Convert è lo strumento di test più incentrato sulla privacy sul mercato. Ecco perché

Stiamo migliorando i risultati da un decennio ormai.

E con oltre 30 miliardi di esperienze testate, abbiamo perfezionato uno strumento che migliora le conversioni per i clienti di tutti i possibili settori, senza problemi.

Ma quando l'ondata di marea del GDPR ha colpito, volevamo andare oltre il miglioramento dei risultati.

Volevamo essere lo strumento di ottimizzazione per gli utenti esperti in un mondo in cui i problemi di privacy diventeranno sempre più importanti ogni anno che passa.

Ci sono voluti la maggior parte di 8 mesi, migliaia di ore, centinaia di (minuscole) discussioni ma siamo riusciti a realizzare tutto ciò che volevamo.

Tutto ciò di cui hai bisogno per eseguire test ed estrarre insight, senza trascurare il GDPR o il Regolamento ePrivacy.

Tabella dei contenuti:

Aggiornamenti in-app: bilanciamento di privacy e funzionalità

Anonimizzazione dell'ID del visitatore: test senza consenso nella nostra modalità predefinita

Un principio importante nel Regolamento generale sulla protezione dei dati (GDPR) dell'Unione Europea (Capitolo 2, Articolo 5) è la minimizzazione dei dati.

Ciò significa che nel contesto dei dati personali, i fornitori di prodotti e servizi dovrebbero raccogliere, archiviare ed elaborare solo ciò che è adeguato, pertinente e limitato al loro caso aziendale.

Non esiste una definizione chiara di quali dati personali dovrebbero essere raccolti e quali no. È completamente basato sul caso d'uso specifico.

Per mettere in pratica il principio di minimizzazione dei dati, abbiamo reso anonimo l'ID del visitatore nel nostro monitoraggio raggruppando centinaia di visitatori del sito Web in gruppi di visitatori che contano solo la presenza del visitatore .

I singoli visitatori non vengono memorizzati in Convert Experiences. Non sarà possibile ricollegare in alcun modo i conteggi dei gruppi ai singoli visitatori.

Il GDPR ci ha fornito l'opportunità di dare un'occhiata a ciò che stavamo archiviando in Convert e quale fosse il caso d'uso per mantenerlo in un ambiente sempre più incentrato sulla privacy.

Rimozione degli ID transazione: ottenere "Push"

Abbiamo anche modificato il monitoraggio delle entrate per utilizzare pushRevenue invece di sendRevenue .

• pushRevenue non invia alcun ID transazione.
• sendRevenue invia l'ID transazione ma viene ignorato e non memorizzato.

 <script>    window['_conv_q'] = window['_conv_q'] || [];    window['_conv_q'].push(["pushRevenue",revenue,products_cnt,goal_id]); </script>

Scadenza cookie persistente: sei fantastico ma ti ricorderemo solo per 6 mesi

I cookie persistenti vengono inseriti nel computer di un utente al primo accesso a un sito Web e rimangono su quel computer anche dopo che l'utente si allontana dal sito e chiude il browser.

Questi cookie hanno assunto il nome di "tracking cookie", poiché sono spesso utilizzati dagli inserzionisti per tracciare il movimento di un utente del sito su più pagine Web e creare annunci pubblicitari mirati in base alla navigazione dell'utente e ai modelli di ricerca.

Ogni cookie persistente ha un nome e una data di scadenza impostati dal creatore.

Quando un sito Web invia un cookie, chiede al tuo browser di conservare quel particolare cookie fino a una certa data e ora è trascorsa.

Secondo la raccomandazione della Direttiva ePrivacy, i cookie persistenti dovrebbero essere cancellati almeno ogni 12 mesi, ma sfortunatamente la maggior parte viene archiviata molto più a lungo.

In Google Adwords un cookie può durare fino a 540 giorni e in Google Analytics un cookie può durare fino a 2 anni. Sono stati registrati esempi di cookie che sono stati fatti per avere una durata di +7000 anni!

I cookie persistenti possono essere facilmente utilizzati in modo improprio e c'è molta preoccupazione per questa eventualità. Infatti, Yahoo ha rivelato che gli attacchi ai suoi server segnalati includevano cookie rubati e contraffatti che consentivano agli hacker di accedere agli account degli utenti senza la necessità di una password. Ciò significa che gli hacker sono stati in grado di copiare i cookie persistenti che si trovano sui server di Yahoo, crearne versioni contraffatte e quindi accedere agli account utente con poco sforzo.

Per rispondere a questa sfida alla privacy, noi di Convert abbiamo implementato una riduzione del limite di conservazione della durata dei cookie persistenti da 12 mesi a 6 mesi.

Rimozione dei cookie di terze parti: non stiamo "parlando" con loro

Un cookie di terza parte, è un cookie che (a) proviene da un dominio diverso, oppure (b) è "impostato da un titolare del trattamento diverso da quello che gestisce il sito web visitato dall'utente".

Puoi installare un programma chiamato Lightbeam sul tuo browser FireFox che ti consente di vedere tutti i cookie di terze parti scaricati nell'ombra del tuo browser web. Ecco i miei risultati per i miei siti più visitati:

Come puoi vedere nello screenshot qui sopra, il mio browser è letteralmente diventato un barattolo di biscotti, subito dopo aver visitato 7 siti web.

I siti spesso segnalano la tua visita a piattaforme di terze parti e condividono con loro i tuoi dati di navigazione per vantaggi pubblicitari e di marketing.

I cookie hanno ricevuto molta attenzione ai sensi della Direttiva ePrivacy perché non solo tengono traccia delle informazioni, ma possono anche rubare informazioni.

La natura e il processo di tracciamento da parte di terze parti creano un conflitto di interessi tra gli utenti e i proprietari dei siti Web, in particolare quando sono coinvolti cookie di terze parti provenienti da annunci sul sito.

Se il tuo sito utilizza cookie di terze parti o ne consente l'utilizzo, ti esponi a maggiori conseguenze ai sensi della legge sui cookie.

Per garantire la completa privacy di clienti e visitatori, a partire dal 21 febbraio 2018, abbiamo disabilitato tutti i cookie di terze parti.

Ci copriamo le spalle: comode avvertenze GDPR!

Abbiamo introdotto avvisi per informare i nostri clienti delle impostazioni o delle opzioni relative al GDPR utilizzate nei loro progetti o esperimenti:

• Convert Experiences ha tradizionalmente consentito il raggruppamento dei visitatori del sito in base a condizioni come posizione e comportamento. Questi gruppi sono detti segmenti personalizzati. Tuttavia, dopo il GDPR, se la funzione di segmentazione è abilitata, questo può essere interpretato dalle autorità per la privacy in Europa come un modo per identificare gli interessati. Per informare gli utenti abbiamo inserito vistosi avvisi che si attivano se la segmentazione è abilitata per almeno un pubblico.

• Pubblico creato con dati personali: un avviso GDPR è presente nei segmenti di pubblico salvati e nelle pagine Riepilogo esperienza quando i segmenti di pubblico sono creati con cookie o condizioni JavaScript o se sono stati presi di mira fuso orario, città, regione, ID cliente o tag cliente:

• Monitoraggio interdominio: il cookie interdominio è disattivato per impostazione predefinita per tutti i progetti in Converti esperienze. L'accensione attiva un altro avviso:

• Le esperienze di personalizzazione possono contenere piccoli segmenti (meno di 100 visitatori unici) e ciò può essere interpretato dalle Autorità Privacy in Europa come identificazione degli interessati. Per questo motivo, abbiamo aggiunto un avviso al riepilogo di qualsiasi esperienza di personalizzazione.

Lo scopo di queste avvertenze è garantire che i nostri utenti comprendano quali caratteristiche possono essere viste come potenziali "identificazione" degli interessati dalle autorità dell'UE.

È difficile memorizzare una sintesi dei mandati GDPR e delle direttive ePrivacy!

Usando Convert Experiences lavori con uno strumento che può fare molto, ma che ne sottolinea anche il potenziale ricordando che alcune azioni ora sono interpretate in modo diverso nei paesi dell'Unione Europea.

Hai la possibilità di disattivare gli avvisi GDPR.

Server di accesso: Francoforte, Germania

Un altro grande cambiamento introdotto dal GDPR ha a che fare con la posizione di archiviazione dei dati.

Questo è semplice.

Se memorizzi i dati dei cittadini dell'UE, i dati dovrebbero rimanere sul suolo dell'UE. In altre parole è necessario disporre di server nei paesi dell'Unione Europea.

I dati non devono essere inviati a server al di fuori dell'UE (ad esempio negli Stati Uniti), in nessun caso.

Abbiamo spostato il nostro server di accesso dagli Stati Uniti a un data center a Francoforte, in Germania, alimentato da energia a emissioni zero.

Impostazione DNT: il tuo browser parla, noi ascoltiamo

Do Not Track è una tecnologia e un quadro giuridico che consente agli utenti di rinunciare al monitoraggio da parte di reti pubblicitarie, servizi di analisi e piattaforme social.

DNT autorizza il traffico con il potere di scelta.

È una funzionalità dei browser Web che consente agli utenti di esprimere la propria preferenza per non essere tracciati sui siti Web e sui servizi che utilizzano ogni giorno.

Il GDPR dell'UE impone il rispetto di questa nuova preferenza del browser. Insieme, la tecnologia e la legge forniscono un percorso praticabile per rivendicare il diritto alla privacy sul web.

DNT è un utente che fa una richiesta esplicita di funzionalità, non voglio essere rintracciato. DNT è una preferenza dell'utente che obbliga il browser a inviare una richiesta HTTP al server dicendo esplicitamente a quel server di non tenere traccia dei comportamenti dell'utente.

Abbiamo aggiunto il supporto configurabile per le impostazioni "Do Not Track" del browser per progetto.

Per impostazione predefinita, l'opzione OFF è selezionata quando crei un nuovo progetto, ma puoi scegliere tra una delle seguenti impostazioni:

• SPENTO
• Solo UE
• Solo SEE
• In tutto il mondo

In breve consentiamo ai nostri utenti di evitare di contare o comunque utilizzare i dati di individui che preferiscono non essere rintracciati.

Scopri di più su questa nuova funzionalità qui.

Opt Out: un link per escluderli tutti

Ci sono due aspetti della storia di monitoraggio.

Uno, i visitatori esperti del sito Web possono scegliere di abilitare Do Not Track sui propri browser e nascondersi da occhi indiscreti.

Secondo, dovrebbero avere il potere di disattivare il tracciamento direttamente dai siti Web che visitano.

Noi di Convert lo sappiamo e abbiamo inserito la funzione di opt-out https://www.convert.com/opt-out/ nella pagina delle impostazioni dell'app Converti.

Con un solo clic sul collegamento Opt-Out, i visitatori possono scegliere di non essere tracciati da tutti i siti Web che utilizzano l'app Convert Experiences.

Test tra domini: non consentito per impostazione predefinita

Il monitoraggio tra domini consente a Convert Experiences di visualizzare le sessioni su due siti correlati (come un sito di e-commerce e un sito di carrello degli acquisti separato) come una singola sessione. Questo è talvolta chiamato collegamento di siti .

Supponiamo di avere un negozio online e un carrello degli acquisti di terze parti ospitato su un altro dominio, ad esempio:

• www.example-store.com
• www.example-commerce-host.com/example-store/

Senza il monitoraggio interdominio, un utente che arriva al tuo negozio online e poi procede al carrello degli acquisti di terze parti verrà conteggiato come due utenti separati, con due sessioni separate di durata diversa.

Il monitoraggio interdominio consente a Convert Experiences di vedere questa come una singola sessione da parte di un singolo utente e la sessione avviata sul sito del negozio viene continuata fino al tempo trascorso sul sito del carrello.

Tuttavia, poiché il monitoraggio tra domini è un'area grigia ai sensi del GDPR, quando si crea un nuovo progetto, l'opzione configurabile per non consentire il collegamento tra domini è ora ATTIVA per impostazione predefinita.

DPIA: Prendiamo sul serio i cambiamenti

Le valutazioni dell'impatto sulla protezione dei dati (DPIA) aiutano le organizzazioni a identificare, valutare e mitigare o ridurre al minimo i rischi per la privacy con le attività di elaborazione dei dati. Sono particolarmente rilevanti quando viene introdotto un nuovo processo, sistema o tecnologia di elaborazione dati.

Le DPIA supportano anche il principio di responsabilità, in quanto aiutano le organizzazioni a soddisfare i requisiti del GDPR e dimostrano che sono state adottate misure appropriate per garantire la conformità.

Sapevi che la mancata conduzione adeguata di una DPIA ove appropriato costituisce una violazione del GDPR e potrebbe comportare sanzioni fino al 2% del fatturato globale annuo di un'organizzazione o 10 milioni di euro, a seconda di quale sia maggiore?

Nell'ambito del progetto GDPR di Convert, abbiamo sviluppato una guida per i membri del team e un modello utilizzato per eseguire le valutazioni dell'impatto sulla protezione dei dati (DPIA).

Valutazione del legittimo interesse (LIA): non assumiamo

L'interesse legittimo è una delle sei basi legali stabilite nel GDPR per giustificare il trattamento dei dati personali.

E sembra il minimo lavoro!

La base del legittimo interesse è ampia e flessibile. In parole povere, dice che puoi elaborare i dati se l'elaborazione di quei dati è un gioco da ragazzi.

Ma ci sono così tanti modi per interpretarlo, che usare l'interesse legittimo significa semplicemente aprirsi al dubbio e al controllo. Si consiglia vivamente di ricorrere alla base dell'interesse legittimo quando non sono disponibili altre basi (ad es. obbligo legale o interesse vitale) o quando l'interesse legittimo è più appropriato da utilizzare per l'attività di trattamento.

Tuttavia, è necessaria una valutazione di proporzionalità . Prima di utilizzare la base del legittimo interesse, procedere come segue:

• Scopo test: identità il legittimo interesse;
• Test di necessità: valutare se il trattamento è necessario per il raggiungimento di tale interesse; e
• Test di bilanciamento: bilanciare l'interesse legittimo con gli interessi, i diritti e le libertà dell'individuo.

Abbiamo condotto la nostra valutazione dell'impatto sull'interesse legittimo (LIA) e abbiamo strutturato di conseguenza le opzioni di consenso dei nostri punti di contatto di marketing.

PCI-DSS per dati sicuri dei titolari di carta: le informazioni sensibili sono la nostra priorità

Seguiamo i principi e gli standard stabiliti dal PCI Standards Council per l'archiviazione e la gestione delle informazioni sulle carte di credito. Maggiori informazioni sono disponibili qui.

Sebbene il PCI DSS si concentri sulla protezione dei dati dei titolari di carte di pagamento e l'intento del GDPR sia quello di proteggere i dati personali dei residenti nell'UE, una violazione del PCI è anche una violazione dei dati personali.

Di conseguenza, ai sensi della conformità PCI DSS, abbiamo sempre condotto revisioni annuali dei dati dei titolari di carta. Questo programma di revisioni ci fornisce quindi un quadro che è stato utilizzato durante l'attuazione delle misure per conformarsi al GDPR.

Inoltre, abbiamo investito in tecnologie sicure per proteggere i dati dei titolari di carta.

Oltre gli aggiornamenti delle app: modifiche al GDPR al team di conversione

Legale:

Abbiamo aggiornato la nostra Informativa sulla privacy e i Termini di servizio. Abbiamo aggiunto una nuova Cookie Policy. Questi aggiornamenti sono entrati in vigore per utenti e clienti nuovi e esistenti il ​​25 maggio 2018.
Ai sensi dell'articolo 28, paragrafo 4 del GDPR, firmiamo un Accordo sul trattamento dei dati (DPA) con tutti i nostri clienti europei come standard.

I saldi:

Abbiamo reso i nostri processi di vendita conformi al GDPR.

• Chat dal vivo . Se DNT è abilitato per i browser, LiveChat non viene visualizzato. Abbiamo rimosso tutti gli indirizzi IP dalla nostra cronologia di LiveChat.
• Modulo Contattaci . È stato aggiornato per essere conforme al GDPR.
• Richiedi un modulo dimostrativo . È stato anche aggiornato per riflettere le opzioni di consenso GDPR.
• Riautorizzazione delle campagne e-mail . Abbiamo condotto campagne di riautorizzazione per tutti i potenziali clienti che stanno parlando con i dirigenti dell'account per raccogliere il loro consenso per l'assistenza 1:1.
• Modulo di prova gratuito . È stato aggiornato per essere conforme al GDPR.

Marketing:

Abbiamo reso i nostri processi di marketing conformi al GDPR.

1. Clienti e-mail in uscita . Abbiamo interrotto le campagne in uscita in ossequio al GDPR.
2. Re-autorizzazione campagna e-mail . Abbiamo eseguito campagne di riautorizzazione all'intero database, ottenendo il consenso granulare per contattarli con diversi tipi di comunicazione.
3. Modulo Newsletter . È stato aggiornato per essere conforme al GDPR.
4. Forme magnetiche al piombo . Sono stati aggiornati per essere conformi al GDPR.
5. Modulo webinar . È stato aggiornato per essere conforme al GDPR.
6. Modulo di prova gratuito . È stato aggiornato per essere conforme al GDPR.
7. Modulo Posta Ospiti . È stato aggiornato per essere conforme al GDPR.

Risorse umane (HR):

Abbiamo formato il nostro personale con seminari e tutti hanno un certificato GDPR che copre le conoscenze di base.

Servizio Clienti:

Abbiamo addestrato il nostro personale CS a rispondere in modo appropriato a domande/ticket GDPR e violazioni dei dati.

Sviluppo:

Diverse linee guida sono state applicate al nostro circolo di sviluppo software:

1. Formazione (gli sviluppatori sono stati formati sugli aspetti di privacy e sicurezza)
2. Design (tutti i requisiti di progettazione orientati ai dati e ai processi sono stati guidati dal GDPR)
3. Codifica (gli sviluppatori utilizzano strumenti e framework approvati, disabilitano funzioni e moduli non sicuri ed eseguono regolarmente analisi del codice statico e revisione del codice)
4. Test (abbiamo testato per garantire che i requisiti di protezione e sicurezza dei dati fossero implementati correttamente)
5. Prima di ogni versione, è stato stabilito un piano di risposta agli incidenti ed è stata eseguita una revisione completa della sicurezza del software. Il rilascio è stato quindi approvato e tutti i dati rilevanti dell'intero processo di sviluppo sono stati archiviati.
6. Manutenzione (Convert è pronto a rispondere a incidenti, violazioni dei dati personali, guasti e attacchi ed è in grado di fornire aggiornamenti, linee guida e informazioni agli utenti e alle persone interessate dal software)

Quadro delle politiche: guidaci verso un futuro sicuro dei dati e incentrato sulla privacy

Per garantire un'implementazione e una gestione coerenti e di alta qualità delle risorse, dei processi e delle pratiche IT, abbiamo definito un quadro completo di politiche, procedure e standard ben definiti.

Nello sviluppo di queste politiche, procedure e standard IT, abbiamo fatto riferimento alla serie di standard ISO 27000 che sono stati specificamente riservati dall'ISO (International Standards Organisation) per questioni di sicurezza delle informazioni.

Le nostre politiche IT sono suddivise in due aree: politiche relative alla sicurezza e all'utilizzo IT e politiche relative ai dati.

Sicurezza informatica e politiche di utilizzo:

Le seguenti politiche e procedure forniscono indicazioni chiare per la sicurezza e l'utilizzo IT:

1. Elenco di controllo per la privacy e la sicurezza per la conformità al GDPR : il GDPR richiede a Convert di proteggere i dati personali dei suoi clienti e dipendenti in tutte le fasi del ciclo di vita dell'elaborazione dei dati. Con più aziende che adottano e utilizzano strumenti e software basati su cloud, soddisfare questo requisito è una sfida . Le aziende devono prendere in considerazione diversi aspetti tecnologici e legali quando cercano un fornitore di servizi. Questa particolare politica ci consente di tenere a mente i fattori più critici mentre scegliamo fornitori di servizi e fornitori che si allineano con il nostro approccio incentrato sulla privacy.
2. Politica di licenza del software open source : lo scopo di questa politica è di consentire al circolo di sviluppo di sapere quali politiche di licenza del software open source accettare durante lo sviluppo del codice.
3. Politica sulle password dei dipendenti : lo scopo di questa politica è assicurarsi che tutte le risorse ei dati di Convert Insights ricevano un'adeguata protezione tramite password. La politica copre tutti i dipendenti che sono responsabili di uno o più account o hanno accesso a qualsiasi risorsa che richiede una password.
4. Politica di utilizzo accettabile : questa politica è progettata per aiutare il personale di Convert Insights a comprendere le proprie responsabilità durante l'utilizzo, l'accesso o la creazione di contenuti con le risorse IT di Convert Insights o i servizi di rete. Chiarisce e definisce (entro limiti ragionevoli) ciò che Convert Insights considera un uso accettabile di queste risorse.
5. Politica sul Web e sui social media : questa politica chiarisce in che modo Convert Insights governa questo patrimonio digitale e fornisce anche linee guida per gli utenti durante la creazione di contenuti digitali per conto di Convert Insights e linee guida sull'uso degli account di social media ufficiali di Convert Insights.
6. Politica di sicurezza IT : l'obiettivo di questa politica di sicurezza è promuovere una cultura che aiuti a massimizzare il valore delle informazioni attraverso la sua gestione efficiente e protezione sicura, oltre a salvaguardare Convert Insights e i diritti del personale e di altre parti che dipendono dalle informazioni.
7. Questionario sul servizio di hosting esterno : lo scopo di questo questionario è garantire che i responsabili del trattamento dei dati di terze parti (in termini di GDPR) dispongano di politiche e procedure accettabili in materia di sicurezza informatica e privacy dei dati per ridurre al minimo il rischio di perdita o esposizione dei dati personali di Convert Insights .

Politiche e procedure relative ai dati:

Le seguenti politiche e procedure forniscono indicazioni chiare sul modo accettabile, sicuro e legale in cui Convert Insights dovrebbe utilizzare e gestire i dati:

1. Politica generale sulla protezione dei dati : questa politica è una dichiarazione dell'impegno di Convert Insights a proteggere i diritti e la privacy delle persone in conformità con il GDPR.
2. Piano di gestione delle emergenze : il team di gestione delle emergenze (EMT) si riunirà in risposta a una violazione e deciderà se è necessario invocare il piano di gestione delle emergenze. Questo team fungerà da punto di escalation per incidenti gravi o violazioni delle policy relative a dati e risorse.
3. Politica di gestione dei dati : lo scopo di questa politica è consentire l'accesso ai dati e alle informazioni in possesso di Convert Insights, nella misura massima possibile, garantendo al contempo che siano protetti da uso, accesso e violazioni non autorizzati della privacy.
4. Procedura di classificazione dei dati : la politica di gestione dei dati richiede ai proprietari dei dati di classificare i propri dati in base alla loro sensibilità e criticità. Questa procedura stabilisce come deve essere eseguita questa classificazione.
5. Politica di formazione sulla protezione dei dati del personale : questa politica e qualsiasi altro documento a cui si fa riferimento stabiliscono la formazione che verrà fornita al personale di Convert Insights per garantire che tutto il trattamento dei dati personali sia conforme al Regolamento generale sulla protezione dei dati (GDPR).
6. Procedura di richiesta di accesso ai dati : lo scopo di questa procedura è garantire che Convert Insights rispetti le disposizioni sulle richieste di accesso del Regolamento generale sulla protezione dei dati e consentire alle persone di inviare richieste di accesso ai dati ove richiesto.
7. Politica di escalation delle violazioni dei dati personali : lo scopo di queste procedure è fornire un quadro per la segnalazione e la gestione delle violazioni della sicurezza dei dati che interessano i dati personali personali o sensibili detenuti da Convert Insights. Queste procedure sono un supplemento alla Politica sulla protezione dei dati che afferma il suo impegno a proteggere i diritti alla privacy delle persone in conformità con la legislazione sulla protezione dei dati.

Convertire GDPR non è un inconveniente.

Ha rimodellato il modo in cui viene utilizzata l'analisi e ha ridefinito il suo posto nel mondo dell'ottimizzazione.

L'analisi non riguarda più l'accumulo di dati sui potenziali clienti nella speranza di trovare approfondimenti sfuggenti.

Non si tratta più di presumere che la personalizzazione sia la strada da percorrere.

Analisi e test post GDPR riguardano il minimalismo. Sfruttare al meglio i dati che possono essere elaborati in modi nuovi e innovativi.

Se vuoi avere uno strumento che ti dia le spalle attraverso questi cambiamenti della privacy, ora e in futuro, dacci un giro di 15 giorni senza obblighi.