Convert 是市場上最注重隱私的測試工具。 這就是為什麼

十年來，我們一直在改善結果。

經過超過 300 億次體驗的測試，我們完善了一種工具，可以為所有可能的行業的客戶帶來更高的轉化率——毫不費力。

但是當 GDPR 浪潮襲來時，我們想要超越改善結果。

我們希望成為精明用戶的優化工具，在這個世界中，隱私問題將逐年變得更加重要。

花了 8 個月的大部分時間，數千小時，數百個（微小的）爭論，但我們設法完成了我們想要的一切。

運行測試和挖掘洞察所需的一切，無需考慮 GDPR 或電子隱私法規。

表中的內容：

應用內更新：平衡隱私和功能

訪客 ID 的匿名化：在我們的默認模式下未經同意進行測試

歐盟通用數據保護條例 (GDPR)（第 2 章第 5 條）中的一個重要原則是數據最小化。

這意味著在個人數據的背景下，產品和服務提供商應僅收集、存儲和處理與其業務案例充分、相關和受限的內容。

對於應該收集哪些個人數據以及不應該收集哪些個人數據，沒有明確的定義。 它完全基於特定的用例。

為了實踐數據最小化原則，我們通過將數百個網站訪問者分組到僅計算訪問者存在的訪問者組中，在跟踪中匿名訪問者 ID。

個人訪客不會存儲在轉換體驗中。 無法以任何方式將組計數重新連接到單個訪問者。

GDPR 為我們提供了一個機會，讓我們仔細審視我們在 Convert 中存儲的內容，以及將其保存在日益以隱私為中心的環境中的用例。

刪除事務 ID：獲取“推送”

我們還將收入跟踪更改為使用pushRevenue而不是sendRevenue 。

• pushRevenue 不發送任何交易 ID。
• sendRevenue 發送交易 ID，但被忽略且不存儲。

 <script>    window['_conv_q'] = window['_conv_q'] || [];    window['_conv_q'].push(["pushRevenue",revenue,products_cnt,goal_id]); </script>

永久 Cookie 過期：您很棒，但我們只會記住您 6 個月

持久性 cookie 在用戶首次登錄網站時放置在用戶的計算機上，即使在用戶離開網站並關閉瀏覽器後仍保留在該計算機上。

這些 cookie 被稱為“跟踪 cookie”，因為廣告商經常使用它們來跟踪站點用戶在多個網頁上的移動，並根據用戶瀏覽和搜索模式創建有針對性的廣告。

每個持久 cookie 都有一個由創建者設置的名稱和到期日期。

當網站發送 cookie 時，它會要求您的瀏覽器保留該特定 cookie，直到某個日期和時間過去。

根據 ePrivacy 指令的建議，持久性 cookie 至少應每 12 個月刪除一次，但不幸的是，大多數存儲的時間比這要長得多。

在 Google Adwords 中，cookie 最多可以保存 540 天，在 Google Analytics 中，cookie 最多可以保存 2 年。 已經註冊了壽命超過 7000 年的 cookie 示例！

持久性 cookie 很容易被濫用，而且人們對這種可能性有很多擔憂。 事實上，雅虎透露，據報導，其服務器遭到的黑客攻擊包括被盜和偽造的 cookie，這些 cookie 允許黑客無需密碼即可訪問用戶帳戶。 這意味著黑客能夠複製位於雅虎服務器上的持久性 cookie，創建它們的偽造版本，然後輕鬆訪問用戶帳戶。

為了應對這一隱私挑戰，我們 Convert 將持久性 cookie 的生命週期存儲限制從 12 個月減少到 6 個月。

刪除第三方 Cookie：我們不是在與他們“交談”

第三方 cookie 是一種 cookie，它 (a) 來自不同的域，或 (b) “由不同於運營用戶訪問的網站的數據控制器設置”。

您可以在您的 FireFox 瀏覽器上安裝一個名為 Lightbeam 的程序，它可以讓您在 Web 瀏覽器的陰影中查看下載的所有第三方 cookie。 以下是我經常訪問的網站的結果：

正如您在上面的屏幕截圖中看到的那樣，我的瀏覽器實際上已經變成了一個 cookie 罐——就在訪問了 7 個網站之後。

網站通常會發出您訪問第三方平台的信號，並與他們共享您的瀏覽數據以獲取廣告和營銷利益。

根據 ePrivacy 指令，Cookie 受到了很多關注，因為它們不僅可以跟踪信息，而且確實可以竊取信息。

被第三方跟踪的性質和過程會在用戶和網站所有者之間造成利益衝突，尤其是當涉及來自現場廣告的第三方 cookie 時。

如果您的網站使用第三方 cookie 或允許使用它們，您將面臨 cookie 法律規定的更多後果。

為確保完整的客戶和訪客隱私，自 2018 年 2 月 21 日起，我們禁用了所有第三方 cookie。

我們得到您的支持：方便的 GDPR 警告！

我們引入了警告，以告知我們的客戶在他們的項目或實驗中使用的 GDPR 相關設置或選項：

• 傳統上，Convert Experiences 允許按位置和行為等條件對網站訪問者進行分組。 這些組稱為自定義細分。 但是，在 GDPR 之後，如果啟用了分段功能，歐洲的隱私當局可以將其解釋為識別數據主體的一種方式。 為了通知用戶，我們插入了明顯的警告，如果為至少一個受眾啟用了細分，這些警告就會激活。

• 使用個人數據構建的受眾：如果受眾是使用 cookie 或 JavaScript 條件構建的，或者已針對時區、城市、地區、客戶 ID 或客戶標籤，則已保存的受眾和體驗摘要頁面中存在 GDPR 警告：

• 跨域跟踪：默認情況下，對於 Convert Experiences 中的所有項目，跨域 cookie 都是關閉的。 打開它會激活另一個警告：

• 個性化體驗可能包含小部分（100 名以下的唯一訪問者），這可能被歐洲隱私當局解釋為數據主體的識別。 出於這個原因，我們在任何個性化體驗的摘要中添加了警告。

這些警告的目的是確保我們的用戶了解哪些功能可能被歐盟當局視為數據主體的潛在“識別”。

很難記住 GDPR 指令和 ePrivacy 指令的要點！

通過使用“轉換體驗”，您可以使用一種可以做很多事情的工具，但也可以通過提醒您某些操作現在在歐盟國家/地區的不同解釋來強調它的潛力。

您可以關閉 GDPR 警告。

登錄服務器：德國法蘭克福

GDPR 帶來的另一個重大變化與數據存儲的位置有關。

這個很簡單。

如果您存儲歐盟公民的數據，則數據應保留在歐盟境內。 換句話說，您需要在歐盟國家/地區擁有服務器。

在任何情況下，數據都不應發送到歐盟以外的服務器（例如美國）。

我們將登錄服務器從美國移至德國法蘭克福的一個數據中心，該數據中心由碳中和能源提供動力。

DNT 設置：您的瀏覽器說話，我們傾聽

Do Not Track 是一種技術和法律框架，使用戶能夠選擇退出廣告網絡、分析服務和社交平台的跟踪。

DNT 以選擇的力量為流量賦能。

這是網絡瀏覽器中的一項功能，允許用戶表達他們對不被跟踪到他們每天使用的網站和服務的偏好。

歐盟 GDPR 強制尊重這一新的瀏覽器偏好。 技術和法律相結合，為收回網絡隱私權提供了一條可行的道路。

DNT 是一個提出明確功能請求的用戶，我不想被跟踪。 DNT 是一種用戶偏好，它強制瀏覽器向服務器發送 HTTP 請求，明確告訴服務器不要跟踪用戶行為。

我們添加了對 Project 瀏覽器“不跟踪”設置的可配置支持。

默認情況下，當您創建新項目時會選擇關閉選項，但您可以從以下任何設置中進行選擇：

• 離開
• 僅限歐盟
• 僅限歐洲經濟區
• 全世界

簡而言之，我們允許我們的用戶避開計數或以任何方式使用不願被跟踪的個人的數據。

在此處了解有關此新功能的更多信息。

選擇退出：一個鏈接將它們全部排除在外

追踪故事有兩個方面。

一，精明的網站訪問者可以選擇在他們的瀏覽器上啟用 Do Not Track 並隱藏窺探。

第二，他們應該有權直接從他們訪問的網站中選擇退出跟踪。

我們在 Convert 知道這一點，並在 Convert 應用程序設置頁面上放置了選擇退出功能 https://www.convert.com/opt-out/。

只需單擊“退出”鏈接，訪問者就可以選擇退出所有使用“轉換體驗”應用程序的網站的跟踪。

跨域測試：默認不允許

跨域跟踪使 Convert Experiences 可以將兩個相關網站（例如電子商務網站和單獨的購物車網站）上的會話視為單個會話。 這有時稱為站點鏈接。

假設您有一個在線商店和一個託管在另一個域上的第三方購物車，例如：

• www.example-store.com
• www.example-commerce-host.com/example-store/

如果沒有跨域跟踪，訪問您的在線商店然後進入您的 3rd 方購物車的用戶將被計為兩個不同的用戶，兩個不同的會話持續時間不同。

跨域跟踪使 Convert Experiences 可以將其視為單個用戶的單個會話，並且他們在商店站點上開始的會話將持續到在購物車站點上花費的時間。

但是，由於跨域跟踪是 GDPR 下的灰色區域，因此在創建新項目時，禁止跨域鏈接的可配置選項現在默認為開啟。

DPIA：我們認真對待改變

數據保護影響評估 (DPIA)可幫助組織識別、評估和減輕或最小化數據處理活動的隱私風險。 當引入新的數據處理流程、系統或技術時，它們尤其重要。

DPIA 還支持問責制原則，因為它們幫助組織遵守 GDPR 的要求，並證明已採取適當措施確保合規。

您是否知道在適當的情況下未能充分執行 DPIA 違反了 GDPR，並可能導致高達組織全球年營業額 2% 或 1000 萬歐元的罰款——以較高者為準？

作為 Convert 的 GDPR 項目的一部分，我們為團隊成員開發了指南和用於執行數據保護影響評估 (DPIA) 的模板。

合法權益評估 (LIA)：我們不假設

合法權益是 GDPR 中規定的六個合法依據之一，用於證明處理個人數據的正當性。

這聽起來像是最少的工作！

合法利益基礎範圍廣泛且靈活。 用外行的話來說，如果處理數據是一件輕而易舉的事，你就可以處理數據。

但是有很多方法可以解釋它，使用合法利益只會讓自己受到懷疑和審查。 強烈建議您在其他基礎（例如法律義務或重大利益）不可用時，或者當合法利益最適合用於處理活動時，訴諸合法利益基礎。

但是，需要進行比例評估。 在使用合法利益基礎之前，請執行以下操作：

• 目的檢驗：認同合法權益；
• 必要性測試：評估處理是否是實現該利益所必需的； 和
• 平衡測試：平衡合法利益與個人的利益、權利和自由。

我們進行了自己的合法利益影響評估 (LIA)，並相應地構建了我們營銷接觸點的同意選項。

用於保護持卡人數據的 PCI-DSS：敏感信息是我們的首要任務

我們遵循 PCI 標準委員會制定的存儲和處理信用卡信息的原則和標準。 更多信息請點擊這裡。

儘管 PCI DSS 專注於保護支付卡持卡人數據，而 GDPR 的目的是保護歐盟居民的個人數據，但 PCI 違規也是對個人數據的違規。

因此，根據 PCI DSS 合規性，我們始終對持卡人數據進行年度審查。 因此，此審查時間表為我們提供了一個框架，該框架在實施符合 GDPR 的措施時使用。

此外，我們還投資了安全技術以確保持卡人數據的安全。

超越應用程序更新：轉換團隊的 GDPR 變更

合法的：

我們更新了我們的隱私政策和服務條款。 我們添加了新的 Cookie 政策。 這些更新於 2018 年 5 月 25 日對現有和新用戶和客戶生效。
根據 GDPR 第 28 條第 4 款，我們與所有歐洲客戶簽署數據處理協議 (DPA) 作為標準。

銷售量：

我們已使我們的銷售流程符合 GDPR。

• 實時聊天。 如果為瀏覽器啟用了 DNT，則不會顯示 LiveChat。 我們已從 LiveChat 歷史記錄中刪除所有 IP 地址。
• 聯繫我們表格。 它已更新為符合 GDPR。
• 索取演示表格。 它也進行了更新以反映 GDPR 同意選項。
• 重新許可電子郵件活動。 我們已經為所有與客戶主管對話的潛在客戶開展了重新許可活動，以徵得他們對 1:1 協助的同意。
• 免費試用表格。 它已更新為符合 GDPR。

營銷：

我們已使我們的營銷流程符合 GDPR。

1. 出站電子郵件客戶。 我們已經停止了符合 GDPR 的出站活動。
2. 重新許可電子郵件活動。 我們對整個數據庫進行了重新許可活動，獲得了通過不同類型的通信與他們聯繫的詳細同意。
3. 通訊表格。 它已更新為符合 GDPR。
4. 鉛磁鐵形式。 它們已更新為符合 GDPR。
5. 網絡研討會表格。 它已更新為符合 GDPR。
6. 免費試用表格。 它已更新為符合 GDPR。
7. 來賓郵寄表格。 它已更新為符合 GDPR。

人力資源（HR）：

我們通過研討會對員工進行了培訓，他們都擁有涵蓋基本知識的 GDPR 證書。

客戶支持：

我們對 CS 員工進行了培訓，使其能夠對 GDPR 問題/票證和數據洩露做出適當回應。

發展：

我們的軟件開髮圈應用了幾條準則：

1. 培訓（開發人員接受了隱私和安全方面的培訓）
2. 設計（所有面向數據和麵向流程的設計要求均由 GDPR 驅動）
3. 編碼（開發人員使用認可的工具和框架，禁用不安全的功能和模塊，並定期進行靜態代碼分析和代碼審查）
4. 測試（我們進行了測試以確保正確實施數據保護和安全要求）
5. 在每次發布之前，都會制定事件響應計劃，並對軟件進行全面的安全審查。 然後該版本獲得批准，整個開發過程的所有相關數據都被存檔。
6. 維護（Convert 準備好應對事件、個人數據洩露、故障和攻擊，並能夠向用戶和受軟件影響的人發布更新、指南和信息）

政策框架：引導我們走向數據安全、注重隱私的未來

為確保 IT 資源、流程和實踐的一致、高質量實施和管理，我們定義了一個由明確定義的政策、程序和標準組成的綜合框架。

在製定這些 IT 政策、程序和標準時，我們參考了 ISO（國際標準組織）專門為信息安全事務保留的 ISO 27000 系列標準。

我們的 IT 政策分為兩個領域：與 IT 安全和使用相關的政策，以及與數據相關的政策。

IT 安全和使用政策：

以下政策和程序為 IT 安全和使用提供了明確的指導：

1. GDPR 合規性隱私和安全清單：GDPR 要求 Convert 在數據處理生命週期的所有階段保護其客戶和員工的個人數據。隨著越來越多的企業採用和使用基於雲的工具和軟件，遵守此要求是一項挑戰. 企業在尋找服務提供商時需要考慮不同的技術和法律方面。 這一特定政策使我們能夠在選擇符合我們以隱私為重點的方法的服務提供商和供應商時牢記最關鍵的因素。
2. 開源軟件許可政策：本政策的目的是讓開髮圈知道在開發代碼時可以接受哪些開源軟件許可政策。
3. 員工密碼政策：本政策的目的是確保所有 Convert Insights 資源和數據都得到充分的密碼保護。 該政策涵蓋負責一個或多個帳戶或有權訪問任何需要密碼的資源的所有員工。
4. 可接受的使用政策：本政策旨在幫助 Convert Insights 員工了解他們在使用、訪問或創建使用 Convert Insights IT 資源或網絡服務的內容時的責任。 它闡明並定義（在合理範圍內）Convert Insights 認為這些資源的可接受用途。
5. 網絡和社交媒體政策：本政策闡明了 Convert Insights 如何管理此數字資產，並在代表 Convert Insights 創建數字內容時為用戶提供指南，以及有關使用 Convert Insights 官方社交媒體帳戶的指南。
6. IT 安全政策：本安全政策的目標是促進一種文化，通過有效的管理和安全保護以及保護 Convert Insights 以及依賴信息的員工和其他各方的權利，幫助最大限度地提高信息的價值。
7. 外部託管服務問卷：本問卷的目的是確保第三方數據處理器（根據 GDPR）具有可接受的 IT 安全和數據隱私政策和程序，以最大限度地降低 Convert Insights 個人數據丟失或暴露的風險.

數據政策和程序：

以下政策和程序為 Convert Insights 使用和管理數據的可接受、安全和合法的方式提供了明確的指導：

1. 一般數據保護政策：本政策是 Convert Insights 承諾根據 GDPR 保護個人權利和隱私的聲明。
2. 應急管理計劃：應急管理小組 (EMT) 將開會以應對違規行為，並決定是否需要調用應急管理計劃。 該團隊將充當與數據和資源相關的嚴重事件或違反政策的升級點。
3. 數據管理政策：本政策的目的是最大程度地允許對 Convert Insights 持有的數據和信息進行訪問，同時確保其免受未經授權的使用、訪問和侵犯隱私的侵害。
4. 數據分類程序：數據管理政策要求數據所有者根據數據的敏感性和重要性對其數據進行分類。 該程序規定瞭如何進行這種分類。
5. 員工數據保護培訓政策：本政策及其中提及的任何其他文件規定了將向 Convert Insights 員工提供的培訓，以確保對個人數據的所有處理均符合《通用數據保護條例》(GDPR)。
6. 數據訪問請求程序：此程序的目的是確保 Convert Insights 符合《通用數據保護條例》的訪問請求規定，並使個人能夠在需要時提交數據訪問請求。
7. 個人數據洩露上報政策：這些程序的目的是提供一個框架，用於報告和管理影響 Convert Insights 持有的個人或敏感個人數據的數據安全漏洞。 這些程序是對數據保護政策的補充，確認了其根據數據保護立法保護個人隱私權的承諾。

轉換 GDPR 並非不便。

它重塑了分析的使用方式，並重新定義了它在優化領域的地位。

分析不再是為了尋找難以捉摸的見解而囤積潛在客戶數據。

它不再是假設個性化是要走的路。

GDPR 後的分析和測試是關於極簡主義的。 充分利用可以以創新方式處理的數據。

如果您想使用能夠支持您通過這些隱私轉變的工具 - 現在和將來，請給我們 15 天的時間，沒有義務旋轉。