האמת על תקן הפרטיות TRUSTe

truste_2D00_thumb24_1

הרבה ארגונים ואתרים גדולים בעולם מצהירים שאיכפת להם מפרטיות המידע שלכם ומראים את החותמת של TRUSTe או EU Safe Harbor Framework.

מיקרוסופט היא אחת מהן.

בהצהרת הפרטיות שלה, היא טוענת שיש לה אישור מאת TRUSTe. בואו נראה אם אפשר לבטוח בזה.

השאלה הראשונה שעולה היא מה זה בכלל TRUSTe?

מיקרוסופט מתארת את TRUSTe בצורה הבאה:

מיקרוסופט חברה בתוכנית הפרטיות של TRUSTe. TRUSTe הוא ארגון עצמאי, שלא למטרות רווח, שייעודו הוא לבנות אמון וביטחון באינטרנט על-ידי קידום השימוש בנוהגים הולמים להגנה על המידע. כדי להוכיח את מחויבותנו לפרטיותך, הסכמנו לחשוף את השיטות שלנו להגנה על מידע ולהעמידן לבדיקת תאימות של TRUSTe. תוכנית TRUSTe חלה רק על המידע שנאסף באמצעות אתרי האינטרנט של מיקרוסופט, ואינה חלה על מידע שעשוי להיאסף באמצעות תוכנות שהורדת מאתרים אלה.

באתר של  TRUSTe עצמה, אנו מגלים שהחברה מציעה מגוון שרותים ותוכניות שמיועדים לאבטחת פרטיות באתרים:

Magnify

אבל באילו שרותים מכול הנ”ל משתמשת מיקרוסופט?

בואו נברר.

כאשר לוחצים על הקישור ל TRUSTe באתר הצהרת הפרטיות של מיקרוסופט

image_thumb

מגיעים לאתר של TRUSTe, בעמוד הווידוי של מיקרוסופט:

http://www.truste.org/ivalidate.php?companyName=Microsoft%20Corporation&sealid=103&ctv_group=US

Magnify

החלק המוגדש בצהוב מראה בברור שמיקרוסופט משתמשת רק במדיניות של “EU Safe Harbor Framework” כדי לאבטח את הפרטיות האתר.

טוב, אבל מה זה “EU Safe Harbor Framework” – תוכנית נמל בטוח? נשמע לי כאילו זה קשור יותר לספינות מאשר למדיניות פרטיות..

בואו נבקר אצל חברנו הטוב וויקיפדיה:

Intended for organizations within the EU or US that store customer data, the Safe Harbor Principles are designed to prevent accidental information disclosure or loss. US companies can opt into the program as long as they adhere to the 7 principles outlined in the Directive.

The process was developed by the US Department of Commerce in consultation with EU.

These principles must provide:

  • Notice – Individuals must be informed that their data is being collected and about how it will be used.
  • Choice – Individuals must have the ability to opt out of the collection and forward transfer of the data to third parties.
  • Onward Transfer – Transfers of data to third parties may only occur to other organizations that follow adequate data protection principles.
  • Security – Reasonable efforts must be made to prevent loss of collected information.
  • Data Integrity – Data must be relevant and reliable for the purpose it was collected for.
  • Access – Individuals must be able to access information held about them, and correct or delete it if it is inaccurate.
  • Enforcement – There must be effective means of enforcing these rules.

עד לפה הכול בסדר. כדי לקבל את החותמת, ארגונים צריכים למלא אחרי סט של 7 עקרונות אשר נוצרו ע”י ממשלות אירופה וארה”ב.

אבל איך הם מקבלים את החותמת? בואו נמשיך לקרוא..

After opting in, an organization must recertify every 12 months. It can either perform a self-assessment to verify that it complies with these principles, or hire a third-party to perform the assessment.

עכשיו זה מתחיל להסריח קצת.

דבר ראשון, ההצטרפות היא מרצון – דבר שאומר ששבעת העקרונות הללו לא חלים על ארגונים/אתרים שלא בוחרים לממש אותם. אם ממשלות התיחסו באותה צורה לחוקים שלהם, הן לא יכלו להאשים אנשים בגניבה אלא אם כן הם בחרו לחתום על חוזה “אסור לגנוב”.

שנית, ואפילו הרבה יותר מטריד, זהו חוזה “הסמכה עצמית” (self-assessment). דבר זה אומר, וקראו את זה היטב – שבשביל להיות מוסמך “EU Safe Harbor Framework” – כל מה שארגונים צריכים לעשות זה להכריז על עצמם שהם מוסמכים “EU Safe Harbor Framework”.

בפועל, הם צריכים לשלוח טופס הצטרפות לאתר הרישמי, לשלם 200$ דמי הרשמה ואז לשלם עוד 100$ כל שנה (גם דבר זה נשמע קצת מוזר בשבילי – הארגון שאמור לשמור שכל מי שמקבל את החותמת הוא באמת ראוי לה, מקבל כסף על כל חותמת שהוא מחלק? למה שיהיה לו אינטרס למנוע ממישהו להצטרף?)

זה אפילו גרוע יותר מלקבל את תקן 9000 ISO. בשביל שתוכל לשים את חותמת 9000 ISO על המוצרים שלך, אתה צריך להיבדק ע”י מומחה בתחום שלך כל שנה. פה, אתה פשוט שולח טופס ומתקבל באופן אוטומטי.

אבל זה לא יכול להיות, אתם צועקים! הרי חייב להיות סוג של פיקוח, נכון?!

ובכן, בתאוריה יש:

The Federal Trade Commission theoretically oversees this program but, to date, no company's procedures have been challenged as failing to meet these guidelines.

למרות שועדת הסחר פדרלית אמורה לפקח על התוכנית, נכון להיות היא לא מצאה שום ארגון שלא עומד בתקנים.

טוב, אולי אתם סבורים שכל הארגונים שהצטרפו לתקן באמת עומדים בכל העקרונות שלו? אתם כל כך תמימים..

The EU-US Safe Harbor has been the subject of significant criticism regarding compliance and enforcement in three external evaluations:

כל מספר שנים ישנו סקר גדול של המצב הנוכחי של הארגונים שהצטרפו לתוכנית, וכולם מוצאים הרבה אתרים שמפירים את  העקרונות. אולם עדיין אף אחד מהאתרים הללו לא הוצאו מהתוכנית.

עוד פעם, אם זה היה העולם האמיתי, זה היה כאילו האנשים שחתמו על החוזה “אסור לגנוב” היו שולחים  דוחות (עם צ’קים) כל שנה שמצהירים שאין בבית שלהם שום רכוש גנוב. והממשלה מאמינה להם ולא שולחת פקחים לבדוק את הבתים שלהם.

האם אתם עדיין בוטחים בתוכנית? בשבילי ה- Safe Harbor כבר לא נשמע בטוח כבר.

I just don’t TRUSTe it.

שתפו את הפוסט:
תגיות: , ,

זכויות יוצרים

cc88x31 תכני הבלוג המקוריים חופשיים לשימוש תחת רשיון Creative Commons מסוג ייחוס-שיתוף זהה (CC-by-share alike) (הרשיון באנגלית, עברית), אלא אם צוין אחרת.

התגובות המתפרסמות בבלוג חופשיות גם הן לשימוש תחת רשיון Creative Commons מסוג ייחוס-שיתוף זהה (CC-by-share alike). אם אינכם מעוניינים שתגובותיכם יקבלו רשיון זה – אל תגיבו כאן.

תכני הבלוג הלא-מקוריים מופיעים כאן ברשות או בשימוש הוגן.

השארו מעודכנים

הזן את כתובת המייל שלך כדי להירשם לאתר ולקבל הודעות על פוסטים חדשים במייל.

RSS Feed RSS - פוסטים RSS Feed RSS - תגובות

אודות האתר

הגיון הוא הכלי העיקרי שעזר לנו להפריד בין דימיון למציאות. מטרת הבלוג VoiceOfLogic היא להשתמש בכלי זה כדי לנסות ולהסביר בצורה הכי קלה ופשוטה גם את הנושאים המורכבים ביותר.

ערן הרץ הוא היוצר של VoiceOfLogic. מתגורר בהוד השרון ועובד בתחום ההיטק בפיתוח ווב.