securities investopedia finanzas español employment department security

investopedia - security stock inventory



Almacenamiento de información personal sobre qué hacer y qué no hacer (8)

En Suecia tenemos PUL para regular esto.

Ejecuto un pequeño sitio web php / mysql para un club de cámara donde los usuarios pueden subir fotos. Recientemente comencé a almacenar direcciones de correo electrónico para hacer restablecimientos de contraseña.

Mi pregunta es ¿cuál es la mejor práctica para tratar la información personal de los usuarios? ¿Existe alguna ley / legislación sobre lo que puedo hacer con la información personal? ¿Debo mostrar mi política para tratar con información personal?

Cualquier información adicional con respecto a este tema es muy recibida.

Gracias


Es legal almacenar el correo electrónico en su base de datos. ¿Vas a almacenar otra información más personal como la tarjeta de crédito? Esto podría ser más problemático.


Esto es algo realmente básico, pero a veces aparece en thedailywtf.com.

No almacene contraseñas en texto claro.

Si ejecuta contraseñas a través de una función como md5 antes de almacenarlas, su base de datos de nombre de usuario y contraseña carece de valor para los ladrones.


Esto es algo sobre lo que probablemente debería buscar asesoramiento legal, pero aquí hay un par de conceptos básicos, tal como los entiendo (en los EE. UU.):

Primero, el principal regulador de este problema en los EE. UU. Es la Comisión Federal de Comercio. Ellos tienen algunos materiales en su sitio web que pueden ver. Los dos fundamentos son que debe tener una política de privacidad y que debe hacer lo que dice. Si solo descargas una política del sitio de otra persona y no haces lo que dice, puedes tener problemas.

La segunda cosa en qué pensar es en las leyes estatales más recientes que requieren notificación si se infringe su seguridad. Aquí hay un recurso sobre eso. Algunos de ellos tienen "puertos seguros", es decir, reglas que le permiten obtener menos problemas por violaciones, si cifra datos.

No estoy brindando asesoramiento legal; esto dependerá de su ubicación y de muchos otros factores, pero estos son algunos asuntos que debe analizar con un abogado.


Los requisitos canadienses se pueden encontrar aquí .

Proporcionan un excelente resumen de los requisitos:

  • Sé responsable: haz tu mejor esfuerzo para proteger los nombres y correos electrónicos que te han sido entregados.

  • Dile a tus usuarios qué información guardas y qué estás haciendo con ella

  • Obtenga el consentimiento: eso podría ser tan simple como decirle a sus usuarios que se asume su consentimiento

  • Limitar la recopilación a solo los datos que necesita

  • Limitar el uso, la divulgación y la retención de los datos

  • Sea preciso: haga todo lo posible para mantener los correos electrónicos actualizados y correctos

  • Use protecciones apropiadas

  • Sea abierto: publique su política de privacidad

  • Bríndeles acceso a los datos que guardas sobre ellos

  • Proporcione recursos: designe un "funcionario de privacidad" para recibir quejas

Publicar fotos de personas sin su consentimiento, lo que normalmente se logra a través de un "formulario de publicación" podría plantear algunos problemas. El sitio web en el que estoy involucrado tiene una declaración de privacidad similar a esta, donde sea que se publiquen fotos:

Este sitio contiene imágenes de ... Si por algún motivo, prefiere que su nombre o imagen no se use, contáctese con [email protected] y se eliminará inmediatamente.

PD Bueno para ti por abordar este problema de forma proactiva.


Usted tiene reglas sobre el almacenamiento de la información de la tarjeta de crédito. Información personal Abut como nombre, teléfono, etc., creo que depende del país. En Australia, por ejemplo, tienen un acto específico al respecto: http://www.privacy.gov.au/publications/ipps.html . Debe verificar en su país. Aquí en Alemania, tenemos muchos problemas con la filtración de información.


Hay un generador de políticas de privacidad y algunas plantillas / ejemplos en la web:

http://www.dmaresponsibility.org/PPG/

y algunos enlaces aquí:

http://www.gabrielweinberg.com/startupswiki/ Ask_YC_Archive#toc28

(desconecta el tema) Debes estar atento a un par de capas: mantente al día con los parches de PHP y las actualizaciones de softwares públicos (servidor web, equilibrador de carga / proxy) y asegúrate de que si alguien obtiene un sistema raíz y de archivos acceso en el servidor, todavía no pueden leer los datos de MySQL: no recuerdo mucho acerca de PHP, pero estoy seguro de que hay instalaciones para cifrar los datos, ya sea en el cliente o en el servidor. Aquí hay un ejemplo de rails / mySQL

http://www.rorsecurity.info/journal/2007/2/27/rails-friends-securing-mysql-continued.html

http://ajaxpatterns.org/Host-Proof_Hosting


IANAL, pero después de estudiar las regulaciones, considere la política de privacidad desde el punto de vista de sus usuarios. Probablemente quieran saber qué va a hacer con la información, y también qué está haciendo para proteger su información de la utilización no autorizada por parte de otros en cuyas manos podría caer.

Por ejemplo, ¿tiene la intención de usar las direcciones de correo electrónico para enviarles mensajes promocionales? ¿Tiene una política de exclusión voluntaria? ¿Alguna vez consideraría vender su lista de correo electrónico? Podría tener algún valor comercial debido al interés especial (fotografía) de los usuarios. ¿Puedes prometer nunca vender sus direcciones de correo electrónico? O si no puedes prometer eso, ¿puedes prometer advertirles antes de hacer eso?

¿Alguna vez publicará información personal sobre el usuario que publicó una foto en particular? Incluso una foto de aspecto inocuo de una pareja o un niño podría tener consecuencias imprevistas si se revelara la identidad (y ubicación) del fotógrafo.

Piensa también en el punto de vista del liderazgo del club. No quieren meterse en problemas con los miembros de su club porque han lanzado (o vendido) su información personal, o la lista de miembros del club.

Para ganarse la confianza de los líderes y miembros del club, considere indicar claramente su política. Mencione que la política puede cambiar. Puede darle al miembro la opción de declarar que toda su información personal se mantendrá confidencial.

Si está buscando expandir su sitio web, se beneficiará al tener la confianza de su usuario.