Pluginul Gravity Forms Stop Entries își propune să ajute site-urile să respecte GDPR al UE

Publicat: 2017-08-17
credit foto: AJ Montpetit

Wider Gravity Forms Stop Entries este un plugin nou care îi ajută pe proprietarii de site-uri web să protejeze confidențialitatea trimiterilor de formulare, împiedicând stocarea intrărilor în baza de date. Pluginul a fost creat de dezvoltatorul web din Marea Britanie Jonny Allbut pentru uz intern la Wider, o companie pe care a înființat-o pentru a gestiona nevoile clienților WordPress.

Un aspect al respectării Regulamentului general privind protecția datelor (GDPR) al UE este asigurarea faptului că formularele de contact nu stochează date de identificare personală pe server. Regulamentul devine aplicabil în mai 2018, iar site-urile care deservesc cetățenii UE se pregătesc pentru termenul limită cu audituri și modificări ale modului în care gestionează confidențialitatea.

Gravity Forms nu oferă o opțiune încorporată pentru a opri stocarea intrărilor pe server, dar cofondatorul GF Carl Hancock spune că există o varietate de moduri de a realiza acest lucru.

„Dacă tot ceea ce doriți să faceți este pur și simplu să trimiteți prin e-mail conținutul formularului și să nu stocați datele în baza de date ca parte a rutei pe care doriți să o urmați pentru conformitatea cu GDPR, acest plugin ar fi o metodă de a face acest lucru”, Hancock a spus. De asemenea, a făcut referire la pluginul comercial Disable Entry Creation al Gravity Wiz. De asemenea, dezvoltatorii pot șterge datele de intrare după trimitere printr-un cârlig.

„Cu toate acestea, GDPR nu exclude stocarea intrărilor de formular într-o bază de date și depinde în întregime de tipul de date pe care le stocați și de celelalte garanții și funcționalități pe care le-ați pus în aplicare”, a spus Hancock. „Este o problemă complexă și nu sunt pe deplin sigur că UE înțelege pe deplin povara și implicațiile care pot veni cu ea.”

În cele din urmă, cerința de conformitate revine administratorilor de site-uri web, care sunt cei care colectează datele. Este responsabilitatea lor să selecteze instrumente care vor proteja confidențialitatea utilizatorilor.

„Deși nu va asigura conformitatea GDPR de la sine, extinderea lui Jonny este un pas foarte necesar în direcția corectă”, a spus specialistul în drept digital Heather Burns. Burns se consultă cu companiile care au nevoie de asistență pentru ca site-urile lor să fie conforme cu GDPR. „GDPR necesită aderarea la principiile confidențialității prin proiectare și o parte din aceasta este minimizarea și ștergerea datelor.”

WordPress are zeci de pluginuri populare pentru formulare de contact, atât gratuite, cât și comerciale. Multe dintre ele stochează intrări în baza de date în cazul în care e-mailul destinatarului are probleme, împiedicând pierderea comunicării. Administratorii site-ului care sunt îngrijorați de conformitatea GDPR vor dori să examineze soluția pe care au selectat-o ​​pentru formulare. Burns a sfătuit că pluginurile pentru formularele de contact trebuie să facă următoarele trei lucruri:

  • Asigurați-vă că datele personale și sensibile din intrările de formular nu sunt stocate în baza de date;
  • Furnizați opțiuni de configurare pentru a permite ca intrările din formularul de contact să fie șterse automat după o anumită perioadă de timp;
  • Asigurați-vă că toate datele din formularul de contact sunt șterse atunci când pluginul este dezactivat sau șters.

„Din păcate, direcția de deplasare a fost exact opusă: intrările din formularele de contact tind să fie stocate în permanență în baza de date, indiferent de conținut sau necesitate”, a spus Burns. „Pluginurile de formulare de contact cu opțiuni pentru a șterge automat trimiterile de formulare după o anumită perioadă de timp sunt rare. Am văzut chiar și extensii de formulare de contact care dublează intrările într-un tabel separat, ceea ce, luând în considerare toate lucrurile, este o nebunie. Trebuie să ne dezvoltăm către minimizarea și ștergerea datelor, nu păstrarea și duplicarea.”

Luna trecută, JJ Jay a publicat o analiză a modului în care și unde stochează date pluginurile populare de formulare de contact WordPress. Aceasta este o referință utilă pentru administratorii de site-uri care nu sunt siguri cum gestionează soluția aleasă culegerea și stocarea datelor. Ea a sugerat câteva întrebări pe care să le pună utilizatorilor atunci când examinează formularele de contact:

  • Opțiunea de stocare a datelor poate fi activată și dezactivată?
  • La ce granularitate?
  • Pot fi șterse datele atunci când pluginul este șters?
  • Ce date de identificare personală, altele decât datele din fiecare formular, sunt stocate? (adică adresa IP a unui utilizator)
  • Este posibil să ștergeți trimiterile în mod ad-hoc sau programat?

Dacă nu ești sigur ce ar putea rămâne în baza ta de date de la alte plugin-uri, Jay a creat și un „Ce este în baza mea de date?” plugin pe care administratorii îl pot instala și accesa din meniul Instrumente. Este doar pentru citire și listează fiecare tabel și coloanele acestuia, astfel încât utilizatorii să poată vedea dacă există surprize.

Hackul British Pregnancy Advice Service (BPAS) evidențiază pericolul stocării intrărilor din formularele de contact în baza de date

În educarea proprietarilor de site-uri web cu privire la pericolele stocării datelor personale sensibile, Heather Burns citează adesea hack-ul British Pregnancy Advice Service (BPAS) din 2012 ca fiind unul dintre cele mai grave exemple ale consecințelor stocării intrărilor din formularele de contact în baze de date. Hackerul, care mai târziu a fost închis, a furat mii de înregistrări de la organizația de caritate, care rula pe un CMS necunoscut, învechit, cu parole slabe. Site-ul nu a fost supus unei evaluări a impactului asupra confidențialității asupra metodelor sale de colectare și stocare a datelor cu caracter personal.

„Unul dintre serviciile oferite de BPAS este accesul la avorturi”, a spus Burns. „Mulți dintre utilizatorii lor de servicii vin din Irlanda, unde avortul este interzis în aproape toate circumstanțele. Site-ul avea un formular de contact unde femeile se puteau întreba despre avorturi. BPAS credea că mesajele treceau doar prin site; nimeni din cadrul organizației nu avea nicio idee că o copie a fiecărei trimiteri a formularului de contact a fost stocată în baza de date. Oarecum inevitabil, site-ul a fost ușor spart de un activist anti-avort care a descărcat baza de date. S-a trezit în posesia a peste 5.000 de formulare de contact trimise de peste cinci ani, care conțineau numele femeilor, adresele de e-mail, numerele de telefon și faptul că acestea se întrebau despre avorturi. Apoi și-a anunțat intenția de a publica datele despre femei pe un forum anti-avort.”

Hackerul a fost prins și arestat înainte de a avea ocazia să publice lista. El a primit 32 de luni de închisoare, iar BPAS a fost amendat cu 200.000 de lire sterline pentru încălcarea protecției datelor.

„Pe lângă faptul că a criticat organizația de caritate pentru defecțiunile tehnice, autoritatea de reglementare a atras atenția asupra faptului că nimeni din personal nu s-a gândit să pună întrebările potrivite cu privire la instrumentele pe care le foloseau; au fost, de asemenea, supărați că site-ul avea o politică de confidențialitate legalistă, care în mod clar nu merita pixelii pe care a fost tipărit”, a spus Burns. „Toate aceste eșecuri au fost considerate inadmisibile și inescuzabile de către autoritatea de reglementare a protecției datelor. Nu este exagerat să spunem că femeile ar fi putut fi ucise din cauza unui formular de contact.”

Auditarea formularelor de contact este doar o piesă a puzzle-ului pentru cei care lucrează pentru respectarea GDPR. Burns recomandă administratorilor site-ului să efectueze o evaluare a impactului asupra confidențialității datelor personale și sensibile care sunt trimise prin formulare. Notificările de confidențialitate ar trebui, de asemenea, să fie clare cu privire la modul în care aceste date sunt gestionate și cât timp sunt păstrate înainte de a fi șterse.

GDPR a fost scris pentru a fi extrateritorial și prevede că reglementările se aplică oricărui site sau serviciu care are utilizatori europeni. Se așteaptă ca aceste site-uri să protejeze datele utilizatorilor din UE în conformitate cu reglementările europene. Mulți proprietari de companii americane nu sunt încă convinși că acest lucru este aplicabil în afara granițelor UE și nu au investit în ca entitățile lor online să fie conforme.

„GDPR oferă un cadru foarte util pentru protecția utilizatorilor, care este acum mai important ca niciodată”, a spus Burns. „Încurajez americanii să lucreze la GDPR pentru că este un cadru constructiv responsabil, care este mult mai bun decât nimic.”

Wider Gravity Forms Stop Entries este în prezent singurul plugin din directorul oficial WordPress care abordează preocupările GDPR pentru un anumit plugin de formular de contact. Altele pot deveni disponibile pe măsură ce se apropie termenul limită din mai 2018. Jonny Allbut avertizează utilizatorii din Întrebări frecvente să testeze pluginul cu extensii GF terță parte înainte de a-l adăuga pe un site live, deoarece unele extensii se pot baza pe referințele intrărilor de date stocate în trimiterile de formulare.

L-am întrebat pe Carl Hancock dacă Gravity Forms ar putea face stocarea intrărilor de formular în baza de date o caracteristică opțională și a confirmat că o iau în considerare.

„Da, acest lucru este cu siguranță posibil”, a spus Hancock. „Încercăm să evităm conflictele cu suplimentele terță parte disponibile pentru Gravity Forms pentru a încuraja dezvoltarea acestora”, a spus Hancock. „Dar, din păcate, nu este întotdeauna evitabil. Este o caracteristică care a fost solicitată de nenumărate ori în trecut și bănuiesc că, cu GDPR, va fi o caracteristică care va fi solicitată și mai mult în viitor.”