Itt a november vége, hamarosan elstartol az ünnepi vásárlási agybajszezon. Ha valamilyen okos eszközt vagy szolgáltatást szeretnél ajándékozni akár magadnak, akár valamelyik szerettednek, akkor érdemes megismerkedned a Mozilla *Privacy not included vásárlási útmutatójával.
Miért?
*Privacy not included, azaz adatvédelmet nem tartalmaz. A projektet még 2017-ben indította a Mozilla azzal a céllal, hogy útmutatót adjon ahhoz, hogy ne csak okos, de adatvédelmi szempontból biztonságos termékeket ajándékozhassunk.
Manapság már szinte minden eszközünk kapcsolódik az internetre, ugyanakkor nehéz vagy sokszor szinte lehetetlen megállapítani vásárlás előtt, hogy az milyen hatással lesz a magánéletünkre. Pedig gondolom tudni szeretnéd, hogy a gyártó mit tesz a megszerzett adataiddal. Eladja? Ha igen, akkor hogyan és ki(k)nek? A gyártónak milyen infóbiztonsági háttere van? Volt már náluk adatszivárgás? Ha igen, hogyan kezelték? Hogyan védik a megszerzett adataidat? Milyen adataid szivároghatnak ki és milyen formában? Milyen gyakran készülnek biztonsági tesztek és javítások a termékhez? Megannyi kérdés, ami felelősen vásárolva előbújik az emberből.
A *Privacy not included vásárlási útmutató segít eligazodni ebben a káoszban, és legalább a fenti kérdésekre megpróbálja megadni a választ. Mindezt vásárlói szempontból megközelítve. Csak nekik az átlagnál több idejük és tapasztalatuk van. :)
Fontos, hogy a Mozilla szakértői nem vásárolják meg az eszközt, így laborban sem tesztelik, hanem rengeteg időt és energiát fektetnek az elérhető információk felderítésére és publikálására. Többek között ők azok, akik elolvassák az adatvédelmi irányelveket és a többi elérhető dokumentumot. Felveszik a kapcsolatot a gyártóval és titkosítással vagy hibavadász programokkal kapcsolatos kérdésekkel provokálnak. Tanulmányozzák az elmúlt három év termékkel és gyártóval kapcsolatos híreit és eseményeit, majd mindezt a rengeteg információt egy termékismertető oldalon összegzik nekünk. Mert ugye mi, vásárlók is így döntünk egy vásárlás előtt. Ugye? Ugye!
Nos, a Mozilla a *Privacy not included projektjével azt szeretné elérni, hogy egy szebb jövőben mindenki számára könnyen hozzáférhetően, jól érthetően elérhetőek legyenek az adatvédelmi információk, és ne kelljen hírek, frissítési előzmények, dokumentumok tucatjainak bogarászásával tölteni az időt (már ha egyáltalán vannak) a felelős döntés meghozásához.
Hogyan történik az értékelés?
Termékek kiválasztása
Az útmutató célja, hogy hasznos iránymutatást adjon azokhoz a kütyükhöz és szolgáltatásokhoz, amik népszerűek lesznek, vagy már azok az európai, illetve észak-amerikai piacon. Ezért mind saját kutatást, mind pedig különböző terméktesztelő/értékelő portálok anyagait felhasználják a kiválasztási folyamat során.
*Privacy not included címke
Ezt a címkét azokat a termékek kapják meg, amiknek a legkérdésesebb az adatvédelmük és a biztonságuk. Ha egy terméknél a következő kategóriákból legalább kettőnél problémát találnak a Mozilla szakértői, akkor megkapja a címkét:
- Felhasználói adatok gyűjtése és felhasználása: Probléma, ha a gyártó eladja a begyűjtött adatokat, vagy több adatot gyűjt mint az ténylegesen szükséges lenne a termék működéséhez. Ilyen lehet pl. a szükségtelen adatgyűjtés „üzleti célokra”, vagy adatok vásárlása adatkereskedőktől.
- Adataid feletti ellenőrzés lehetősége: probléma, ha a cég nem biztosít egyszerű felületet az adataid törlésére, illetve ha nem tisztázza az adattárolás hosszát.
- Cég adatvédelmi történelme: Probléma, ha a cég érintett volt a múltban bármilyen biztonsági incidensben, mint betörés, adatszivárgás vagy sebezhetőség. Ezen szempont része az is, ha a termék nem teljesíti a minimum biztonsági követelményeket (erről később). Továbbá bizonyos ritka esetekben itt kerül megemlítésre, ha az adott céggel kapcsolatban felmerül valami kifejezetten aggasztó dolog.
Végül, de nem utolsó sorban szempont lehet az is, hogy a termék használ-e mesterséges intelligenciát, és ha igen, hogyan. Mennyire „megbízható” vagy épp „etikus”. Ez azonban egy nehezen mérhető paraméter, ezért nem része a *Privacy not included címke értékelésének, de iránymutatásnak jó lehet.
Minimum biztonsági követelmények
Ezek azok a követelmények, amiknek minden egyes eszköznek meg kell felelnie. Kivétel nélkül. Természetesen nem lehet mindent online kereséssel megtudni, ezért a Mozilla szakemberei megkeresik az érintett cégeket e-mailben (legalább három alkalommal, először 30 nappal a termék értékelésének nyilvánosságra hozatala előtt), hogy megtudják, az adott termék teljesíti-e a követelményeket. Azok a cégek, amelyek nem válaszolnak, illetve a Mozilla a saját forrásaiból sem tudja hitelt érdemlően bizonyítani a következő feltételek teljesülését, automatikusan bukják ezt a tesztet. Ugyanakkor ha a későbbiekben a cég válaszol a kérdésekre és bizonyítja, hogy terméke teljesíti a követelményeket (még ha azt a közzététel után is teszi), akkor az adatlap frissítésre kerül.
- Titkosítás: Az adatátvitelnek és az adattárolásnak is (ahol ez lehetséges) titkosítottnak kell lennie. A terméknek a teljes hálózati forgalmát titkosítania kell, hogy az adatátvitelt ne lehessen lehallgatni és módosítani. A felhasználói adatok titkosítása erősen ajánlott a tárolás helyén. Bár a végpontok közti titkosítás is előnyben részesített, nem része a minimum követelményeknek.
- Biztonsági frissítések: A terméknek rendelkeznie kell alapértelmezetten bekapcsolt, automatikus biztonsági frissítéssel, amit a gyártó még az értékesítés befejezése után is köteles biztosítani egy észszerűen elvárható ideig. Ez a funkció biztosítja, hogy amennyiben egy sebezhetőség a gyártó tudomására jut, annak javítását egy, az eszköz által ellenőrzött, automatikus biztonsági frissítés keretében, a felhasználó számára láthatatlanul telepíteni tudja az eszközre.
- Erős jelszavak: Amennyiben az eszköz bármilyen jelszót használ távoli azonosításra, akkor annak meg kell felelnie az erős jelszavak kritériumának (legalább 8 karakter hosszú, tartalmaz kis- és nagybetűt, számot és különleges karaktert). Továbbá minden, nem egyedi alapértelmezett jelszónak az eszköz első beállításakor meg kell változnia. Ezzel kivédhetők az alapértelmezett jelszavakra építő, akár az eszköz kompromittálódását okozó sebezhetőségek. Amennyiben az eszköz jelszó helyett valami mást használ, pl. biztonságos Bluetooth kapcsolatot, akkor az adatlapon ez a tulajdonság „NA” lesz.
- Sebezhetőségek kezelése:: A gyártónak rendelkeznie kell olyan rendszerrel, melyben a termék/szolgáltatás sebezhetőségeit tartja nyilván és kezeli. Ennek tartalmaznia kell kapcsolatfelvételi lehetőséget sebezhetőség jelentéséhez vagy hibavadász program futtatásához. Ezzel biztosítható, hogy a gyártó aktívan menedzseli a termék sebezhetőségeit az életciklusa során.
- Adatvédelmi szabályzat: A terméknek rendelkeznie kell nyilvánosan elérhető adatvédelmi szabályzattal vagy egyéb olyan adatvédelmi oldallal, ami az értékelt eszközre, alkalmazásra vagy szolgáltatásra érvényes. Továbbá szükséges egy működő kapcsolatfelvételi lehetőség, hogy a vásárlók tájékozódhassanak/kérdezhessenek a termék adatvédelmével és az adatvédelmi szabályzattal kapcsolatban.
A Mozilla *Privacy not included termékértékeléseket a https://foundation.mozilla.org/en/privacynotincluded/ címen találod angolul (a fordítók boldogulnak vele). Az értékelés szempontjait pedig itt olvashatod, szintén angolul.