Подготовка и публикация политики безопасности

По мере роста числа сообшений о брешах в системе безопасности, для каждого коммер- ческого сайта становится обязательной подготовка и явное представление политик безо- пасности. Web-путешественники, наученные горьким опытом, внимательно относятся к этим политикам. Когда в августе 2000 года компания Amazon известила своих членов по электронной почте об изменении своей политики безопасности, то этот поступок рас- сматривался как новость. Сеть Web заволновалась, но самым популярным вопросом был «А что такое политика безопасности?»

Что включает в себя правильная политика безопасности? Практически все, Поскольку, однако, вы вовсе не хотите, чтобы ваши заказчики впадали в ступор, пробираясь сквозь дебри вашей политики (вам нужно, чтобы они занимались покупками товаров), сократи- те политику, насколько это возможно без ущерба для содержимого. Содержимое поли- тики безопасности должно быть достаточным для того, чтобы заказчики, предоставляя вам информацию, ясно понимали, что они делают.

Согласно выпуску Communications of the ACM (Сообщения ассоциации по вычислитель- ной технике) за сентябрь 1998 года, Федеральная комиссия по торговле США (FTC - Federal Trade Commission) доложила о том, что большинство сайтов не раскрывают по- сетителям свою политику безопасности, даже если собирают о них информацию. Улуч- шилось ли с тех пор положение?

К счастью, да! Сайт FTC в статье «Privacy Online: Fair Information Practices In the Electronic Marketplace» (Онлайновая безопасность: Правильная информационная практика в электронной торговле) (http://www.ftc.gov/os/2000/05/testimonyprivacy.htm) объявил, что в настоящее время почти все коммерческие сайты публикуют свою политику безо- пасности, хотя только около 20% этих сайтов описывают четыре основные области он- лайновой безопасности (что требует правильная информационная тактика), Современные стандарты политики безопасности описываются в отчете FTC за май 2000 года. Просматривая коммерческие Web-сайты, FTC обнаружила, что 97% сайтов в той или иной форме собирают личную информацию о посетителях, и 88% сайтов рас- крывают информацию о своей политике безопасности.

Кроме того, в отчете FTC определяется правильная тактика информирования о политике безопасности, разделенная на четыре блока: извещение, выбор, доступ и безопасность. Как FTC определяет каждый из этих стандартов?

• Извещение. Этот сегмент политики безопасности наиболее очевиден. Данный стан- дарт определяет, какую информацию вы собираете, каким образом вы это делаете и куда может попасть эта информация. Как вы собираетесь использовать собранные данные? Получит ли доступ к этим данным третья сторона? Будете ли вы продавать эти данные?

• Выбор. Каким образом ваши заказчики могут распорядиться дальнейшим использо- ванием их конфиденциальной информации по завершению коммерческой транзакции? Могут ли они согласиться или отказаться от продажи вами этой информации? Могут ли они выбирать, кто именно сможет получать доступ к этой информации? Могут ли как-то ограничить использование вами этой информации помимо транзакций?

• Доступ. Каким образом заказчики могут получить доступ к собранной вами инфор- мации о них же самих? Это важно по двум причинам. Во-первых, такой доступ позво- ляет заказчикам установить объем собранной вами личной информации. Во-вторых, это позволяет заказчикам удалять ненужную информацию, а также обновлять и кор- ректировать эту информацию.

• Безопасность. В рамках своей политики безопасности вы можете использовать отдельную политику, которая детально определяет вашу ответственность за сайт и защиту данных. В таком случае вы должны отсылать заказчиков и посетителей сайта к этой политике. Тогда посетители смогут ясно осознать, какие усилия вы прилагаете для защиты их конфиденциальной информации.

По ходу обзора сайтов, комиссия FTC обнаружила, что только 20% политик безопасно- сти охватывают все четыре блока, и только 41% всех политик содержит минимум ин- формации в блоках «Извещение» и «Выбор».

Чтобы следовать правильной тактике информирования посетителей, обяза- тельно опишите все четыре блока стандарта. Вы должны не только защи- щать заказчиков от потенциальных угроз конфиденциальности, но также за- щитить и себя самого от возможных судебных тяжб в случае утечки конфи- денциальной информации. Помните, однако, что вы должны соблюдать стан- дарты, описанные в вашей политике безопасности, и напоминать заказчикам о возможности ее изменения.

Продолжение темы:

Полезная информация