Что такое секретные данные в интернете?
Центр информационной секретности Electronic Privacy Information Center (EPIC) (http://www.epic.org/) определяет секретность как право отдельных пользователей на управление сбором, использованием и распространением личной информации, осуществляемым другими пользователями. Секретность данных в интернете подразумевает, что обработка сайтом персонально идентифицируемой информации (PII) попадает под широкий набор применимых в этом случае законов, индустриальных стандартов и рекомендаций. В общем, если информация попадает под категорию PII, необходимо обращаться с ней крайне осторожно. В противном случае могут возникнуть проблемы, начиная с недовольных клиентов и потери позиций на рынке и заканчивая штрафами и тюремным заключением.
Масштаб негативных последствий нарушения секретности является одной из причин, по которым ни одна книга по безопасности веб-сайта не будет законченной без упоминания о секретности данных в интернете. Другая причина заключается в том, что средства и методы обеспечения безопасности в значительной степени определяют соответствие веб-сайта установленным стандартам секретности.
Совет. PII – это информация, которая указывает на пользователя, например, имя, почтовый адрес или адрес электронной почты. Согласно электронной организации секретности данных TRUSTe (http://www.truste.org/) "персональные предпочтения пользователя, фиксируемые веб-сайтом посредством элементов cookie, являются персонально идентифицируемой информацией при присоединении к другой персонально идентифицируемой информации, предоставляемой вами в интернете". В директиве защиты данных этой организации Европейский Союз выделяет среди аспектов PII идентификационный номер, присваиваемый пользователю, и один или более факторов, присущих "физической, психологической, ментальной, экономической, культурной или общественной особенности".
Большинство стран мира считают, что секретность PII достаточно важна и должна быть защищена законом. В некоторых странах защита PII законом широко распространена и применяется практически ко всем персональным данным.
В остальных странах, в особенности в США, защита, предусмотренная законом, является частичной и применяется только к определенной информации в определенных обстоятельствах. Например, существует федеральный закон, защищающий статус частности записей о видеопрокате, выпущенный в 1988 году, после того как в газетах были опубликованы записи, принадлежащие кандидату на должность в Верховном Суде Роберту Борку.
Работа с секретными данными, которую приходится выполнять операторам веб-сайтов, по существу, заложена в саму природу всемирной сети. Поэтому мы и говорим о законодательных актах, определяющих требования секретности как внутри государства, так и за его пределами. Тем не менее, для многих операторов коммерческих веб-сайтов требования закона относительно секретности данных часто являются не более чем базовым, минимальным стандартом, согласно которому они работают в интересах бизнеса. Например, на рисунке ниже изображен веб-сайт, отображающий "логотип секретности", являющийся формой, принятой среди операторов веб-сайтов; этот логотип отображается только на сайтах, соответствующих добровольному, самостоятельно примененному набору стандартов секретности.
Хорошим показателем, который говорит о важности сохранения секретности для веб-пользователей, является тот факт, что за три года с начала работы бюро TRUSTe его логотип стал самым "щелкаемым" элементом в интернете, опередив Microsoft, чей логотип остался на втором месте, и Yahoo!, Amazon и eBay вместе взятые. Все главные веб-порталы отображают этот логотип, его можно найти на пятнадцати из двадцати наиболее популярных веб-сайтов и на пятидесяти из ста наиболее посещаемых сайтов. Очевидно, что использование таких программ связано с денежными затратами, однако риск нарушения секретности и потерь завоеванных в бизнесе позиций делает их ценным вложением в "светлое будущее" многих компаний. Средства обеспечения секретности и разрабатываемые для этого технологии обсуждаются далее в лекции.