Optimizely Privacy: как Optimizely обрабатывает конфиденциальность?
Опубликовано: 2022-02-09
По мере того, как платформы для A/B-тестирования становятся все более изощренными, растут и проблемы с конфиденциальностью, связанные с ними.
Optimizely — одна из самых популярных платформ оптимизации в области A/B-тестирования, поэтому важно понимать ее позицию в отношении конфиденциальности. С большой властью приходит большая ответственность. И с большой ответственностью приходит большая потребность в уединении.
В этой статье мы оцениваем подход Optimizely к конфиденциальности и что вам нужно знать, прежде чем выбрать эту цифровую платформу.
Давайте начнем с анализа того, соответствует ли Optimizely основным законам о конфиденциальности на сегодняшний день.
Соответствует ли Optimizely GDPR?
Общий регламент по защите данных (GDPR) является ключевым регламентом, направленным на усиление и унификацию защиты данных и конфиденциальности в Европейском союзе и Европейской экономической зоне. Optimize использует необходимые средства контроля конфиденциальности бизнеса и технологий для защиты данных и соблюдения GDPR.
Насколько оптимизирован GDPR?
Соблюдение GDPR является неотъемлемой частью услуг и дизайна Optimizely. Вот несколько шагов, которые компания предприняла, чтобы соответствовать GDPR:
- Выявленные продукты и области бизнеса, на которые распространяется GDPR
- Назначен сотрудник по защите данных (DPO)
- Переписал свое соглашение об обработке данных
- Улучшил и изменил свои продукты, услуги, процессы и процедуры для соответствия требованиям GDPR.
- Проанализированы его подпроцессоры
- Завершено и сообщено полномочному органу по защите данных (DPA) о полном соответствии.
Готов ли Optimizely к регулированию электронной конфиденциальности?
Регламент ePrivacy (ePR) — это предстоящий закон о конфиденциальности, который изменит правила, касающиеся согласия на использование файлов cookie, прямого маркетинга и связи между предприятиями (B2B). В отличие от GDPR, он будет регулировать даже неперсональные данные в электронных сообщениях.
Поскольку компании борются с GDPR, интересно посмотреть, готовы ли они к этому новому правилу. Чтобы определить, может ли Optimizely работать с ePrivacy, нам сначала нужно оценить данные, которые он собирает.
Данные о посетителях
Optimizely отслеживает посещения веб-сайта и собирает информацию о поведении пользователей. Эта агрегированная информация известна как «данные о посетителях» и включает в себя:
- Данные пользовательского агента: данные, основанные на свойствах устройства, включая сведения о типе веб-браузера и используемых посетителями операционных системах.
- Веб-адрес: информация о местоположении веб-страницы.
- Данные о событии: регистрирует поведение пользователя и проверяет, нажал ли посетитель кнопку на веб-сайте или выполнил аналогичное действие. Сюда также могут входить настраиваемые атрибуты и теги событий.
- Отметка времени: дата и время возникновения события.
- Идентификатор конечного пользователя (или идентификатор посетителя): случайно сгенерированный идентификационный номер (идентификатор), присваиваемый посетителю для каждого проекта. Это соответствует cookie-файлу optimlyEndUserId для экспериментов и персонализации.
- Идентификаторы эксперимента и варианта: определите, где посетитель находился в сегменте при посещении веб-сайта.
- Внешние геоданные: элементы, связанные с IP-адресом посетителя, включая страну, город, регион и т. д.
Оптимизирует свои услуги таким образом, чтобы клиенты могли указывать категории данных, которыми они хотят делиться и получать. Эти категории не обязательно раскрывают личность пользователя. Однако, если URL-адреса, которые Optimizely собирает, содержат личную информацию (PII), такую как имя или номер телефона, или если они ссылаются на страницы, содержащие PII, он также может собирать эту информацию.
Будучи открытой платформой, Optimizely предоставляет вам дополнительные данные о посетителях, например атрибуты повторных покупателей. Он собирает данные на основе конкретных функций и конфигурации, таких как:
- Динамические профили клиентов (DCP)
- Атрибуты списка
- Адаптивные аудитории
- Флаги функций
- Интеграции
Чтобы свести к минимуму объем собираемых личных данных, Optimizely запрещает посетителям предоставлять дополнительную личную или конфиденциальную информацию, например информацию о состоянии здоровья.
Пользовательские данные продукта
Optimizely собирает некоторую базовую информацию, такую как имя пользователя, имя, рабочий адрес электронной почты, рабочий контакт, должность и т. д., когда пользователи создают учетную запись или подписываются на вебинар или информационный бюллетень. Это называется « Данные о пользователе продукта » и состоит из следующих элементов:
- При регистрации и создании учетной записи: посетители Optimizely могут читать описания продуктов и услуг, не раскрывая никакой личной информации. Однако вам необходимо создать учетную запись и настроить профиль для совершения сделок с Optimizely и стать клиентом. При регистрации он запрашивает ваше имя, название вашей организации, ее почтовый адрес и адрес электронной почты. Также требуется выбрать пароль. Как только вы станете зарегистрированным пользователем, вы сможете обновить свой профиль и предоставить дополнительную информацию, такую как псевдоним и определенные пользовательские настройки.
- При регистрации на вебинар или запросе информационного бюллетеня: Посетители и клиенты могут зарегистрироваться на вебинар Optimizely или запросить информационный бюллетень. Optimizely хранит только адреса электронной почты для справки.
ePrivacy ограничивает сбор данных PII, и, поскольку Optimizely позволяет пользователям передавать эти данные на URL-адреса через данные посетителей, на самом деле это не соответствует требованиям ePrivacy. Вместо этого ему еще предстоит пройти долгий путь подготовки ко многим предстоящим правилам.
Является ли Optimizely хорошим выбором для брендов, заботящихся о конфиденциальности, в ЕС?
Как упоминалось ранее, Регламент электронной конфиденциальности еще не является законом о защите данных. Однако после принятия он будет принят в течение 20 дней после его публикации в Официальном журнале ЕС, после чего последует двухлетний льготный период до вступления в силу.
Поэтому, вопреки тому, что думает большинство компаний, Регламент ePrivacy дополнит, а не заменит GDPR, когда он вступит в силу.
Таким образом, до даты вступления в силу все бренды, заботящиеся о конфиденциальности, в ЕС и во всем мире могут использовать Optimizely. Тем не менее, Optimizely необходимо пристегнуться и внести некоторые последовательные изменения в собираемые данные, чтобы оставаться актуальными и подходящими для компаний с высокими стандартами конфиденциальности.
Какой поставщик инструментов A/B-тестирования имеет наилучший послужной список, когда речь идет о соблюдении конфиденциальности пользователей? Посмотрите, как Optimizely справляется с Convert Experiences, VWO и AB Tasty.
Оптимизация соответствия требованиям HIPAA
Поставщики медицинских услуг борются с доставкой персонализированного контента на цифровых платформах из-за рисков безопасности данных, связанных с медицинской информацией. Закон о переносимости и подотчетности медицинского страхования (HIPAA) снимает нагрузку с медицинских компаний и дает им столь необходимые рекомендации.
Он защищает защищенную медицинскую информацию (PHI), такую как имя, адрес, контактные данные и многое другое, раскрываемое стороннему поставщику услуг.
Соответствует ли Optimizely HIPAA?
Чтобы соответствовать требованиям HIPAA, все сторонние поставщики и поставщики медицинских услуг должны заключить Соглашение о деловом партнерстве (BAA), письменный договор, предназначенный для защиты конфиденциальных медицинских данных.
Должен ли Optimizely соответствовать требованиям HIPAA?
Требует ли Optimizely соответствия HIPAA, зависит от типа данных, которые он собирает и использует. По сути, Optimizely не соответствует требованиям HIPAA и прямо указывает несоблюдение в своем Соглашении об условиях обслуживания.
Несоответствие HIPAA . Клиент признает, что Optimizely не является деловым партнером или субподрядчиком (согласно определению этих терминов в HIPAA) и что Услуга Optimizely не соответствует требованиям HIPAA. «HIPAA» означает Закон о переносимости и подотчетности медицинского страхования и связанные с ним поправки и положения, обновленные или замененные. «Регламентируемые данные» включают данные, регулируемые HIPAA, и данные, подпадающие под действие Закона Грэмма-Лича-Блайли (или соответствующих правил или положений), обновленные или замененные.
Как Optimizely компенсирует несоблюдение HIPAA?
Рекомендации Optimizely по содержанию решают проблемы безопасности данных и компенсируют их несоответствие требованиям HIPAA следующими способами:
- Хранение закрытой информации о состоянии здоровья. Персонализация во время сеанса не требует наличия PHI для персонализации содержимого.
- Кросс-персонализация: персонализация прекращается по истечении срока действия сеанса.
- Анализ контента Episerver: он предоставляет вам данные о намерениях первой стороны при каждом посещении сайта, чтобы вы могли масштабировать влияние вашего взаимодействия.
- Масштабирование персонализации : правила не могут идти в ногу с меняющимся ландшафтом пациентов и достижениями в области медицины. Optimizely использует алгоритмы машинного обучения (ML), чтобы решить, кто получит какой контент, не утомляя вашу команду бесконечными правилами «если/иначе».
Рекомендации по контенту Optimizely-Episerver приходят на помощь и предоставляют эффективное решение для кросс-персонализации и динамичного здравоохранения.
Могут ли посетители отказаться от отслеживания Optimizely?
Посетители могут легко отказаться от отслеживания Optimizely с помощью вызова Optimizely API.
Что означает отказ?
- Пользователь не попадет в эксперимент
- Они не увидят никаких изменений вариантов
- Project JS не будет работать на странице
- Пользователь не будет отслеживаться
- Они останутся отключенными (т. е. применимы все вышеперечисленные пункты) везде, где работает Optimizely.
Использование Optimizely Web без диспетчера тегов
Если вы не используете Диспетчер тегов на своем сайте, вы можете указать Optimizely не отслеживать посетителя сайта, установив для cookie-файла optimlyOptOut значение «true». Оптимизирует проверку этого файла cookie перед выполнением содержимого фрагмента кода JavaScript. Лучше использовать официально поддерживаемый API optOut, а не устанавливать cookie напрямую.
Вам нужно добавить код над фрагментом Optimizely на своей странице. В противном случае фрагмент кода Javascript запускается и устанавливает файлы cookie для отслеживания посетителей и элементы хранилища.
Давайте посмотрим, как использовать API optOut.
<скрипт>
окно["оптимизировать"] = окно["оптимизировать"] || [];
окно["оптимизировать"].push({
"тип": "отказаться",
«исОптаут»: правда
});
</скрипт>
<script src="https://cdn.optimizely.com/js/{project_id].js"></script>Если посетитель соглашается на отслеживание файлов cookie, вы можете повторно включить отслеживание этого посетителя, изменив значение cookie-файла optimlyOptOut на «false».
Например, если вы отображаете баннер файла cookie (элемент наложения, который запрашивает согласие на отслеживание посетителей), вы можете изменить значение файла cookie optOut на false после получения согласия с помощью следующего кода.
окно["оптимизировать"] = окно["оптимизировать"] || [];
окно["оптимизировать"].push({
"тип": "отказаться",
«исОптаут»: ложь
});Технически свяжите этот API с логикой, которая запускается, когда посетитель соглашается на отслеживание.
Использование Optimizely Web с диспетчером тегов
Используя диспетчер тегов, вы можете использовать условную логику для загрузки фрагмента JavaScript Optimizely только в том случае, если посетитель дает согласие.
Поскольку разрешение на использование файлов cookie требуется не во всех регионах и не для всех файлов cookie, Optimizely не устанавливает файл cookie optimlyOptOut по умолчанию. Как владелец сайта, вы несете ответственность за определение того, нужно ли вам устанавливать этот файл cookie или использовать один из указанных выше методов, если это необходимо.
Если вы установите для optOutout значение «true» по умолчанию (как указано выше), фрагмент кода Optimizely работает «нормально» (отслеживает посетителей на вашем сайте) только в том случае, если для optOut API установлено значение «false».
При использовании опциональных решений фрагмент кода Optimizely Javascript активируется при перезагрузке страницы после регистрации посетителя, поскольку он отключен при начальной загрузке страницы.
Оптимизация полного стека
Optimizely Full Stack не использует файлы cookie для экспериментов, поэтому требования Регламента ePrivacy, связанные с файлами cookie, не повлияют на эту функцию.
Тем не менее, пользователи Full Stack в ЕС должны убедиться, что они соблюдают GDPR. Он требует, чтобы компании имели «законные интересы» для обработки персональных данных в ЕС.
Как контролер данных, компания обязана выполнить юридические обязательства по обработке согласия, прежде чем включать какие-либо личные данные в эксперимент Optimizely Full Stack.
Для этого вам необходимо четко указать, что ваши эксперименты связаны с усилиями первых лиц по улучшению взаимодействия с пользователем и что вы не будете передавать пользовательские данные третьим лицам (например, рекламным партнерам).
Вы также должны исключать пользователей из экспериментов с полным стеком, если они отзывают свое согласие.
Чем Optimizely отличается от своих конкурентов в области конфиденциальности?
Optimize может быть гигантом цифрового опыта, но ему все же нужно следить за своими альтернативами, особенно когда речь идет о конфиденциальности. Он также имеет историю оставлять клиентов в неведении о внезапных изменениях цен. Поэтому неудивительно, что многие компании обращают внимание на альтернативных поставщиков.
Для справки мы сравним параметры конфиденциальности Optimizely с параметрами Convert Experiences и VWO. Мы также изучаем:
- Местоположение сервера каждого инструмента
- Как они относятся к сторонним файлам cookie
- Междоменное отслеживание по умолчанию
- Позволяют ли они пользователям отказаться от отслеживания
| Оптимизировано | Преобразование опыта | ВВО | |||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Единый вход (SSO) | ✓ | ✓ | ✓ | ||||||||||||||||||||
| Серверы в ЕС | Икс | ✓ | Икс | ||||||||||||||||||||
| Срок действия файлов cookie, не относящихся к PII | 6 месяцев | 6 месяцев | 100 дней | ||||||||||||||||||||
| Сторонние файлы cookie | ✓ | Икс | ✓ | ||||||||||||||||||||
| Не отслеживать настройку браузера | ✓ | ✓ | ✓ | ||||||||||||||||||||
| Функция отказа | ✓ | ✓ | ✓ | ||||||||||||||||||||
| Руководство по соблюдению GDPR в приложении | Икс | ✓ | Икс | ||||||||||||||||||||
| Соглашение об обработке данных (DPA) | ✓ | ✓ | ✓ | ||||||||||||||||||||
| Соответствие PCI-DSS | ✓ | ✓ | ✓ | ||||||||||||||||||||
| Соответствие требованиям электронной конфиденциальности | Икс | ✓ | Икс | ||||||||||||||||||||
| Анонимизация данных | ✓ | ✓ | ✓ | ||||||||||||||||||||
| Междоменное отслеживание разрешено по умолчанию | ✓ | Икс | ✓ | ||||||||||||||||||||
| Сегментация разрешена по умолчанию | ✓ | Икс | ✓ | ||||||||||||||||||||
| Право быть забытым | ✓ | ✓ | ✓ | ||||||||||||||||||||
| Уведомления об утечке данных | ✓ | ✓ | ✓ | ||||||||||||||||||||
| Назначение сотрудника по защите данных | ✓ | ✓ | ✓ | ||||||||||||||||||||
| Трансграничная передача данных | ЕС-США и ШвейцарияСША. Фреймворки Privacy Shield | ЕС-США и ШвейцарияСША. Фреймворки Privacy Shield | ЕС-США и ШвейцарияСША. Фреймворки Privacy Shield | ||||||||||||||||||||
| Защита данных по дизайну и по умолчанию | ✓ | ✓ | ✓ | ||||||||||||||||||||
| Конфиденциальные личные данные | Икс | Икс | Икс |
Какие изменения Optimizely внесла в конфиденциальность после приобретения Episerver?
В сентябре 2020 года Episerver объявила о приобретении Optimizely. Год спустя Episerver повторно представила себя как Optimizely, чтобы повысить узнаваемость бренда.
Приобретение Optimizely и ребрендинг создали возможности как для клиентов Episerver, так и для клиентов Optimizely, поскольку потребность в персонализации и коммерческих функциях стала более очевидной.
Что касается конфиденциальности, Optimizely значительно выросла с момента приобретения.
- Episerver уважает конфиденциальность по умолчанию. Каждую неделю он выпускает новые политики, чтобы обеспечить соответствие GDPR и другим применимым законам о конфиденциальности.
- Здесь проводятся ежегодные встречи, тренинги, семинары, вебинары и образовательные серии по защите данных, безопасности, конфиденциальности и личной информации.
- Episerver также обновил Соглашение об обработке данных Optimizely (DPA) для всех новых применимых поставщиков, чтобы подписать и обеспечить соблюдение правил защиты данных и конфиденциальности.
- Episerver улучшил заявление о конфиденциальности и политику Optimizely в отношении доступа субъектов данных и запросов на удаление данных в соответствии с GDPR и Законом о конфиденциальности потребителей Калифорнии (CCPA), предоставив права доступа и удаления для жителей ЕС и Калифорнии. Теперь у него есть четкая модель для получения согласия и удаления информации при необходимости.
- Группа реагирования на инциденты безопасности Episerver (SIRT) может справиться с потенциальными инцидентами безопасности или конфиденциальности. Он классифицирует все инциденты безопасности как высокоприоритетные (P1) и передает их выделенной команде.
- Компания Episerver запустила Центр управления безопасностью Episerver, подчеркнув унифицированные элементы управления безопасностью, соблюдением нормативных требований и конфиденциальностью для защиты данных клиентов.
Episerver обновил Optimizely, подняв планку соблюдения GDPR и методов обеспечения конфиденциальности, чтобы обеспечить прочную правовую основу.
Episerver сделал соблюдение GDPR повседневным приоритетом как в разработке продуктов, так и в управляемых услугах по всему миру.
Питер Юнг, вице-президент, главный юрисконсульт и руководитель отдела глобальной защиты данных, Episerver
Питер также добавил, что Episerver имеет долгую историю новаторства в строго регулируемых отраслях и странах, что привело к созданию решений, разработанных с учетом соблюдения нормативных требований. Он сочетает в себе многолетний опыт и знания в области облачной инфраструктуры с глубокой приверженностью защите данных, безопасности и соответствию требованиям.
Готовность к будущим вызовам
Компания Optimize приложила огромные усилия для соблюдения GDPR, CCPA, Общего закона о защите персональных данных (LGPD) и других применимых законов о конфиденциальности.
Возможно, компания активизировалась для обеспечения конфиденциальности и безопасности данных после ее приобретения, но вряд ли рассматривает предстоящий Регламент электронной конфиденциальности. Optimizely необходимо повысить уровень для экспериментов и сбора данных.
Данные управляют всем: от разработки тестовой гипотезы до предоставления более персонализированного пользовательского опыта и отслеживания эффективности теста. Это означает, что группы экспериментаторов должны отдавать приоритет конфиденциальности данных.
GDPR имеет дело только с общими (персональными) данными, тогда как ePrivacy намеревается дополнить GDPR, широко охватывая и проверяя конфиденциальность данных. Регламент электронной конфиденциальности охватывает маркетинг, весь список технологий отслеживания (включая, помимо прочего, файлы cookie) и направлен на борьбу с профилированием и поведенческой рекламой с прозрачностью и положительным согласием.
Пока Optimizely не принимает во внимание ePrivacy, ему не хватает важной части головоломки. И даже если это начнется сегодня, поставить эту часть на место будет непросто.
