Convert es la herramienta de prueba más centrada en la privacidad del mercado. Este es el por qué

Llevamos una década mejorando los resultados.

Y con más de 30 mil millones de experiencias probadas, hemos perfeccionado una herramienta que impulsa conversiones mejoradas para clientes de todas las industrias posibles, sin problemas.

Pero cuando llegó el maremoto del RGPD, queríamos ir más allá de mejorar los resultados.

Queríamos ser la herramienta de optimización para usuarios inteligentes en un mundo donde las preocupaciones sobre la privacidad van a ser cada vez más importantes con cada año que pasa.

Tomó la mayor parte de 8 meses, miles de horas, cientos de (pequeños) argumentos, pero logramos lograr todo lo que queríamos.

Todo lo que necesita para ejecutar pruebas y extraer información, sin ignorar el RGPD o el Reglamento de privacidad electrónica.

Tabla de contenidos:

Actualizaciones en la aplicación: equilibrando la privacidad y las funciones

Anonimización de la identificación del visitante: prueba sin consentimiento en nuestro modo predeterminado

Un principio importante del Reglamento General de Protección de Datos (RGPD) de la Unión Europea (capítulo 2, artículo 5) es la minimización de datos.

Esto significa que, en el contexto de los datos personales, los proveedores de productos y servicios solo deben recopilar, almacenar y procesar lo que sea adecuado, relevante y limitado a su caso comercial.

No existe una definición clara de qué datos personales deben recopilarse y cuáles no. Se basa completamente en el caso de uso específico.

Para practicar el principio de minimización de datos, anonimizamos la identificación del visitante en nuestro seguimiento al agrupar a cientos de visitantes del sitio web en grupos de visitantes que solo cuentan la presencia del visitante .

Los visitantes individuales no se almacenan en Convert Experiences. No será posible volver a conectar recuentos de grupos a visitantes individuales de ninguna manera.

GDPR nos brindó la oportunidad de analizar detenidamente lo que estábamos almacenando en Convert y cuál era el caso de uso para mantenerlo en un entorno cada vez más centrado en la privacidad.

Eliminación de ID de transacciones: Obtener "Push"

También cambiamos nuestro seguimiento de ingresos para usar pushRevenue en lugar de sendRevenue .

• pushRevenue no envía ningún ID de transacción.
• sendRevenue envía el ID de la transacción, pero se ignora y no se almacena.

 <script>    window['_conv_q'] = window['_conv_q'] || [];    window['_conv_q'].push(["pushRevenue",revenue,products_cnt,goal_id]); </script>

Caducidad persistente de cookies: eres genial, pero te recordaremos solo durante 6 meses

Las cookies persistentes se colocan en la computadora de un usuario cuando inicia sesión por primera vez en un sitio web y permanecen en esa computadora incluso después de que el usuario sale del sitio y cierra el navegador.

Estas cookies han tomado el nombre de "cookies de seguimiento", ya que los anunciantes las utilizan a menudo para rastrear el movimiento de un usuario del sitio a través de múltiples páginas web y crear anuncios dirigidos basados ​​en la navegación del usuario y los patrones de búsqueda.

Cada cookie persistente tiene un nombre y una fecha de caducidad establecida por el creador.

Cuando un sitio web envía una cookie, le pide a su navegador que conserve esa cookie en particular hasta que haya pasado una fecha y hora determinadas.

De acuerdo con la recomendación de la Directiva de privacidad electrónica, las cookies persistentes deben eliminarse cada 12 meses como mínimo, pero desafortunadamente la mayoría se almacenan mucho más tiempo.

En Google Adwords una cookie puede durar hasta 540 días y en Google Analytics una cookie puede durar hasta 2 años. ¡Se han registrado ejemplos de cookies que se hicieron para tener una vida útil de +7000 años!

Las cookies persistentes pueden ser mal utilizadas fácilmente y existe una gran preocupación en torno a esta eventualidad. De hecho, Yahoo reveló que los ataques informados a sus servidores incluían cookies robadas y falsificadas que permitían a los piratas acceder a las cuentas de los usuarios sin necesidad de una contraseña. Esto significa que los piratas informáticos pudieron copiar las cookies persistentes ubicadas en los servidores de Yahoo, crear versiones falsificadas de ellas y luego acceder a las cuentas de los usuarios con poco esfuerzo.

Para responder a este desafío de privacidad, en Convert implementamos una reducción del límite de almacenamiento de por vida de las cookies persistentes de 12 meses a 6 meses.

Eliminación de cookies de terceros: no estamos "hablando" con ellos

Una cookie de terceros es una cookie que (a) proviene de un dominio diferente, o (b) es "establecida por un controlador de datos que es distinto del que opera el sitio web visitado por el usuario".

Puede instalar un programa llamado Lightbeam en su navegador FireFox que le permite ver todas las cookies de terceros descargadas en las sombras de su navegador web. Aquí están mis resultados para mis sitios más visitados:

Como puede ver en la captura de pantalla anterior, mi navegador se ha convertido literalmente en un tarro de galletas, justo después de visitar 7 sitios web.

Los sitios a menudo señalan su visita a plataformas de terceros y comparten sus datos de navegación con ellos para obtener beneficios publicitarios y de marketing.

Las cookies han recibido mucha atención bajo la Directiva de privacidad electrónica porque no solo rastrean información sino que también pueden robar información.

La naturaleza y el proceso de seguimiento por parte de terceros crean un conflicto de intereses entre los usuarios y los propietarios del sitio web, especialmente cuando se trata de cookies de terceros de anuncios en el sitio.

Si su sitio utiliza cookies de terceros o permite su uso, se expone a más consecuencias según la ley de cookies.

Para garantizar la total privacidad de los clientes y visitantes, a partir del 21 de febrero de 2018, deshabilitamos todas las cookies de terceros.

Te cubrimos las espaldas: ¡Advertencias convenientes del RGPD!

Introdujimos advertencias para informar a nuestros clientes sobre configuraciones u opciones relacionadas con el RGPD utilizadas en sus Proyectos o Experimentos:

• Convert Experiences ha permitido tradicionalmente agrupar a los visitantes del sitio por condiciones como ubicación y comportamiento. Estos grupos se conocen como segmentos personalizados. Sin embargo, después de GDPR, si la función de segmentación está habilitada, las autoridades de privacidad en Europa pueden interpretar esto como una forma de identificar a los interesados. Para informar a los usuarios, hemos insertado advertencias llamativas que se activan si la segmentación está habilitada para al menos una audiencia.

• Audiencias creadas con datos personales: existe una advertencia del RGPD en las audiencias guardadas y en las páginas de resumen de la experiencia cuando las audiencias se crean con cookies o condiciones de JavaScript, o si se han dirigido a zonas horarias, ciudades, regiones, ID de clientes o etiquetas de clientes:

• Seguimiento de dominio cruzado: la cookie de dominio cruzado está desactivada de forma predeterminada para todos los proyectos en Convert Experiences. Al encenderlo se activa otra advertencia:

• Las experiencias de personalización pueden contener segmentos pequeños (menos de 100 visitantes únicos) y esto puede ser interpretado por las autoridades de privacidad en Europa como identificación de los interesados. Por ese motivo, hemos agregado una advertencia al resumen de cualquier experiencia de personalización.

El propósito de estas advertencias es garantizar que nuestros usuarios entiendan qué características pueden ser vistas como una posible "identificación" de los interesados ​​por parte de las autoridades de la UE.

¡Es difícil memorizar la esencia de los mandatos de GDPR y las directivas de privacidad electrónica!

Al usar Convert Experiences, trabaja con una herramienta que puede hacer mucho, pero también acentúa su potencial con recordatorios de que ciertas acciones ahora se interpretan de manera diferente en los países de la Unión Europea.

Tiene la posibilidad de desactivar las advertencias del RGPD.

Servidor de inicio de sesión: Frankfurt, Alemania

Otro gran cambio que ha introducido GDPR tiene que ver con la ubicación del almacenamiento de datos.

Este es sencillo.

Si almacena datos de ciudadanos de la UE, los datos deben permanecer en territorio de la UE. En otras palabras, debe tener servidores en países de la Unión Europea.

Los datos no deben enviarse a servidores fuera de la UE (a los EE. UU., por ejemplo), bajo ninguna circunstancia.

Trasladamos nuestro servidor de inicio de sesión de EE. UU. a un centro de datos en Frankfurt, Alemania, que funciona con energía neutra en carbono.

Configuración DNT: Tu navegador habla, nosotros escuchamos

Do Not Track es una tecnología y un marco legal que permite a los usuarios optar por no ser rastreados por redes publicitarias, servicios de análisis y plataformas sociales.

DNT potencia el tráfico con el poder de elección.

Es una característica de los navegadores web que permite a los usuarios expresar su preferencia por no ser rastreados en los sitios web y servicios que utilizan todos los días.

El RGPD de la UE impone el respeto de esta nueva preferencia de navegador. Combinadas, la tecnología y la ley brindan un camino viable para reclamar el derecho a la privacidad en la web.

DNT es un usuario que realiza una solicitud de función explícita, no quiero que me rastreen. DNT es una preferencia del usuario que obliga al navegador a enviar una solicitud HTTP al servidor diciéndole explícitamente que no rastree el comportamiento del usuario.

Hemos agregado soporte configurable para la configuración de "No rastrear" del navegador por proyecto.

De forma predeterminada, la opción APAGADO se selecciona cuando crea un nuevo proyecto, pero puede elegir cualquiera de las siguientes configuraciones:

• APAGADO
• Solo UE
• Solo EEE
• En todo el mundo

En resumen, permitimos que nuestros usuarios eviten contar o utilizar de alguna manera los datos de las personas que prefieren no ser rastreadas.

Obtenga más información sobre esta nueva función aquí.

Optar por no participar: un enlace para excluirlos a todos

Hay dos lados en la historia del rastreo.

Uno, los visitantes inteligentes del sitio web pueden optar por habilitar No rastrear en sus navegadores y esconderse de miradas indiscretas.

Dos, deberían tener el poder de optar por no seguir el seguimiento directamente desde los sitios web que visitan.

En Convert lo sabemos y hemos colocado la función de exclusión voluntaria https://www.convert.com/opt-out/ en la página de configuración de la aplicación Convert.

Con solo un clic en el enlace de exclusión voluntaria, los visitantes pueden optar por no ser rastreados por todos los sitios web que usan la aplicación Convert Experiences.

Pruebas de dominios cruzados: no permitidas de forma predeterminada

El seguimiento entre dominios hace posible que Convert Experiences vea sesiones en dos sitios relacionados (como un sitio de comercio electrónico y un sitio de carrito de compras separado) como una sola sesión. Esto a veces se denomina vinculación de sitios .

Supongamos que tiene una tienda en línea y un carrito de compras de terceros alojados en otro dominio, como:

• www.ejemplo-tienda.com
• www.ejemplo-comercio-host.com/ejemplo-tienda/

Sin el seguimiento entre dominios, un usuario que acceda a su tienda en línea y luego vaya a su carrito de compras de terceros se contará como dos usuarios separados, con dos sesiones separadas de diferente duración.

El seguimiento de dominios cruzados hace posible que Convert Experiences vea esto como una sola sesión de un solo usuario y la sesión que comenzaron en el sitio de la tienda continúa hasta el tiempo que pasan en el sitio del carrito de compras.

Sin embargo, dado que Cross Domain Tracking es un área gris en GDPR, al crear un nuevo proyecto, la opción configurable para no permitir Cross Domain Linking ahora está ACTIVADA de forma predeterminada.

DPIA: Nos tomamos los cambios en serio

Las evaluaciones de impacto de protección de datos (DPIA) ayudan a las organizaciones a identificar, evaluar y mitigar o minimizar los riesgos de privacidad con las actividades de procesamiento de datos. Son particularmente relevantes cuando se introduce un nuevo proceso, sistema o tecnología de procesamiento de datos.

Las DPIA también respaldan el principio de responsabilidad, ya que ayudan a las organizaciones a cumplir con los requisitos del RGPD y demuestran que se han tomado las medidas adecuadas para garantizar el cumplimiento.

¿Sabía que no realizar adecuadamente una DPIA cuando corresponde es una infracción del RGPD y podría dar lugar a multas de hasta el 2 % de la facturación global anual de una organización o 10 millones de euros, lo que sea mayor?

Como parte del proyecto GDPR de Convert, desarrollamos una guía para los miembros del equipo y una plantilla que se utiliza para realizar evaluaciones de impacto de protección de datos (DPIA).

Evaluación de interés legítimo (LIA): no asumimos

El interés legítimo es una de las seis bases legales establecidas en el RGPD para justificar el procesamiento de datos personales.

¡Y suena como el trabajo mínimo!

La base del interés legítimo es de amplio alcance y flexible. En términos simples, dice que puede procesar datos si procesar esos datos es una obviedad.

Pero hay tantas formas de interpretarlo, que usar el interés legítimo es simplemente abrirse a la duda y al escrutinio. Se recomienda encarecidamente que recurra a la base del interés legítimo cuando no se disponga de otras bases (p. ej., obligación legal o interés vital), o cuando el interés legítimo sea el más adecuado para la actividad de procesamiento.

Sin embargo, se requiere una evaluación de proporcionalidad . Antes de utilizar la base del interés legítimo, realice lo siguiente:

• Prueba de finalidad: identificar el interés legítimo;
• Prueba de necesidad: evaluar si el procesamiento es necesario para lograr ese interés; y
• Prueba de equilibrio: equilibrar el interés legítimo frente a los intereses, derechos y libertades del individuo.

Hemos realizado nuestra propia Evaluación de impacto de intereses legítimos (LIA) y hemos estructurado las opciones de consentimiento de nuestros puntos de contacto de marketing en consecuencia.

PCI-DSS para datos seguros de titulares de tarjetas: la información confidencial es nuestra prioridad

Seguimos los principios y estándares establecidos por el PCI Standards Council para almacenar y manejar información de tarjetas de crédito. Más información está disponible aquí.

Aunque PCI DSS se centra en proteger los datos del titular de la tarjeta de pago y la intención de GDPR es proteger los datos personales de los residentes de la UE, una infracción de PCI también es una infracción de datos personales.

En consecuencia, conforme al cumplimiento de PCI DSS, siempre hemos realizado revisiones anuales de los datos de los titulares de tarjetas. Este cronograma de revisiones nos brinda un marco que se ha utilizado al implementar medidas para cumplir con el RGPD.

Además, hemos invertido en tecnologías seguras para mantener seguros los datos de los titulares de tarjetas.

Más allá de las actualizaciones de la aplicación: Cambios del RGPD en el equipo Convert

Legal:

Hemos actualizado nuestra Política de Privacidad y Términos de Servicio. Hemos añadido una nueva Política de Cookies. Estas actualizaciones entraron en vigencia para los usuarios y clientes existentes y nuevos el 25 de mayo de 2018.
De acuerdo con el artículo 28, párrafo 4 del RGPD, firmamos un Acuerdo de procesamiento de datos (DPA) con todos nuestros clientes europeos como estándar.

Ventas:

Hemos hecho que nuestros procesos de venta cumplan con el RGPD.

• Chat en vivo . Si DNT está habilitado para navegadores, LiveChat no aparece. Hemos eliminado todas las direcciones IP de nuestro historial de LiveChat.
• Formulario de contacto . Se actualizó para cumplir con el RGPD.
• Solicite un formulario de demostración . También se actualizó para reflejar las opciones de consentimiento del RGPD.
• Re-permiso de campañas de correo electrónico . Realizamos campañas de renovación de permisos para todos los prospectos que están en conversación con los ejecutivos de cuenta para obtener su consentimiento para recibir asistencia 1:1.
• Formulario de prueba gratuito . Se actualizó para cumplir con el RGPD.

Marketing:

Hemos hecho que nuestros procesos de marketing cumplan con GDPR.

1. Clientes de correo electrónico saliente . Hemos detenido las campañas salientes en deferencia al RGPD.
2. Campaña de correo electrónico de renovación de permisos . Ejecutamos campañas de renovación de permisos en toda nuestra base de datos, obteniendo un consentimiento granular para contactarlos con diferentes tipos de comunicación.
3. Formulario de boletín . Se actualizó para cumplir con el RGPD.
4. Formas de imán de plomo . Se actualizaron para cumplir con el RGPD.
5. Formulario de seminario web . Se actualizó para cumplir con el RGPD.
6. Formulario de prueba gratuito . Se actualizó para cumplir con el RGPD.
7. Formulario de publicación de invitados . Se actualizó para cumplir con el RGPD.

Recursos Humanos (RH):

Capacitamos a nuestro personal con seminarios y todos ellos tienen un certificado GDPR que cubre los conocimientos básicos.

Atención al cliente:

Capacitamos a nuestro personal de CS para responder adecuadamente a las preguntas/boletos de GDPR y las violaciones de datos.

Desarrollo:

Se aplicaron varias pautas a nuestro círculo de desarrollo de software:

1. Capacitación (Los desarrolladores fueron capacitados en aspectos de Privacidad y Seguridad)
2. Diseño (Todos los requisitos de diseño orientados a datos y procesos fueron impulsados ​​por GDPR)
3. Codificación (los desarrolladores usan herramientas y marcos aprobados, deshabilitan funciones y módulos inseguros, y realizan regularmente análisis de código estático y revisión de código)
4. Pruebas (realizamos pruebas para garantizar que los requisitos de seguridad y protección de datos se implementaron correctamente)
5. Antes de cada lanzamiento, se estableció un Plan de respuesta a incidentes y se llevó a cabo una revisión de seguridad completa del software. Luego se aprobó el lanzamiento y se archivaron todos los datos relevantes de todo el proceso de desarrollo.
6. Mantenimiento (Convert está preparado para responder a incidentes, violaciones de datos personales, fallas y ataques, y es capaz de emitir actualizaciones, pautas e información para los usuarios y los afectados por el software)

Marco de políticas: Guiándonos hacia un futuro seguro de datos y centrado en la privacidad

Para garantizar una implementación y gestión consistentes y de alta calidad de los recursos, procesos y prácticas de TI, hemos definido un marco integral de políticas, procedimientos y estándares bien definidos.

Al desarrollar estas políticas, procedimientos y estándares de TI, hicimos referencia a la serie de estándares ISO 27000 que han sido reservados específicamente por ISO (Organización Internacional de Estándares) para asuntos de seguridad de la información.

Nuestras políticas de TI se dividen en dos áreas: políticas relacionadas con la seguridad y el uso de TI, y políticas relacionadas con los datos.

Políticas de seguridad y uso de TI:

Las siguientes políticas y procedimientos brindan una guía clara para la seguridad y el uso de TI:

1. Lista de verificación de privacidad y seguridad para el cumplimiento de GDPR : GDPR requiere que Convert proteja los datos personales de sus clientes y empleados en todas las etapas del ciclo de vida del procesamiento de datos. Con más empresas que adoptan y usan herramientas y software basados ​​en la nube, cumplir con este requisito es un desafío . Las empresas deben tener en cuenta diferentes aspectos tecnológicos y legales al buscar un proveedor de servicios. Esta política en particular nos permite tener en cuenta los factores más críticos al elegir proveedores de servicios y proveedores que se alineen con nuestro enfoque centrado en la privacidad.
2. Política de licencia de software de código abierto : el propósito de esta Política es permitir que el círculo de desarrollo sepa qué políticas de licencia de software de código abierto aceptar al desarrollar código.
3. Política de contraseñas de empleados : el propósito de esta política es garantizar que todos los recursos y datos de Convert Insights reciban una protección de contraseña adecuada. La política cubre a todos los empleados que son responsables de una o más cuentas o tienen acceso a cualquier recurso que requiera una contraseña.
4. Política de uso aceptable : esta política está diseñada para ayudar al personal de Convert Insights a comprender sus responsabilidades al utilizar, acceder o crear contenido con los recursos de TI o los servicios en red de Convert Insights. Aclara y define (dentro de lo razonable) lo que Convert Insights considera un uso aceptable de estos recursos.
5. Política web y de redes sociales : esta política aclara cómo Convert Insights gobierna este patrimonio digital y también proporciona pautas para los usuarios al crear contenido digital en nombre de Convert Insights y pautas sobre el uso de cuentas oficiales de redes sociales de Convert Insights.
6. Política de seguridad de TI : El objetivo de esta política de seguridad es promover una cultura que ayude a maximizar el valor de la información a través de su gestión eficiente y protección segura, así como salvaguardar Convert Insights y los derechos del personal y otras partes que dependen de la información.
7. Cuestionario de servicio de alojamiento externo : el propósito de este cuestionario es garantizar que los procesadores de datos de terceros (en términos del RGPD) tengan políticas y procedimientos de privacidad de datos y seguridad de TI aceptables para minimizar el riesgo de pérdida o exposición de los datos personales de Convert Insights. .

Políticas y procedimientos de datos:

Las siguientes políticas y procedimientos brindan una guía clara sobre la forma aceptable, segura y legal en la que Convert Insights debe usar y administrar los datos:

1. Política general de protección de datos : esta política es una declaración del compromiso de Convert Insights de proteger los derechos y la privacidad de las personas de acuerdo con el RGPD.
2. Plan de Gestión de Emergencias : El Equipo de Gestión de Emergencias (EMT) se reunirá en respuesta a una infracción y decidirá si es necesario invocar el Plan de Gestión de Emergencias. Este equipo actuará como un punto de escalamiento para incidentes graves o infracciones de políticas relacionadas con datos y recursos.
3. Política de gestión de datos : el propósito de esta política es permitir el acceso a los datos y la información en poder de Convert Insights, en la mayor medida posible, al mismo tiempo que garantiza que esté protegido contra el uso no autorizado, el acceso y las infracciones de la privacidad.
4. Procedimiento de clasificación de datos : la política de gestión de datos requiere que los propietarios de datos clasifiquen sus datos de acuerdo con su sensibilidad y criticidad. Este procedimiento establece cómo se debe realizar esta clasificación.
5. Política de capacitación sobre protección de datos del personal : esta política y cualquier otro documento al que se haga referencia en ella establecen la capacitación que se brindará al personal de Convert Insights para garantizar que todo el manejo de datos personales cumpla con el Reglamento general de protección de datos (GDPR).
6. Procedimiento de solicitud de acceso a datos : el propósito de este procedimiento es garantizar que Convert Insights cumpla con las disposiciones de solicitud de acceso del Reglamento general de protección de datos y permitir que las personas presenten solicitudes de acceso a datos cuando sea necesario.
7. Política de escalamiento de infracciones de datos personales: el propósito de estos procedimientos es proporcionar un marco para informar y gestionar infracciones de seguridad de datos que afecten a datos personales o confidenciales en poder de Convert Insights. Estos procedimientos son un complemento de la Política de Protección de Datos que afirman su compromiso de proteger los derechos de privacidad de las personas de acuerdo con la legislación de Protección de Datos.

Convertir GDPR no es un inconveniente.

Ha remodelado la forma en que se usa el análisis y ha redefinido su lugar en el mundo de la optimización.

La analítica ya no se trata de acumular datos de prospectos con la esperanza de encontrar información difícil de alcanzar.

Ya no se trata de asumir que la personalización es el camino a seguir.

El análisis y las pruebas posteriores al RGPD tienen que ver con el minimalismo. Aprovechar al máximo los datos que se pueden procesar de formas nuevas e innovadoras.

Si desea participar en una herramienta que lo respalde durante estos cambios de privacidad, ahora y en el futuro, denos un plazo de 15 días, sin obligaciones.