Country not specified
Unknown website Share

Apps4all

Страна: -
Город: -
Был онлайн: -
О себе:
 
08-07-2016, 11:48
Apps4all

Кодекс поведения для разработчиков мобильных приложений от EFF

Фонд Электронных Рубежей (Electronic Frontier Foundation) разработал Билль о правах пользователей мобильных устройств, который призван систематизировать правила поведения для разработчиков приложений.

Документ EFF начинается с того, что, учитывая уязвимость данных, которые многие пользователи хранят в своих телефонах, производители, поставщики, разработчики приложений и мобильной рекламы должны уважать право пользователей на конфиденциальность для того, чтобы заслужить и сохранить общественное доверие. В качестве базы для этого Билля взяты "Билль о правах на неприкосновенность частной жизни пользователей социальных сетей" и недавно выпущенный Белым Домом документ "Защита информации потребителей в сетевом мире".

В документе перечислены шесть правил, которым должны соответствовать разрабатываемые приложения.

Индивидуальный контроль: Пользователи имеют право осуществлять контроль над тем, какие персональные данные приложения собирают о них и как они используют эти данные.

Сфокусированный сбор данных: Разработчики должны быть особенно осторожны касательно проблемы, характерной именно для мобильных устройств – сохранения информации из адресной книги, коллекций фотографий, сведений о текущем местоположении, метаданных о телефонных звонках и текстовых сообщений. Приложения должны собирать минимум информации, необходимой для их работы и пытаться сохранять личную информацию анонимной.

Прозрачность: Пользователи должны знать к какой именно информации имеет доступ приложение, как долго оно хранит данные и с кем оно ими делятся. Пользователи должны иметь возможность прочесть правила конфиденциальности и безопасности приложения и до и после его установки.

Уважение к контексту: Приложения, собирающие данные, должны использовать или делиться именно этой информацией и только в том контексте, для которого была предоставлена данная информация. Например, если контактная информация собирается с целью "поиска друзей", она не должна передаваться третьим лицам, ее нельзя использовать для прямого контакта через электронную почту.

Безопасность: все возможные данные должны быть зашифрованы, информация, передаваемая между двумя телефонами, между телефоном и сервером всегда должна быть зашифрована на транспортном уровне.

Отчетность: В конечном счете, все участники рынка мобильной индустрии несут ответственность за работу аппаратного и программного обеспечения, созданного и развернутого ими. Пользователи имеют право требовать от них отчетности.

Затем Билль дает следующие рекомендации.

Обеспечение анонимности и шифрование: Везде, где только возможно, информация должна быть хеширована, зашифрована для обеспечения максимальной анонимности. Например, функция "Найти друзей" может узнать соответствие адресов электронной почты просто хешировав адресную книгу.

Безопасность передачи данных: Для передачи любой личной идентификационной информации по умолчанию должны использоваться TLS-соединения, то же самое касается и передачи секретной информации.

Безопасность хранения данных: Разработчики должны сохранять информацию только на время, необходимое для предоставления заявленной услуги, кроме того информация, которую они хранят, должна быть должным образом зашифрована.

Внутренняя безопасность: Компании должны обеспечивать защиту информации не только от злоумышленников извне, но и предотвращать угрозы со стороны собственных сотрудников, которые могут злоупотребить своим служебным положением для просмотра конфиденциальной информации.

Тестирование на проникновение: Системы безопасности должны быть протестированы на проникновение независимыми организациями.

Запрет на отслеживание: Один из способов для пользователей обозначить свои предпочтения в конфиденциальности – использовать настройку "Запрет на отслеживание" (DNT) в своей операционной системе. В настоящее время функция DNT ограничена в большинстве браузеров и только Mozilla Boot2Gecko поддерживает DNT на уровне операционной системы. Но разработчики только выиграют от предоставления пользователям возможности обозначить свои предпочтения в конфиденциальности и должны поощрять других производителей ОС на встраивание функции DNT в свои системы.

EFF отмечает, что некоторые пункты еще следует согласовать с другими сторонами, например, с операторами мобильной связи, но этот кодекс поведения может стать хорошей точкой отсчета для разработчиков приложений.

 
приложение
разработка
безопасность
персональные данные
статья
EFF
0 0 0

Чтобы оставлять комментарии вам необходимо зарегистрироваться