Convert é a ferramenta de teste mais focada em privacidade do mercado. Aqui está o porquê

Estamos melhorando os resultados há uma década.

E com mais de 30 bilhões de experiências testadas, aperfeiçoamos uma ferramenta que gera conversões aprimoradas para clientes de todos os setores possíveis – sem complicações.

Mas quando a onda do GDPR chegou, queríamos ir além da melhoria dos resultados.

Queríamos ser a ferramenta de otimização para usuários experientes em um mundo onde as preocupações com a privacidade se tornariam cada vez mais importantes a cada ano que passa.

Foram quase 8 meses, milhares de horas, centenas de (pequenas) discussões, mas conseguimos realizar tudo o que queríamos.

Tudo o que você precisa para realizar testes e extrair insights, sem desconsiderar o GDPR ou o regulamento de privacidade eletrônica.

Índice:

Atualizações no aplicativo: equilibrando privacidade e recursos

Anonimização do ID do visitante: teste sem consentimento em nosso modo padrão

Um princípio importante no Regulamento Geral de Proteção de Dados da União Europeia (GDPR) (Capítulo 2, Artigo 5) é a minimização de dados.

Isso significa que, no contexto de dados pessoais, os provedores de produtos e serviços devem coletar, armazenar e processar apenas o que for adequado, relevante e limitado ao seu caso de negócios.

Não há uma definição clara de quais dados pessoais devem ser coletados e quais não devem ser. É completamente baseado no caso de uso específico.

Para praticar o princípio de minimização de dados, anonimizamos o ID do visitante em nosso rastreamento, agrupando centenas de visitantes do site em grupos de visitantes que contam apenas a presença do visitante .

Visitantes individuais não são armazenados no Convert Experiences. Não será possível reconectar contagens de grupos a visitantes individuais de forma alguma.

O GDPR nos deu a oportunidade de dar uma olhada no que estávamos armazenando no Convert e qual era o caso de uso para mantê-lo em um ambiente cada vez mais centrado na privacidade.

Remoção de IDs de transação: Obtendo “Push”

Também alteramos nosso rastreamento de receita para usar pushRevenue em vez de sendRevenue .

• pushRevenue não envia nenhum ID de transação.
• sendRevenue envia o ID da transação, mas é ignorado e não armazenado.

 <script>    window['_conv_q'] = window['_conv_q'] || [];    window['_conv_q'].push(["pushRevenue",revenue,products_cnt,goal_id]); </script>

Expiração persistente de cookies: você é ótimo, mas vamos lembrar de você apenas por 6 meses

Os cookies persistentes são colocados no computador de um usuário quando ele faz login pela primeira vez em um site e permanecem nesse computador mesmo depois que o usuário se afasta do site e fecha o navegador.

Esses cookies receberam o nome de “cookies de rastreamento”, pois são frequentemente usados ​​por anunciantes para rastrear o movimento de um usuário do site em várias páginas da web e criar anúncios direcionados com base na navegação do usuário e nos padrões de pesquisa.

Cada cookie persistente tem um nome e uma data de validade definidos pelo criador.

Quando um site envia um cookie, ele pede ao seu navegador para manter esse cookie específico até que uma determinada data e hora tenham passado.

De acordo com a recomendação da Diretiva ePrivacy, os cookies persistentes devem ser excluídos a cada 12 meses pelo menos, mas infelizmente a maioria é armazenada por muito mais tempo do que isso.

No Google Adwords um cookie pode durar até 540 dias e no Google Analytics um cookie pode durar até 2 anos. Foram registrados exemplos de cookies que foram feitos para ter uma vida útil de +7000 anos!

Os cookies persistentes podem ser facilmente usados ​​indevidamente e há muita preocupação com essa eventualidade. De fato, o Yahoo revelou que os hacks relatados de seus servidores incluíam cookies roubados e falsificados que permitiam aos hackers acessar contas de usuários sem a necessidade de uma senha. Isso significa que os hackers conseguiram copiar os cookies persistentes localizados nos servidores do Yahoo, criar versões forjadas deles e acessar as contas dos usuários com pouco esforço.

Para responder a esse desafio de privacidade, nós da Convert implementamos uma redução do limite de armazenamento de tempo de vida do cookie persistente de 12 meses para 6 meses.

Remoção de cookies de terceiros: não estamos “falando” com eles

Um cookie de terceiros é um cookie que (a) vem de um domínio diferente, ou (b) é “definido por um controlador de dados distinto daquele que opera o site visitado pelo usuário”.

Você pode instalar um programa chamado Lightbeam em seu navegador FireFox que permite que você veja todos os cookies de terceiros baixados nas sombras do seu navegador. Aqui estão meus resultados para meus sites mais visitados:

Como você pode ver na captura de tela acima, meu navegador se tornou literalmente um pote de biscoitos - logo após visitar 7 sites.

Os sites geralmente sinalizam sua visita a plataformas de terceiros e compartilham seus dados de navegação com eles para obter benefícios de publicidade e marketing.

Os cookies receberam muita atenção sob a Diretiva de Privacidade Eletrônica porque eles não apenas rastreiam informações, mas também podem roubar informações.

A natureza e o processo de rastreamento por terceiros criam um conflito de interesses entre usuários e proprietários de sites, principalmente quando estão envolvidos cookies de terceiros de anúncios no site.

Se o seu site usa cookies de terceiros ou permite seu uso, você se expõe a mais consequências sob a lei de cookies.

Para garantir a privacidade total do cliente e visitante, a partir de 21 de fevereiro de 2018, desativamos todos os cookies de terceiros.

Nós protegemos você: avisos convenientes do GDPR!

Introduzimos avisos para informar nossos clientes sobre as configurações ou opções relacionadas ao GDPR usadas em seus projetos ou experimentos:

• A Convert Experiences tradicionalmente permite o agrupamento de visitantes do site por condições como localização e comportamento. Esses grupos são chamados de segmentos personalizados. No entanto, após o GDPR, se o recurso de segmentação estiver ativado, isso pode ser interpretado pelas autoridades de privacidade na Europa como uma forma de identificar os titulares dos dados. Para informar os usuários, inserimos avisos visíveis que são ativados se a segmentação estiver ativada para pelo menos um público.

• Audiências criadas com dados pessoais: existe um aviso GDPR nas páginas de Audiências salvas e nas páginas de Resumo da experiência quando as audiências são criadas com cookies ou condições de JavaScript, ou se o fuso horário, cidade, região, ID do cliente ou tags do cliente foram segmentados:

• Rastreamento de domínio cruzado: o cookie de domínio cruzado é desativado por padrão para todos os projetos no Convert Experiences. Ativá-lo ativa outro aviso:

• As Experiências de Personalização podem conter pequenos segmentos (menos de 100 visitantes únicos) e isso pode ser interpretado pelas Autoridades de Privacidade na Europa como identificação dos titulares dos dados. Por esse motivo, adicionamos um aviso ao resumo de qualquer experiência de personalização.

O objetivo desses avisos é garantir que nossos usuários entendam quais recursos podem ser vistos como uma possível “identificação” de titulares de dados pelas autoridades da UE.

É difícil memorizar a essência dos mandatos do GDPR e das diretivas de privacidade eletrônica!

Ao usar o Convert Experiences, você trabalha com uma ferramenta que pode fazer muito, mas também pontua seu potencial com lembretes de que certas ações agora são interpretadas de maneira diferente nos países da União Europeia.

Você pode desativar os avisos do GDPR.

Servidor de login: Frankfurt, Alemanha

Outra grande mudança que o GDPR introduziu tem a ver com a localização do armazenamento de dados.

Este é simples.

Se você armazenar dados de cidadãos da UE, os dados devem permanecer em solo da UE. Em outras palavras, você precisa ter servidores em países da União Europeia.

Os dados não devem ser enviados para servidores fora da UE (para os EUA, por exemplo), sob nenhuma circunstância.

Mudamos nosso servidor de login dos EUA para um data center em Frankfurt, na Alemanha, alimentado por energia neutra em carbono.

Configuração DNT: seu navegador fala, nós ouvimos

Do Not Track é uma estrutura tecnológica e legal que permite que os usuários desativem o rastreamento por redes de anúncios, serviços de análise e plataformas sociais.

O DNT capacita o tráfego com o poder de escolha.

É um recurso em navegadores da web que permite aos usuários expressar sua preferência por não serem rastreados para os sites e serviços que usam todos os dias.

O GDPR da UE impõe o respeito a essa nova preferência de navegador. Combinados, a tecnologia e a lei fornecem um caminho viável para reivindicar o direito à privacidade na web.

DNT é um usuário fazendo uma solicitação explícita de recurso, não quero ser rastreado. DNT é uma preferência do usuário que força o navegador a enviar uma solicitação HTTP ao servidor informando explicitamente a esse servidor para não rastrear os comportamentos do usuário.

Adicionamos suporte configurável para as configurações do navegador “Não rastrear” por Projeto.

Por padrão, a opção OFF é selecionada quando você cria um novo projeto, mas você pode escolher qualquer uma das seguintes configurações:

• DESLIGADO
• Apenas UE
• Apenas EEE
• No mundo todo

Em suma, permitimos que nossos usuários evitem contar ou de qualquer forma usar os dados de indivíduos que preferem não ser rastreados.

Saiba mais sobre esse novo recurso aqui.

Desativar: um link para excluir todos

Há dois lados na história do rastreamento.

Um, os visitantes experientes do site podem optar por habilitar o Do Not Track em seus navegadores e se esconder de olhares indiscretos.

Dois, eles devem ter o poder de optar por não rastrear diretamente dos sites que visitam.

Nós da Convert sabemos disso e colocamos o recurso de desativação https://www.convert.com/opt-out/ na página de configurações do aplicativo Convert.

Com apenas um clique no link Opt-Out, os visitantes podem optar por não serem rastreados por todos os sites que usam o aplicativo Convert Experiences.

Teste de domínio cruzado: não permitido por padrão

O acompanhamento de vários domínios possibilita que o Convert Experiences veja sessões em dois sites relacionados (como um site de comércio eletrônico e um site de carrinho de compras separado) como uma única sessão. Isso às vezes é chamado de link de site .

Suponha que você tenha uma loja online e um carrinho de compras de terceiros hospedado em outro domínio, como:

• www.example-store.com
• www.example-commerce-host.com/example-store/

Sem o acompanhamento de vários domínios, um usuário que acessar sua loja on-line e depois acessar seu carrinho de compras de terceiros será contado como dois usuários separados, com duas sessões separadas de durações diferentes.

O acompanhamento de vários domínios possibilita que o Convert Experiences veja isso como uma única sessão de um único usuário e a sessão iniciada no site da loja continua até o tempo gasto no site do carrinho de compras.

No entanto, como o Cross Domain Tracking é uma área cinzenta no GDPR, ao criar um novo projeto, a opção configurável para não permitir Cross Domain Linking agora está ATIVADA por padrão.

DPIA: Levamos as mudanças a sério

As avaliações de impacto de proteção de dados (DPIAs) ajudam as organizações a identificar, avaliar e mitigar ou minimizar os riscos de privacidade com atividades de processamento de dados. Eles são particularmente relevantes quando um novo processo, sistema ou tecnologia de processamento de dados está sendo introduzido.

Os DPIAs também apoiam o princípio de responsabilidade, pois ajudam as organizações a cumprir os requisitos do GDPR e demonstram que as medidas apropriadas foram tomadas para garantir a conformidade.

Você sabia que a falha em conduzir adequadamente um DPIA, quando apropriado, é uma violação do GDPR e pode levar a multas de até 2% do faturamento global anual de uma organização ou € 10 milhões – o que for maior?

Como parte do Projeto GDPR da Convert, desenvolvemos orientações para os membros da equipe e um modelo que é usado para realizar Avaliações de Impacto de Proteção de Dados (DPIAs).

Avaliação de interesse legítimo (LIA): não assumimos

O interesse legítimo é uma das seis bases legais estabelecidas no GDPR para justificar o processamento de dados pessoais.

E parece que dá menos trabalho!

A base do interesse legítimo é ampla e flexível. Em termos leigos, diz que você pode processar dados se o processamento desses dados for um acéfalo.

Mas há tantas maneiras de interpretá-lo que usar o interesse legítimo é simplesmente abrir-se à dúvida e ao escrutínio. É altamente recomendável que você recorra à base do interesse legítimo quando outras bases (por exemplo, obrigação legal ou interesse vital) não estiverem disponíveis, ou quando o interesse legítimo for o mais adequado para a atividade de processamento.

No entanto, é necessária uma avaliação da proporcionalidade . Antes de usar a base de interesse legítimo, faça o seguinte:

• Teste de finalidade: identificar o interesse legítimo;
• Teste de necessidade: avaliar se o processamento é necessário para atingir esse interesse; e
• Teste de balanceamento: equilibre o interesse legítimo com os interesses, direitos e liberdades do indivíduo.

Conduzimos nossa própria Avaliação de Impacto de Interesse Legítimo (LIA) e estruturamos as opções de consentimento de nossos pontos de contato de marketing de acordo.

PCI-DSS para dados seguros do titular do cartão: informações confidenciais são nossa prioridade

Seguimos os princípios e padrões estabelecidos pelo PCI Standards Council para armazenamento e manuseio de informações de cartão de crédito. Mais informações estão disponíveis aqui.

Embora o PCI DSS esteja focado em proteger os dados do titular do cartão de pagamento e a intenção do GDPR seja proteger os dados pessoais dos residentes da UE, uma violação do PCI também é uma violação de dados pessoais.

Consequentemente, em conformidade com o PCI DSS, sempre realizamos revisões anuais dos dados do titular do cartão. Esse cronograma de revisões nos fornece uma estrutura que foi usada na implementação de medidas para cumprir o GDPR.

Além disso, investimos em tecnologias seguras para manter os dados do titular do cartão seguros.

Além das atualizações de aplicativos: alterações do GDPR na equipe de conversão

Jurídico:

Atualizamos nossa Política de Privacidade e Termos de Serviço. Adicionamos uma nova Política de Cookies. Essas atualizações entraram em vigor para usuários e clientes existentes e novos em 25 de maio de 2018.
De acordo com o artigo 28, parágrafo 4 do GDPR, assinamos um Acordo de Processamento de Dados (DPA) com todos os nossos clientes europeus como padrão.

Vendas:

Tornamos nossos processos de vendas compatíveis com GDPR.

• LiveChat . Se o DNT estiver habilitado para navegadores, o LiveChat não aparecerá. Removemos todos os endereços IP do nosso histórico do LiveChat.
• Formulário Fale Conosco . Ele foi atualizado para ser compatível com GDPR.
• Solicite um Formulário de Demonstração . Ele também foi atualizado para refletir as opções de consentimento do GDPR.
• Repermissão de campanhas de e-mail . Realizamos campanhas de repermissão para todos os clientes em potencial que estão conversando com executivos de contas para obter seu consentimento para assistência 1:1.
• Formulário de teste gratuito . Ele foi atualizado para ser compatível com GDPR.

Marketing:

Tornamos nossos processos de marketing compatíveis com GDPR.

1. Clientes de e-mail de saída . Interrompemos as campanhas de saída em deferência ao GDPR.
2. Re-permissão da campanha de e-mail . Executamos campanhas de repermissão para todo o nosso banco de dados, obtendo consentimento granular para contatá-los com diferentes tipos de comunicação.
3. Formulário de boletim informativo . Ele foi atualizado para ser compatível com GDPR.
4. Formulários de ímã de chumbo . Eles foram atualizados para serem compatíveis com GDPR.
5. Formulário de webinar . Ele foi atualizado para ser compatível com GDPR.
6. Formulário de teste gratuito . Ele foi atualizado para ser compatível com GDPR.
7. Formulário de postagem de convidados . Ele foi atualizado para ser compatível com GDPR.

Recursos Humanos (RH):

Treinamos nossa equipe com seminários e todos eles possuem um certificado GDPR abrangendo conhecimentos básicos.

Suporte ao cliente:

Treinamos nossa equipe de CS para responder adequadamente a perguntas/ingressos sobre GDPR e violações de dados.

Desenvolvimento:

Várias diretrizes foram aplicadas ao nosso círculo de desenvolvimento de software:

1. Treinamento (os desenvolvedores foram treinados em aspectos de privacidade e segurança)
2. Design (todos os requisitos de design orientados a dados e orientados a processos foram orientados pelo GDPR)
3. Codificação (os desenvolvedores usam ferramentas e estruturas aprovadas, funções e módulos inseguros desabilitados e realizam regularmente análise de código estático e revisão de código)
4. Testes (testamos para garantir que os requisitos de proteção e segurança de dados foram implementados corretamente)
5. Antes de cada lançamento, um Plano de Resposta a Incidentes foi estabelecido e uma revisão completa de segurança do software foi realizada. O lançamento foi então aprovado e todos os dados relevantes de todo o processo de desenvolvimento foram arquivados.
6. Manutenção (O Convert está preparado para responder a incidentes, violações de dados pessoais, falhas e ataques, e é capaz de emitir atualizações, orientações e informações aos usuários e afetados pelo software)

Estrutura de Política: Guiando-nos para um Futuro Seguro de Dados e Focado em Privacidade

Para garantir uma implementação e gerenciamento consistentes e de alta qualidade de recursos, processos e práticas de TI, definimos uma estrutura abrangente de políticas, procedimentos e padrões bem definidos.

Ao desenvolver essas políticas, procedimentos e padrões de TI, referenciamos a série de padrões ISO 27000 que foram especificamente reservados pela ISO (Organização Internacional de Padrões) para questões de segurança da informação.

Nossas políticas de TI são divididas em duas áreas: políticas referentes à Segurança e Uso de TI e políticas referentes a Dados.

Políticas de segurança e uso de TI:

As seguintes políticas e procedimentos fornecem orientações claras para segurança e uso de TI:

1. Lista de verificação de privacidade e segurança para conformidade com o GDPR : O GDPR exige que a Convert proteja os dados pessoais de seus clientes e funcionários em todas as fases do ciclo de vida do processamento de dados. . As empresas precisam levar em consideração diferentes aspectos tecnológicos e legais ao procurar um provedor de serviços. Essa política específica nos permite manter os fatores mais críticos em mente ao escolher provedores de serviços e fornecedores que se alinham com nossa abordagem focada em privacidade.
2. Política de licença de software de código aberto : O objetivo desta Política é permitir que o círculo de desenvolvimento saiba quais políticas de licença de software de código aberto devem ser aceitas ao desenvolver código.
3. Política de senha do funcionário : O objetivo desta política é garantir que todos os recursos e dados do Convert Insights recebam proteção de senha adequada. A política abrange todos os funcionários responsáveis ​​por uma ou mais contas ou que tenham acesso a qualquer recurso que exija senha.
4. Política de uso aceitável : esta política foi projetada para ajudar a equipe da Convert Insights a entender suas responsabilidades ao utilizar, acessar ou criar conteúdo com os recursos de TI da Convert Insights ou serviços em rede. Ele esclarece e define (dentro do razoável) o que a Convert Insights considera um uso aceitável desses recursos.
5. Política da Web e de Mídias Sociais : Esta política esclarece como a Convert Insights rege essa propriedade digital e também fornece diretrizes para usuários ao criar conteúdo digital em nome da Convert Insights e diretrizes sobre o uso de contas oficiais de mídia social da Convert Insights.
6. Política de segurança de TI : O objetivo desta política de segurança é promover uma cultura que ajude a maximizar o valor das informações por meio de seu gerenciamento eficiente e proteção segura, além de proteger a Convert Insights e os direitos da equipe e de outras partes que dependem das informações.
7. Questionário de Serviço de Hospedagem Externa : O objetivo deste questionário é garantir que os Processadores de Dados de terceiros (em termos do GDPR) tenham políticas e procedimentos aceitáveis ​​de segurança de TI e privacidade de dados em vigor para minimizar o risco de perda ou exposição de dados pessoais da Convert Insights .

Políticas e Procedimentos de Dados:

As políticas e procedimentos a seguir fornecem orientações claras sobre a maneira aceitável, segura e legal pela qual a Convert Insights deve usar e gerenciar dados:

1. Política Geral de Proteção de Dados : Esta política é uma declaração do compromisso da Convert Insights de proteger os direitos e a privacidade dos indivíduos de acordo com o GDPR.
2. Plano de Gerenciamento de Emergências : A Equipe de Gerenciamento de Emergências (EMT) se reunirá em resposta a uma violação e decidirá se o Plano de Gerenciamento de Emergências precisa ser acionado. Essa equipe atuará como um ponto de escalonamento para incidentes graves ou violações de políticas relacionadas a dados e recursos.
3. Política de gerenciamento de dados : O objetivo desta política é permitir o acesso aos dados e informações mantidos pela Convert Insights, na medida do possível, garantindo que eles sejam protegidos contra uso não autorizado, acesso e violações de privacidade.
4. Procedimento de Classificação de Dados : A Política de Gerenciamento de Dados exige que os proprietários de dados classifiquem seus dados de acordo com sua sensibilidade e criticidade. Este procedimento define como essa classificação deve ser realizada.
5. Política de treinamento de proteção de dados da equipe : Esta política e quaisquer outros documentos mencionados nela definem o treinamento que a equipe da Convert Insights receberá para garantir que todo o manuseio de dados pessoais esteja em conformidade com o Regulamento Geral de Proteção de Dados (GDPR).
6. Procedimento de solicitação de acesso a dados : O objetivo deste procedimento é garantir que a Convert Insights cumpra as disposições de solicitação de acesso do Regulamento Geral de Proteção de Dados e permitir que os indivíduos enviem solicitações de acesso a dados quando necessário.
7. Política de escalonamento de violação de dados pessoais : O objetivo desses procedimentos é fornecer uma estrutura para relatar e gerenciar violações de segurança de dados que afetam dados pessoais ou confidenciais mantidos pela Convert Insights. Estes procedimentos são um complemento à Política de Proteção de Dados que afirma o seu compromisso em proteger os direitos de privacidade dos indivíduos de acordo com a legislação de Proteção de Dados.

Converter o GDPR não é um inconveniente.

Ele reformulou a maneira como a análise é usada e redefiniu seu lugar no mundo da otimização.

Analytics não é mais sobre acumular dados de prospects na esperança de encontrar insights indescritíveis.

Não se trata mais de assumir que a personalização é o caminho a seguir.

Análise e testes pós GDPR são sobre minimalismo. Aproveitando ao máximo os dados que podem ser processados ​​de maneiras novas e inovadoras.

Se você quiser uma ferramenta que te ajude nessas mudanças de privacidade – agora e no futuro, nos dê um giro de 15 dias, sem obrigações.