A guerra da privacidade está chegando

Desde o surgimento do marketing digital, as pessoas são solicitadas a fornecer suas informações pessoais em troca de informações online. Essa "troca de informações" ainda é uma tática digital comum. No entanto, não são apenas os formulários de marketing que coletam dados. Formulários de contato, carrinhos de compras e formulários digitais de assistência médica são exemplos de como os dados estão sendo capturados.
Desde o surgimento do marketing digital, as pessoas são solicitadas a fornecer suas informações pessoais em troca de informações online. Essa "troca de informações" ainda é uma tática digital comum. No entanto, não são apenas os formulários de marketing que coletam dados. Formulários de contato, carrinhos de compras e formulários digitais de assistência médica são exemplos de como os dados estão sendo capturados.
Compartilhe

Os padrões de privacidade só vão aumentar. É hora de as organizações anteciparem o acerto de contas que está por vir.

Desde o surgimento do marketing digital, as pessoas são solicitadas a fornecer suas informações pessoais em troca de informações online. Essa “troca de informações” ainda é uma tática digital comum. No entanto, não são apenas os formulários de marketing que coletam dados. Formulários de contato, carrinhos de compras e formulários digitais de assistência médica são exemplos de como os dados estão sendo capturados.

Embora a privacidade de dados não tenha sido a maior prioridade para muitos aplicativos da Web, há um ajuste de contas no horizonte. Estamos vendo um número crescente de notícias sobre empresas fazendo coisas obscuras com dados de clientes, litígios surgindo sobre a coleta excessiva de dados, multas massivas do Regulamento Geral de Proteção de Dados (GDPR) para políticas de privacidade de base ampla e a primeira multa de todos os tempossob os novos regulamentos da Lei de Privacidade do Consumidor da Califórnia (CCPA). Embora ainda existam padrões de privacidade muito limitados nos Estados Unidos, a Federal Trade Commission (FTC) está em pé de guerra em relação à privacidade de dados, e seu alcance também inclui ações punitivas contra executivos de empresas. É hora de as organizações avançarem e começarem a se antecipar a essas questões de privacidade.

Qual é exatamente o problema?

Atualmente, enfrentamos dois grandes desafios quando se trata de privacidade digital: coleta de dados sem consentimento e abuso da coleta de dados com consentimento. Ambos os problemas decorrem do nível crescente de complexidade e código de terceiros em aplicativos da Web modernos. Além disso, mais lógica e funcionalidade do aplicativo foram transferidas para o lado do cliente (dentro do navegador), onde as ferramentas de segurança tradicionais não conseguem chegar. Essa falta de visibilidade e proteção no lado do cliente está criando a tempestade de privacidade perfeita para organizações de todos os tamanhos.

Vamos examinar um pouco mais profundamente os dois principais problemas que as organizações enfrentam hoje.

Pare de roubar meus dados (sem meu consentimento)

Hoje, quando você preenche um formulário ou cria uma conta online, existe uma expectativa de que você será comercializado. A política de privacidade e os termos de serviço geralmente especificam que suas informações serão usadas para fins de marketing, análise e publicidade. Mas o que acontece quando seus dados são enviados a terceiros antes de você enviar o formulário? Ou pior, o que acontece quando dados sobre você, seu navegador e o dispositivo em que você está são capturados antes de você consentir com qualquer coisa?

Esse tipo de coleta de dados pode não ser a intenção da organização, mas, mesmo assim, a inclusão de código de terceiros torna essa captura de dados invisível uma realidade. Ao conduzir uma análise de dezenas de aplicativos populares de software como serviço (SaaS), descobrimos que mais de 85% do tempo, terceiros estão capturando seus dados antes de você enviar um formulário. Essa captura de dados sem consentimento lembra os ataques de clonagem digital, que realizam tipos muito semelhantes de captura de dados para fins maliciosos.

Parar de compartilhar meus dados (mesmo com meu consentimento)

O segundo problema que encontramos é quando você preenche um formulário, como se inscrever para uma nova conta, e concorda explicitamente com a política de privacidade. Embora você reconheça que seus dados provavelmente serão compartilhados, é importante entender com quem eles serão compartilhados. Freqüentemente, descobrimos que as políticas de privacidade para organizações são escritas de maneira extremamente ampla para oferecer a maior flexibilidade e redução de responsabilidade para a organização, sem nenhuma consideração pelo indivíduo.

Se seus dados forem enviados para uma dúzia de terceiros quando você se inscrever para uma conta, o risco de expor seus dados em um incidente de segurança cibernética aumenta significativamente. Não é mais apenas com a empresa em questão que você deve se preocupar, mas com todos os terceiros que recebem uma cópia de seus dados.

Como podemos consertar isso?

Como indivíduo, a melhor coisa que você pode fazer é usar uma extensão de navegador com foco na privacidade, como uBlock Origin ou Ghostery . Ambos podem ajudar a filtrar automaticamente rastreadores digitais de terceiros enquanto adicionam uma camada de proteção à sua privacidade. Embora seja impossível contabilizar todos os riscos de terceiros, essa camada inicial de proteção é um passo na direção certa.

Mas e as organizações? Isso é um pouco mais problemático, devido à complexidade dos sites e aplicativos da Web modernos (como mencionei anteriormente). Para enfrentar esse desafio de privacidade, as organizações precisam se concentrar em duas áreas principais: identificação de ativos de dados e acesso a esses ativos. Em outras palavras, quais tipos de dados você está coletando e quais terceiros têm acesso a esses dados.

Como a maioria dos aplicativos da Web não possui uma limpeza centralizada de todos os campos de entrada, o processo de identificação exige que alguém (geralmente da equipe de segurança do aplicativo) inspecione manualmente cada página da Web para inclusão de ativos de dados.

Depois que cada ativo de dados for identificado, será necessária outra revisão dessas páginas da Web, desta vez para investigar manualmente qual código de terceiros é carregado na página e quais partes têm acesso direto aos ativos de dados.

Todo esse processo consome muito tempo e é ainda mais complicado pelo fato de as equipes de segurança do aplicativo não possuírem o aplicativo. Isso exigirá que várias equipes, como marketing, jurídico, desenvolvimento, produto e AppSec, trabalhem juntas para determinar qual código de terceiros pertence à funcionalidade crítica e o que precisa ser removido.

O tempo e o custo de recursos associados a trazer melhores proteções de privacidade para seus aplicativos da Web podem não valer a pena a princípio, mas considere os custos duplos de uma multa (da Federal Trade Commission) e a perda de confiança de seus usuários finais. A pressão por melhores padrões de privacidade está aumentando, e é apenas uma questão de tempo até que cada estado tenha um requisito de privacidade digital em vigor.