хранятся персональные данные.

Не уверены, что знаете все места, где хранятся ваши данные? Сделайте тестовый заказ в вашем магазине, чтоб прочувствовать всю процедуру. Вы увидите, какие плагины автоматически предоставляют данные, используя новый инструмент WordPress для экспорта. Но стоит помнить, что он показывает не все расширения

Когда поступает первый запрос

1. Подтвердите личность запрашивающего

Подтвердите личность человека, который послал запрос, прежде чем экспортировать персональные данные. В WordPress есть новая страница в Tools → Export Personal Data, где вы можете послать запрос на подтверждение пользовательского email адреса (или сделать это с помощью имени пользователя, если такое было зарегистрировано):

export-2-entering-the-users-email-address_1.jpg

Чтоб послать запрос, впечатайте email адрес в предоставленное поле и нажмите “Send Request.” Пользователь получит email со ссылкой для подтверждения запроса:

Пока вы ждете подтверждения, запрос будет отображаться в статусе “Pending.” После клика пользователем на ссылку, статус сменится на “Confirmed”:

export-5-what-the-admin-sees-after-the-user-clicks-the-confirmation-link_1.jpg

2. Экспорт данных

WordPress, WooCommerce и многие другие расширения работают вместе, чтоб создать экспортируемый файл, содержащий персональные данные человека. Вы можете либо послать клиенту ссылку на этот файл, которая будет активна в течение трех дней, либо же скачать этот файл самостоятельно. Этот файл в дальнейшем можно дополнить информацией, которую привнесут другие плагины.

export-6-the-admin-can-click-email-data-or-download-the-zip-instead-in-case-they-want-to-inclu...jpg

После того, как вы скачаете или отошлете этот файл, запрос получит статус “Completed.”

export-7-the-user-receives-a-link-in-a-new-email-from-which-they-can-download-their-data_1.jpg

Хотите узнать, как будет выглядеть скачанный файл? Вот:

export-8-sample-export-with-customer-and-order-data_1.jpg

Что делать с повторяющимися запросами?

Если от одного и того же клиента приходят повторные запросы, то по закону вы можете установить разумную плату за повторное предоставление данных.

Оригинальный текст.
 

D&B

Администратор
Команда форума
Местный
The GDPR: обработка запросов на удаление данных

Иногда вашему клиенту может понадобится удалить свои цифровые следы из интернета. Так что, если ваш магазин собирает и хранит данные резидентов Евросоюза, вам надо быть готовым к обработке запросов, касающихся “Права на Удаление”, которое дает протокол GDPR.так что вам нужно решить, какие данные вы обязаны хранить, и эту информацию вам нужно включить в вашу политику конфиденциальности и условия использования.

Удаляются все те же данные, которые обычно предоставляется «Правом на доступ», но проблема с правом на удаление данных заключается в том, что в целях ведения вашего бизнеса в правовом ключе, вам нужно хранить некоторые данные определенное количество времени, так ка кони могут вам понадобится, к примеру, для предоставления в налоговую инспекцию

Реализовать данное право вам помогут полезные инструменты в WordPress 4.9.6 и WooCommerce 3.4 .

erase-1.jpg

Готовимся к получению запросов на удаление

Тестим сайт, проверяя, какую информацию собирает ваш магазин:

Подвергаем человека процессу идентификации: только авторизованный пользователь может запрашивать удаление

Определяем, где взять данные для удаления

Доступ к некоторым данным предоставят инструменты, доступные в WordPress и WooCommerce. При том некоторые плагины хранят данные отдельно, кроме того, не стоит забывать о том, что могут быть выделенные онлайн системы, которые вы используете в дополнение.

Если вы не уверены в том, что знаете, где именно хранится все необходимая информация, просто используйте инструмент экспорта, хотя там видны не все плагины, в случае которых вам придется удалять информацию отдельно.

В WooCommerce новые настройки помогают вам контролировать и ограничивать удаление персональных данных клиента. Для этого идем в WooCommerce → Settings → Accounts and Privacy. Здесь вы можете управлять тем…:

Как долго хранится неактивный аккаунт

Как долго хранятся отказные заказы.

Как долго хранятся завершенные заказы

Вы можете контролировать настройки, родственные праву на удаление, типа:

Будут ли удалены личные данные из заказов.

Нужно ли прерывать доступ к скачкам

Реагируем на первый запрос

Начнем с идентификации личности человека, который послал запрос

Открываем новую страницу WordPress Tools → Erase Personal Data,которая позволяет вам послать запрос на подтверждение, ориентируясь на email пользователя или его username. Впечатайте email-адрес в поле и нажмите “Send Request”:

erase-1_1.jpg

Пока вы ждете подтверждения, у запроса будет статус “Pending.”

erase-2-entering-the-users-email-address.jpg

После того, как пользователь кликнет на ссылку, то статус запроса изменится на “Confirmed”:

erase-6-what-the-admin-sees-after-the-user-clicks-the-confirmation-link.jpg

После подтверждения личности, кликните на кнопку Erase Personal Data, и программное обеспечение в лице WordPress, WooCommerce и множествах других расширений все сотрут. Если какому –либо плагину нужно попридержать некоторую личную информацию, то вы будете оповещены об этом после завершения процесса.

Если у пользователя есть аккаунт на вашем сайте, то запрос также будет содержать ссылку для того, чтоб начать процесс “Delete User” (удаление пользователя). На первых порах попридержите эту функциональность, так как возможно вам понадобится сохранить тот или иной пользовательский аккаунт.

erase-7-after-clicking-on-erase-personal-data-messages-appear-saying-how-it-went.jpg

Стоит помнить, что в отдельных случаях вам возможно понадобится подчистить какую-то часть информационного следа вручную, так как новый инструмент удаления данных WordPress часто не дает идеального результата.

Оригинал тут
 

D&B

Администратор
Команда форума
Местный
GDPR: проблемы безопасности

Каждый день Google заносит в черный список более 10,000 веб-сайтов за распространение вредоносного ПО, удаляя их из поисковой выдачи. Ведь Вредоносное ПО может украсть личные данные пользователей, дискредитировав вас и ваш бизнес, так что сейчас мы займемся проблемой брешей безопасности

Чтоб обязать компании относится к вопросу безопасности более серьезно, GDPR представил новые правила, согласно которым должны действовать торговцы, в том случае, если личные данные резидента Евросоюза утекают на сторону.

Ваша главная обязанность – это по максимуму обезопасить ваш сайт, а для этого нужно:

  • Убедится в том, что ваш сайт всегда использует самую новую версию WordPress.
  • Убедится в том, что ваш сайт всегда использует самую новую версию WooCommerce и других плагинов.
  • Деактивировать и удалить ненужные плагины или темы.
  • Регулярно делать бэкапы всех данных всего вашего сайта, и в особенности данных WooCommerce.
  • Экспортировать и архивировать выполненные заказы в безопасном месте. Тем меньше данных хранится на вашем сайте, тем лучше для безопасности
  • Установить сильный уникальный пароль на все аккаунты WordPress.
  • Ограничить количество людей, у которых есть доступ к wp-admin.
  • Убедится, что у каждого сотрудника есть собственный логин.
  • Немедленно удалить его или ее аккаунт, когда сотрудник уходит из вашей компании

Что изменил протокол GDPR в разделе, который касается брешей в безопасности?

В дополнение к обязательствам инспектора по защите информации, протокол GDPR также приписывает:

  • Защищать персональные данные посредством ограничения доступа, шифрования данных, псевдонимизации, резервного копирования, минимизации данных и регулярного тестирования прочих техник.
  • Оповестить соответствующий надзорный орган в течение не более, чем 72 часов, с момента обнаружения бреши в защите персональных данных, включая информацию о пользователях, чьи данные утекли, суть бреши, и то, какие действия были предприняты для решения проблемы.
  • Сообщить эту информацию пострадавшим пользователям, особенно в тех случаях, когда произошла утечка незашифрованных данных.
  • Определить, должны ли соответствующие органы исследовать этот случай, перед тем как публично обнародовать наличие конкретной бреши.

Создайте список мер, которые нужно будет принять в случае взлома сайта

К примеру, вот, такой:
  • Сменить все пароли
  • Создать свежие бэкапы
  • Идентифицировать хакера, удалить хакерский код и закрыть ему доступ к сайту.
  • Связаться с соответствующим надзорным органом, в частности тем, который находится в Евросоюзе.
  • Связаться с пострадавшими пользователями
  • Принять превентивные меры, чтоб такого впредь не повторялось

Помните, что в любом случае всегда лучше предотвратить проблему, чем потом ее решать. Кроме того, в случае хакерских атак, часто лучше обратиться за помощью в решении возникшей проблемы к профессионалам.

Оригинал тут
 
Сверху Снизу