Convert 是市场上最注重隐私的测试工具。 这就是为什么

十年来，我们一直在改善结果。

经过超过 300 亿次体验的测试，我们已经完善了一种工具，可以为所有可能行业的客户带来更高的转化率——毫不费力。

但是当 GDPR 浪潮袭来时，我们想要超越改善结果。

我们希望成为精明用户的优化工具，在这个世界中，隐私问题将逐年变得更加重要。

花了 8 个月的大部分时间，数千小时，数百个（微小的）争论，但我们设法完成了我们想要的一切。

运行测试和挖掘洞察所需的一切，无需考虑 GDPR 或电子隐私法规。

表中的内容：

应用内更新：平衡隐私和功能

访客 ID 的匿名化：在我们的默认模式下未经同意进行测试

欧盟通用数据保护条例 (GDPR)（第 2 章第 5 条）中的一个重要原则是数据最小化。

这意味着在个人数据的背景下，产品和服务提供商应仅收集、存储和处理与其业务案例充分、相关和受限的内容。

对于应该收集哪些个人数据以及不应该收集哪些个人数据，没有明确的定义。 它完全基于特定的用例。

为了实践数据最小化原则，我们通过将数百个网站访问者分组到仅计算访问者存在的访问者组中，在跟踪中匿名访问者 ID。

个人访客不会存储在转换体验中。 无法以任何方式将组计数重新连接到单个访问者。

GDPR 为我们提供了一个机会，让我们仔细审视我们在 Convert 中存储的内容，以及将其保存在日益以隐私为中心的环境中的用例。

删除事务 ID：获取“推送”

我们还将收入跟踪更改为使用pushRevenue而不是sendRevenue 。

• pushRevenue 不发送任何交易 ID。
• sendRevenue 发送交易 ID，但被忽略且不存储。

 <script>    window['_conv_q'] = window['_conv_q'] || [];    window['_conv_q'].push(["pushRevenue",revenue,products_cnt,goal_id]); </script>

永久 Cookie 过期：您很棒，但我们只会记住您 6 个月

持久性 cookie 在用户首次登录网站时放置在用户的计算机上，即使在用户离开网站并关闭浏览器后仍保留在该计算机上。

这些 cookie 被称为“跟踪 cookie”，因为广告商经常使用它们来跟踪站点用户在多个网页上的移动，并根据用户浏览和搜索模式创建有针对性的广告。

每个持久 cookie 都有一个由创建者设置的名称和到期日期。

当网站发送 cookie 时，它​​会要求您的浏览器保留该特定 cookie，直到某个日期和时间过去。

根据 ePrivacy 指令的建议，持久性 cookie 至少应每 12 个月删除一次，但不幸的是，大多数存储的时间比这要长得多。

在 Google Adwords 中，cookie 最多可以保存 540 天，在 Google Analytics 中，cookie 最多可以保存 2 年。 已经注册了寿命超过 7000 年的 cookie 示例！

持久性 cookie 很容易被滥用，而且人们对这种可能性有很多担忧。 事实上，雅虎透露，据报道，其服务器遭到的黑客攻击包括被盗和伪造的 cookie，这些 cookie 允许黑客无需密码即可访问用户帐户。 这意味着黑客能够复制位于雅虎服务器上的持久性 cookie，创建它们的伪造版本，然后轻松访问用户帐户。

为了应对这一隐私挑战，我们 Convert 将持久性 cookie 的生命周期存储限制从 12 个月减少到 6 个月。

删除第三方 Cookie：我们不是在与他们“交谈”

第三方 cookie 是一种 cookie，它 (a) 来自不同的域，或 (b) “由不同于运营用户访问的网站的数据控制器设置”。

您可以在您的 FireFox 浏览器上安装一个名为 Lightbeam 的程序，它可以让您在 Web 浏览器的阴影中查看下载的所有第三方 cookie。 以下是我经常访问的网站的结果：

正如您在上面的屏幕截图中看到的那样，我的浏览器实际上已经变成了一个 cookie 罐——就在访问了 7 个网站之后。

网站通常会发出您访问第三方平台的信号，并与他们共享您的浏览数据以获取广告和营销利益。

根据 ePrivacy 指令，Cookie 受到了很多关注，因为它们不仅可以跟踪信息，而且确实可以窃取信息。

被第三方跟踪的性质和过程会在用户和网站所有者之间造成利益冲突，尤其是当涉及来自现场广告的第三方 cookie 时。

如果您的网站使用第三方 cookie 或允许使用它们，您将面临 cookie 法律规定的更多后果。

为确保完整的客户和访客隐私，自 2018 年 2 月 21 日起，我们禁用了所有第三方 cookie。

我们得到您的支持：方便的 GDPR 警告！

我们引入了警告，以告知我们的客户在他们的项目或实验中使用的 GDPR 相关设置或选项：

• 传统上，Convert Experiences 允许按位置和行为等条件对网站访问者进行分组。 这些组称为自定义细分。 但是，在 GDPR 之后，如果启用了分段功能，欧洲的隐私当局可以将其解释为识别数据主体的一种方式。 为了通知用户，我们插入了明显的警告，如果为至少一个受众启用了细分，这些警告就会激活。

• 使用个人数据构建的受众：如果受众是使用 cookie 或 JavaScript 条件构建的，或者已针对时区、城市、地区、客户 ID 或客户标签，则已保存的受众和体验摘要页面中存在 GDPR 警告：

• 跨域跟踪：默认情况下，对于 Convert Experiences 中的所有项目，跨域 cookie 都是关闭的。 打开它会激活另一个警告：

• 个性化体验可能包含小部分（100 名以下的唯一访问者），这可能被欧洲隐私当局解释为数据主体的识别。 出于这个原因，我们在任何个性化体验的摘要中添加了警告。

这些警告的目的是确保我们的用户了解哪些功能可能被欧盟当局视为数据主体的潜在“识别”。

很难记住 GDPR 指令和 ePrivacy 指令的要点！

通过使用“转换体验”，您可以使用一种可以做很多事情的工具，但也可以通过提醒您某些操作现在在欧盟国家/地区的不同解释来强调它的潜力。

您可以关闭 GDPR 警告。

登录服务器：德国法兰克福

GDPR 带来的另一个重大变化与数据存储的位置有关。

这个很简单。

如果您存储欧盟公民的数据，则数据应保留在欧盟境内。 换句话说，您需要在欧盟国家/地区拥有服务器。

在任何情况下，数据都不应发送到欧盟以外的服务器（例如美国）。

我们将登录服务器从美国移至德国法兰克福的一个数据中心，该数据中心由碳中和能源提供动力。

DNT 设置：您的浏览器说话，我们倾听

Do Not Track 是一种技术和法律框架，使用户能够选择退出广告网络、分析服务和社交平台的跟踪。

DNT 以选择的力量为流量赋能。

这是网络浏览器中的一项功能，允许用户表达他们对不被跟踪到他们每天使用的网站和服务的偏好。

欧盟 GDPR 强制尊重这一新的浏览器偏好。 技术和法律相结合，为收回网络隐私权提供了一条可行的道路。

DNT 是一个提出明确功能请求的用户，我不想被跟踪。 DNT 是一种用户偏好，它强制浏览器向服务器发送 HTTP 请求，明确告诉服务器不要跟踪用户行为。

我们添加了对 Project 浏览器“不跟踪”设置的可配置支持。

默认情况下，当您创建新项目时会选择关闭选项，但您可以从以下任何设置中进行选择：

• 离开
• 仅限欧盟
• 仅限欧洲经济区
• 全世界

简而言之，我们允许我们的用户避开计数或以任何方式使用不愿被跟踪的个人的数据。

在此处了解有关此新功能的更多信息。

选择退出：一个链接将它们全部排除在外

追踪故事有两个方面。

一，精明的网站访问者可以选择在他们的浏览器上启用 Do Not Track 并隐藏窥探。

第二，他们应该有权直接从他们访问的网站中选择退出跟踪。

我们在 Convert 知道这一点，并在 Convert 应用程序设置页面上放置了选择退出功能 https://www.convert.com/opt-out/。

只需单击“退出”链接，访问者就可以选择退出所有使用“转换体验”应用程序的网站的跟踪。

跨域测试：默认不允许

跨域跟踪使 Convert Experiences 可以将两个相关网站（例如电子商务网站和单独的购物车网站）上的会话视为单个会话。 这有时称为站点链接。

假设您有一个在线商店和一个托管在另一个域上的第三方购物车，例如：

• www.example-store.com
• www.example-commerce-host.com/example-store/

如果没有跨域跟踪，访问您的在线商店然后进入您的 3rd 方购物车的用户将被计为两个不同的用户，两个不同的会话持续时间不同。

跨域跟踪使 Convert Experiences 可以将其视为单个用户的单个会话，并且他们在商店站点上开始的会话将持续到在购物车站点上花费的时间。

但是，由于跨域跟踪是 GDPR 下的灰色区域，因此在创建新项目时，禁止跨域链接的可配置选项现在默认为开启。

DPIA：我们认真对待改变

数据保护影响评估 (DPIA)可帮助组织识别、评估和减轻或最小化数据处理活动的隐私风险。 当引入新的数据处理流程、系统或技术时，它们尤其重要。

DPIA 还支持问责制原则，因为它们帮助组织遵守 GDPR 的要求，并证明已采取适当措施确保合规。

您是否知道在适当的情况下未能充分执行 DPIA 违反了 GDPR，并可能导致高达组织全球年营业额 2% 或 1000 万欧元的罚款——以较高者为准？

作为 Convert 的 GDPR 项目的一部分，我们为团队成员开发了指南和用于执行数据保护影响评估 (DPIA) 的模板。

合法权益评估 (LIA)：我们不假设

合法权益是 GDPR 中规定的六个合法依据之一，用于证明处理个人数据的正当性。

这听起来像是最少的工作！

合法利益基础范围广泛且灵活。 用外行的话来说，如果处理数据是一件轻而易举的事，你就可以处理数据。

但是有很多方法可以解释它，使用合法利益只会让自己受到怀疑和审查。 强烈建议您在其他基础（例如法律义务或重大利益）不可用时，或者当合法利益最适合用于处理活动时，诉诸合法利益基础。

但是，需要进行比例评估。 在使用合法利益基础之前，请​​执行以下操作：

• 目的检验：认同合法权益；
• 必要性测试：评估处理是否是实现该利益所必需的； 和
• 平衡测试：平衡合法利益与个人的利益、权利和自由。

我们进行了自己的合法利益影响评估 (LIA)，并相应地构建了我们营销接触点的同意选项。

用于保护持卡人数据的 PCI-DSS：敏感信息是我们的首要任务

我们遵循 PCI 标准委员会制定的存储和处理信用卡信息的原则和标准。 更多信息请点击这里。

尽管 PCI DSS 专注于保护支付卡持卡人数据，而 GDPR 的目的是保护欧盟居民的个人数据，但 PCI 违规也是对个人数据的违规。

因此，根据 PCI DSS 合规性，我们始终对持卡人数据进行年度审查。 因此，此审查时间表为我们提供了一个框架，该框架在实施符合 GDPR 的措施时使用。

此外，我们还投资了安全技术以确保持卡人数据的安全。

超越应用程序更新：转换团队的 GDPR 变更

合法的：

我们更新了我们的隐私政策和服务条款。 我们添加了新的 Cookie 政策。 这些更新于 2018 年 5 月 25 日对现有和新用户和客户生效。
根据 GDPR 第 28 条第 4 款，我们与所有欧洲客户签署数据处理协议 (DPA) 作为标准。

销售量：

我们已使我们的销售流程符合 GDPR。

• 实时聊天。 如果为浏览器启用了 DNT，则不会显示 LiveChat。 我们已从 LiveChat 历史记录中删除所有 IP 地址。
• 联系我们表格。 它已更新为符合 GDPR。
• 索取演示表格。 它也进行了更新以反映 GDPR 同意选项。
• 重新许可电子邮件活动。 我们已经为所有与客户主管对话的潜在客户开展了重新许可活动，以征得他们对 1:1 协助的同意。
• 免费试用表格。 它已更新为符合 GDPR。

营销：

我们已使我们的营销流程符合 GDPR。

1. 出站电子邮件客户。 我们已经停止了符合 GDPR 的出站活动。
2. 重新许可电子邮件活动。 我们对整个数据库进行了重新许可活动，获得了通过不同类型的通信与他们联系的详细同意。
3. 通讯表格。 它已更新为符合 GDPR。
4. 铅磁铁形式。 它们已更新为符合 GDPR。
5. 网络研讨会表格。 它已更新为符合 GDPR。
6. 免费试用表格。 它已更新为符合 GDPR。
7. 来宾邮寄表格。 它已更新为符合 GDPR。

人力资源（HR）：

我们通过研讨会对员工进行了培训，他们都拥有涵盖基本知识的 GDPR 证书。

客户支持：

我们对 CS 员工进行了培训，使其能够对 GDPR 问题/票证和数据泄露做出适当回应。

发展：

我们的软件开发圈应用了几条准则：

1. 培训（开发人员接受了隐私和安全方面的培训）
2. 设计（所有面向数据和面向流程的设计要求均由 GDPR 驱动）
3. 编码（开发人员使用认可的工具和框架，禁用不安全的功能和模块，并定期进行静态代码分析和代码审查）
4. 测试（我们进行了测试以确保正确实施数据保护和安全要求）
5. 在每次发布之前，都会制定事件响应计划，并对软件进行全面的安全审查。 然后该版本获得批准，整个开发过程的所有相关数据都被存档。
6. 维护（Convert 准备好应对事件、个人数据泄露、故障和攻击，并能够向用户和受软件影响的人发布更新、指南和信息）

政策框架：引导我们走向数据安全、注重隐私的未来

为确保 IT 资源、流程和实践的一致、高质量实施和管理，我们定义了一个由明确定义的政策、程序和标准组成的综合框架。

在制定这些 IT 政策、程序和标准时，我们参考了 ISO（国际标准组织）专门为信息安全事务保留的 ISO 27000 系列标准。

我们的 IT 政策分为两个领域：与 IT 安全和使用相关的政策，以及与数据相关的政策。

IT 安全和使用政策：

以下政策和程序为 IT 安全和使用提供了明确的指导：

1. GDPR 合规性隐私和安全清单：GDPR 要求 Convert 在数据处理生命周期的所有阶段保护其客户和员工的个人数据。随着越来越多的企业采用和使用基于云的工具和软件，遵守此要求是一项挑战. 企业在寻找服务提供商时需要考虑不同的技术和法律方面。 这一特定政策使我们能够在选择符合我们以隐私为重点的方法的服务提供商和供应商时牢记最关键的因素。
2. 开源软件许可政策：本政策的目的是让开发圈知道在开发代码时可以接受哪些开源软件许可政策。
3. 员工密码政策：本政策的目的是确保所有 Convert Insights 资源和数据都得到充分的密码保护。 该政策涵盖负责一个或多个帐户或有权访问任何需要密码的资源的所有员工。
4. 可接受的使用政策：本政策旨在帮助 Convert Insights 员工了解他们在使用、访问或创建使用 Convert Insights IT 资源或网络服务的内容时的责任。 它阐明并定义（在合理范围内）Convert Insights 认为这些资源的可接受用途。
5. 网络和社交媒体政策：本政策阐明了 Convert Insights 如何管理此数字资产，并在代表 Convert Insights 创建数字内容时为用户提供指南，以及有关使用 Convert Insights 官方社交媒体帐户的指南。
6. IT 安全政策：本安全政策的目标是促进一种文化，通过有效的管理和安全保护以及保护 Convert Insights 以及依赖信息的员工和其他各方的权利，帮助最大限度地提高信息的价值。
7. 外部托管服务问卷：本问卷的目的是确保第三方数据处理器（根据 GDPR）具有可接受的 IT 安全和数据隐私政策和程序，以最大限度地降低 Convert Insights 个人数据丢失或暴露的风险.

数据政策和程序：

以下政策和程序为 Convert Insights 使用和管理数据的可接受、安全和合法的方式提供了明确的指导：

1. 一般数据保护政策：本政策是 Convert Insights 承诺根据 GDPR 保护个人权利和隐私的声明。
2. 应急管理计划：应急管理小组 (EMT) 将开会以应对违规行为，并决定是否需要调用应急管理计划。 该团队将充当与数据和资源相关的严重事件或违反政策的升级点。
3. 数据管理政策：本政策的目的是最大程度地允许对 Convert Insights 持有的数据和信息进行访问，同时确保其免受未经授权的使用、访问和侵犯隐私的侵害。
4. 数据分类程序：数据管理政策要求数据所有者根据数据的敏感性和重要性对其数据进行分类。 该程序规定了如何进行这种分类。
5. 员工数据保护培训政策：本政策及其中提及的任何其他文件规定了将向 Convert Insights 员工提供的培训，以确保对个人数据的所有处理均符合《通用数据保护条例》(GDPR)。
6. 数据访问请求程序：此程序的目的是确保 Convert Insights 符合《通用数据保护条例》的访问请求规定，并使个人能够在需要时提交数据访问请求。
7. 个人数据泄露上报政策：这些程序的目的是提供一个框架，用于报告和管理影响 Convert Insights 持有的个人或敏感个人数据的数据安全漏洞。 这些程序是对数据保护政策的补充，确认了其根据数据保护立法保护个人隐私权的承诺。

转换 GDPR 并非不便。

它重塑了分析的使用方式，并重新定义了它在优化领域的地位。

分析不再是为了寻找难以捉摸的见解而囤积潜在客户数据。

它不再是假设个性化是要走的路。

GDPR 后的分析和测试是关于极简主义的。 充分利用可以以创新方式处理的数据。

如果您想使用能够支持您通过这些隐私转变的工具 - 现在和将来，请给我们 15 天的时间，没有义务旋转。