Обеспечение безопасности вашего бизнеса и клиентов с помощью цифровых политик

Опубликовано: 2022-03-10
Краткое резюме ↬ Цифровые работники, особенно веб-дизайнеры и разработчики, должны осознавать, что политика влияет на их продукты в онлайне так же, как и в офлайне. Каким бы ни был масштаб нашего предприятия — будь то крупная корпорация, небольшое цифровое агентство, компания-разработчик программного обеспечения или личное предприятие — мы должны работать в рамках этой системы законодательных положений (то, что мы просто называем «политикой»), чтобы соблюдать закон.

Цифровые работники, особенно веб-дизайнеры и разработчики, должны понимать, что политика влияет на их продукты в Интернете так же, как и в оффлайне. Каким бы ни был масштаб нашего предприятия — будь то крупная корпорация, небольшое цифровое агентство, компания-разработчик программного обеспечения или личное предприятие — мы должны работать в рамках этой системы законодательных норм (то, что мы просто называем «политикой»), чтобы соблюдать закон.

Каждому бизнесу нужна цифровая политика

Наша нынешняя нормативно-правовая среда — это мир правил, которым мы должны руководствоваться каждый день на рабочем месте, особенно если у нас есть бизнес. Почему же тогда мы должны ожидать, что цифровой мир, в котором мы создаем веб-сайты и ведем бизнес, будет другим? Это не так — на самом деле, нормативно-правовая среда в Интернете за последние годы стала более сложной и систематизированной, быстро возникают новые требования к доступности (Великобритания в 2010 г.), файлы cookie (ЕС в 2011 г.), онлайн неприкосновенность частной жизни (США в 2012 г.), право на забвение (ЕС в 2014 г.), экспорт личной информации о гражданстве (Россия в 2015 г.) и так далее. Следить за глобальными юридическими требованиями не всегда легко. Некоторые из них могут показаться нам даже нелогичными, например, закон ЕС об НДС, который затрагивает компании-разработчики программного обеспечения, но может представлять серьезную угрозу для нашего бизнеса.

Дальнейшее чтение на SmashingMag:

  • Мы неправильно думаем о цифровых технологиях?
  • Все, что вам нужно знать о составлении карты пути клиента
  • Как сделать себя ненужным
  • Как вызвать революцию UX
Еще после прыжка! Продолжить чтение ниже ↓

Соблюдение цифровой политики должно быть таким же основополагающим, как уплата налогов для любой компании или физического лица, ведущего бизнес в Интернете. В своей политической работе за последние 15 лет я стал свидетелем того, что работа в цифровом пространстве сопряжена с такими же рисками и обязательствами, как и в аналоговом мире. Если у вас нет цифровой политики и вы не следуете ей, вы подвергаете риску свою компанию, клиентов и доходы.

Цифровая политика не должна быть сложной

Если вы новичок в этом, то разговоры о цифровой политике могут показаться очень законными и строгими. Однако не бойтесь. Мы дадим вам несколько общих советов и ресурсов о том, как подходить к цифровой политике, и предоставим вам некоторые базовые знания, чтобы вы могли обсудить цифровую политику с юристом, юридическим отделом или консультантом по цифровой политике.

Чтобы помочь вам начать, мы рассмотрим:

  • примеры того, что может пойти не так, если не соблюдать цифровую политику,
  • виды цифровой политики,
  • шаблон цифровой политики,
  • как ориентироваться в постоянно меняющемся цифровом ландшафте,
  • как выбрать правильный подход к политике.

Политики переводят риски вашей организации, бизнес-цели и применимые законы и правила в то, что вы должны и никогда не должны делать в онлайн-пространстве.
Политики переводят риски вашей организации, бизнес-цели и применимые законы и правила в то, что вы должны и никогда не должны делать в онлайн-пространстве. (Большой превью)

Цифровая политика регулирует цифровой бизнес

Конечно, не все компании пренебрежительно относятся к цифровой политике. Некоторым, особенно небольшим цифровым агентствам и отдельным веб-практикам, просто не хватает системы координат, потому что такая политика выходит за рамки их повседневной оперативной деятельности.

Но, как говорится, незнание закона не освобождает от ответственности. Цифровая политика может напрямую влиять на веб-сайты компании, а также на ее социальные сети, мобильные платформы, электронный маркетинг и онлайн-CRM, устанавливая те руководящие принципы, которые обеспечивают соблюдение местных, федеральных и даже международных законов и правил. Просто примите во внимание требование защищать личную информацию о потребителе и последующие судебные иски о нарушении данных против Target, Neiman Marcus, Adobe, Sony и LinkedIn, потому что у них не было надлежащей защиты. Или подумайте, какую информацию о геотаргетинге компания может собирать с мобильных устройств пользователей в рекламных целях, и о многомиллионных штрафах, которые налагаются на такие компании, как Capital One, Discover, American Express, Chase и GE Capital Retail Bank в случае несоблюдения требований.

Конечно, многие организации считают, что они уже «получили» цифровую политику. В конце концов, у них есть ссылка в нижнем колонтитуле их веб-сайта, указывающая, что они поддерживают доступность веб-сайта на основе политик W3C. У них может даже быть политика конфиденциальности (как еще одна ссылка в нижнем колонтитуле). Но это едва поверхностно — цифровая политика охватывает гораздо больше, чем просто ссылки в нижнем колонтитуле веб-страницы. Они должны быть программным руководством, которое предоставляется и используется веб-работниками по всему миру.

Реальные риски

Что произойдет, если вы решите рискнуть и вообще проигнорировать цифровую политику? Если ваша организация имеет большое и многогранное глобальное присутствие в Интернете, то вы, очевидно, представляете собой более привлекательную цель для регулирующих органов. Во многих из этих случаев несоблюдение может привести к следующему:

  • дорогостоящие штрафы и судебные иски . Только в 2015 году было подано 45 исков, связанных с доступностью, в том числе против Национальной баскетбольной ассоциации (НБА), Sprint, JC Penney и Home Depot.
  • блокировка каналов продаж Бельгийские суды постановили, что интернет-провайдеры могут быть обязаны блокировать коммерческие веб-сайты, нарушающие законы об авторском праве.
  • прекращение цифровых операций В начале этого года Китай закрыл онлайн-сервисы книг и фильмов Apple из-за несоблюдения требований к локализации и праву собственности.
  • потеря репутации бренда, доли рынка и общественного доверия В 2015 году ИКЕА закрыла свой веб-сайт, посвященный образу жизни, в России из-за опасений, что правительство сочтет его пропагандой гей-ценностей среди несовершеннолетних, но столкнулась с негативной реакцией общественности и бойкотами.

Даже независимые авторы контента и независимые и небольшие интернет-магазины могут столкнуться с последствиями, такими как судебный процесс или денежные штрафы, когда клиенты ссылаются на отказ от ответственности и положения о возмещении убытков, которые являются стандартными частями контрактов.

Чем выше профиль вашего веб-сайта или цифровой собственности (включая ее видимость для потребителей) и чем на большее количество стран нацелена цифровая собственность, тем выше риски и потребность в соответствующих цифровых политиках.
Чем выше профиль вашего веб-сайта или цифровой собственности (включая ее видимость для потребителей) и чем на большее количество стран нацелена цифровая собственность, тем выше риски и потребность в соответствующих цифровых политиках.

Контрольный список цифровой политики

Хотя эти цифровые политики обычно невелики (обычно от 5 до 40 на организацию), они устанавливают четкое направление того, что можно и чего нельзя делать на веб-сайте и связанных с ним цифровых каналах.

Очевидно, что каждая компания должна решить, какие цифровые политики заслуживают их внимания — и, наоборот, насколько они не склонны к риску в отношении тех, которые они намерены игнорировать. Тем не менее, по моему опыту, ниже приведен хороший базовый список, который должна рассмотреть каждая компания:

  • доступность
  • брендинг
  • куки и отслеживание
  • неприкосновенность частной жизни детей (COPPA)
  • авторское право и защита, интеллектуальная собственность и товарные знаки
  • уведомление об утечке данных (требуемое по закону уведомление пользователей о нарушениях безопасности и потере или краже личной информации)
  • шифрование и передача данных, локализация данных
  • конфиденциальность данных и защита личной информации и информации о здоровье
  • управление цифровыми записями
  • уведомление акционеров (законодательное требование о размещении годовой информации акционеров или акционеров, включая уведомления о собраниях, на веб-сайте или в цифровом канале)
  • локализация языка и контента
  • законы о борьбе со спамом, в том числе для электронного маркетинга
  • допустимый и запрещенный контент
  • управление цифровыми правами
  • доменные имена, адреса электронной почты и учетные записи в социальных сетях (защитная регистрация для защиты бренда или резервирование цифрового актива для обеспечения защиты авторских прав и товарных знаков)
  • интернет-реклама и продвижение
  • социальные сети (личные и корпоративные)

Цифровая политика, которой будет придерживаться ваша компания, будет зависеть от нескольких переменных:

  • промышленность . Например, фармацевтические препараты будут иметь другие требования, чем банки.
  • сектор бизнеса . Сектора включают коммерческий, бизнес-бизнес, правительственный и некоммерческий.
  • местоположение . Сюда входит географическое положение вашего веб-сайта (страна домена), а также географическое положение пользователей, с которыми связан ваш контент. Требования, которые определяют соответствие при разработке и управлении веб-сайтами, могут быть обширными, с множеством возможных вариантов.
  • цифровые платформы . Интернет, мобильные устройства, CRM и социальные сети имеют свои собственные уникальные требования политики. Соблюдение требований может быстро усложниться, если вы работаете на мобильной платформе, доступной в нескольких странах, каждая из которых поддерживает собственный набор требований политики (конфиденциальность, геотаргетинг и т. д.).

Для агентства веб-дизайна или небольшого магазина веб-разработки список, вероятно, будет коротким, в основном сосредоточенным на политиках, связанных с доступностью, файлами cookie и конфиденциальностью. Когда вы работаете с клиентами, этот список будет расти в зависимости от цели веб-сайта, микросайта, кампании в социальных сетях или мобильного приложения. Хранение и обработка данных, сбор налогов для веб-сайтов электронной коммерции и политики безопасности, вероятно, будут одними из первых, которые следует рассмотреть. Быстро проконсультируйтесь с экспертом по политике или цифровым юристом и обсудите требования с клиентом, потому что они могут не знать о них.

Далее в этой статье мы узнаем, кто отвечает за определение нормативных и правовых требований, за создание и распространение политик и оценку их соответствия. Но если вы сразу же представляете страницы и страницы юридического языка, когда думаете о цифровых политиках, вы в хорошей компании, потому что в прошлом многие политики были написаны в виде юридических документов, которые было нелегко понять простым людям, включая веб-работников.

Шаблон цифровой политики

Хорошие политики, как правило, представляют собой краткие заявления (максимум две страницы), понятные создателям и редакторам контента, веб-разработчикам и даже тем, кто не занимается веб-сайтами. Как правило, они должны содержать следующую информацию, написанную простым повседневным языком:

  1. название политики
  2. Заявление о политике (т. е. то, что вы всегда или никогда не должны делать в Интернете, изложенное как факт, а не как руководство или передовая практика)
  3. обоснование (т. е. объяснение того, почему вы должны следовать этой политике)
  4. источник Откуда берется политика и на каком основании вы ее вызываете?
  5. соответствующие стандарты Поскольку в политике указывается только «какой» аспект соответствия, должны быть доступны поддерживающие стандарты, поясняющие , как соблюдать политику.

Структура политик важна, но еще важнее то, где и как они хранятся. Создайте центральный репозиторий, который будет легко доступен тем, кто должен соблюдать политики, сделайте его доступным для поиска и, как правило, рассматривайте аудиторию политик как группу заинтересованных сторон, применяя основные принципы UX. Другими словами, политики не должны храниться в виде файла PDF на общем диске или быть разбросаны по внутренней сети организации.

Типичное заявление о политике должно быть кратким и по существу. Например, заявление о политике доступности может выглядеть так:

Все новые и переработанные цифровые свойства — будь то веб-приложения или мобильные приложения — опубликованные организацией или одним из ее отделов после даты вступления в силу этой политики, должны соответствовать стандартам Руководства по доступности веб-контента (WCAG) 2.0 уровня AA. Все устаревшие цифровые ресурсы, опубликованные до даты вступления в силу этой политики, должны соответствовать этим стандартам доступности по мере их обновления или редактирования. Инструкции о том, какие стандарты должны быть реализованы, доступны в разделе «Стандарты доступности» на портале цифровых ресурсов. Прогресс в достижении и поддержании полностью доступных цифровых объектов должен быть задокументирован в ежегодном отчете о цифровом статусе каждого отдела, который представляется как часть запроса на бюджет.

Эта конкретная политика должна быть связана с соответствующими стандартами доступности, такими как:

  • картинки,
  • ссылки,
  • видео,
  • и тестирование.

(Соответствующие стандарты не обязательно должны быть внешними, например стандарты W3C, указанные выше. Политики также могут быть связаны с внутренними стандартами организации.)

Иногда мы можем ссылаться на существующий стандарт, например, WCAG 2.0. Но очень часто соответствующие стандарты уже существуют внутри организации.
Иногда мы можем ссылаться на существующий стандарт, например, WCAG 2.0. Но очень часто соответствующие стандарты уже существуют внутри организации. (Большой превью)

В политике должна быть указана дата вступления в силу, дата, когда политика должна быть пересмотрена, чтобы определить, актуальна ли она по-прежнему или требует обновления, контактное лицо (например, корпоративный распорядитель доступности) и отчет о показателях, например следующий :

Используйте автоматизированный инструмент для сканирования цифровых свойств на соответствие требованиям доступности и ежемесячно отчитывайтесь о показателях соответствия владельцам бизнеса. Ежеквартально отчитывайтесь о показателях соответствия доступности спонсору управления.

Знание — это рычаг

Чтобы свести риск к минимуму, компании, столкнувшиеся с цифровыми технологиями, а также агентства и разработчики, которые их поддерживают, должны научиться использовать постоянную кривую обучения с помощью глобальных цифровых политик. Изменения во внешней политике могут быть внезапными и быстрыми, как, например, недавние требования к локализации данных в России или Рамочная программа передачи данных между ЕС и США. Другие организации могут разработать руководство, но оставить точные требования в подвешенном состоянии, как это было в случае с Управлением по санитарному надзору за качеством пищевых продуктов и медикаментов США при доработке требований к фармацевтическим препаратам в социальных сетях.

Конечно, формирование цифровой политики также происходит внутри компании, особенно в крупных компаниях. Такая политика может быть результатом технологических изменений, уроков, извлеченных из других цифровых или веб-проектов, или недавних проектов или инициатив, которые выявили необходимость в новых или обновленных практиках. Многие из наиболее типичных цифровых политик, например, в отношении брендинга, качества и права собственности на контент, издаются отделом маркетинга организации или отдельными лицами, входящими в группу веб-операций.

Хотя мы уже почти 30 лет существуем в Интернете, наше коллективное осознание рисков, связанных с его использованием, и политики, необходимой для ограничения этих рисков, все еще незрело. Не существует центрального ресурса, который помог бы цифровым работникам и агентствам пройти через лабиринт политики, но вы можете быть в курсе многих тем, если сделаете несколько вещей:

  • Читайте сообщения в блогах экспертов по цифровой политике и ассоциаций, таких как Lainey Feingold, Dechert LLP, SIIA и Hunton & Williams.
  • Настройте оповещения о новостях по ключевым темам политики, таким как утечка данных, локализация данных, международная передача данных, доступность и конфиденциальность данных.
  • Сосредоточьтесь на тенденциях через Twitter, следя за политическими комментаторами, такими как Андреа Сиодмок, Адонис Хоффман и, конечно же, я, Кристина Поднар.
  • Следите за новостями, такими как Digital Trends, ComputerWorld и CIO Magazine.

Выбор правильного подхода к цифровой политике

Столкнувшись с такой сложностью соблюдения требований, как компания может улучшить и поддерживать IQ своей цифровой политики? Организации, которые управляют политиками зрелым образом, обычно нанимают распорядителя цифровой политики, на которого возлагается несколько обязанностей:

  • Определите текущий спектр цифровых политик и оцените нюансы их потенциального риска. Для агентства веб-дизайна или малого веб-бизнеса наибольший риск, вероятно, связан с компрометацией его собственного присутствия в Интернете; поэтому наиболее подходящим может быть акцент на сборе данных, конфиденциальности, хранении и передаче, а также взломе. Если на вашем веб-сайте есть только контент без какой-либо поддержки транзакций, то, возможно, наибольшее внимание будет уделено информации, собранной с помощью вашего аналитического программного обеспечения, и тому, как вы управляете этой информацией в зависимости от страны, в которой вы работаете. Возможные риски и связанные с ними политики будут быстро расти, если агентство веб-дизайна или малый веб-бизнес выполняет работу для клиентов — и здесь оцените риски в зависимости от типа веб-сайта или цифрового канала и сосредоточьтесь на политиках для снижения самых больших рисков.
  • Отслеживайте, как тенденции цифровой политики меняются на их рынке, общаясь с их цифровым руководством, чтобы определить соответствующую организационную позицию по конкретной теме. Это означает, что кто-то с юридическими наклонностями или пониманием риска обращает внимание на то, что происходит в отрасли, и на то, какое влияние такие тенденции могут оказать на организацию. Например, когда LinkedIn недавно был скомпрометирован в результате утечки данных, большое внимание было уделено тому, чтобы пользователи сбрасывали свои пароли LinkedIn. Компании, использующие LinkedIn в качестве источника аутентификации для пользователей, быстро отреагировали бы, если бы кто-то думал о рисках, связанных с аутентификацией из одного источника, и у них была бы политика. Но, как мы видели, такие компании, как Citrix, упустили риск, что привело к вторичной утечке данных.
  • Информируйте внутренних заинтересованных сторон, включая создателей контента и разработчиков, распространяя соответствующие политики по всей организации.
  • Работайте с различными экспертами в предметной области и авторами политик по всей организации, чтобы определить и задокументировать соответствующие политики.
  • Создайте внутреннюю программу для интеграции этих политик в онлайн-операции.

Небольшие цифровые агентства и отдельные дизайнеры, которым не хватает такой внутренней поддержки, должны проконсультироваться с сотрудником по вопросам конфиденциальности или юридическим отделом своего клиента, чтобы узнать о потенциальных проблемах цифровой политики. И если ваша команда ограничена в ресурсах или финансировании, вы всегда можете поработать с консультантом по цифровой политике, чтобы определить ключевые политики и риски для вашей организации, посетить отраслевой семинар по цифровым политикам, такой как тот, который предлагает The Foundry, или обратиться к на онлайн-ресурсы, такие как Digital Context Next.

Определите применимые политики.
Определите применимые политики. (Большой превью)

Комплаенс как конкурентное преимущество

Цифровую политику следует рассматривать не только через призму риска, но и через призму возможностей. Компании, которые тесно следуют цифровой политике, которая, в свою очередь, использует свое цифровое присутствие (скажем, посредством брендинга), получают явное конкурентное преимущество. Возьмем Intel, которая продвигала свой бренд в глобальном масштабе, агрессивно формулируя требования как внутри организации, так и за ее пределами; или Управление государственных доходов штата Виктория, которое сделало упор на доступность и добилось соответствия AAA требованиям WCAG; или The Guardian, которая ввела очень простую, но строгую политику онлайн-модерации комментариев, которая позиционирует ее как мирового лидера в этой области.

На сегодняшнем бурно развивающемся цифровом рынке каждая компания рискует проиграть, если не будет придерживаться цифровой политики. Точно так же вы можете получить еще больше, включив эти политики в общий долгосрочный стратегический план вашего цифрового предприятия. Тем самым вы добавите ценности, защитив своих руководителей, свою организацию, своих клиентов и себя от судебных исков, штрафов и рисков для бренда, описанных в этой статье. Соблюдая правила, вы обеспечиваете безопасность своего дома в Интернете.

Когда креативность уравновешивается руководством — настоящей целью этих политик — цифровые работники имеют больше свободы для инноваций и работают более эффективно, чем в других организациях.