Dbanie o bezpieczeństwo firmy i klientów dzięki zasadom cyfrowym

Opublikowany: 2022-03-10
Krótkie podsumowanie ↬ Pracownicy cyfrowi, zwłaszcza projektanci stron internetowych i programiści, muszą zdawać sobie sprawę z tego, że polityka wpływa na ich produkty online w takim samym stopniu, jak offline. Bez względu na skalę naszego przedsiębiorstwa — czy to duża korporacja, mała agencja cyfrowa, firma programistyczna czy prywatne przedsięwzięcie — musimy pracować w tym systemie przepisów prawnych (co po prostu nazywamy „polityką”), aby zachować zgodność z prawem.

Pracownicy cyfrowi, zwłaszcza projektanci stron internetowych i programiści, muszą zdawać sobie sprawę z tego, że polityka wpływa na ich produkty online, podobnie jak offline. Bez względu na skalę naszego przedsiębiorstwa — czy to duża korporacja, mała agencja cyfrowa, firma programistyczna czy prywatne przedsięwzięcie — musimy pracować w tym systemie przepisów prawnych (co po prostu nazywamy „polityką”), aby zachować zgodność z prawem.

Każda firma potrzebuje polityk cyfrowych

Nasze obecne środowisko regulacyjne to świat zasad, którymi musimy się kierować każdego dnia w miejscu pracy, zwłaszcza jeśli jesteśmy właścicielami firmy. Dlaczego zatem mielibyśmy oczekiwać, że cyfrowy świat, w którym budujemy strony internetowe i prowadzimy transakcje biznesowe będzie inny? Tak nie jest — w rzeczywistości środowisko regulacyjne w sieci stało się w ostatnich latach bardziej złożone i skodyfikowane, a nowe wymagania dotyczące dostępności szybko pojawiły się (Wielka Brytania w 2010 r.), pliki cookie (UE w 2011 r.), online prywatność (USA w 2012 r.), prawo do bycia zapomnianym (UE w 2014 r.), eksport informacji o obywatelstwie osobistym (Rosja w 2015 r.) i tak dalej. Śledzenie globalnych wymogów prawnych nie zawsze jest łatwe. Niektóre mogą nam się nawet wydawać nielogiczne, na przykład prawo UE dotyczące podatku VAT, które dotyczy firm produkujących oprogramowanie, ale może stanowić poważne zagrożenie dla naszych firm.

Dalsze czytanie na SmashingMag:

  • Czy myślimy o technologii cyfrowej wszystko źle?
  • Wszystko, co musisz wiedzieć o mapowaniu podróży klientów
  • Jak zrobić się zbędnym
  • Jak wywołać rewolucję UX?
Więcej po skoku! Kontynuuj czytanie poniżej ↓

Przestrzeganie polityki cyfrowej powinno być tak samo fundamentalne, jak płacenie podatków dla każdej firmy lub osoby, która prowadzi działalność online. W mojej pracy nad polityką w ciągu ostatnich 15 lat byłem świadkiem, że praca w przestrzeni cyfrowej wiąże się z takim samym ryzykiem i zobowiązaniami, jak w świecie analogowym. Jeśli nie masz i nie przestrzegasz polityki cyfrowej, narażasz swoją firmę, klientów i dochody na ryzyko.

Polityki cyfrowe nie muszą być trudne

Jeśli jesteś w tym nowy, rozmowy na temat zasad cyfrowych mogą brzmieć bardzo legalnie i surowo. Nie bój się jednak. Udzielimy Ci ogólnych wskazówek i zasobów, jak podejść do polityki cyfrowej, oraz zapewnimy podstawową wiedzę, dzięki której będziesz mógł omówić zasady cyfrowe z prawnikiem, działem prawnym lub konsultantem ds. polityki cyfrowej.

Aby pomóc Ci zacząć, omówimy:

  • przykłady tego, co może się nie udać, jeśli nie zadbamy o politykę cyfrową,
  • rodzaje polityk cyfrowych,
  • szablon polityki cyfrowej,
  • jak poruszać się w ciągle zmieniającym się cyfrowym krajobrazie,
  • jak wybrać właściwe podejście do polityki.

Zasady przekładają ryzyko, cele biznesowe Twojej organizacji oraz obowiązujące przepisy i regulacje na to, co powinieneś i nigdy nie powinieneś robić w przestrzeni online.
Zasady przekładają ryzyko, cele biznesowe Twojej organizacji oraz obowiązujące przepisy i regulacje na to, co powinieneś i nigdy nie powinieneś robić w przestrzeni online. (duży podgląd)

Polityki cyfrowe rządzą cyfrowym biznesem

Oczywiście nie wszystkie firmy lekceważą politykę cyfrową. Niektórym, zwłaszcza małym agencjom cyfrowym i indywidualnym praktykom internetowym, po prostu brakuje ram odniesienia, ponieważ takie polityki wykraczają poza ich codzienne cele operacyjne.

Ale, jak mówią, nieznajomość prawa nie jest usprawiedliwieniem. Polityki cyfrowe mogą bezpośrednio wpływać na witryny internetowe firmy, a także na jej media społecznościowe, platformy mobilne, marketing e-mailowy i internetowy CRM, określając wytyczne, które zapewniają zgodność z lokalnymi, federalnymi, a nawet międzynarodowymi przepisami i regulacjami. Wystarczy wziąć pod uwagę wymóg ochrony danych osobowych umożliwiających identyfikację i późniejsze procesy sądowe o naruszenie danych przeciwko Target, Neimanowi Marcusowi, Adobe, Sony i LinkedIn, ponieważ nie mieli odpowiedniej ochrony. Lub zastanów się, jakie informacje o kierowaniu geograficznym firma może zbierać z urządzeń mobilnych użytkowników w celach reklamowych oraz o wielomilionowych grzywnach nakładanych na takie firmy jak Capital One, Discover, American Express, Chase i GE Capital Retail Bank w przypadku niezgodności.

Oczywiście wiele organizacji uważa, że ​​już „otrzymuje” politykę cyfrową. W końcu mają link w stopce swojej witryny internetowej wskazujący, że wspierają dostępność witryny w oparciu o zasady W3C. Mogą nawet mieć politykę prywatności (jako kolejny link w stopce). Ale to ledwie zarysowuje powierzchnię — polityka cyfrowa obejmuje znacznie więcej niż tylko linki w stopce na stronie internetowej. Powinny to być programistyczne wskazówki, które są dostarczane i używane przez pracowników internetowych na całym świecie.

Prawdziwe ryzyko

Co się stanie, jeśli zdecydujesz się zaryzykować i całkowicie zlekceważyć politykę cyfrową? Jeśli Twoja organizacja jest dużą i wieloaspektową globalną obecnością w Internecie, to oczywiście stanowisz bardziej atrakcyjny cel dla organów regulacyjnych. W wielu z tych przypadków niezgodność może prowadzić do:

  • kosztowne kary i procesy sądowe . W 2015 r. odbyło się 45 samych pozwów związanych z dostępnością, w tym przeciwko National Basketball Association (NBA), Sprint, JC Penney i Home Depot.
  • blokowanie kanałów sprzedaży Belgijskie sądy orzekły, że dostawcy usług internetowych mogą być zobowiązani do blokowania komercyjnych stron internetowych, które naruszają prawa autorskie.
  • zamknięcie działalności cyfrowej Chiny zamknęły internetowe usługi książkowe i filmowe Apple na początku tego roku z powodu niezgodności z wymogami dotyczącymi lokalizacji i własności.
  • utrata reputacji marki, udział w rynku i publiczna wiarygodność IKEA zrezygnowała ze swojej strony internetowej poświęconej stylowi życia w Rosji w 2015 roku w obawie, że rząd uzna to za promowanie gejowskich wartości wśród nieletnich, ale spotka się to z publicznym sprzeciwem i bojkotami.

Nawet niezależni autorzy treści oraz niezależne i małe sklepy internetowe mogą ponieść konsekwencje, takie jak proces sądowy lub grzywny pieniężne, gdy klienci powołują się na zrzeczenia się odpowiedzialności i klauzule odszkodowania, które są standardowymi częściami umów.

Im wyższy profil Twojej witryny lub usługi cyfrowej (w tym jej widoczność dla konsumentów) i im więcej krajów jest kierowanych do usługi cyfrowej, tym większe ryzyko i potrzeba związanych z nimi polityk cyfrowych.
Im wyższy profil Twojej witryny lub usługi cyfrowej (w tym jej widoczność dla konsumentów) i im więcej krajów jest kierowanych do usługi cyfrowej, tym większe ryzyko i potrzeba związanych z nimi polityk cyfrowych.

Lista kontrolna polityki cyfrowej

Chociaż zwykle jest to niewielka liczba (od 5 do 40 na organizację), te zasady cyfrowe wyznaczają jasny kierunek nakazów i zakazów w witrynie internetowej i powiązanych kanałach cyfrowych.

Oczywiście każda firma musi zdecydować, które polityki cyfrowe zasługują na ich uwagę – i odwrotnie, jak bardzo unika ryzyka w stosunku do tych, które zamierza zignorować. Jednak z mojego doświadczenia wynika, że ​​poniżej jest dobra podstawowa lista, którą każda firma powinna przejrzeć:

  • dostępność
  • branding
  • pliki cookie i śledzenie
  • prywatność dzieci (COPPA)
  • prawa autorskie i ochrona, własność intelektualna i znaki towarowe
  • powiadomienie o naruszeniu danych (prawnie wymagane powiadomienie użytkowników w przypadku naruszenia bezpieczeństwa i utraty lub kradzieży danych osobowych)
  • szyfrowanie i przesyłanie danych, lokalizacja danych
  • prywatność danych oraz ochrona danych osobowych i informacji zdrowotnych
  • zarządzanie zapisami cyfrowymi,
  • zawiadomienie akcjonariuszy (wymóg prawny, aby informacje roczne akcjonariuszy lub akcjonariuszy, w tym zawiadomienia o zgromadzeniach, były zamieszczane na stronie internetowej lub ogłaszane w kanale cyfrowym)
  • lokalizacja języka i treści
  • przepisy antyspamowe, w tym dotyczące marketingu e-mailowego
  • odpowiednie i zabronione treści
  • Zarządzanie Prawami Cyfrowymi
  • nazwy domen, adresy e-mail i konta w mediach społecznościowych (rejestracja obronna w celu ochrony marki lub rezerwacja zasobów cyfrowych w celu zapewnienia ochrony praw autorskich i znaków towarowych)
  • reklama i promocja online
  • media społecznościowe (osobiste i korporacyjne)

Polityka cyfrowa, którą Twoja firma zdecyduje się przestrzegać, będzie zależeć od kilku zmiennych:

  • przemysł . Na przykład farmaceutyki będą miały inne wymagania niż banki.
  • sektor biznesu . Sektory obejmują komercyjne, business-to-business, rządowe i non-profit.
  • lokalizacja . Obejmuje to lokalizację geograficzną Twojej witryny (kraj domeny), a także lokalizację geograficzną użytkowników, z którymi powiązane są Twoje treści. Wymagania, które wpływają na zgodność w rozwoju i zarządzaniu witryną internetową, mogą być rozległe, z wieloma możliwymi permutacjami.
  • platformy cyfrowe . Web, mobile, CRM i social – każdy z nich ma swoje własne, unikalne wymagania. Zgodność z przepisami może szybko stać się bardziej złożona, gdy korzystasz z platformy mobilnej dostępnej w kilku krajach, z których każdy zachowuje własny zestaw wymagań dotyczących zasad (prywatność, kierowanie geograficzne itd.).

W przypadku agencji zajmującej się projektowaniem stron internetowych lub małego sklepu zajmującego się tworzeniem stron internetowych lista będzie prawdopodobnie krótka, skupiając się głównie na zasadach związanych z dostępnością, plikami cookie i prywatnością. Kiedy pracujesz z klientami, lista ta będzie się powiększać w zależności od celu strony, mikrostrony, kampanii w mediach społecznościowych czy aplikacji mobilnej. Przechowywanie i obsługa danych, pobieranie podatków od witryn handlu elektronicznego oraz polityka bezpieczeństwa prawdopodobnie będą jednymi z pierwszych, które należy wziąć pod uwagę. Skonsultuj się szybko z ekspertem ds. Polityki lub prawnikiem cyfrowym i ustal wymagania z klientem, ponieważ może on nie być ich świadomy.

W dalszej części tego artykułu dowiemy się, kto jest odpowiedzialny za upewnienie się, że wymagania regulacyjne i prawne są identyfikowane, że zasady są tworzone i rozpowszechniane oraz że zgodność jest mierzona. Ale jeśli od razu wyobrażasz sobie strony i strony w języku prawniczym, gdy myślisz o polityce cyfrowej, jesteś w dobrym towarzystwie, ponieważ w przeszłości wiele polityk było pisanych jako dokumenty prawne, które nie były łatwe do zrozumienia dla zwykłych ludzi, w tym pracowników sieci.

Szablon polityki cyfrowej

Dobre zasady to zazwyczaj krótkie oświadczenia (maksymalnie dwie strony), które mogą zrozumieć twórcy i redaktorzy treści, twórcy stron internetowych, a nawet osoby niebędące stronami internetowymi. Powinny one zasadniczo zawierać następujące informacje, napisane prostym, codziennym językiem:

  1. nazwa polisy
  2. oświadczenie dotyczące polityki (tj. co zawsze lub nigdy nie powinieneś robić online, jako fakt, a nie jako wytyczna lub najlepsza praktyka)
  3. uzasadnienie (tj. wyjaśnienie, dlaczego powinieneś przestrzegać tej polityki)
  4. źródło Skąd wywodzi się polityka i na jakim autorytecie ją powołujesz?
  5. powiązane standardy Ponieważ polityka określa tylko „jaki” aspekt zgodności, powinny być dostępne standardy wspierające, aby wyjaśnić , jak zachować zgodność z polityką.

Struktura polityk jest ważna, ale miejsce i sposób ich przechowywania jest jeszcze ważniejsze. Stwórz centralne repozytorium, które będzie łatwo dostępne dla tych, którzy muszą przestrzegać zasad, udostępnij je do przeszukiwania i ogólnie traktuj odbiorców zasad jako grupę interesariuszy, stosując podstawowe zasady UX. Innymi słowy, zasady nie powinny być przechowywane jako plik PDF na dysku współdzielonym ani rozproszone w intranecie organizacji.

Typowe oświadczenie dotyczące polityki powinno być krótkie i na temat. Na przykład oświadczenie o polityce dostępności może brzmieć jako:

Wszystkie nowe i przeprojektowane właściwości cyfrowe — zarówno internetowe, jak i mobilne — opublikowane przez organizację lub jeden z jej działów po wejściu w życie niniejszej polityki muszą być zgodne z wytycznymi dotyczącymi dostępności treści internetowych (WCAG) 2.0 Level AA. Wszystkie starsze treści cyfrowe opublikowane przed datą wejścia w życie niniejszych zasad muszą być zgodne z tymi standardami ułatwień dostępu, gdy są aktualizowane lub edytowane. Instrukcje dotyczące standardów, które należy wdrożyć, są dostępne w sekcji Standardy dostępności w Centrum zasobów cyfrowych. Postęp w osiąganiu i utrzymywaniu w pełni dostępnych właściwości cyfrowych musi być udokumentowany w rocznym raporcie o stanie cyfrowym każdego działu, który jest przesyłany jako część wniosku budżetowego.

Ta konkretna polityka powinna łączyć się z powiązanymi standardami dostępności, takimi jak te dotyczące:

  • zdjęcia,
  • spinki do mankietów,
  • wideo,
  • i testowanie.

(Powiązane standardy nie muszą być zewnętrzne, takie jak te z W3C, powiązane z powyższym. Polityki mogą również odnosić się do wewnętrznych standardów organizacji.)

Czasami możemy połączyć się z istniejącym standardem, na przykład WCAG 2.0. Jednak bardzo często w organizacji istnieją już powiązane standardy.
Czasami możemy połączyć się z istniejącym standardem, na przykład WCAG 2.0. Jednak bardzo często w organizacji istnieją już powiązane standardy. (duży podgląd)

Polityka powinna zawierać datę wejścia w życie, datę, w której polityka powinna zostać zweryfikowana w celu ustalenia, czy jest nadal aktualna lub wymaga aktualizacji, punkt kontaktowy (np. korporacyjny steward ds. ułatwień dostępu) oraz oświadczenie dotyczące wskaźników, takie jak: :

Użyj zautomatyzowanego narzędzia do skanowania właściwości cyfrowych pod kątem zgodności z ułatwieniami dostępu i comiesięcznych raportów dotyczących wskaźników zgodności właściciela firmy. Raportuj wskaźniki zgodności dostępności do sponsora zarządzania raz na kwartał.

Wiedza to dźwignia

Aby zminimalizować ryzyko, firmy stojące przed cyframi oraz agencje i programiści, którzy je wspierają, muszą nauczyć się przyjmować stałą krzywą uczenia się z globalną polityką cyfrową. Zmiany w polityce zewnętrznej mogą być nagłe i szybkie, tak jak w przypadku niedawnych wymogów dotyczących lokalizacji danych w Rosji lub ram przesyłania danych UE-USA. Inne podmioty mogą opracowywać wytyczne, ale pozostawiają precyzyjne wymagania w zawieszeniu, tak jak miało to miejsce w przypadku amerykańskiej Agencji ds. Żywności i Leków przy finalizowaniu wymagań dla leków w mediach społecznościowych.

Oczywiście tworzenie polityki cyfrowej odbywa się również wewnętrznie, zwłaszcza w większych firmach. Takie polityki mogą wynikać ze zmian technologicznych, wniosków wyciągniętych z innych projektów cyfrowych lub internetowych lub niedawnych projektów lub inicjatyw, które ujawniły potrzebę nowych lub zaktualizowanych praktyk. Wiele z bardziej typowych zasad cyfrowych, takich jak te dotyczące marki, jakości i własności treści, jest wydawanych przez dział marketingu organizacji lub od osób wchodzących w skład zespołu ds. operacji internetowych.

Chociaż sieć istnieje od prawie 30 lat, nasza zbiorowa świadomość zagrożeń związanych z jej używaniem i polityk niezbędnych do ograniczenia tych zagrożeń jest wciąż niedojrzała. Nie ma centralnego źródła, które poprowadzi pracowników cyfrowych i agencje przez labirynt zasad, ale możesz być na bieżąco z wieloma tematami, jeśli zrobisz kilka rzeczy:

  • Czytaj posty na blogach ekspertów i stowarzyszeń ds. polityki cyfrowej, takich jak Lainey Feingold, Dechert LLP, SIIA i Hunton & Williams.
  • Ustawiaj powiadomienia dotyczące kluczowych tematów polityki, takich jak naruszenia danych, lokalizacja danych, międzynarodowe transfery danych, dostępność i prywatność danych.
  • Skup się na trendach za pośrednictwem Twittera, śledząc komentatorów polityki, takich jak Andrea Siodmok, Adonis Hoffman i oczywiście ja, Kristina Podnar.
  • Miej oko na serwisy informacyjne, takie jak Digital Trends, ComputerWorld i CIO Magazine.

Wybór odpowiedniego podejścia do polityki cyfrowej

W obliczu takiej złożoności zgodności, w jaki sposób firma poprawia i utrzymuje IQ polityki cyfrowej? Organizacje, które zarządzają politykami w sposób dojrzały, zazwyczaj zatrudniają stewarda polityki cyfrowej, któremu przypisano kilka obowiązków:

  • Zidentyfikuj obecne spektrum polityk cyfrowych i oceń niuanse ich potencjalnego ryzyka. W przypadku agencji zajmującej się projektowaniem stron internetowych lub małej firmy internetowej największym ryzykiem jest prawdopodobnie narażenie własnej obecności w Internecie; dlatego najbardziej odpowiednie może być skupienie się na gromadzeniu danych, prywatności, przechowywaniu i przekazywaniu oraz naruszeniach. Jeśli Twoja witryna zawiera tylko treść, bez wsparcia transakcyjnego, być może największy nacisk zostanie położony na informacje gromadzone za pomocą oprogramowania analitycznego i sposób zarządzania tymi informacjami w zależności od kraju, w którym prowadzisz działalność. Jeśli agencja zajmująca się projektowaniem stron internetowych lub mała firma internetowa wykonuje pracę dla klientów, potencjalne ryzyko i związane z nimi zasady będą szybko rosnąć — ponownie oceń ryzyko w oparciu o rodzaj strony internetowej lub kanału cyfrowego i skoncentruj się na zasadach ograniczających największe ryzyko.
  • Monitoruj, jak trendy polityki cyfrowej zmieniają się na ich rynku, jednocześnie komunikując się z liderami cyfrowymi w celu określenia odpowiednich stanowisk organizacyjnych w określonym temacie. Oznacza to posiadanie kogoś, kto ma skłonności prawne lub docenia ryzyko, zwracając uwagę na to, co dzieje się w branży i jaki wpływ mogą mieć takie trendy na organizację. Na przykład, kiedy LinkedIn został niedawno naruszony przez naruszenie danych, położono duży nacisk na to, aby użytkownicy zresetowali swoje hasła do LinkedIn. Firmy, które używają LinkedIn jako źródła uwierzytelniania dla użytkowników, zareagowałyby szybko, gdyby ktoś pomyślał o ryzyku związanym z uwierzytelnianiem z jednego źródła i wprowadziły zasady. Ale, jak widzieliśmy, firmy takie jak Citrix przegapiły ryzyko, co doprowadziło do wtórnych naruszeń danych.
  • Informuj wewnętrznych interesariuszy cyfrowych, w tym twórców treści i programistów, jednocześnie rozpowszechniając odpowiednie zasady w całej organizacji.
  • Współpracuj z różnymi ekspertami merytorycznymi i autorami zasad w całej organizacji, aby zdefiniować i udokumentować odpowiednie zasady.
  • Utwórz wewnętrzny program do integracji tych zasad z operacjami online.

Małe agencje cyfrowe i indywidualni projektanci, którzy nie mają takiego wewnętrznego wsparcia, powinni skonsultować się ze specjalistą ds. prywatności lub działem prawnym swojego klienta, aby uzyskać wgląd w potencjalne problemy związane z polityką cyfrową. A jeśli Twój zespół ma ograniczone zasoby lub fundusze, zawsze możesz współpracować z konsultantem ds. polityki cyfrowej w celu zidentyfikowania kluczowych zasad i zagrożeń dla Twojej organizacji, wziąć udział w warsztatach branżowych na temat zasad cyfrowych, takich jak te oferowane przez The Foundry, lub polecić do zasobów internetowych, takich jak Digital Context Next.

Określ zasady, które mają zastosowanie.
Określ zasady, które mają zastosowanie. (duży podgląd)

Zgodność jako przewaga konkurencyjna

Na politykę cyfrową należy patrzeć nie tylko przez pryzmat ryzyka, ale także przez pryzmat szansy. Firmy, które ściśle dostosowują się do polityk cyfrowych, które z kolei wykorzystują ich obecność cyfrową (np. poprzez branding), mogą zyskać wyraźną przewagę konkurencyjną. Weźmy pod uwagę firmę Intel, która promuje swoją markę na całym świecie poprzez agresywne określanie wymagań wewnątrz i na zewnątrz organizacji; lub State Revenue Office of Victoria, który położył nacisk na dostępność i osiągnął zgodność AAA z WCAG; czy Guardian, który ustanowił bardzo prostą, ale silną politykę moderowania komentarzy w Internecie, dzięki której stał się światowym liderem w tej branży.

Na dzisiejszym dynamicznie rozwijającym się rynku cyfrowym każda firma może stracić, unikając dostosowania do polityki cyfrowej. Z tego samego powodu możesz jeszcze więcej zyskać, włączając te zasady do ogólnego długoterminowego planu strategicznego dla Twojego cyfrowego przedsiębiorstwa. W ten sposób zwiększysz wartość dodaną, chroniąc swoich kierowników, organizację, klientów i siebie przed różnymi rodzajami procesów sądowych, grzywnami i ryzykiem związanym z marką, o których mowa w tym artykule. Przestrzegając tego, masz pewność, że Twój dom w sieci pozostanie bezpieczny.

Kiedy kreatywność jest równoważona ze wskazówkami — prawdziwym celem tych polityk — pracownicy cyfrowi mają większą swobodę wprowadzania innowacji i pracy bardziej efektywnie niż w innych organizacjach.