Security 存储个人信息Dos和Don';ts
我为一个照相俱乐部运行了一个小型php/mysql网站,用户可以在这里上传照片。我最近开始存储电子邮件地址,以便进行密码重置 我的问题是,处理用户个人信息的最佳做法是什么:是否有任何法律/法规规定我可以如何处理个人信息?我是否需要显示我处理个人信息的策略 关于这一主题的任何进一步信息都会收到Security 存储个人信息Dos和Don';ts,security,Security,我为一个照相俱乐部运行了一个小型php/mysql网站,用户可以在这里上传照片。我最近开始存储电子邮件地址,以便进行密码重置 我的问题是,处理用户个人信息的最佳做法是什么:是否有任何法律/法规规定我可以如何处理个人信息?我是否需要显示我处理个人信息的策略 关于这一主题的任何进一步信息都会收到 谢谢在数据库中存储电子邮件是合法的。你会储存更多的个人信息,比如信用卡吗?这可能会有更大的问题。您有存储信用卡信息的规则。关于姓名、电话等个人信息,我认为这取决于国家。例如,在澳大利亚,他们对此有一个具体的
谢谢在数据库中存储电子邮件是合法的。你会储存更多的个人信息,比如信用卡吗?这可能会有更大的问题。您有存储信用卡信息的规则。关于姓名、电话等个人信息,我认为这取决于国家。例如,在澳大利亚,他们对此有一个具体的法案:。你必须在你的国家登记。在德国,我们在信息泄露方面遇到了很多麻烦。在瑞典,我们必须对此进行监管。这可能是你应该寻求法律咨询的问题,但我(在美国)了解到,这里有几个基本点: 首先,美国这一问题的主要监管机构是联邦贸易委员会。他们有一些你可以看的材料。两个基本原则是,你应该有一个隐私政策,你应该按照它说的去做。如果你只是从别人的网站上下载了一个策略,却没有按照它说的去做,你可能会遇到麻烦 第二件要考虑的事情是这些最新的州法律,如果您的安全被破坏,需要通知。在这上面。其中一些有“安全港”,这意味着如果加密数据,可以减少违规的麻烦
我不会提供法律建议-这取决于您的位置和许多其他因素,但这些是一些需要律师研究的问题。网站上有一个隐私策略生成器和一些模板/示例: 这里有一些链接: (离题)你需要在两个层面保持警惕:跟上PHP的补丁和所有面向公众的软件(web服务器、负载平衡器/代理)的更新,并确保如果有人在服务器上获得根和文件系统访问权限,他们仍然无法读取MySQL数据:我对PHP记得不多,但我确信在客户端或服务器端都有加密数据的设施。下面是一个rails/mySQL示例
iPANI,但是在研究了规则之后,从用户的角度考虑隐私政策。他们可能想知道您将如何处理这些信息,以及您将如何保护他们的信息,使其不被可能落入其手中的其他人未经授权使用
例如,您是否打算使用电子邮件地址向他们发送促销信息?你有选择退出的政策吗?你会考虑出售你的电子邮件列表吗?由于用户的特殊兴趣(摄影),它可能具有一些商业价值。你能保证永远不出售他们的电子邮件地址吗?或者如果你不能保证,你能保证在你这么做之前警告他们吗 您是否会发布发布发布特定照片的用户的个人信息?如果透露了摄影师的身份(和位置),即使是一张看起来无害的夫妇或孩子的照片也可能会产生意想不到的后果 想想俱乐部领导层的观点。他们不想因为你发布(或出售)了他们的个人信息或俱乐部的会员名单而与俱乐部成员发生纠纷 为了赢得俱乐部领导和会员的信任,考虑清楚地陈述你的政策。提到政策可能会改变。您可以让会员选择声明其所有个人信息都将保密如果您正在寻求扩展您的网站,您将受益于用户的信任。可以找到加拿大的要求 它们为需求提供了极好的总结:
- 负责任-尽最大努力保护你收到的姓名和电子邮件
- 告诉你的用户你保存了什么信息以及你在用它做什么
- 获得同意-这可能很简单,只要告诉用户他们的同意是假定的
- 将收集限制为仅收集所需的数据
- 限制数据的使用、披露和保留
- 准确-尽最大努力使电子邮件保持最新和正确
- 使用适当的保障措施
- 公开-发布您的隐私政策
- 允许个人访问您保存的有关他们的数据
- 提供追索权-指定一名“隐私官员”接受投诉
另外,积极主动地解决这个问题对你有好处。这确实是一件基本的事情,但有时会出现在Dailywtf.com上 不要以明文形式存储密码
如果你在存储密码之前通过md5这样的函数运行密码,这会使你的用户名和密码数据库对小偷来说一文不值。Funky的个人资料说他来自英国。看在上帝的份上,不要使用md5。使用bcrypt或类似的东西。