隐私法律如GDPR引入了几项新的要求,改变了我们对数据管理和隐私合规的思考方式。
隐私设计和默认隐私仅是网页开发者在开发新应用程序之前应考虑的要求之一。但当然,在GDPR生效之前,应用程序就已经上线,如预期的那样,Joomla项目和更具体的Joomla合规团队已经开始评估当前情况,以实现有效、安全和隐私的解决方案。
问题
如前所述,随着隐私法律的即将变化和GDPR的实施,我们必须对我们的Joomla资产采取一些措施。Joomla资产是我们所有人使用的网站,如扩展目录、志愿者门户等。
第一步是整合我们在这些30多个网站上的所有数据。这意味着我们将所有数据集中到一个身份网站上,我们可以在那里管理所有的配置文件。结果是,我们只需要记录和管理一个包含所有敏感数据的网站。一个地方来管理您的Joomla配置文件。合规团队的Roland Dalmulder和Sander Potjer开发了一个与Joomla核心集成的单点登录(SSO)系统,该系统允许用户只有一个配置文件,并在所有部署了SSO的Joomla.org资产中使用它。
所有Joomla.org网站将使用身份提供者来认证登录,这是通过单点登录实现的。另一个优点是,我们的用户只需使用1个登录名即可访问所有Joomla资产,而不是每个网站都有一个用户名和密码。
身份网站将包含使用Joomla网站所需的同意。通过使用同意,我们可以跟踪谁在什么时间给予了什么同意。
用户隐私赋权 - 同意管理系统
解决方案的另一个关键部分是同意管理系统,也被称为身份管理器,在这里我们可以管理和跟踪所有用户的同意。
身份管理器将允许我们定义每个属性需要哪些数据字段,并为每种数据使用添加不同的/特定的同意声明。对于每个使用/传输到端点属性的字段,将添加同意声明。用户首次登录一个属性后,将弹出一个窗口,他们可以在其中给予同意,授权将其数据传输到他们尝试访问的网站。
身份管理器还将跟踪任何同意或每个属性管理的数据的更改,并在需要新数据或新同意时寻求用户的同意。从身份管理器中,用户可以检查他们的同意,并且可以在任何时候撤回其中的任何一个。
当前状态
目前我们的单点登录已经工作正常,开发人员和顾问正在进行一些测试以更好地改进最终结果。一旦完成,我们就可以开始考虑将数据迁移到身份网站。身份网站上编辑用户资料的视图也已经准备好了。
下一步
Joomla合规团队将与运营部门和网站管理员团队特别是一起工作,优先采用整个Joomla.org属性的SSO和身份管理系统。理想情况下,像JED和JRD以及Joomla论坛这样的目录将在第二阶段迁移到新的认证系统。
