Wider Gravity Forms Stop Entries — это новый плагин, который помогает владельцам веб-сайтов защищать конфиденциальность представлений форм, предотвращая хранение записей в базе данных. Плагин был создан британским веб-разработчиком Джонни Allbut для внутреннего использования в Wider, компания, которую он создал для обработки потребностей клиентов WordPress.
Одним из аспектов соблюдения Общего регламента ЕС по защите данных (GDPR) является обеспечение того, чтобы контактные формы не хранили на сервере какие-либо личные идентифицируемые данные. Регулирование вступает в силу в мае 2018 года, и сайты, обслуживающие граждан ЕС, готовятся к крайнему сроку с проверками и изменениями в том, как они относятся к конфиденциальности.
Gravity Forms не предлагает встроенный вариант, чтобы остановить записи от хранения на сервере, но GF соучредитель Карл Хэнкок говорит Есть целый ряд способов для достижения этой цели.
«Если все, что вы хотите сделать, это просто по электронной почте содержимое формы, а не хранить данные в базе данных в рамках маршрута вы хотели бы взять для соответствия GDPR, этот плагин будет одним из методов сделать это», сказал Хэнкок. Он также сослался на коммерческий плагин Gravity Wiz Disable Entry Creation. Разработчики также могут удалять данные о входе после отправки через крючок.
«Однако GDPR не исключает хранения записей формы в базе данных и полностью зависит от типа данных, которые вы храните, и других гарантий и функциональности, которые вы ввели в действие», сказал Хэнкок. «Это сложный вопрос, и я не совсем уверен, что ЕС полностью понимает бремя и последствия, которые могут прийти с ним».
В конечном счете, требование соответствия падает на администраторов веб-сайтов, которые являются те, сбор данных. Они несут ответственность за выбор инструментов, которые будут защищать конфиденциальность своих пользователей.
«Хотя он не будет обеспечивать соответствие GDPR сам по себе, расширение Джонни является столь необходимым шагом в правильном направлении», специалист по цифровому праву Хизер Бернс сказал. Бернс консультируется с компаниями, которые нуждаются в помощи в получении своих сайтов GDPR совместимым. «GDPR требует соблюдения принципов конфиденциальности по дизайну и частью этого является минимизация и удаление данных».
WordPress имеет десятки популярных плагинов контактной формы, как бесплатные, так и коммерческие. Многие из них хранят записи в базе данных в случае, если электронная почта получателя имеет проблемы, предотвращая потеря сообщения. Администраторы сайтов, обеспокоенные соответствием требованиям GDPR, захотят изучить выбранное ими решение для форм. Бернс сообщил, что плагины контактной формы должны делать следующие три вещи:
- Убедитесь, что личные и конфиденциальные персональные данные из записей формы не хранятся в базе данных;
- Предоставить параметры конфигурации, позволяющие автоматически удалять записи контактной формы по истечении определенного периода времени;
- Убедитесь, что все данные контактной формы удаляются при отключении или удалении плагина.
«К сожалению, направление путешествия было прямо противоположным: записи контактной формы, как правило, хранятся навечно в базе данных, независимо от содержания или необходимости», сказал Бернс. Контактная форма плагинов с опциями для автоматического удаления формы представлений после определенного периода времени редки. Я даже видел контактную форму расширений, которые дублируют записи в отдельную таблицу, которая, все вещи считаются, это безумие. Мы должны развиваться в направлении минимизации и удаления данных, а не к хранению и дублированию».
В прошлом месяце JJ Jay опубликовал анализ того, как и где популярные WordPress контакт формы плагинов хранения данных. Это полезная ссылка для администраторов сайтов, которые не уверены в том, как выбранное ими решение обрабатывает сбор и хранение данных. Она предложила несколько вопросов для пользователей, чтобы спросить при изучении контактных форм:
- Можно ли включать и выключать возможность хранения данных?
- При какой детализации?
- Можно ли удалить данные при удалении плагина?
- Какие личные идентифицируемые данные, кроме данных из каждой формы, хранятся? (т.е. IP-адрес пользователя)
- Можно ли удалить материалы на специальной или плановой основе?
Если вы не уверены, что может быть оставлено в вашей базе данных от других плагинов, Джей также создал «Что в моей базе данных?» Плагин, что администраторы могут установить и получить доступ в меню Инструменты. Он читается только и перечисляет каждую таблицу и ее столбцы, чтобы пользователи могли видеть, есть ли какие-либо сюрпризы.
Британская служба консультации по беременности (BPAS) Hack Основные моменты опасность хранения контактной формы Записи в базе данных
В обучении владельцев веб-сайтов об опасности хранения конфиденциальных персональных данных, Хизер Бернс часто цитирует 2012 Британской службы консультации беременности (BPAS) взломать как один из худших примеров последствий хранения контактной формы записей в базах данных. Хакер, который позже был заключен в тюрьму, украл тысячи записей из благотворительной организации, которая бежала на неизвестной устаревшей CMS со слабыми паролями. Сайт не прошел оценку влияния на конфиденциальность на методы сбора и хранения персональных данных.
«Одна из услуг, которые предлагает BPAS, — это доступ к абортам», — сказал Бернс. «Многие из их пользователей услуг приезжают из Ирландии, где аборты запрещены практически при любых обстоятельствах. На сайте имеется контактная форма, в которой женщины могут успокиваться об абортах. BPAS думал, что сообщения были просто проходящие через сайт; никто в организации не имел никаких оснований для того, чтобы в базе данных хранилась копия каждой отправки контактной формы. Несколько неизбежно, сайт был легко взломан анти-аборт активист, который скачал базу данных. Он обнаружил, что в распоряжении более 5000 контактной формы представлений, начиная с пяти лет, содержащих женские имена, адреса электронной почты, номера телефонов, и тот факт, что они были запрос об абортах. Затем он объявил о своем намерении опубликовать данные женщин на форуме по борьбе с абортами».
Хакер был пойман и арестован, прежде чем он имел возможность опубликовать список. Он получил 32 месяца тюремного заключения, а BPAS был оштрафован на 200 тысяч фунтов стерлингов за нарушения в области защиты данных.
«Наряду с критикой благотворительности за их технические сбои регулятор обратил внимание на то, что никто из сотрудников не думал задавать правильные вопросы об инструментах, которые они использовали; они также были сердиты, что сайт был законным политики конфиденциальности, которая явно не стоит пикселей он был напечатан на «, сказал Бернс. «Все эти сбои были признаны недопустимыми и непростительными регулятором защиты данных. Не будет преувеличением сказать, что женщинмогли убить из-за контактной формы».
Аудит контактных форм является лишь частью головоломки для тех, кто работает над соблюдением GDPR. Бернс рекомендует администраторам сайтов проводить оценку влияния на конфиденциальность персональных и конфиденциальных данных, которые передаются через формы. Уведомления о конфиденциальности также должны быть четко ясны о том, как эти данные обрабатываются и как долго они сохраняются, прежде чем они будут удалены.
GDPR был написан, чтобы быть экстерриториальным и говорится, что правила применяются к любому сайту или службе, которая имеет европейских пользователей. Ожидается, что эти сайты будут защищать данные пользователей ЕС в соответствии с европейскими правилами. Многие владельцы американских компаний еще не убеждены в том, что это возможно за пределами ес-границ, и не инвестировали в обеспечение соблюдения своих онлайн-организаций.
«GDPR обеспечивает очень полезную основу для защиты пользователей, которая в настоящее время более важна, чем когда-либо», сказал Бернс. «Я призываю американцев работать в GDPR, потому что это конструктивная подотчетная структура, которая чертовски много лучше, чем ничего».
Более широкая гравитация Формы Стоп Записи в настоящее время является единственным плагином в официальном каталоге WordPress, который решает gdpR проблемы для конкретной формы контакта плагина. Другие могут стать доступными по мере приближения крайнего срока в мае 2018 года. Джонни Allbut предупреждает пользователей в часто задаваемые вопросы, чтобы проверить плагин с сторонними расширениями GF, прежде чем добавлять его в живой сайт, так как некоторые расширения могут полагаться на ссылки данных записей, хранящихся в форме представлений.
Я спросил Карл Хэнкок, если гравитация формы могут сделать хранение формы записей в базе данных необязательным функцией, и он подтвердил, что они рассматривают его.
«Да, это, безусловно, возможно», сказал Хэнкок. «Мы стараемся избегать конфликтов с имеющимися третьей стороной дополнения для гравитации формы поощрять их развитие», сказал Хэнкок. «Но, к сожалению, этого не всегда можно избежать. Это функция, которая была запрошена много раз в прошлом, и я подозреваю, с GDPR это будет функция, которая будет предложено еще больше идти вперед «.
Оригинал: wptavern.com
