Optimizely Privacy: Jak Optimizely radzi sobie z prywatnością?
Opublikowany: 2022-02-09
W miarę jak platformy testów A/B stają się coraz bardziej wyrafinowane, towarzyszą im obawy o prywatność.
Optimizely to jedna z najpopularniejszych platform optymalizacyjnych w przestrzeni testów A/B, dlatego ważne jest, aby zrozumieć jej stanowisko w sprawie prywatności. Z dużą mocą przychodzi duża odpowiedzialność. A z wielką odpowiedzialnością wiąże się większa potrzeba prywatności.
W tym artykule oceniamy, w jaki sposób Optimizely podchodzi do prywatności i co musisz wiedzieć, zanim wybierzesz tę platformę cyfrowej rozrywki.
Zacznijmy od przeanalizowania, czy Optimizely przestrzega obecnie najważniejszych przepisów dotyczących prywatności.
Czy Optimizely jest zgodne z RODO?
Ogólne rozporządzenie o ochronie danych (RODO) to kluczowe rozporządzenie, które ma na celu wzmocnienie i ujednolicenie ochrony danych i prywatności w Unii Europejskiej i Europejskim Obszarze Gospodarczym. Optimizely wykorzystuje niezbędne mechanizmy kontroli prywatności biznesowej i technologicznej, aby chronić dane i zachować zgodność z RODO.
Jak Optimizely jest gotowa na RODO?
Zgodność z RODO jest istotną częścią usługi i projektu Optimizely. Oto kilka kroków podjętych w celu uzyskania zgodności z RODO:
- Zidentyfikowane obszary produktowe i biznesowe, na które ma wpływ RODO
- Wyznaczono inspektora ochrony danych (IOD)
- Przepisał umowę o przetwarzanie danych
- Udoskonalono i zmieniono swoje produkty, usługi, procesy i procedury, aby spełnić wymagania RODO
- Sprawdziłem swoich podwykonawców przetwarzania
- Sfinalizowanie i przekazanie pełnej zgodności do organu ochrony danych (DPA)
Czy firma Optimizely jest gotowa do obsługi rozporządzenia ePrivacy?
Rozporządzenie ePrivacy (ePR) to nadchodzące prawo dotyczące prywatności, które zmieni zasady dotyczące zgody na pliki cookie, marketingu bezpośredniego i komunikacji między firmami (B2B). W przeciwieństwie do RODO ureguluje nawet dane nieosobowe w komunikacji elektronicznej.
Ponieważ firmy zmagają się z RODO, warto sprawdzić, czy są gotowe na to nowe rozporządzenie. Aby ustalić, czy Optimizely jest przystosowana do obsługi ePrivacy, najpierw musimy ocenić gromadzone dane.
Dane odwiedzających
Optimizely śledzi wizyty na stronie internetowej i zbiera informacje o zachowaniu użytkowników. Te zagregowane informacje są znane jako „dane odwiedzających” i obejmują:
- Dane klienta użytkownika: Dane oparte na właściwościach urządzenia, w tym szczegóły dotyczące typu przeglądarki internetowej i systemów operacyjnych, z których korzystają odwiedzający.
- Adres internetowy: informacje o lokalizacji strony internetowej.
- Dane o zdarzeniach: Rejestruje zachowanie użytkownika i sprawdza, czy odwiedzający kliknął przycisk na stronie internetowej lub wykonał podobną akcję. Może to również obejmować atrybuty niestandardowe i tagi zdarzeń.
- Znacznik czasu: data i godzina wystąpienia zdarzenia.
- Identyfikator użytkownika końcowego (lub identyfikator gościa): losowo wygenerowany numer identyfikacyjny (ID) przypisany do gościa na projekt. Odpowiada to plikowi cookieoptimlyEndUserId do eksperymentowania i personalizacji.
- Identyfikatory eksperymentów i odmian: określ, gdzie użytkownik znalazł się w grupie podczas odwiedzania witryny.
- Geodane zewnętrzne: elementy skojarzone z adresem IP odwiedzającego, w tym kraj, miasto, region itd.
Optimizely organizuje swoje usługi tak, aby klienci mogli określić kategorie danych, które chcą udostępniać i otrzymywać. Te kategorie niekoniecznie ujawniają tożsamość użytkownika. Jeśli jednak adresy URL zbierane przez Optimizely zawierają informacje umożliwiające identyfikację, takie jak imię i nazwisko lub numer telefonu, lub jeśli prowadzą do stron zawierających informacje umożliwiające identyfikację, może również gromadzić te informacje.
Jako otwarta platforma Optimizely zapewnia dodatkowe dane odwiedzających, takie jak atrybuty powtarzających się kupujących. Zbiera dane na podstawie określonych funkcji i konfiguracji, takich jak:
- Dynamiczne profile klientów (DCP)
- Lista atrybutów
- Odbiorcy adaptacyjni
- Flagi funkcji
- Integracje
Aby zminimalizować ilość gromadzonych danych osobowych, Optimizely zabrania odwiedzającym podawania dodatkowych danych osobowych lub poufnych, takich jak informacje o stanie zdrowia.
Dane użytkownika produktu
Optimizely zbiera podstawowe informacje, takie jak nazwa użytkownika, imię i nazwisko, służbowy adres e-mail, kontakt służbowy, stanowisko itd., gdy użytkownicy tworzą konto lub zapisują się na webinar lub newsletter. Nazywają się one danymi użytkownika produktu i są podzielone w następujący sposób:
- Podczas rejestracji i tworzenia konta: Optimizelyvisitors mogą czytać opisy produktów i usług bez ujawniania jakichkolwiek danych osobowych. Musisz jednak założyć konto i skonfigurować profil, aby dokonywać transakcji z Optimizely i zostać klientem. Podczas rejestracji prosi o Twoje imię i nazwisko, nazwę organizacji, jej adres i adres e-mail. Wymaga również wybrania hasła. Gdy jesteś zarejestrowanym użytkownikiem, możesz zaktualizować swój profil i podać dodatkowe informacje, takie jak pseudonim i określone preferencje użytkownika.
- Rejestrując się na webinar lub zamawiając biuletyn: zarówno odwiedzający, jak i klienci mogą zarejestrować się na webinar Optimizely lub poprosić o biuletyn. Optimizely przechowuje tylko adresy e-mail w celach informacyjnych.
ePrivacy ogranicza gromadzenie danych umożliwiających identyfikację, a ponieważ Optimizely pozwala użytkownikom na przekazywanie tych danych do adresów URL za pośrednictwem danych odwiedzających, nie jest tak naprawdę zgodne z ePrivacy. Zamiast tego czeka jeszcze długa droga w przygotowaniach do wielu nadchodzących regulacji.
Czy Optimizely to dobry wybór dla marek dbających o prywatność w UE?
Jak wspomniano wcześniej, rozporządzenie o prywatności i łączności elektronicznej nie jest jeszcze prawem o ochronie danych. Jednak po przejściu zostanie przyjęta w ciągu 20 dni od opublikowania w Dzienniku Urzędowym UE, po czym nastąpi dwuletni okres karencji przed wdrożeniem.
Dlatego wbrew temu, co myśli większość firm, rozporządzenie o e-prywatności będzie uzupełnieniem, a nie zastąpieniem RODO, gdy wejdzie w życie.
Tak więc do dnia wejścia w życie wszystkie marki dbające o prywatność w UE i na świecie mogą korzystać z Optimizely. Jednak Optimizely musi zapiąć pasy i wprowadzić pewne spójne zmiany w gromadzonych przez siebie danych, aby były odpowiednie i odpowiednie dla firm o wysokich standardach prywatności.
Który dostawca narzędzi do testowania A/B ma największe osiągnięcia w zakresie poszanowania prywatności użytkowników? Zobacz, jak Optimizely wypada w porównaniu z Convert Experiences, VWO i AB Tasty.
Optymalnie zgodność z HIPAA
Dostawcy opieki zdrowotnej mają trudności z dostarczaniem spersonalizowanych treści na platformach cyfrowych ze względu na zagrożenia bezpieczeństwa danych związane z informacjami dotyczącymi opieki zdrowotnej. Ustawa o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych (HIPAA) odciąża firmy medyczne i zapewnia im bardzo potrzebne wskazówki.
Zabezpiecza chronione informacje zdrowotne (PHI), takie jak imię i nazwisko, adres, dane kontaktowe i inne dane ujawniane zewnętrznemu usługodawcy.
Czy Optimizely jest zgodna z HIPAA?
Aby zachować zgodność z HIPAA, wszyscy zewnętrzni dostawcy i świadczeniodawcy muszą zawrzeć umowę o współpracy biznesowej (BAA), pisemną umowę mającą na celu ochronę poufnych danych dotyczących opieki zdrowotnej.
Czy Optimizely musi być zgodne z HIPAA?
To, czy Optimizely wymaga zgodności z HIPAA, zależy od rodzaju gromadzonych i wykorzystywanych danych. Zasadniczo Optimizely nie jest zgodne z ustawą HIPAA i wyraźnie stwierdza niezgodność w swojej umowie dotyczącej warunków świadczenia usług.
Niezgodność z HIPAA . Klient przyjmuje do wiadomości, że Optimizely nie jest Partnerem Biznesowym ani podwykonawcą (zgodnie z definicją tych terminów w ustawie HIPAA) oraz że Usługa Optimizely nie jest zgodna z ustawą HIPAA. „HIPAA” oznacza ustawę o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych oraz związane z nią zmiany i przepisy, zaktualizowane lub zastąpione. „Dane regulowane” obejmują dane regulowane przez ustawę HIPAA i dane objęte ustawą Gramm-Leach-Bliley (lub powiązanymi zasadami lub przepisami) w miarę ich aktualizacji lub wymiany.
W jaki sposób Optimizely kompensuje niezgodność z HIPAA?
Rekomendacje dotyczące treści firmy Optimizely odnoszą się do problemów związanych z bezpieczeństwem danych i rekompensują niezgodność z HIPAA w następujący sposób:
- Przechowywanie PHI: jego personalizacja w trakcie sesji nie wymaga PHI do personalizacji treści.
- Personalizacja krzyżowa: Personalizacja zatrzymuje się po wygaśnięciu sesji.
- Inteligencja treści Episerver: zapewnia dane o własnych intencjach podczas każdej wizyty w witrynie, dzięki czemu możesz skalować wpływ zaangażowania.
- Skalowanie personalizacji : Reguły nie nadążają za zmieniającym się środowiskiem pacjentów i postępem medycyny. Optimizely wykorzystuje algorytmy uczenia maszynowego (ML), aby decydować, kto otrzyma jaką zawartość, bez nękania zespołu niekończącymi się regułami „jeśli / inaczej”.
Rekomendacje treści Optimizely-Episerver przychodzą na ratunek i zapewniają skuteczne rozwiązanie w zakresie personalizacji i dynamicznej opieki zdrowotnej.
Czy użytkownicy mogą zrezygnować ze śledzenia Optimizely?
Odwiedzający mogą łatwo zrezygnować ze śledzenia Optimizely za pomocą wywołania Optimizely API.
Co oznacza rezygnacja?
- Użytkownik nie zostanie przydzielony do eksperymentu
- Nie zobaczą żadnych zmian w odmianach
- Projekt JS nie będzie działał na stronie
- Użytkownik nie będzie śledzony
- Pozostaną wyłączone (tj. obowiązują wszystkie powyższe punkty) wszędzie tam, gdzie działa Optimizely
Korzystanie z Optimizely Web bez Menedżera tagów
Jeśli nie używasz Menedżera tagów w swojej witrynie, możesz poinstruować Optimizely, aby nie śledził odwiedzających witrynę, ustawiając plik cookie o nazwieoptimlyOptOut na „prawda”. Optimizely sprawdza ten plik cookie przed wykonaniem treści fragmentu kodu JavaScript. Lepiej jest użyć oficjalnie obsługiwanego interfejsu API optOut niż bezpośrednio ustawiać plik cookie.
Musisz dodać kod nad fragmentem kodu Optimizely na swojej stronie. W przeciwnym razie fragment kodu JavaScript uruchamia się i ustawia śledzące pliki cookie i elementy pamięci użytkowników.
Zobaczmy, jak korzystać z API optOut.
<skrypt>
okno["optymalizuj"] = okno["optymalizuj"] || [];
okno["optymalizuj"].push({
"typ": "optOut",
„isOptOut”: prawda
});
</script>
<script src=”https://cdn.optimizely.com/js/{project_id].js”></script>Jeśli odwiedzający wyrazi zgodę na śledzenie plików cookie, możesz ponownie włączyć śledzenie tego odwiedzającego, przepisując wartość pliku cookieoptimlyOptOut na „false”.
Na przykład, jeśli wyświetlasz baner cookie (element nakładki, który szuka zgody na śledzenie odwiedzających), możesz zmienić wartość pliku cookie optOut na false po uzyskaniu zgody za pomocą następującego kodu.
okno["optymalizuj"] = okno["optymalizuj"] || [];
okno["optymalizuj"].push({
"typ": "optOut",
"isOptOut": fałsz
});Z technicznego punktu widzenia powiąż ten interfejs API z logiką, która działa, gdy użytkownik wyraża zgodę na śledzenie.
Korzystanie z Optimizely Web z menedżerem tagów
Korzystając z Menedżera tagów, możesz użyć logiki warunkowej do wczytania fragmentu kodu JavaScript Optimizely tylko wtedy, gdy użytkownik wyrazi na to zgodę.
Ponieważ akceptacja plików cookie nie jest wymagana we wszystkich regionach lub dla wszystkich plików cookie, Optimizely nie ustawia domyślnie pliku cookieoptimlyOptOut. Jako właściciel witryny jesteś odpowiedzialny za określenie, czy musisz ustawić ten plik cookie, czy użyć jednej z powyższych metod, jeśli jest to wymagane.
Jeśli domyślnie ustawisz dla opcjiOptimizelyOptOut wartość „prawda” (jak wskazano powyżej), fragment kodu Optimizely będzie działał „normalnie” (śledzi odwiedzających Twoją witrynę) tylko wtedy, gdy interfejs API optOut jest ustawiony na wartość „fałsz”.
W przypadku rozwiązań umożliwiających akceptację fragment kodu JavaScript Optimizely aktywuje się po ponownym załadowaniu strony po zarejestrowaniu się przez użytkownika, ponieważ jest wyłączony przy pierwszym wczytaniu strony.
Optymalnie pełny stos
Optimizely Full Stack nie wykorzystuje plików cookie do eksperymentów, więc wymagania rozporządzenia ePrivacy dotyczące plików cookie nie mają wpływu na tę funkcję.
Niemniej jednak użytkownicy Full Stack w UE powinni zapewnić zgodność z RODO. Wymaga, aby firmy miały „uzasadniony interes” w przetwarzaniu danych osobowych w UE.
Jako administrator danych odpowiadamy za wypełnienie zobowiązań prawnych dotyczących przetwarzania zgody przed włączeniem jakichkolwiek danych osobowych do eksperymentu Optimizely Full Stack.
W tym celu musisz wyraźnie oświadczyć, że Twoje eksperymenty obejmują działania własne mające na celu poprawę komfortu użytkownika i że nie będziesz udostępniać danych użytkowników stronom trzecim (takim jak partnerzy reklamowi).
Należy również wykluczyć użytkowników z eksperymentów pełnego stosu, jeśli wycofują zgodę.
Jak Optimizely radzi sobie z konkurencją w zakresie prywatności?
Optimizely może być gigantem cyfrowych doświadczeń, ale nadal musi uważać na swoje alternatywy, zwłaszcza jeśli chodzi o prywatność. Ma również historię pozostawiania klientów w ciemności o nagłych zmianach cen. Nic więc dziwnego, że wiele firm szuka alternatywnych dostawców.
Dla porównania porównamy opcje prywatności Optimizely z opcjami Convert Experiences i VWO. Badamy również:
- Lokalizacja serwera każdego narzędzia
- Jak traktują pliki cookie stron trzecich?
- Domyślne śledzenie w wielu domenach
- Czy pozwalają użytkownikom na rezygnację ze śledzenia
| Optymalizuj | Konwertuj doświadczenia | VWO | |||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Jednokrotne logowanie (SSO) | ✓ | ✓ | ✓ | ||||||||||||||||||||
| Serwery z siedzibą w UE | X | ✓ | X | ||||||||||||||||||||
| Żywotność plików cookie innych niż PII | 6 miesięcy | 6 miesięcy | 100 dni | ||||||||||||||||||||
| Pliki cookie stron trzecich | ✓ | X | ✓ | ||||||||||||||||||||
| Nie śledź ustawień przeglądarki | ✓ | ✓ | ✓ | ||||||||||||||||||||
| Funkcja rezygnacji | ✓ | ✓ | ✓ | ||||||||||||||||||||
| Wskazówki w aplikacji dotyczące zgodności z RODO | X | ✓ | X | ||||||||||||||||||||
| Umowa o przetwarzanie danych (DPA) | ✓ | ✓ | ✓ | ||||||||||||||||||||
| Zgodność z PCI-DSS | ✓ | ✓ | ✓ | ||||||||||||||||||||
| Zgodność z e-prywatnością | X | ✓ | X | ||||||||||||||||||||
| Anonimizacja danych | ✓ | ✓ | ✓ | ||||||||||||||||||||
| Śledzenie w wielu domenach jest domyślnie dozwolone | ✓ | X | ✓ | ||||||||||||||||||||
| Segmentacja dozwolona domyślnie | ✓ | X | ✓ | ||||||||||||||||||||
| Prawo do bycia zapomnianym | ✓ | ✓ | ✓ | ||||||||||||||||||||
| Powiadomienia o naruszeniu danych | ✓ | ✓ | ✓ | ||||||||||||||||||||
| Wyznaczenie inspektora ochrony danych | ✓ | ✓ | ✓ | ||||||||||||||||||||
| Transgraniczne transfery danych | UE-USA i SwissU.S. Ramy Tarczy Prywatności | UE-USA i SwissU.S. Ramy Tarczy Prywatności | UE-USA i SwissU.S. Ramy Tarczy Prywatności | ||||||||||||||||||||
| Ochrona danych w fazie projektowania i domyślna | ✓ | ✓ | ✓ | ||||||||||||||||||||
| Wrażliwe dane osobowe | X | X | X |
Jakie zmiany wprowadzono optymalnie w zakresie prywatności po przejęciu serwera Episerver?
We wrześniu 2020 r. Episerver ogłosił przejęcie Optimizely. Rok później Episerver ponownie przedstawił się jako Optimizely, aby zwiększyć rozpoznawalność marki.
Przejęcie Optimizely i rebranding stworzyły możliwości zarówno dla klientów Episerver, jak i Optimizely, ponieważ potrzeba personalizacji i funkcjonalności handlowych stała się bardziej oczywista.
Pod względem prywatności Optimizely znacznie się rozwinęła od momentu przejęcia.
- Episerver szanuje prywatność od samego początku i domyślnie. Co tydzień publikuje nowe zasady, aby zapewnić ich zgodność z RODO i innymi obowiązującymi przepisami dotyczącymi prywatności.
- Organizuje coroczne spotkania, szkolenia, seminaria, seminaria internetowe i serie edukacyjne na temat ochrony danych, bezpieczeństwa, prywatności i danych osobowych.
- Episerver zaktualizował również umowę Optimizely na przetwarzanie danych (DPA) dla wszystkich nowych dostawców, aby podpisać i zapewnić zgodność z przepisami dotyczącymi ochrony danych i prywatności.
- Episerver ulepszył oświadczenie i politykę prywatności Optimizely w zakresie dostępu do danych i żądań usunięcia danych zgodnie z RODO i kalifornijską ustawą o ochronie prywatności konsumentów (CCPA), oferując prawo dostępu i usuwania danych mieszkańcom UE i Kalifornii. Posiada teraz przejrzysty model uzyskiwania zgody i usuwania informacji w razie potrzeby.
- Zespół ds. reagowania na incydenty bezpieczeństwa (SIRT) firmy Episerver może zająć się potencjalnymi incydentami związanymi z bezpieczeństwem lub prywatnością. Klasyfikuje wszystkie incydenty bezpieczeństwa jako o wysokim priorytecie (P1) i eskaluje je do dedykowanego zespołu.
- Episerver uruchomił Episerver Trust Center, podkreślając ujednolicone zabezpieczenia, zgodność i kontrolę prywatności w celu ochrony danych klientów.
Episerver zmodernizował Optimizely, podnosząc poprzeczkę w zakresie zgodności z RODO i praktyk dotyczących prywatności, aby zapewnić mocną podstawę prawną.
Episerver uczynił zgodność z RODO codziennym priorytetem zarówno w rozwoju produktów, jak i usługach zarządzanych na całym świecie.
Peter Yeung, wiceprezes, radca prawny i globalny inspektor ochrony danych, Episerver
Peter dodał ponadto, że Episerver od dawna jest pionierem w ściśle regulowanych branżach i krajach, czego rezultatem są rozwiązania zaprojektowane z myślą o zgodności. Łączy lata bogatego doświadczenia i wiedzy w zakresie infrastruktury chmury z głębokim zaangażowaniem w ochronę danych, bezpieczeństwo i zgodność.
Podejście do przyszłych wyzwań
Firma Optimizely dołożyła wszelkich starań, aby zachować zgodność z RODO, CCPA, ogólnym prawem o ochronie danych osobowych (LGPD) i innymi obowiązującymi przepisami dotyczącymi prywatności.
Być może poczyniła kroki w celu zapewnienia prywatności i bezpieczeństwa danych po ich przejęciu, ale nie bierze pod uwagę nadchodzącego rozporządzenia o prywatności i łączności elektronicznej. Optimizely musi przejść na wyższe poziomy pod kątem eksperymentów i zbierania danych.
Dane napędzają wszystko, od opracowania hipotezy testowej po dostarczenie bardziej spersonalizowanego doświadczenia użytkownika i śledzenie skuteczności testu. Oznacza to, że zespoły eksperymentujące muszą traktować priorytetowo prywatność danych.
RODO dotyczy tylko ogólnych danych (osobowych), podczas gdy ePrivacy ma na celu uzupełnienie RODO, obejmując i kontrolując prywatność danych w szerokim zakresie. Rozporządzenie ePrivacy obejmuje marketing, całą listę technologii śledzenia (w tym między innymi pliki cookie) i ma na celu zwalczanie profilowania i reklamy behawioralnej z przejrzystością i wyraźną zgodą.
Dopóki Optimizely nie bierze pod uwagę ePrivacy, brakuje istotnego elementu układanki. A nawet jeśli zacznie się dzisiaj, założenie tego elementu na miejsce nie będzie łatwe.
