Convert — это наиболее ориентированный на конфиденциальность инструмент тестирования на рынке. Вот почему

Мы улучшаем результаты уже десять лет.

Протестировав более 30 миллиардов опытов, мы усовершенствовали инструмент, который позволяет повысить конверсию для клиентов из всех возможных отраслей без каких-либо проблем.

Но когда накатила волна GDPR, мы хотели не только улучшить результаты.

Мы хотели быть инструментом оптимизации для опытных пользователей в мире, где вопросы конфиденциальности будут становиться все более важными с каждым годом.

На это ушло почти 8 месяцев, тысячи часов, сотни (крошечных) аргументов, но нам удалось добиться всего, чего мы хотели.

Все, что вам нужно для проведения тестов и извлечения информации, не игнорируя GDPR или Регламент электронной конфиденциальности.

Содержание:

Обновления в приложении: баланс конфиденциальности и функций

Анонимизация идентификатора посетителя: проверка без согласия в нашем режиме по умолчанию

Важным принципом Общего регламента ЕС по защите данных (GDPR) (глава 2, статья 5) является минимизация данных.

Это означает, что в контексте персональных данных поставщики продуктов и услуг должны собирать, хранить и обрабатывать только то, что адекватно, актуально и ограничено их бизнес-кейсом.

Нет четкого определения, какие персональные данные следует собирать, а какие нет. Он полностью основан на конкретном случае использования.

Чтобы реализовать принцип минимизации данных, мы анонимизировали идентификатор посетителя в нашем отслеживании, сгруппировав сотни посетителей веб-сайта в группы посетителей, которые учитывают только присутствие посетителя .

Отдельные посетители не сохраняются в Convert Experience. Ни в коем случае нельзя будет повторно привязать групповые подсчеты к отдельным посетителям.

GDPR предоставил нам возможность тщательно изучить, что мы храним в Convert, и каков вариант использования для сохранения этого в среде, все более ориентированной на конфиденциальность.

Удаление идентификаторов транзакций: получение «Push»

Мы также изменили отслеживание доходов, чтобы использовать pushRevenue вместо sendRevenue .

• pushRevenue не отправляет идентификаторы транзакций.
• sendRevenue отправляет идентификатор транзакции, но игнорируется и не сохраняется.

 <script>    window['_conv_q'] = window['_conv_q'] || [];    window['_conv_q'].push(["pushRevenue",revenue,products_cnt,goal_id]); </script>

Постоянный срок действия файлов cookie: вы молодец, но мы будем помнить вас только в течение 6 месяцев

Постоянные файлы cookie размещаются на компьютере пользователя при первом входе на веб-сайт и остаются на этом компьютере даже после того, как пользователь уходит с сайта и закрывает браузер.

Эти файлы cookie получили название «отслеживающие файлы cookie», поскольку они часто используются рекламодателями для отслеживания перемещения пользователя сайта по нескольким веб-страницам и создания целевой рекламы на основе моделей просмотра и поиска пользователей.

Каждый постоянный файл cookie имеет имя и дату истечения срока действия, установленные создателем.

Когда веб-сайт отправляет файл cookie, он просит ваш браузер сохранить этот конкретный файл cookie до истечения определенной даты и времени.

В соответствии с рекомендацией директивы ePrivacy, постоянные файлы cookie должны удаляться как минимум каждые 12 месяцев, но, к сожалению, большинство из них хранятся гораздо дольше.

В Google Adwords файл cookie может храниться до 540 дней, а в Google Analytics файл cookie может храниться до 2 лет. Зарегистрированы примеры файлов cookie, срок жизни которых составляет +7000 лет!

Постоянные куки-файлы могут быть легко использованы не по назначению, и такая возможность вызывает серьезные опасения. Действительно, Yahoo сообщила, что сообщения о взломе ее серверов включали украденные и поддельные файлы cookie, которые позволяли хакерам получать доступ к учетным записям пользователей без необходимости ввода пароля. Это означает, что хакеры могли копировать постоянные файлы cookie, расположенные на серверах Yahoo, создавать их поддельные версии, а затем без особых усилий получать доступ к учетным записям пользователей.

Чтобы отреагировать на эту проблему конфиденциальности, мы в Convert снизили предельный срок хранения постоянных файлов cookie с 12 месяцев до 6 месяцев.

Удаление сторонних файлов cookie: мы не «разговариваем» с ними

Сторонний файл cookie — это файл cookie, который (а) поступает из другого домена или (б) «устанавливается контроллером данных, отличным от того, который управляет веб-сайтом, который посещает пользователь».

Вы можете установить программу под названием Lightbeam в свой браузер FireFox, которая позволяет вам видеть все сторонние файлы cookie, загруженные в тени вашего веб-браузера. Вот мои результаты для моих часто посещаемых сайтов:

Как вы можете видеть на скриншоте выше, мой браузер буквально превратился в банку с печеньем — сразу после посещения 7 веб-сайтов.

Сайты часто сигнализируют о вашем посещении сторонних платформ и передают им данные о просмотре в рекламных и маркетинговых целях.

Файлы cookie получили большое внимание в соответствии с директивой ePrivacy, потому что они не только отслеживают информацию, но и действительно могут украсть информацию.

Характер и процесс отслеживания третьими лицами создают конфликт интересов между пользователями и владельцами веб-сайтов, особенно когда задействованы сторонние файлы cookie из рекламы на сайте.

Если ваш сайт использует сторонние файлы cookie или разрешает их использование, вы подвергаетесь большему риску в соответствии с законом о файлах cookie.

Чтобы обеспечить полную конфиденциальность клиентов и посетителей, с 21 февраля 2018 года мы отключили все сторонние файлы cookie.

Мы получили вашу поддержку: удобные предупреждения GDPR!

Мы ввели предупреждения, чтобы информировать наших клиентов о настройках или параметрах, связанных с GDPR, используемых в их проектах или экспериментах:

• Convert Experiences традиционно позволяет группировать посетителей сайта по таким условиям, как местоположение и поведение. Эти группы называются пользовательскими сегментами. Однако после GDPR, если функция сегментации включена, это может быть истолковано органами по защите конфиденциальности в Европе как способ идентификации субъектов данных. Чтобы информировать пользователей, мы вставили заметные предупреждения, которые активируются, если сегментация включена хотя бы для одной аудитории.

• Аудитории, созданные с использованием персональных данных. Предупреждение GDPR отображается на страницах «Сохраненные аудитории» и на страницах «Сводка опыта», если аудитории созданы с использованием файлов cookie или условий JavaScript, или если были выбраны часовой пояс, город, регион, идентификатор клиента или теги клиента:

• Междоменное отслеживание. Междоменные файлы cookie по умолчанию отключены для всех проектов в Convert Experiences. Включение активирует другое предупреждение:

• Опыт персонализации может содержать небольшие сегменты (до 100 уникальных посетителей), и это может быть истолковано органами по защите конфиденциальности в Европе как идентификация субъектов данных. По этой причине мы добавили предупреждение в сводку любого опыта персонализации.

Цель этих предупреждений — убедиться, что наши пользователи понимают, какие функции могут рассматриваться властями ЕС как потенциальная «идентификация» субъектов данных.

Трудно запомнить суть требований GDPR и директив ePrivacy!

Используя Convert Experiences, вы работаете с инструментом, который может многое, но также акцентирует свой потенциал напоминаниями о том, что определенные действия теперь интерпретируются по-разному в странах Европейского Союза.

У вас есть возможность отключить предупреждения GDPR.

Сервер входа: Франкфурт, Германия

Еще одно большое изменение GDPR связано с местом хранения данных.

Это просто.

Если вы храните данные граждан ЕС, данные должны оставаться на территории ЕС. Другими словами, вам нужно иметь серверы в странах Европейского Союза.

Данные не должны отправляться на серверы за пределами ЕС (например, в США) ни при каких обстоятельствах.

Мы переместили наш сервер входа из США в центр обработки данных во Франкфурте, Германия, который питается от углеродно-нейтральной энергии.

Настройка DNT: ваш браузер говорит, мы слушаем

Do Not Track — это технология и правовая база, которая позволяет пользователям отказаться от отслеживания рекламными сетями, аналитическими службами и социальными платформами.

DNT дает трафику возможность выбора.

Это функция веб-браузеров, которая позволяет пользователям отказаться от отслеживания веб-сайтов и служб, которыми они пользуются каждый день.

GDPR ЕС обеспечивает соблюдение этого нового предпочтения браузера. В совокупности технология и закон обеспечивают жизнеспособный путь к восстановлению права на неприкосновенность частной жизни в Интернете.

DNT — это пользователь, делающий явный запрос функции, я не хочу, чтобы меня отслеживали. DNT — это пользовательский параметр, который заставляет браузер отправлять HTTP-запрос на сервер, явно сообщая этому серверу, что он не должен отслеживать поведение пользователя.

Мы добавили настраиваемую поддержку параметров браузера «Не отслеживать» для Project.

По умолчанию при создании нового проекта выбран параметр ВЫКЛ, но вы можете выбрать любую из следующих настроек:

• ВЫКЛЮЧЕННЫЙ
• Только ЕС
• Только ЕЭЗ
• Мировой

Короче говоря, мы позволяем нашим пользователям избегать подсчета или каким-либо образом использовать данные лиц, которые предпочитают, чтобы их не отслеживали.

Узнайте больше об этой новой функции здесь.

Отказ от участия: одна ссылка, чтобы исключить их все

У истории отслеживания есть две стороны.

Во-первых, опытные посетители веб-сайтов могут включить функцию «Не отслеживать» в своих браузерах и скрыться от посторонних глаз.

Во-вторых, у них должна быть возможность отказаться от отслеживания непосредственно на посещаемых ими веб-сайтах.

Мы в Convert знаем об этом и разместили функцию отказа https://www.convert.com/opt-out/ на странице настроек приложения Convert.

Всего одним щелчком по ссылке Opt-Out посетители могут отказаться от отслеживания всеми веб-сайтами, использующими приложение Convert Experiences.

Междоменное тестирование: запрещено по умолчанию

Междоменное отслеживание позволяет Convert Experiences просматривать сеансы на двух связанных сайтах (например, на сайте электронной коммерции и на отдельном сайте корзины покупок) как один сеанс. Это иногда называют привязкой к сайту .

Предположим, у вас есть интернет-магазин и сторонняя корзина для покупок, размещенная в другом домене, например:

• www.example-store.com
• www.example-commerce-host.com/example-store/

Без междоменного отслеживания пользователь, который заходит в ваш интернет-магазин, а затем переходит в корзину покупок стороннего поставщика, будет считаться двумя отдельными пользователями с двумя отдельными сеансами разной продолжительности.

Междоменное отслеживание позволяет Convert Experiences рассматривать это как один сеанс одного пользователя, и сеанс, который они начали на сайте магазина, продолжается до времени, проведенного на сайте корзины покупок.

Однако, поскольку междоменное отслеживание является серой зоной GDPR, при создании нового проекта настраиваемый параметр для запрета междоменного связывания теперь включен по умолчанию.

DPIA: мы серьезно относимся к изменениям

Оценки воздействия на защиту данных (DPIA) помогают организациям выявлять, оценивать и смягчать или минимизировать риски для конфиденциальности при обработке данных. Они особенно актуальны при внедрении нового процесса обработки данных, системы или технологии.

DPIA также поддерживают принцип подотчетности, поскольку они помогают организациям соблюдать требования GDPR и демонстрируют, что для обеспечения соответствия были приняты соответствующие меры.

Знаете ли вы, что ненадлежащее проведение DPIA, где это уместно, является нарушением GDPR и может привести к штрафу в размере до 2% от годового глобального оборота организации или до 10 миллионов евро — в зависимости от того, что больше?

В рамках проекта GDPR компании Convert мы разработали руководство для членов команды и шаблон, который используется для проведения оценки воздействия на защиту данных (DPIA).

Оценка законных интересов (LIA): мы не предполагаем

Законный интерес является одним из шести законных оснований, изложенных в GDPR, для оправдания обработки персональных данных.

И это звучит как минимум работы!

Основа законного интереса широка по своему охвату и гибка. Проще говоря, это говорит о том, что вы можете обрабатывать данные, если обработка этих данных не вызывает затруднений.

Но есть так много способов интерпретировать это, что использование законного интереса просто открывает себя для сомнений и проверки. Настоятельно рекомендуется прибегать к основанию законного интереса, когда другие основания (например, юридическое обязательство или жизненный интерес) недоступны или когда законный интерес является наиболее подходящим для использования при обработке данных.

Однако требуется оценка пропорциональности . Прежде чем использовать законный интерес, выполните следующие действия:

• Цель проверки: выявление законного интереса;
• Тест на необходимость: оценить, необходима ли обработка для достижения этого интереса; а также
• Проверка баланса: уравновесить законный интерес с интересами, правами и свободами личности.

Мы провели собственную оценку воздействия на законные интересы (LIA) и соответствующим образом структурировали варианты согласия наших маркетинговых точек взаимодействия.

PCI-DSS для защиты данных держателей карт: конфиденциальная информация — наш приоритет

Мы следуем принципам и стандартам, установленным Советом по стандартам PCI для хранения и обработки информации о кредитных картах. Более подробная информация доступна здесь.

Хотя PCI DSS ориентирован на защиту данных держателей платежных карт, а целью GDPR является защита личных данных жителей ЕС, нарушение PCI также является нарушением личных данных.

Следовательно, в соответствии с требованиями стандарта PCI DSS мы всегда проводили ежегодные проверки данных о держателях карт. Таким образом, этот график проверок дает нам основу, которая использовалась при реализации мер по соблюдению GDPR.

Кроме того, мы вложили средства в безопасные технологии для обеспечения безопасности данных держателей карт.

Помимо обновлений приложений: изменения GDPR в команде Convert

Юридический:

Мы обновили нашу Политику конфиденциальности и Условия обслуживания. Мы добавили новую Политику использования файлов cookie. Эти обновления вступили в силу для существующих и новых пользователей и клиентов 25 мая 2018 года.
В соответствии со статьей 28, пункт 4 GDPR, мы в качестве стандарта подписываем Соглашение об обработке данных (DPA) со всеми нашими европейскими клиентами.

Продажи:

Мы привели наши процессы продаж в соответствие с GDPR.

• Живой чат . Если DNT включен для браузеров, LiveChat не отображается. Мы удалили все IP-адреса из нашей истории LiveChat.
• Форма обратной связи . Он был обновлен для соответствия GDPR.
• Запросить демонстрационную форму . Он также был обновлен, чтобы отразить варианты согласия GDPR.
• Повторное разрешение кампаний по электронной почте . Мы провели кампании по повторному разрешению для всех потенциальных клиентов, которые разговаривают с менеджерами по работе с клиентами, чтобы получить их согласие на помощь 1: 1.
• Бесплатная пробная форма . Он был обновлен для соответствия GDPR.

Маркетинг:

Мы привели наши маркетинговые процессы в соответствие с GDPR.

1. Клиенты исходящей электронной почты . Мы остановили исходящие кампании в соответствии с GDPR.
2. Повторное разрешение кампании по электронной почте . Мы проводили кампании по повторному разрешению всей нашей базы данных, получая детализированное согласие связываться с ними с помощью различных типов связи.
3. Форма информационного бюллетеня . Он был обновлен для соответствия GDPR.
4. Формы лид-магнитов . Они были обновлены в соответствии с GDPR.
5. Форма вебинара . Он был обновлен для соответствия GDPR.
6. Бесплатная пробная форма . Он был обновлен для соответствия GDPR.
7. Форма гостевого поста . Он был обновлен для соответствия GDPR.

Человеческие ресурсы (HR):

Мы обучали наших сотрудников на семинарах, и все они имеют сертификат GDPR, охватывающий базовые знания.

Служба поддержки:

Мы обучили наших сотрудников отдела CS надлежащим образом реагировать на вопросы/тикеты GDPR и утечки данных.

Разработка:

К нашему кругу разработчиков программного обеспечения было применено несколько рекомендаций:

1. Обучение (разработчики прошли обучение по аспектам конфиденциальности и безопасности)
2. Дизайн (все требования к дизайну, ориентированные на данные и процессы, были определены GDPR)
3. Кодирование (Разработчики используют утвержденные инструменты и фреймворки, отключают небезопасные функции и модули и регулярно проводят статический анализ кода и код-ревью)
4. Тестирование (мы протестировали, чтобы убедиться, что требования к защите данных и безопасности были реализованы должным образом)
5. Перед каждым выпуском составлялся план реагирования на инциденты, и выполнялась полная проверка безопасности программного обеспечения. Затем релиз был утвержден, и все соответствующие данные всего процесса разработки были заархивированы.
6. Техническое обслуживание (Convert готов реагировать на инциденты, утечки личных данных, сбои и атаки, а также может выпускать обновления, рекомендации и информацию для пользователей и тех, кого затрагивает программное обеспечение)

Основы политики: направляя нас к будущему, ориентированному на безопасность данных и конфиденциальность

Чтобы обеспечить последовательное и высококачественное внедрение и управление ИТ-ресурсами, процессами и практиками, мы определили всеобъемлющую структуру четко определенных политик, процедур и стандартов.

При разработке этих ИТ-политик, процедур и стандартов мы ссылались на серию стандартов ISO 27000, которые были специально зарезервированы ISO (Международной организацией по стандартизации) для вопросов информационной безопасности.

Наши ИТ-политики разделены на две области: политики, относящиеся к ИТ-безопасности и использованию, и политики, относящиеся к данным.

Политика ИТ-безопасности и использования:

Следующие политики и процедуры содержат четкие рекомендации по безопасности и использованию ИТ:

1. Контрольный список конфиденциальности и безопасности для соответствия GDPR : GDPR требует, чтобы Convert защищала личные данные своих клиентов и сотрудников на всех этапах жизненного цикла обработки данных. Поскольку все больше компаний внедряют и используют облачные инструменты и программное обеспечение, соблюдение этого требования становится проблемой. . При поиске поставщика услуг компаниям необходимо учитывать различные технологические и юридические аспекты. Эта конкретная политика позволяет нам учитывать наиболее важные факторы при выборе поставщиков услуг и поставщиков, которые соответствуют нашему подходу, ориентированному на конфиденциальность.
2. Политика лицензирования программного обеспечения с открытым исходным кодом: цель этой Политики — позволить кругу разработчиков узнать, какие политики лицензирования программного обеспечения с открытым исходным кодом следует принимать при разработке кода.
3. Политика паролей сотрудников . Цель этой политики — обеспечить адекватную защиту паролем всех ресурсов и данных Convert Insights. Политика распространяется на всех сотрудников, которые несут ответственность за одну или несколько учетных записей или имеют доступ к любому ресурсу, для которого требуется пароль.
4. Политика приемлемого использования : эта политика разработана, чтобы помочь сотрудникам Convert Insights понять свои обязанности при использовании, доступе или создании контента с помощью ИТ-ресурсов или сетевых услуг Convert Insights. Он разъясняет и определяет (в разумных пределах), что Convert Insights считает приемлемым использованием этих ресурсов.
5. Политика в отношении Интернета и социальных сетей : эта политика разъясняет, как Convert Insights управляет этим цифровым имуществом, а также предоставляет рекомендации для пользователей при создании цифрового контента от имени Convert Insights и рекомендации по использованию официальных учетных записей Convert Insights в социальных сетях.
6. Политика ИТ-безопасности . Целью этой политики безопасности является продвижение культуры, которая помогает максимизировать ценность информации за счет ее эффективного управления и надежной защиты, а также защиты Convert Insights и прав сотрудников и других сторон, которые зависят от информации.
7. Анкета службы внешнего хостинга : цель этой анкеты — убедиться, что сторонние обработчики данных (с точки зрения GDPR) имеют приемлемые политики и процедуры ИТ-безопасности и конфиденциальности данных для минимизации риска потери или раскрытия персональных данных Convert Insights. .

Политика и процедуры в отношении данных:

Следующие политики и процедуры содержат четкие рекомендации относительно приемлемого, безопасного и законного способа использования Convert Insights данных и управления ими:

1. Общая политика защиты данных : эта политика представляет собой заявление о приверженности Convert Insights защите прав и конфиденциальности отдельных лиц в соответствии с GDPR.
2. План действий в чрезвычайных ситуациях : Группа управления чрезвычайными ситуациями (EMT) соберется в ответ на нарушение и решит, нужно ли применять План действий в чрезвычайных ситуациях. Эта команда будет выступать в качестве точки эскалации для серьезных инцидентов или нарушений политики, связанных с данными и ресурсами.
3. Политика управления данными . Целью этой политики является предоставление доступа к данным и информации, хранящимся в Convert Insights, в максимально возможной степени, обеспечивая при этом их защиту от несанкционированного использования, доступа и нарушений конфиденциальности.
4. Процедура классификации данных : Политика управления данными требует, чтобы владельцы данных классифицировали свои данные в соответствии с их конфиденциальностью и критичностью. Эта процедура устанавливает, как должна выполняться эта классификация.
5. Политика обучения персонала по защите данных : эта политика и любые другие документы, упомянутые в ней, излагают обучение, которое будет предоставлено сотрудникам Convert Insights, чтобы гарантировать, что вся обработка персональных данных соответствует Общему регламенту защиты данных (GDPR).
6. Процедура запроса на доступ к данным . Целью этой процедуры является обеспечение того, чтобы Convert Insights соответствовала положениям о запросах на доступ Общего регламента по защите данных, а также предоставление возможности отдельным лицам подавать запросы на доступ к данным, где это необходимо.
7. Политика эскалации нарушений безопасности персональных данных. Целью этих процедур является предоставление основы для отчетности и управления нарушениями безопасности данных, затрагивающими личные или конфиденциальные личные данные, хранящиеся в Convert Insights. Эти процедуры являются дополнением к Политике защиты данных, подтверждающим его приверженность защите прав на неприкосновенность частной жизни физических лиц в соответствии с законодательством о защите данных.

Преобразование GDPR не является неудобством.

Он изменил способ использования аналитики и переопределил свое место в мире оптимизации.

Аналитика больше не связана с накоплением данных о потенциальных клиентах в надежде найти неуловимую информацию.

Речь больше не идет о том, чтобы считать, что персонализация — это путь.

Аналитика и тестирование после GDPR — это про минимализм. Максимальное использование данных, которые можно обрабатывать новыми и инновационными способами.

Если вы хотите получить инструмент, который поддерживает вас в этих изменениях конфиденциальности — сейчас и в будущем, дайте нам 15 дней, никаких обязательств.