• โฮมเพจ
  • บทความ
  • แนะนำ
  • ปลั๊กอิน Gravity Forms Stop Entries มีเป้าหมายเพื่อช่วยให้ไซต์ปฏิบัติตาม GDPR . ของสหภาพยุโรป

ปลั๊กอิน Gravity Forms Stop Entries มีเป้าหมายเพื่อช่วยให้ไซต์ปฏิบัติตาม GDPR . ของสหภาพยุโรป

เผยแพร่แล้ว: 2017-08-17
เครดิตภาพ: AJ Montpetit

Wider Gravity Forms Stop Entries เป็นปลั๊กอินใหม่ที่ช่วยให้เจ้าของเว็บไซต์ปกป้องความเป็นส่วนตัวของการส่งแบบฟอร์มโดยป้องกันไม่ให้รายการถูกเก็บไว้ในฐานข้อมูล ปลั๊กอินนี้สร้างโดย Jonny Allbut นักพัฒนาเว็บในสหราชอาณาจักรเพื่อใช้ภายในที่ Wider ซึ่งเป็นบริษัทที่เขาจัดตั้งขึ้นเพื่อจัดการกับความต้องการของลูกค้า WordPress

แง่มุมหนึ่งของการปฏิบัติตามกฎระเบียบให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค (GDPR) ของสหภาพยุโรปคือทำให้มั่นใจว่าแบบฟอร์มการติดต่อจะไม่จัดเก็บข้อมูลที่สามารถระบุตัวบุคคลได้บนเซิร์ฟเวอร์ กฎระเบียบจะมีผลบังคับใช้ในเดือนพฤษภาคม 2018 และไซต์ที่ให้บริการพลเมืองของสหภาพยุโรปกำลังเตรียมกำหนดเส้นตายด้วยการตรวจสอบและการเปลี่ยนแปลงวิธีจัดการกับความเป็นส่วนตัว

Gravity Forms ไม่มีตัวเลือกในตัวเพื่อหยุดการจัดเก็บรายการบนเซิร์ฟเวอร์ แต่ Carl Hancock ผู้ร่วมก่อตั้ง GF กล่าวว่ามีหลายวิธีในการบรรลุสิ่งนี้

“ถ้าคุณต้องการเพียงแค่ส่งอีเมลเนื้อหาของแบบฟอร์มและไม่จัดเก็บข้อมูลในฐานข้อมูลเป็นส่วนหนึ่งของเส้นทางที่คุณต้องการปฏิบัติตาม GDPR ปลั๊กอินนี้จะเป็นวิธีหนึ่งในการทำเช่นนั้น” แฮนค็อก กล่าวว่า. เขายังอ้างถึงปลั๊กอิน Disable Entry Creation เชิงพาณิชย์ของ Gravity Wiz นักพัฒนายังสามารถลบข้อมูลรายการหลังจากส่งผ่านเบ็ด

“อย่างไรก็ตาม GDPR ไม่ได้กีดกันการจัดเก็บรายการแบบฟอร์มในฐานข้อมูล และขึ้นอยู่กับประเภทของข้อมูลที่คุณจัดเก็บและการป้องกันและการทำงานอื่น ๆ ที่คุณวางไว้” แฮนค็อกกล่าว “มันเป็นปัญหาที่ซับซ้อน และฉันไม่แน่ใจนักว่าสหภาพยุโรปจะเข้าใจภาระและนัยที่อาจจะเกิดขึ้นได้ทั้งหมด”

ในท้ายที่สุด ข้อกำหนดของการปฏิบัติตามข้อกำหนดนั้นขึ้นอยู่กับผู้ดูแลเว็บไซต์ที่เป็นผู้รวบรวมข้อมูล เป็นความรับผิดชอบของพวกเขาในการเลือกเครื่องมือที่จะปกป้องความเป็นส่วนตัวของผู้ใช้

Heather Burns ผู้เชี่ยวชาญด้านกฎหมายดิจิทัลกล่าวว่า "แม้ว่าจะไม่สามารถปฏิบัติตาม GDPR ได้ แต่การขยายเวลาของ Jonny เป็นขั้นตอนที่จำเป็นมากในทิศทางที่ถูกต้อง Burns ปรึกษากับบริษัทที่ต้องการความช่วยเหลือในการทำให้ไซต์ของตนเป็นไปตาม GDPR “GDPR ต้องการการปฏิบัติตามหลักการความเป็นส่วนตัวโดยการออกแบบและส่วนหนึ่งคือการลดขนาดและการลบข้อมูล”

WordPress มีปลั๊กอินแบบฟอร์มติดต่อยอดนิยมมากมาย ทั้งแบบฟรีและเชิงพาณิชย์ ส่วนใหญ่จะเก็บรายการไว้ในฐานข้อมูลในกรณีที่อีเมลของผู้รับมีปัญหา ทำให้การสื่อสารไม่สูญหาย ผู้ดูแลไซต์ที่มีความกังวลเกี่ยวกับการปฏิบัติตาม GDPR จะต้องการตรวจสอบโซลูชันที่พวกเขาได้เลือกไว้สำหรับแบบฟอร์ม เบิร์นส์แนะนำว่าปลั๊กอินแบบฟอร์มการติดต่อต้องทำสามสิ่งต่อไปนี้:

  • ตรวจสอบให้แน่ใจว่าข้อมูลส่วนบุคคลและข้อมูลส่วนบุคคลที่ละเอียดอ่อนจากรายการแบบฟอร์มไม่ได้จัดเก็บไว้ในฐานข้อมูล
  • จัดเตรียมตัวเลือกการกำหนดค่าเพื่ออนุญาตให้ลบรายการในแบบฟอร์มการติดต่อโดยอัตโนมัติหลังจากช่วงระยะเวลาหนึ่ง
  • ตรวจสอบให้แน่ใจว่าข้อมูลแบบฟอร์มการติดต่อทั้งหมดถูกลบเมื่อปิดใช้งานหรือลบปลั๊กอิน

“โชคไม่ดีที่ทิศทางการเดินทางตรงกันข้ามอย่างสิ้นเชิง: รายการแบบฟอร์มการติดต่อมักจะถูกจัดเก็บไว้ในฐานข้อมูลตลอดไปโดยไม่คำนึงถึงเนื้อหาหรือความจำเป็น” เบิร์นส์กล่าว “ปลั๊กอินแบบฟอร์มติดต่อพร้อมตัวเลือกในการลบการส่งแบบฟอร์มโดยอัตโนมัติหลังจากช่วงระยะเวลาหนึ่งนั้นหายาก ฉันเคยเห็นนามสกุลของแบบฟอร์มการติดต่อที่ทำซ้ำรายการไปยังตารางที่แยกจากกัน ซึ่งถือว่าเป็นเรื่องบ้า เราจำเป็นต้องพัฒนาไปสู่การลดขนาดและการลบข้อมูล ไม่ใช่การเก็บรักษาและทำซ้ำ”

เมื่อเดือนที่แล้ว JJ Jay ได้เผยแพร่บทวิเคราะห์ว่าปลั๊กอินรูปแบบการติดต่อ WordPress ที่เป็นที่นิยมจะเก็บข้อมูลอย่างไรและที่ไหน นี่เป็นข้อมูลอ้างอิงที่เป็นประโยชน์สำหรับผู้ดูแลไซต์ที่ไม่แน่ใจว่าโซลูชันที่เลือกไว้จะจัดการกับการรวบรวมข้อมูลและการจัดเก็บข้อมูลอย่างไร เธอแนะนำคำถามสองสามข้อให้ผู้ใช้ถามเมื่อตรวจสอบแบบฟอร์มการติดต่อ:

  • สามารถเปิดและปิดตัวเลือกในการจัดเก็บข้อมูลได้หรือไม่?
  • ในระดับใด?
  • ข้อมูลสามารถถูกลบเมื่อปลั๊กอินถูกลบได้หรือไม่?
  • ข้อมูลส่วนบุคคลใดที่สามารถระบุตัวตนได้ นอกเหนือจากข้อมูลจากแต่ละแบบฟอร์ม ถูกจัดเก็บไว้? (เช่นที่อยู่ IP ของผู้ใช้)
  • เป็นไปได้ไหมที่จะลบการส่งแบบเฉพาะกิจหรือตามกำหนดเวลา?

หากคุณไม่แน่ใจว่าจะมีอะไรเหลืออยู่ในฐานข้อมูลของคุณจากปลั๊กอินอื่น Jay ได้สร้าง "ฐานข้อมูลของฉันคืออะไร" ปลั๊กอินที่ผู้ดูแลระบบสามารถติดตั้งและเข้าถึงได้ภายใต้เมนูเครื่องมือ เป็นแบบอ่านอย่างเดียวและแสดงรายการทุกตารางและคอลัมน์ เพื่อให้ผู้ใช้สามารถดูว่ามีอะไรที่น่าประหลาดใจหรือไม่

การแฮ็ก British Pregnancy Advice Service (BPAS) เน้นถึงอันตรายจากการจัดเก็บแบบฟอร์มการติดต่อในฐานข้อมูล

ในการให้ความรู้เจ้าของเว็บไซต์เกี่ยวกับอันตรายของการจัดเก็บข้อมูลส่วนบุคคลที่ละเอียดอ่อน Heather Burns มักจะอ้างถึงการแฮ็ก British Pregnancy Advice Service (BPAS) ในปี 2555 เป็นหนึ่งในตัวอย่างที่เลวร้ายที่สุดของการจัดเก็บรายการแบบฟอร์มการติดต่อในฐานข้อมูล แฮ็กเกอร์ซึ่งถูกจำคุกในเวลาต่อมา ได้ขโมยบันทึกนับพันรายการจากองค์กรการกุศล ซึ่งทำงานบน CMS ที่ล้าสมัยที่ไม่รู้จักและมีรหัสผ่านที่ไม่รัดกุม ไซต์ไม่ได้รับการประเมินผลกระทบต่อความเป็นส่วนตัวเกี่ยวกับวิธีการรวบรวมและจัดเก็บข้อมูลส่วนบุคคล

“หนึ่งในบริการที่ BPAS เสนอคือการเข้าถึงการทำแท้ง” เบิร์นส์กล่าว “ผู้ใช้บริการหลายคนมาจากไอร์แลนด์ ซึ่งห้ามทำแท้งในเกือบทุกสถานการณ์ ไซต์นี้มีแบบฟอร์มติดต่อที่ผู้หญิงสามารถสอบถามเกี่ยวกับการทำแท้งได้ BPAS คิดว่าข้อความเป็นเพียงการส่งผ่านเว็บไซต์ ไม่มีใครในองค์กรทราบเบาะแสใด ๆ ว่าสำเนาของการส่งแบบฟอร์มการติดต่อแต่ละครั้งถูกเก็บไว้ในฐานข้อมูล ค่อนข้างหลีกเลี่ยงไม่ได้ ไซต์ดังกล่าวถูกแฮ็กได้ง่ายโดยนักเคลื่อนไหวต่อต้านการทำแท้งที่ดาวน์โหลดฐานข้อมูล เขาพบว่าตัวเองครอบครองแบบฟอร์มการติดต่อที่ส่งเข้ามามากกว่า 5,000 รายการย้อนหลังไป 5 ปี ซึ่งมีชื่อของผู้หญิง ที่อยู่อีเมล หมายเลขโทรศัพท์ และข้อเท็จจริงที่ว่าพวกเขาสอบถามเกี่ยวกับการทำแท้ง จากนั้นเขาก็ประกาศความตั้งใจที่จะเผยแพร่ข้อมูลของผู้หญิงในฟอรัมต่อต้านการทำแท้ง”

แฮ็กเกอร์ถูกจับและจับกุมก่อนจะมีโอกาสเผยแพร่รายชื่อ เขาได้รับโทษจำคุก 32 เดือนและ BPAS ถูกปรับ 200,000 ปอนด์สำหรับการละเมิดการปกป้องข้อมูล

“นอกจากการวิพากษ์วิจารณ์องค์กรการกุศลสำหรับความล้มเหลวทางเทคนิคแล้ว หน่วยงานกำกับดูแลยังเรียกร้องให้ให้ความสนใจกับข้อเท็จจริงที่ว่าไม่มีใครในพนักงานคิดว่าจะถามคำถามที่เหมาะสมเกี่ยวกับเครื่องมือที่พวกเขาใช้ พวกเขายังโกรธที่ไซต์มีนโยบายความเป็นส่วนตัวที่ถูกต้องตามกฎหมายซึ่งเห็นได้ชัดว่าไม่คุ้มกับพิกเซลที่พิมพ์” เบิร์นส์กล่าว “ความล้มเหลวทั้งหมดเหล่านี้ถือว่ายอมรับไม่ได้และยกโทษให้ไม่ได้โดยผู้ควบคุมการปกป้องข้อมูล ไม่ใช่เรื่องเกินจริงที่จะบอกว่าผู้หญิงอาจถูกฆ่าตายเพราะแบบฟอร์มการติดต่อ”

แบบฟอร์มการติดต่อตรวจสอบเป็นเพียงส่วนหนึ่งของปริศนาสำหรับผู้ที่ทำงานเพื่อปฏิบัติตาม GDPR Burns แนะนำให้ผู้ดูแลไซต์ดำเนินการประเมินผลกระทบต่อความเป็นส่วนตัวของข้อมูลส่วนบุคคลและข้อมูลที่ละเอียดอ่อนที่ส่งผ่านแบบฟอร์ม ประกาศความเป็นส่วนตัวควรมีความชัดเจนเกี่ยวกับวิธีการจัดการข้อมูลนี้และระยะเวลาเก็บรักษาก่อนที่จะถูกลบ

GDPR ถูกเขียนขึ้นเพื่อเป็นข้อมูลนอกอาณาเขตและระบุว่าข้อบังคับมีผลกับไซต์หรือบริการใดๆ ที่มีผู้ใช้ในยุโรป ไซต์เหล่านี้ได้รับการคาดหวังให้ปกป้องข้อมูลของผู้ใช้ในสหภาพยุโรปตามระเบียบข้อบังคับของยุโรป เจ้าของบริษัทอเมริกันจำนวนมากยังไม่เชื่อว่าสิ่งนี้สามารถบังคับใช้นอกเขตแดนของสหภาพยุโรป และยังไม่ได้ลงทุนในการทำให้หน่วยงานออนไลน์ของตนปฏิบัติตาม

“GDPR ให้กรอบการทำงานที่เป็นประโยชน์อย่างมากสำหรับการปกป้องผู้ใช้ ซึ่งตอนนี้มีความสำคัญมากกว่าที่เคย” Burns กล่าว “ฉันสนับสนุนให้คนอเมริกันทำงานกับ GDPR เพราะมันเป็นกรอบการทำงานที่รับผิดชอบเชิงสร้างสรรค์ซึ่งดีกว่าไม่ทำอะไรเลย”

ฟอร์มแรงโน้มถ่วงที่กว้างขึ้นในปัจจุบันเป็นเพียงปลั๊กอินเดียวในไดเร็กทอรี WordPress อย่างเป็นทางการที่กล่าวถึงข้อกังวลของ GDPR สำหรับปลั๊กอินแบบฟอร์มการติดต่อเฉพาะ คนอื่นอาจพร้อมใช้งานเมื่อใกล้ถึงเส้นตายในเดือนพฤษภาคม 2018 Jonny Allbut เตือนผู้ใช้ในคำถามที่พบบ่อยเพื่อทดสอบปลั๊กอินกับส่วนขยาย GF ของบริษัทอื่นก่อนที่จะเพิ่มลงในไซต์ที่ใช้งานจริง เนื่องจากส่วนขยายบางตัวอาจอาศัยการอ้างอิงรายการข้อมูลที่จัดเก็บไว้ในการส่งแบบฟอร์ม

ฉันถามคาร์ล แฮนค็อกว่า Gravity Forms อาจทำให้การจัดเก็บรายการแบบฟอร์มในฐานข้อมูลเป็นฟีเจอร์เสริมหรือไม่ และเขายืนยันว่าพวกเขากำลังพิจารณาอยู่

“ใช่ มันเป็นไปได้อย่างแน่นอน” แฮนค็อกกล่าว “เราพยายามหลีกเลี่ยงความขัดแย้งกับส่วนเสริมของบุคคลที่สามที่มีให้สำหรับ Gravity Forms เพื่อสนับสนุนการพัฒนาของพวกเขา” แฮนค็อกกล่าว “แต่น่าเสียดายที่มันไม่สามารถหลีกเลี่ยงได้เสมอไป มันเป็นคุณสมบัติที่มีการร้องขอหลายครั้งในอดีต และฉันสงสัยว่าด้วย GDPR มันจะเป็นคุณสมบัติที่จะถูกร้องขอมากยิ่งขึ้นในอนาคต”