Convert este instrumentul de testare cel mai axat pe confidențialitate de pe piață. Iata de ce

Am îmbunătățit rezultatele de un deceniu.

Și cu peste 30 de miliarde de experiențe testate, am perfecționat un instrument care generează conversii îmbunătățite pentru clienții din toate industriile posibile – fără bătăi de cap.

Dar când a lovit valul GDPR, am vrut să mergem dincolo de îmbunătățirea rezultatelor.

Am vrut să fim instrumentul de optimizare pentru utilizatorii experimentați într-o lume în care preocupările legate de confidențialitate vor deveni mai importante cu fiecare an care trece.

A durat cea mai mare parte a 8 luni, mii de ore, sute de argumente (mici), dar am reușit să realizăm tot ce ne-am dorit.

Tot ceea ce aveți nevoie pentru a rula teste și a analiza informații, fără a ignora GDPR sau Regulamentul ePrivacy.

Cuprins:

Actualizări în aplicație: echilibrare confidențialitate și funcții

Anonimizarea ID-ului vizitatorului: testați fără consimțământ în modul nostru implicit

Un principiu important din Regulamentul general privind protecția datelor (GDPR) al Uniunii Europene (Capitolul 2, articolul 5) este minimizarea datelor.

Aceasta înseamnă că, în contextul datelor cu caracter personal, furnizorii de produse și servicii ar trebui să colecteze, să stocheze și să proceseze doar ceea ce este adecvat, relevant și limitat la cazul lor de afaceri.

Nu există o definiție clară a datelor cu caracter personal care ar trebui colectate și ce nu ar trebui să fie. Se bazează complet pe cazul de utilizare specific.

Pentru a practica principiul minimizării datelor, am anonimizat ID-ul vizitatorului în urmărirea noastră, grupând sute de vizitatori ai site-ului web în grupuri de vizitatori care numără doar prezența vizitatorului .

Vizitatorii individuali nu sunt stocați în Experiențe Convertiți. Nu va fi posibilă reconectarea numărătorilor de grup la vizitatorii individuali în niciun fel.

GDPR ne-a oferit ocazia de a arunca o privire atentă asupra a ceea ce stocam în Convert și care a fost cazul de utilizare pentru păstrarea acestuia într-un mediu din ce în ce mai centrat pe confidențialitate.

Eliminarea ID-urilor tranzacției: obținerea „Push”

De asemenea, ne-am schimbat urmărirea veniturilor pentru a folosi pushRevenue în loc de sendRevenue .

• pushRevenue nu trimite niciun ID de tranzacție.
• sendRevenue trimite ID-ul tranzacției, dar este ignorat și nu este stocat.

 <script>    window['_conv_q'] = window['_conv_q'] || [];    window['_conv_q'].push(["pushRevenue",revenue,products_cnt,goal_id]); </script>

Expirare persistentă a cookie-urilor: ești grozav, dar ne vom aminti de tine doar 6 luni

Cookie-urile persistente sunt plasate pe computerul unui utilizator atunci când acesta se conectează pentru prima dată la un site web și rămân pe acel computer chiar și după ce utilizatorul se îndepărtează de site și închide browserul.

Aceste cookie-uri au preluat denumirea de „cookie-uri de urmărire”, deoarece sunt adesea folosite de agenții de publicitate pentru a urmări mișcarea unui utilizator de site-ul pe mai multe pagini web și pentru a crea reclame țintite pe baza modelelor de căutare și de navigare a utilizatorului.

Fiecare cookie persistent are un nume și o dată de expirare stabilite de creator.

Când un site web trimite un cookie, acesta solicită browserului dumneavoastră să păstreze acel cookie până la o anumită dată și oră.

Conform recomandării Directivei ePrivacy, cookie-urile persistente ar trebui șterse cel puțin la fiecare 12 luni, dar, din păcate, cele mai multe sunt stocate mult mai mult decât atât.

În Google Adwords un cookie poate dura până la 540 de zile, iar în Google Analytics un cookie poate dura până la 2 ani. Au fost înregistrate exemple de cookie-uri care au fost făcute pentru a avea o durată de viață de +7000 de ani!

Cookie-urile persistente pot fi ușor utilizate greșit și există multă îngrijorare în legătură cu această eventualitate. Într-adevăr, Yahoo a dezvăluit că hackurile raportate ale serverelor sale includ cookie-uri furate și falsificate care le-au permis hackerilor să acceseze conturile de utilizator fără a fi nevoie de o parolă. Aceasta înseamnă că hackerii au putut să copieze cookie-urile persistente aflate pe serverele Yahoo, să creeze versiuni falsificate ale acestora și apoi să acceseze conturile de utilizator cu puțin efort.

Pentru a răspunde acestei provocări privind confidențialitatea, noi, cei de la Convert, am implementat o reducere a limitei de stocare a cookie-urilor persistente de la 12 luni la 6 luni.

Eliminarea cookie-urilor terțelor părți: nu „vorbim” cu ei

Un cookie terță parte este un cookie care (a) provine dintr-un domeniu diferit sau (b) este „setat de un operator de date care este diferit de cel care operează site-ul web vizitat de utilizator”.

Puteți instala un program numit Lightbeam pe browserul dvs. FireFox, care vă permite să vedeți toate cookie-urile terță parte descărcate în umbra browserului dvs. web. Iată rezultatele mele pentru site-urile mele frecvent vizitate:

După cum puteți vedea în captura de ecran de mai sus, browserul meu a devenit literalmente un borcan pentru cookie-uri – imediat după ce am vizitat 7 site-uri web.

Site-urile semnalează adesea vizita dumneavoastră pe platforme terțe și le partajează datele de navigare pentru beneficii de publicitate și marketing.

Cookie-urile au primit multă atenție în temeiul Directivei privind confidențialitatea electronică, deoarece nu numai că urmăresc informații, ci chiar pot fura informații.

Natura și procesul de urmărire de către terți creează un conflict de interese între utilizatori și proprietarii de site-uri web, în ​​special atunci când sunt implicate cookie-uri terțe din reclamele de pe site.

Dacă site-ul dvs. folosește cookie-uri de la terți sau permite utilizarea acestora, vă expuneți la mai multe consecințe conform legii cookie-urilor.

Pentru a asigura confidențialitatea completă a clienților și a vizitatorilor, începând cu 21 februarie 2018, am dezactivat toate modulele cookie ale terților.

V-am luat spatele: avertismente convenabile GDPR!

Am introdus avertismente pentru a informa clienții noștri cu privire la setările sau opțiunile legate de GDPR utilizate în proiectele sau experimentele lor:

• Convert Experiences a permis în mod tradițional gruparea vizitatorilor site-ului în funcție de condiții precum locație și comportament. Aceste grupuri sunt denumite segmente personalizate. Cu toate acestea, după GDPR, dacă funcția de Segmentare este activată, aceasta poate fi interpretată de autoritățile de confidențialitate din Europa ca o modalitate de a identifica persoanele vizate. Pentru a informa utilizatorii, am inserat avertismente vizibile care se activează dacă segmentarea este activată pentru cel puțin un public.

• Segmente de public create cu date personale: există un avertisment GDPR în segmentele de public salvate și în paginile Rezumatul experienței atunci când segmentele de public sunt create cu cookie-uri sau condiții JavaScript sau dacă au fost vizate fusul orar, orașul, regiunea, codul clientului sau etichetele clientului:

• Urmărirea pe mai multe domenii: cookie-ul pe mai multe domenii este dezactivat în mod prestabilit pentru toate proiectele din Experiențe de conversie. Pornirea acestuia activează un alt avertisment:

• Experiențele de personalizare pot conține segmente mici (sub 100 de vizitatori unici) și acest lucru poate fi interpretat de către autoritățile de confidențialitate din Europa ca identificarea persoanelor vizate. Din acest motiv, am adăugat un avertisment la rezumatul oricărei experiențe de personalizare.

Scopul acestor avertismente este de a se asigura că utilizatorii noștri înțeleg ce caracteristici pot fi considerate ca potențiale „identificare” a persoanelor vizate de către autoritățile UE.

Este dificil să memorezi o esențială a mandatelor GDPR și a directivelor ePrivacy!

Utilizând Convert Experiences, lucrați cu un instrument care poate face multe, dar care punctează și potențialul său cu mementouri că anumite acțiuni sunt acum interpretate diferit în țările Uniunii Europene.

Aveți posibilitatea de a dezactiva avertismentele GDPR.

Server de autentificare: Frankfurt, Germania Este

O altă schimbare majoră pe care GDPR a introdus-o are de-a face cu locația stocării datelor.

Acesta este simplu.

Dacă stocați datele cetățenilor UE, datele ar trebui să rămână pe teritoriul UE. Cu alte cuvinte, trebuie să aveți servere în țările Uniunii Europene.

Datele nu trebuie trimise către servere din afara UE (în SUA, de exemplu), sub nicio circumstanță.

Ne-am mutat serverul de conectare din SUA la un centru de date din Frankfurt, Germania, care este alimentat cu energie neutră din carbon.

Setare DNT: Browserul tău vorbește, noi ascultăm

Do Not Track este o tehnologie și un cadru legal care le permite utilizatorilor să renunțe la urmărire prin rețele publicitare, servicii de analiză și platforme sociale.

DNT împuternicește traficul cu puterea de alegere.

Este o caracteristică a browserelor web care permite utilizatorilor să-și exprime preferința pentru a nu fi urmăriți pe site-urile web și serviciile pe care le folosesc în fiecare zi.

GDPR UE impune respectarea acestei noi preferințe de browser. Combinate, tehnologia și legea oferă o cale viabilă pentru a revendica dreptul la confidențialitate pe web.

DNT este un utilizator care face o cerere explicită de caracteristică, nu vreau să fiu urmărit. DNT este o preferință a utilizatorului care forțează browserul să trimită o solicitare HTTP către server prin care îi spune în mod explicit serverului să nu urmărească comportamentele utilizatorilor.

Am adăugat suport configurabil pentru setările browserului „Nu urmări” în funcție de proiect.

În mod implicit, opțiunea OFF este selectată când creați un proiect nou, dar puteți alege din oricare dintre următoarele setări:

• OFF
• Numai UE
• Numai SEE
• La nivel mondial

Pe scurt, le permitem utilizatorilor noștri să evite numărarea sau utilizarea în orice fel a datelor persoanelor care preferă să nu fie urmărite.

Aflați mai multe despre această nouă funcție aici.

Renunțați: un link pentru a le exclude pe toate

Povestea urmăririi are două părți.

În primul rând, vizitatorii cunoscuți ai site-ului web pot alege să activeze Nu urmăriți pe browserele lor și să se ascundă de privirile indiscrete.

În al doilea rând, ar trebui să aibă puterea de a renunța la urmărire direct de pe site-urile web pe care le vizitează.

Noi, cei de la Convert, știm asta și am plasat caracteristica de renunțare https://www.convert.com/opt-out/ pe pagina de setări a aplicației Convert.

Cu un singur clic pe linkul de renunțare, vizitatorii pot alege să renunțe la urmărirea de către toate site-urile web care folosesc aplicația Convert Experiences.

Testare între domenii: nepermisă implicit

Urmărirea pe mai multe domenii face posibil ca Convert Experiences să vadă sesiunile pe două site-uri conexe (cum ar fi un site de comerț electronic și un site separat de coș de cumpărături) ca o singură sesiune. Aceasta este uneori numită linking site .

Să presupunem că aveți un magazin online și un coș de cumpărături terță parte găzduit pe alt domeniu, cum ar fi:

• www.example-store.com
• www.example-commerce-host.com/example-store/

Fără urmărire pe mai multe domenii, un utilizator care vine la magazinul dvs. online și apoi trece la coșul de cumpărături terță parte va fi numărat ca doi utilizatori separati, cu două sesiuni separate de durate diferite.

Urmărirea pe mai multe domenii face posibil ca Convert Experiences să vadă aceasta ca o singură sesiune de către un singur utilizator, iar sesiunea pe care a început-o pe site-ul magazinului este continuată până la timpul petrecut pe site-ul coșului de cumpărături.

Cu toate acestea, deoarece urmărirea încrucișată între domenii este o zonă gri în conformitate cu GDPR, atunci când se creează un proiect nou, opțiunea configurabilă pentru interzicerea conectării între domenii este acum ACTIVATĂ implicit.

DPIA: Luăm schimbările în serios

Evaluările impactului privind protecția datelor (DPIA) ajută organizațiile să identifice, să evalueze și să atenueze sau să minimizeze riscurile legate de confidențialitate prin activitățile de prelucrare a datelor. Acestea sunt deosebit de relevante atunci când este introdus un nou proces de prelucrare a datelor, sistem sau tehnologie.

DPIA susține, de asemenea, principiul răspunderii, deoarece ajută organizațiile să respecte cerințele GDPR și demonstrează că au fost luate măsuri adecvate pentru a asigura conformitatea.

Știați că eșecul de a efectua în mod adecvat o DPIA, acolo unde este cazul, reprezintă o încălcare a GDPR și poate duce la amenzi de până la 2% din cifra de afaceri globală anuală a unei organizații sau 10 milioane EUR – oricare dintre acestea este mai mare?

Ca parte a proiectului GDPR al lui Convert, am dezvoltat îndrumări pentru membrii echipei și un șablon care este utilizat pentru a efectua Evaluări de impact asupra protecției datelor (DPIA).

Evaluarea interesului legitim (LIA): Noi nu presupunem

Interesul legitim este unul dintre cele șase temeiuri legale prevăzute în GDPR pentru a justifica prelucrarea datelor cu caracter personal.

Și sună ca cea mai mică muncă!

Baza interesului legitim are o sferă largă și flexibilă. În termeni profani, se spune că puteți procesa date dacă procesarea acestor date este o idee deloc.

Dar există atât de multe moduri de a o interpreta, încât utilizarea interesului legitim înseamnă pur și simplu să te deschizi la îndoială și control. Este foarte recomandat să apelați la baza interesului legitim atunci când alte baze (de exemplu, obligația legală sau interesul vital) nu sunt disponibile, sau când interesul legitim este cel mai potrivit de utilizat pentru activitatea de prelucrare.

Cu toate acestea, este necesară o evaluare a proporționalității . Înainte de a utiliza baza interesului legitim, efectuați următoarele:

• Testul scopului: identificarea interesului legitim;
• Testul de necesitate: se evaluează dacă prelucrarea este necesară pentru atingerea interesului respectiv; și
• Testul de echilibrare: echilibrarea interesului legitim cu interesele, drepturile și libertățile individului.

Am efectuat propria noastră evaluare a impactului asupra interesului legitim (LIA) și am structurat în consecință opțiunile de consimțământ ale punctelor noastre de contact de marketing.

PCI-DSS pentru datele securizate ale titularului de card: informațiile sensibile sunt prioritatea noastră

Respectăm principiile și standardele stabilite de Consiliul Standardelor PCI pentru stocarea și gestionarea informațiilor despre cardul de credit. Mai multe informații sunt disponibile aici.

Deși PCI DSS se concentrează pe securizarea datelor deținătorilor de carduri de plată și intenția GDPR este de a proteja datele personale ale rezidenților UE, o încălcare PCI este, de asemenea, o încălcare a datelor personale.

În consecință, conform conformității cu PCI DSS, am efectuat întotdeauna analize anuale ale datelor deținătorilor de card. Acest program de revizuiri ne oferă astfel un cadru care a fost folosit la implementarea măsurilor de conformare cu GDPR.

În plus, am investit în tehnologii sigure pentru păstrarea în siguranță a datelor deținătorilor de card.

Dincolo de actualizările aplicației: modificări GDPR la echipa Convert

Legal:

Ne-am actualizat Politica de confidențialitate și Termenii și condițiile. Am adăugat o nouă Politică privind cookie-urile. Aceste actualizări au intrat în vigoare pentru utilizatorii și clienții existenți și noi pe 25 mai 2018.
Conform articolului 28, paragraful 4 din GDPR, semnăm un Acord de prelucrare a datelor (DPA) cu toți clienții noștri europeni ca standard.

Vânzări:

Ne-am făcut procesele de vânzări conforme cu GDPR.

• LiveChat . Dacă DNT este activat pentru browsere, LiveChat nu apare. Am eliminat toate adresele IP din istoricul nostru LiveChat.
• Formular de contact . A fost actualizat pentru a fi conform GDPR.
• Solicitați un formular demonstrativ . De asemenea, a fost actualizat pentru a reflecta opțiunile de consimțământ GDPR.
• Repermisiunea campaniilor prin e-mail . Am desfășurat campanii de re-permisiune pentru toți clienții potențiali care sunt în conversație cu directorii de cont pentru a-și aduna consimțământul pentru asistență 1:1.
• Formular de probă gratuită . A fost actualizat pentru a fi conform GDPR.

Marketing:

Ne-am făcut procesele de marketing conforme cu GDPR.

1. Clienți de e-mail de ieșire . Am oprit campaniile outbound pentru a respecta GDPR.
2. Repermisiunea campaniei prin e-mail . Am desfășurat campanii de re-permisiune pentru întreaga noastră bază de date, obținând consimțământul granular pentru a-i contacta cu diferite tipuri de comunicare.
3. Formular Newsletter . A fost actualizat pentru a fi conform GDPR.
4. Forme cu magnet de plumb . Au fost actualizate pentru a fi conforme cu GDPR.
5. Formular webinar . A fost actualizat pentru a fi conform GDPR.
6. Formular de încercare gratuită . A fost actualizat pentru a fi conform GDPR.
7. Formular pentru postarea invitaților . A fost actualizat pentru a fi conform GDPR.

Resurse umane (HR):

Ne-am instruit personalul cu seminarii și toți au un certificat GDPR care acoperă cunoștințele de bază.

Relații Clienți:

Ne-am instruit personalul CS pentru a răspunde în mod corespunzător întrebărilor/biletelor GDPR și încălcărilor de date.

Dezvoltare:

Mai multe linii directoare au fost aplicate cercului nostru de dezvoltare software:

1. Instruire (dezvoltatorii au fost instruiți cu privire la aspectele de confidențialitate și securitate)
2. Design (Toate cerințele de proiectare orientate către date și pe proces au fost conduse de GDPR)
3. Codare (dezvoltatorii folosesc instrumente și cadre aprobate, funcții și module nesigure dezactivate și efectuează în mod regulat analize statice de cod și revizuire a codului)
4. Testare (Am testat pentru a ne asigura că cerințele de protecție și securitate a datelor au fost implementate corect)
5. Înainte de fiecare lansare, a fost stabilit un plan de răspuns la incident și a fost efectuată o revizuire completă a securității software-ului. Lansarea a fost apoi aprobată și toate datele relevante din întregul proces de dezvoltare au fost arhivate.
6. Întreținere (Convert este pregătit să răspundă la incidente, încălcări ale datelor cu caracter personal, erori și atacuri și este capabil să emită actualizări, linii directoare și informații utilizatorilor și celor afectați de software)

Cadrul de politici: Îndrumându-ne către un viitor sigur și concentrat asupra confidențialității

Pentru a asigura implementarea și managementul consecvent și de înaltă calitate a resurselor, proceselor și practicilor IT, am definit un cadru cuprinzător de politici, proceduri și standarde bine definite.

În dezvoltarea acestor politici, proceduri și standarde IT, ne-am referit la seria de standarde ISO 27000 care au fost rezervate în mod special de ISO (International Standards Organisation) pentru probleme de securitate a informațiilor.

Politicile noastre IT sunt împărțite în două domenii: politici referitoare la securitatea și utilizarea IT și politicile referitoare la date.

Politici de securitate și utilizare IT:

Următoarele politici și proceduri oferă îndrumări clare pentru securitatea și utilizarea IT:

1. Lista de verificare a confidențialității și securității pentru conformitatea cu GDPR : GDPR necesită Convert pentru a proteja datele personale ale clienților și angajaților săi în toate etapele ciclului de viață al procesării datelor. Cu cât mai multe companii adoptă și utilizează instrumente și software bazate pe cloud, respectarea acestei cerințe este o provocare. . Întreprinderile trebuie să ia în considerare diferite aspecte tehnologice și juridice atunci când caută un furnizor de servicii. Această politică specială ne permite să ținem cont de cei mai critici factori în timp ce alegem furnizori de servicii și furnizori care se aliniază abordării noastre centrate pe confidențialitate.
2. Politica de licență pentru software cu sursă deschisă : Scopul acestei politici este de a permite cercului de dezvoltare să știe ce politici de licență pentru software cu sursă deschisă să accepte la dezvoltarea codului.
3. Politica privind parolele angajaților : Scopul acestei politici este de a se asigura că toate resursele și datele Convert Insights primesc o protecție adecvată prin parolă. Politica acoperă toți angajații care sunt responsabili pentru unul sau mai multe conturi sau au acces la orice resursă care necesită o parolă.
4. Politică de utilizare acceptabilă : această politică este concepută pentru a ajuta personalul Convert Insights să-și înțeleagă responsabilitățile atunci când utilizează, accesează sau creează conținut cu resursele IT sau serviciile în rețea Convert Insights. Acesta clarifică și definește (în limita rațiunii) ceea ce Convert Insights consideră o utilizare acceptabilă a acestor resurse.
5. Politica pentru web și rețelele sociale : această politică clarifică modul în care Convert Insights guvernează acest patrimoniu digital și oferă, de asemenea, linii directoare pentru utilizatori atunci când creează conținut digital în numele Convert Insights și orientări privind utilizarea conturilor oficiale de rețele sociale Convert Insights.
6. Politica de securitate IT : Obiectivul acestei politici de securitate este de a promova o cultură care ajută la maximizarea valorii informațiilor prin gestionarea eficientă și protecția securizată, precum și prin protejarea Convert Insights și a drepturilor personalului și ale altor părți care depind de informații.
7. Chestionar pentru serviciul de găzduire externă : Scopul acestui chestionar este de a se asigura că procesatorii de date terți (în ceea ce privește GDPR) au politici și proceduri acceptabile de securitate IT și confidențialitate a datelor pentru a minimiza riscul de pierdere sau expunere a datelor personale Convert Insights. .

Politici și proceduri de date:

Următoarele politici și proceduri oferă îndrumări clare cu privire la modul acceptabil, sigur și legal în care Convert Insights ar trebui să utilizeze și să gestioneze datele:

1. Politica generală de protecție a datelor : această politică este o declarație a angajamentului Convert Insights de a proteja drepturile și confidențialitatea persoanelor în conformitate cu GDPR.
2. Plan de management al urgențelor : Echipa de management al urgențelor (EMT) se va întâlni ca răspuns la o încălcare și va decide dacă trebuie invocat Planul de management al urgențelor. Această echipă va acționa ca un punct de escaladare pentru incidente grave sau încălcări ale politicii legate de date și resurse.
3. Politica de gestionare a datelor : Scopul acestei politici este de a permite accesul la datele și informațiile deținute de Convert Insights, în cea mai mare măsură posibilă, asigurând în același timp că sunt protejate împotriva utilizării, accesului și încălcării confidențialității neautorizate.
4. Procedura de clasificare a datelor : Politica de gestionare a datelor cere proprietarilor de date să-și clasifice datele în funcție de sensibilitatea și criticitatea acestora. Această procedură stabilește modul în care trebuie efectuată această clasificare.
5. Politica de instruire pentru protecția datelor personalului : această politică și orice alte documente la care se face referire în ea stabilesc instruirea pe care personalul Convert Insights i-o va oferi pentru a se asigura că toată manipularea datelor cu caracter personal este conformă cu Regulamentul general privind protecția datelor (GDPR).
6. Procedura de solicitare a accesului la date : Scopul acestei proceduri este de a se asigura că Convert Insights respectă prevederile privind solicitarea de acces din Regulamentul general privind protecția datelor și de a permite persoanelor fizice să trimită cereri de acces la date acolo unde este necesar.
7. Politica de escaladare a încălcării datelor cu caracter personal: Scopul acestor proceduri este de a oferi un cadru pentru raportarea și gestionarea încălcărilor securității datelor care afectează datele personale sau sensibile deținute de Convert Insights. Aceste proceduri sunt o completare a Politicii de protecție a datelor care își afirmă angajamentul de a proteja drepturile la confidențialitate ale persoanelor în conformitate cu legislația privind protecția datelor.

Pentru a converti GDPR nu este un inconvenient.

A remodelat modul în care este utilizată analiza și și-a redefinit locul în lumea optimizării.

Analytics nu mai este despre tezaurizarea de date despre prospect în speranța de a găsi informații evazive.

Nu mai este vorba despre a presupune că personalizarea este calea de urmat.

Analiza și testarea după GDPR este despre minimalism. Profitați la maximum de datele care pot fi procesate în moduri noi și inovatoare.

Dacă doriți să beneficiați de un instrument care să vă sprijine prin aceste schimbări de confidențialitate - acum și în viitor, acordați-ne o perioadă de 15 zile, fără obligații.