Optimizely Privacy: Optimizely는 개인 정보를 어떻게 처리합니까?
게시 됨: 2022-02-09
A/B 테스트 플랫폼이 더욱 정교해짐에 따라 이를 둘러싼 개인 정보 보호 문제도 함께 발전하고 있습니다.
Optimizely는 A/B 테스트 공간에서 가장 인기 있는 최적화 플랫폼 중 하나이므로 개인 정보 보호에 대한 입장을 이해하는 것이 중요합니다. 큰 힘에는 큰 책임이 따른다. 그리고 큰 책임과 함께 개인 정보 보호에 대한 필요성도 커집니다.
이 기사에서는 Optimizely가 개인 정보에 접근하는 방식과 이 디지털 경험 플랫폼을 선택하기 전에 알아야 할 사항을 평가합니다.
Optimizely가 오늘날 주요 개인정보 보호법을 준수하는지 분석하는 것부터 시작하겠습니다.
Optimizely는 GDPR을 준수합니까?
GDPR(일반 데이터 보호 규정)은 유럽 연합 및 유럽 경제 지역에서 데이터 보호 및 개인 정보 보호를 강화하고 통합하는 것을 목표로 하는 핵심 규정입니다. Optimizely는 필요한 비즈니스 및 기술 개인 정보 보호 제어를 사용하여 데이터를 보호하고 GDPR을 준수합니다.
Optimizely GDPR은 어떻게 준비되어 있습니까?
GDPR 준수는 Optimizely 서비스 및 설계의 필수 부분입니다. GDPR을 준수하기 위해 취한 몇 가지 단계는 다음과 같습니다.
- GDPR의 영향을 받는 식별된 제품 및 비즈니스 영역
- 데이터 보호 책임자(DPO) 임명
- 데이터 처리 계약 재작성
- GDPR 요구 사항을 충족하기 위해 제품, 서비스, 프로세스 및 절차를 개선하고 변경했습니다.
- 하위 프로세서 검토
- 데이터 보호 기관(DPA)에 대한 완전한 규정 준수 완료 및 전달
Optimizely는 ePrivacy 규제를 처리할 준비가 되어 있습니까?
ePR(ePrivacy Regulation)은 쿠키 동의, 다이렉트 마케팅 및 B2B(기업 간 통신)에 대한 규칙을 변경하기 위한 향후 개인정보 보호법입니다. GDPR과 달리 전자 통신에서 비개인 데이터도 규제합니다.
기업이 GDPR과 씨름하면서 이 새로운 규정에 대한 준비가 되었는지 확인하는 것은 흥미로울 것입니다. Optimizely가 ePrivacy를 처리할 수 있는지 확인하려면 먼저 수집하는 데이터를 평가해야 합니다.
방문자 데이터
Optimizely는 웹사이트 방문을 추적하고 사용자 행동에 대한 정보를 수집합니다. 이 집계된 정보를 "방문자 데이터"라고 하며 다음을 포함합니다.
- 사용자 에이전트 데이터: 웹 브라우저 유형 및 방문자가 사용하는 운영 체제에 대한 세부 정보를 포함하여 장치 속성을 기반으로 하는 데이터입니다.
- 웹 주소: 웹 페이지의 위치에 대한 정보입니다.
- 이벤트 데이터: 사용자 행동을 기록하고 방문자가 웹사이트에서 버튼을 클릭했는지 또는 유사한 작업을 수행했는지 검사합니다. 여기에는 사용자 정의 속성 및 이벤트 태그도 포함될 수 있습니다.
- 타임스탬프: 이벤트가 발생한 날짜 및 시간입니다.
- 최종 사용자 ID(또는 방문자 ID): 프로젝트별로 방문자에게 임의로 생성된 식별 번호(ID)입니다. 실험 및 개인화를 위한 optimizelyEndUserId 쿠키에 해당합니다.
- 실험 및 변형 ID: 방문자가 웹사이트를 방문하는 동안 버킷의 위치를 결정합니다.
- 외부 지리 데이터: 국가, 도시, 지역 등을 포함하여 방문자의 IP 주소와 관련된 요소입니다.
Optimizely는 고객이 공유 및 수신하려는 데이터 범주를 지정할 수 있도록 서비스를 구성합니다. 이러한 범주가 반드시 사용자 ID를 드러내는 것은 아닙니다. 그러나 Optimizely가 수집하는 URL에 이름이나 전화번호와 같은 개인 식별 정보(PII)가 포함되어 있거나 PII가 포함된 페이지로 연결되는 경우 이 정보도 수집할 수 있습니다.
개방형 플랫폼인 Optimizely는 반복 구매자 속성과 같은 추가 방문자 데이터를 제공합니다. 다음과 같은 특정 기능 및 구성을 기반으로 데이터를 수집합니다.
- 동적 고객 프로필(DCP)
- 속성 나열
- 적응형 잠재고객
- 기능 플래그
- 통합
수집하는 개인 데이터의 양을 최소화하기 위해 Optimizely는 방문자가 건강 정보와 같은 추가 개인 정보 또는 민감한 정보를 제공하는 것을 금지합니다.
제품 사용자 데이터
Optimizely는 사용자가 계정을 만들거나 웹 세미나 또는 뉴스레터에 가입할 때 사용자 이름, 이름, 직장 이메일, 직장 연락처, 직위 등과 같은 몇 가지 기본 정보를 수집합니다. 이를 제품 사용자 데이터 라고 하며 다음과 같이 항목화됩니다.
- 계정 등록 및 생성 시: Optimizelyvisitors는 개인 식별 정보를 공개하지 않고 제품 및 서비스 설명을 읽을 수 있습니다. 그러나 Optimizely와 거래하고 고객이 되려면 계정을 만들고 프로필을 설정해야 합니다. 가입할 때 귀하의 이름, 조직 이름, 거리 주소 및 이메일 주소를 묻습니다. 또한 암호를 선택해야 합니다. 등록된 사용자가 되면 프로필을 업데이트하고 닉네임 및 특정 사용자 기본 설정과 같은 추가 정보를 제공할 수 있습니다.
- 웨비나에 등록하거나 뉴스레터를 요청할 때: 방문자와 고객 모두 Optimizely 웨비나에 등록하거나 뉴스레터를 요청할 수 있습니다. Optimizely는 참조용으로 이메일 주소만 저장합니다.
ePrivacy는 PII 데이터 수집을 제한하고 Optimizely는 사용자가 방문자 데이터를 통해 이 데이터를 URL로 전달할 수 있도록 허용하므로 실제로 ePrivacy와 호환되지 않습니다. 대신, 앞으로 나올 많은 규제에 대비하려면 아직 갈 길이 멉니다.
Optimizely는 EU에서 개인 정보 보호에 민감한 브랜드를 위한 좋은 선택입니까?
앞서 언급했듯이 ePrivacy Regulation은 아직 데이터 보호법이 아닙니다. 그러나 일단 통과되면 EU 공식 저널에 게재된 후 20일 이내에 채택되며 시행 전 2년의 유예 기간이 있습니다.
따라서 대부분의 기업이 생각하는 것과 달리 ePrivacy Regulation은 발효 시 GDPR을 대체하는 것이 아니라 보완할 것입니다.
따라서 발효일까지 EU 및 전 세계의 모든 개인 정보 보호 의식 브랜드는 Optimizely를 사용할 수 있습니다. 그러나 Optimizely는 개인 정보 보호 표준이 높은 회사에 적합하고 관련성을 유지하기 위해 수집하는 데이터를 일부 일관성 있게 변경해야 합니다.
어떤 A/B 테스트 도구 제공업체가 사용자 개인정보 보호와 관련하여 최고의 실적을 가지고 있습니까? Optimizely가 Convert Experiences, VWO 및 AB Tasty에 대해 어떻게 평가하는지 확인하십시오.
HIPAA 규정 준수 최적화
의료 제공자는 의료 정보와 관련된 데이터 보안 위험으로 인해 디지털 플랫폼 전반에 걸쳐 개인화된 콘텐츠를 제공하는 데 어려움을 겪고 있습니다. HIPAA(Health Insurance Portability and Accountability Act)는 의료 회사의 부담을 덜어주고 매우 필요한 지침을 제공합니다.
이름, 주소, 연락처 세부 정보 등 제3자 서비스 제공업체에 공개된 PHI(보호 대상 건강 정보)를 보호합니다.
Optimizely HIPAA를 준수합니까?
HIPAA를 준수하려면 모든 제3자 공급업체와 의료 제공자가 민감한 의료 데이터를 보호하도록 설계된 서면 계약인 BAA(Business Associate Agreement)를 체결해야 합니다.
Optimizely는 HIPAA를 준수해야 합니까?
Optimizely가 HIPAA 준수를 요구하는지 여부는 수집 및 사용하는 데이터 유형에 따라 다릅니다. 기본적으로 Optimizely는 HIPAA를 준수하지 않으며 특히 서비스 약관에 비준수를 명시합니다.
HIPAA 비준수 . 고객은 Optimizely가 비즈니스 제휴자 또는 하청업체가 아니며(해당 용어가 HIPAA에 정의되어 있음) Optimizely 서비스가 HIPAA를 준수하지 않음을 인정합니다. "HIPAA"는 업데이트되거나 대체되는 건강 보험 이동성 및 책임에 관한 법률 및 관련 개정 및 규정을 의미합니다. "규제 데이터"에는 HIPAA 규제 데이터 및 Gramm-Leach-Bliley 법(또는 관련 규칙 또는 규정)에 따라 업데이트되거나 대체된 데이터가 포함됩니다.
HIPAA 비준수를 최적화하는 방법은 무엇입니까?
Optimizely의 콘텐츠 권장 사항은 데이터 보안 문제를 해결하고 다음과 같은 방식으로 HIPAA 비준수를 보완합니다.
- PHI 저장: 세션 내 개인화에는 콘텐츠를 개인화하기 위해 PHI가 필요하지 않습니다.
- 교차 개인화: 세션이 만료되면 개인화가 중지됩니다.
- Episerver 콘텐츠 인텔리전스: 모든 사이트 방문에 대한 자사 의도 데이터를 제공하므로 참여의 영향을 확장할 수 있습니다.
- 개인화 조정 : 규칙은 변화하는 환자 환경과 의료 발전에 보조를 맞출 수 없습니다. Optimizely는 머신 러닝(ML) 알고리즘을 사용하여 끝없는 "if/else" 규칙으로 팀을 혼란스럽게 하지 않고 누가 어떤 콘텐츠를 가져갈지 결정합니다.
Optimizely-Episerver Content Recommendations는 구조에 와서 교차 개인화 및 동적 의료를 위한 효과적인 솔루션을 제공합니다.
방문자가 Optimizely Tracking을 선택 해제할 수 있습니까?
방문자는 Optimizely API 호출을 통해 Optimizely 추적을 쉽게 옵트아웃할 수 있습니다.
옵트아웃은 무슨 뜻인가요?
- 사용자가 실험에 참여하지 않습니다.
- 그들은 어떤 변형 변화도 보지 않을 것입니다
- 프로젝트 JS가 페이지에서 실행되지 않습니다.
- 사용자는 추적되지 않습니다
- Optimizely가 실행될 때마다 선택 해제된 상태로 유지됩니다(즉, 위의 모든 항목이 적용됨).
태그 관리자 없이 Optimizely Web 사용하기
사이트에서 태그 관리자를 사용하지 않는 경우 optimizelyOptOut 이라는 쿠키를 "true"로 설정하여 사이트 방문자를 추적하지 않도록 Optimizely에 지시할 수 있습니다. Optimizely는 JavaScript 스니펫 콘텐츠를 실행하기 전에 이 쿠키를 확인합니다. 쿠키를 직접 설정하는 것보다 공식적으로 지원되는 optOut API를 사용하는 것이 좋습니다.
페이지의 Optimizely 스니펫 위에 코드를 추가해야 합니다. 그렇지 않으면 Javascript 스니펫이 실행되어 방문자의 추적 쿠키 및 저장 항목을 설정합니다.
optOut API를 사용하는 방법을 알아보겠습니다.
<스크립트>
창["최적화"] = 창["최적화"] || [];
창["최적화"].push({
"유형": "선택 해제",
"isOptOut": 참
});
</스크립트>
<script src="https://cdn.optimizely.com/js/{project_id].js"></script>방문자가 쿠키 추적을 선택하면 optimizelyOptOut 쿠키 값을 "false"로 다시 작성하여 해당 방문자를 추적할 수 있습니다.
예를 들어 쿠키 배너(방문자 추적 동의를 구하는 오버레이 요소)를 표시하는 경우 다음 코드를 사용하여 동의를 얻은 후 optOut 쿠키 값을 false로 다시 작성할 수 있습니다.
창["최적화"] = 창["최적화"] || [];
창["최적화"].push({
"유형": "선택 해제",
"isOptOut": 거짓
});기술적으로 이 API를 방문자가 추적에 동의할 때 실행되는 논리에 연결합니다.
태그 관리자와 함께 Optimizely Web 사용하기
태그 관리자를 사용하면 방문자가 동의할 때만 조건부 논리를 사용하여 Optimizely JavaScript 스니펫을 로드할 수 있습니다.
쿠키 옵트인은 모든 지역 또는 모든 쿠키에 필요하지 않으므로 Optimizely는 기본적으로 optimizelyOptOut 쿠키를 설정하지 않습니다. 사이트 소유자는 이 쿠키를 설정해야 하는지 또는 필요한 경우 위의 방법 중 하나를 사용해야 하는지 결정할 책임이 있습니다.
위에 표시된 대로 기본적으로 optimizelyOptOut을 "true"로 설정하면 optOut API가 "false"로 설정된 경우에만 Optimizely 스니펫이 "정상적으로" 실행됩니다(사이트 방문자 추적).
옵트인 솔루션을 사용하면 Optimizely Javascript 스니펫이 초기 페이지 로드 시 비활성화되므로 방문자가 옵트인한 후 페이지를 다시 로드할 때 활성화됩니다.
최적화된 풀 스택
Optimizely Full Stack은 실험을 위해 쿠키에 의존하지 않으므로 ePrivacy Regulation의 쿠키 관련 요구 사항은 이 기능에 영향을 미치지 않습니다.
그럼에도 불구하고 EU의 풀 스택 사용자는 GDPR을 준수해야 합니다. 회사는 EU 내에서 개인 데이터를 처리하기 위해 "합법적인 이익"이 있어야 합니다.
데이터 컨트롤러로서 Optimizely Full Stack 실험에 개인 데이터를 포함하기 전에 동의 처리에 대한 법적 의무를 준수하는 것은 회사의 책임입니다.
이를 위해서는 실험에 사용자 경험을 개선하기 위한 제1자 노력이 포함되며 제3자(예: 광고 파트너)와 사용자 데이터를 공유하지 않을 것임을 분명히 명시해야 합니다.
또한 사용자가 동의를 철회하는 경우 전체 스택 실험에서 사용자를 제외해야 합니다.
Optimizely는 개인 정보 보호 분야에서 경쟁업체와 어떻게 경쟁합니까?
Optimizely는 디지털 경험의 거인이 될 수 있지만 특히 개인 정보 보호를 다룰 때 대안을 조심해야 합니다. 또한 갑작스러운 가격 변동에 고객을 어리둥절하게 만든 이력도 있습니다. 따라서 많은 회사가 대체 공급자를 찾는 것은 당연합니다.
참고로 Optimizely의 개인 정보 옵션을 Convert Experience 및 VWO의 개인 정보 옵션과 비교합니다. 또한 다음을 검토합니다.
- 각 도구의 서버 위치
- 타사 쿠키 취급 방식
- 기본 교차 도메인 추적
- 사용자가 추적을 거부할 수 있는지 여부
| 최적화 | 경험 전환 | VWO | |||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 싱글 사인온(SSO) | ✓ | ✓ | ✓ | ||||||||||||||||||||
| EU 기반 서버 | 엑스 | ✓ | 엑스 | ||||||||||||||||||||
| 비PII 쿠키 수명 | 6 개월 | 6 개월 | 100일 | ||||||||||||||||||||
| 타사 쿠키 | ✓ | 엑스 | ✓ | ||||||||||||||||||||
| 브라우저 설정을 추적하지 않음 | ✓ | ✓ | ✓ | ||||||||||||||||||||
| 옵트아웃 기능 | ✓ | ✓ | ✓ | ||||||||||||||||||||
| GDPR 준수 인앱 지침 | 엑스 | ✓ | 엑스 | ||||||||||||||||||||
| 데이터 처리 계약(DPA) | ✓ | ✓ | ✓ | ||||||||||||||||||||
| PCI-DSS 규정 준수 | ✓ | ✓ | ✓ | ||||||||||||||||||||
| e프라이버시 컴플라이언스 | 엑스 | ✓ | 엑스 | ||||||||||||||||||||
| 데이터 익명화 | ✓ | ✓ | ✓ | ||||||||||||||||||||
| 기본적으로 허용되는 교차 도메인 추적 | ✓ | 엑스 | ✓ | ||||||||||||||||||||
| 기본적으로 허용되는 분할 | ✓ | 엑스 | ✓ | ||||||||||||||||||||
| 잊혀질 권리 | ✓ | ✓ | ✓ | ||||||||||||||||||||
| 데이터 침해 알림 | ✓ | ✓ | ✓ | ||||||||||||||||||||
| 데이터 보호 책임자 지정 | ✓ | ✓ | ✓ | ||||||||||||||||||||
| 국가 간 데이터 전송 | EU-미국 및 SwissU.S. 프라이버시 실드 프레임워크 | EU-미국 및 SwissU.S. 프라이버시 실드 프레임워크 | EU-미국 및 SwissU.S. 프라이버시 실드 프레임워크 | ||||||||||||||||||||
| 설계 및 기본 데이터 보호 | ✓ | ✓ | ✓ | ||||||||||||||||||||
| 민감한 개인 데이터 | 엑스 | 엑스 | 엑스 |
Episerver 인수 후 개인 정보 보호에 최적화된 변경 사항은 무엇입니까?
2020년 9월, Episerver는 Optimizely 인수를 발표했습니다. 1년 후 Episerver는 브랜드 인지도를 높이기 위해 Optimizely로 재도입했습니다.
Optimizely 인수 및 브랜드 변경은 개인화 및 상거래 기능에 대한 필요성이 더욱 분명해짐에 따라 Episerver 및 Optimizely 고객 모두에게 기회를 제공했습니다.
개인 정보 보호 측면에서 Optimizely는 인수 이후 크게 성장했습니다.
- Episerver는 기본적으로 개인 정보를 존중합니다. GDPR 및 기타 해당 개인정보 보호법을 준수하도록 매주 새로운 정책을 발표합니다.
- 데이터 보호, 보안, 개인 정보 보호 및 개인 정보에 대한 연례 회의, 교육, 세미나, 웨비나 및 교육 시리즈를 주최합니다.
- Episerver는 또한 모든 신규 해당 공급업체가 데이터 보호 및 개인 정보 보호 규정에 서명하고 준수하도록 Optimizely의 데이터 처리 계약(DPA)을 업데이트했습니다.
- Episerver는 GDPR 및 캘리포니아 소비자 개인 정보 보호법(CCPA)에 따라 데이터 주체 액세스 및 삭제 요청에 대한 Optimizely의 개인 정보 보호 정책 및 정책을 개선하여 EU 및 캘리포니아 거주자에게 액세스 및 삭제 권한을 제공합니다. 이제 동의를 얻고 필요할 때 정보를 제거하는 명확한 모델이 있습니다.
- Episerver의 보안 사고 대응 팀(SIRT)은 잠재적인 보안 또는 개인 정보 보호 사고를 처리할 수 있습니다. 모든 보안 사고를 높은 우선 순위(P1)로 분류하고 전담 팀으로 에스컬레이션합니다.
- Episerver는 고객 데이터를 보호하기 위한 통합 보안, 규정 준수 및 개인 정보 제어를 강조하는 Episerver 보안 센터를 시작했습니다.
Episerver는 강력한 법적 기반을 제공하기 위해 GDPR 준수 및 개인 정보 보호 관행에 대한 기준을 높여 Optimizely를 개선했습니다.
Episerver는 전 세계적으로 제품 개발 및 관리 서비스 모두에서 GDPR 준수를 일상적인 우선 순위로 삼았습니다.
Peter Yeung, 부사장, 법률 고문 겸 글로벌 데이터 보호 책임자, Episerver
Peter는 또한 Episerver가 규제가 엄격한 산업 및 국가에서 개척해 온 오랜 역사를 가지고 있어 규정 준수를 염두에 두고 설계된 솔루션을 제공한다고 덧붙였습니다. 수년간의 광범위한 클라우드 인프라 경험과 지식과 데이터 보호, 보안 및 규정 준수에 대한 깊은 약속이 결합되어 있습니다.
미래의 도전을 향한 발걸음
Optimizely는 GDPR, CCPA, 일반 개인 데이터 보호법(LGPD) 및 기타 해당 개인 정보 보호법을 준수하기 위해 많은 노력을 기울였습니다.
인수 후 데이터 개인 정보 보호 및 보안을 보장하기 위해 강화했을 수 있지만 다가오는 전자 개인 정보 보호 규정은 거의 고려하지 않습니다. Optimizely는 실험 및 데이터 수집을 위해 레벨을 올려야 합니다.
데이터는 테스트 가설을 개발하는 것부터 보다 개인화된 사용자 경험을 제공하고 테스트의 효율성을 추적하는 것까지 모든 것을 주도합니다. 이는 실험 팀이 데이터 개인 정보 보호를 우선시해야 함을 의미합니다.
GDPR은 일반(개인) 데이터만 다루는 반면 ePrivacy는 데이터 프라이버시를 광범위하게 다루고 감사하며 GDPR을 보완합니다. ePrivacy Regulation은 마케팅, 추적 기술의 전체 목록(쿠키를 포함하되 이에 국한되지 않음)을 다루며 투명성과 적극적인 동의를 통해 프로파일링 및 행동 광고를 방지하는 것을 목표로 합니다.
Optimizely가 ePrivacy를 고려하지 않는 한 퍼즐의 필수적인 부분을 놓치고 있는 것입니다. 그리고 오늘 시작한다 해도 이 조각을 제자리에 놓는 것은 쉽지 않을 것입니다.
