Nếu bạn đang chạy một trang web trên internet, rất có thể bạn đang thu thập một số dạng thông tin về khách truy cập của mình. Có cả yêu cầu pháp lý và đạo đức khiến việc xuất bản chính sách bảo mật trên trang web của bạn trở nên quan trọng.
Chính sách bảo mật sẽ bảo vệ bạn khỏi nhiều trách nhiệm pháp lý. Đồng thời, chia sẻ thông tin về quyền riêng tư với người dùng của bạn chỉ là điều nên làm cho dù luật pháp có yêu cầu hay không.
Trong bài viết sau, bạn sẽ tìm hiểu những yếu tố nào bạn nên bao gồm trong chính sách bảo mật, những gì cần thêm vào những yếu tố đó và một số mẫu và ví dụ về chính sách bảo mật trang web mẫu để bắt đầu.
5 Yếu tố Chính của Chính sách Bảo mật Trang web
Theo Cục Kinh doanh Tốt hơn Hoa Kỳ, có năm yếu tố quan trọng bạn cần đưa vào chính sách bảo mật trang web của mình.
- Thông báo :Cho độc giả của bạn biết tất cả thông tin cá nhân mà bạn đang thu thập về họ trên toàn bộ trang web.
- Lựa chọn :Giải thích liệu khách truy cập có thể từ chối thu thập và sử dụng thông tin của họ hay không và cách thực hiện.
- Truy cập :Cung cấp bất kỳ liên kết nào mà người đọc có thể xem dữ liệu bạn đã thu thập và sửa nó nếu họ muốn.
- Bảo mật :Chi tiết các biện pháp bảo mật mà bạn có để bảo vệ mọi dữ liệu người dùng mà bạn đã sửa.
- Khắc phục :Cung cấp cho khách truy cập của bạn các tùy chọn mà họ có sẵn nếu chính sách bảo mật không được tuân thủ.
Bạn không cần phải bao gồm toàn bộ một phần cho mỗi chủ đề này trong chính sách của mình, nhưng bạn nên cố gắng đảm bảo rằng tất cả thông tin đều được đưa vào một số định dạng.
Hãy cùng khám phá chi tiết hơn từng yếu tố chính sách bảo mật của trang web này.
Chính sách Bảo mật của Trang web:Giới thiệu
Chính sách bảo mật của bạn nên bắt đầu bằng phần giới thiệu nêu chi tiết chính sách dùng để làm gì.
Nó cũng phải nêu chi tiết những thông tin mà người đọc sẽ học được từ việc đọc nó. Chèn tên dịch vụ hoặc trang web của bạn vào bất kỳ nơi nào bạn nhìn thấy "(trang web)" trong văn bản.
Bạn có thể bắt đầu bằng phần giới thiệu dựa trên mẫu chính sách bảo mật này:
"Ở đây tại (trang web) chúng tôi rất coi trọng quyền riêng tư cá nhân. Theo nguyên tắc chung (trang web) không thu thập thông tin cá nhân của bạn trừ khi bạn chọn cung cấp thông tin đó cho chúng tôi. Khi bạn chọn cung cấp cho chúng tôi thông tin cá nhân của mình, bạn đang cho (trang web) bạn cho phép sử dụng thông tin đó cho các mục đích đã nêu được liệt kê trong chính sách bảo mật này. Nếu bạn chọn không cung cấp cho chúng tôi thông tin đó, điều đó có thể hạn chế các tính năng và dịch vụ mà bạn có thể sử dụng trên trang web này.
Nói chung, thông tin mà (trang web) yêu cầu sẽ được sử dụng để cung cấp tính năng hoặc dịch vụ của trang web cho bạn, chẳng hạn như nhận xét, hỗ trợ hoặc cung cấp nội dung trong tương lai phù hợp hơn với sở thích của bạn. Mô tả mục đích sử dụng thông tin đó của (trang web), cách thông tin đó được thu thập, các biện pháp bảo mật (trang web) thực hiện để bảo vệ thông tin đó và cách cấp hoặc thu hồi sự đồng ý cho việc thu thập và sử dụng thông tin đó sẽ được mô tả đầy đủ Phần 'Thông báo về Quyền riêng tư' của chính sách bảo mật này. "
Với phần giới thiệu không rõ ràng, đã đến lúc kết hợp phần Thông báo về quyền riêng tư trong chính sách bảo mật của bạn.
Chính sách Bảo mật của Trang web:Thông báo
Để hoàn thành phần thông báo trong chính sách bảo mật của bạn, bạn sẽ cần thực hiện kiểm tra toàn bộ trang web của mình để xác định thông tin bạn đang thu thập từ khách truy cập. Thông thường, điều này có thể bao gồm bất kỳ nguồn nào sau đây.
- Biểu mẫu (thông tin liên hệ)
- Thông tin đăng nhập hoặc đăng ký (tên và mật khẩu)
- Tập lệnh quảng cáo chạy trên bất kỳ trang nào trên trang web của bạn (nhân khẩu học)
- Cookie (lịch sử duyệt web)
- Tập lệnh nhận xét (địa chỉ IP và vị trí)
- Tích hợp phương tiện truyền thông xã hội (bạn bè và gia đình)
Hầu hết các blog, diễn đàn và thậm chí các trang web lớn hơn sử dụng mạng quảng cáo, plugin nhận xét và các tập lệnh khác trực tiếp hoặc gián tiếp thu thập thông tin về người dùng.
Ví dụ:nếu trang web của bạn sử dụng Disqus, nó yêu cầu khách truy cập nhập địa chỉ email của họ. Nhưng điều mà nhiều người dùng không biết (trừ khi bạn cho họ biết) là nó cũng ghi lại địa chỉ IP của máy tính họ đang sử dụng để để lại nhận xét trên trang web của bạn.
Điều quan trọng là bạn phải hiểu thông tin mà trang web của bạn đang thực sự thu thập từ người dùng. Bạn nên đảm bảo cho họ biết về điều đó trong phần thông báo của chính sách bảo mật trang web của bạn.
Tốt nhất bạn nên tạo một phần riêng cho từng hình thức thu thập dữ liệu tồn tại trên trang web. Mô tả cách công cụ đó thu thập thông tin và thông tin nó thu thập.
Điều chỉnh văn bản của mỗi ví dụ bên dưới để phù hợp với thông tin mà trang web của bạn đang thu thập.
Địa chỉ Email
Hầu hết các trang web ngày nay đều cung cấp cho khách truy cập một liên kết để gửi email hoặc một biểu mẫu liên hệ mà khách truy cập có thể điền vào để gửi tin nhắn cho bạn.
Đây là một dạng thông tin cá nhân mà bạn đang thu thập, vì vậy hãy tiết lộ thông tin này cho khách truy cập của bạn bằng văn bản thông báo về quyền riêng tư như ví dụ sau:
"Một số dịch vụ trên trang web này cho phép bạn gửi email cho chúng tôi. Chúng tôi sẽ sử dụng thông tin bạn cung cấp, chẳng hạn như địa chỉ email hoặc số điện thoại, chỉ để trả lời câu hỏi của bạn. Hãy nhớ rằng việc truyền email không được mã hóa theo mặc định , vì vậy chúng tôi khuyên bạn không nên gửi thông tin nhạy cảm như số An sinh xã hội, số thẻ tín dụng hoặc thông tin tài khoản ngân hàng qua các biểu mẫu liên hệ như vậy.
Nếu thông tin đó được yêu cầu, nó sẽ được thông qua một trang web ghi rõ trang đó và việc truyền tải thông tin của nó được bảo mật và mã hóa. Tất cả các tin nhắn điện tử nhận được từ khách truy cập sẽ bị xóa khi không còn cần thiết nữa. "
Như bạn có thể thấy, tuyên bố mô tả chính xác thông tin bạn đang thu thập và cách thông tin đó sẽ được sử dụng.
Trang web và ứng dụng của bên thứ ba
Bất kỳ plugin hoặc dịch vụ nào bạn sử dụng để thêm các tính năng vào trang web của mình đều có thể cung cấp cho bạn quyền truy cập vào thông tin cá nhân của khách truy cập.
Một số ví dụ là các dịch vụ bình luận (như Disqus) hoặc các plugin truyền thông xã hội tích hợp với tài khoản xã hội của khách truy cập.
Ngay cả khi bạn không trực tiếp nhận được thông tin đó, nếu dịch vụ đó cho phép bạn đăng nhập vào tài khoản cho phép bạn xem hoặc thu thập thông tin đó, bạn cần phải tiết lộ thông tin đó cho khách truy cập của mình.
Dưới đây là một ví dụ về văn bản chính sách bảo mật mà bạn có thể sử dụng cho phần này:
"(trang web) sử dụng plugin nhận xét và truyền thông xã hội và các trang web của bên thứ ba. Chúng tôi sử dụng các dịch vụ của bên thứ ba đó để tương tác với khách truy cập và xây dựng cộng đồng của chúng tôi trên phương tiện truyền thông xã hội. Chúng tôi cũng sử dụng các dịch vụ của bên thứ ba này để đo lường số lượng khách truy cập trang web của chúng tôi, để tương tác với khách truy cập trên trang web và làm cho trang web của chúng tôi hữu ích hơn đối với khách truy cập.
Trong những trường hợp như vậy, ứng dụng của bên thứ ba có thể yêu cầu địa chỉ email, tên người dùng, mật khẩu, địa chỉ giao thức internet (IP) và vị trí địa lý cho mục đích đăng ký tài khoản hoặc đăng nhập. (trang web) không sử dụng các trang web hoặc dịch vụ của bên thứ ba đó để thu thập thông tin cá nhân từ các cá nhân. Bất kỳ thông tin cá nhân nào được thu thập bởi trang web của bên thứ ba sẽ không được lưu trữ hoặc truyền tải bởi (trang web). (trang web) không có quyền kiểm soát hoặc quyền truy cập vào thông tin đăng nhập cụ thể hoặc bất kỳ thông tin cá nhân nhạy cảm nào khác được cung cấp cho các trang web của bên thứ ba. "
Phần cuối cùng của tuyên bố này rất quan trọng vì các trang web hoặc dịch vụ của bên thứ ba có thể có chính sách bảo mật khác với chính sách của bạn. Điều quan trọng là phải làm rõ rằng trang web của bạn không có quyền kiểm soát hoặc quyền truy cập vào thông tin đó.
Cuối cùng, nếu dịch vụ của bên thứ ba đó gặp rắc rối pháp lý vì sử dụng sai thông tin, chẳng hạn như vụ bê bối Cambridge Analytica gần đây của Facebook, bạn sẽ được bảo vệ khỏi bất kỳ vấn đề nào trong số đó.
Điều này cũng có thể tạo niềm tin với độc giả của bạn rằng ngay cả khi các trang web khác không tốt trong việc bảo vệ quyền riêng tư của họ, bạn vẫn có thể được tin cậy.
Thông tin để Theo dõi và Tùy chỉnh (Cookie)
Hầu hết mọi trang web trực tuyến đều sử dụng một số dạng phân tích hoặc tập lệnh quảng cáo để đo lường thông tin về phiên của người dùng.
Các tập lệnh này thu thập nhiều thông tin cá nhân về khách truy cập, mặc dù chúng không xác định cụ thể những người dùng đó theo tên.
Nếu bạn chạy các tập lệnh này hoặc hiển thị các quảng cáo đó, điều rất quan trọng là bạn phải tiết lộ thông tin thu thập được cho khách truy cập của mình. Dưới đây là một số tuyên bố chính sách bảo mật mẫu để thực hiện điều đó:
"(trang web) sử dụng cookie để cung cấp trải nghiệm người dùng tùy chỉnh trên trang web. Cookie là một tệp nhỏ mà trang web chuyển đến máy tính của bạn để cho phép trình duyệt của bạn ghi nhớ thông tin về phiên cuối cùng của bạn trên trang web đó. Máy tính của bạn chỉ chia sẻ thông tin trong cookie với trang web cụ thể đã cung cấp nó và không có trang web nào khác có thể yêu cầu thông tin đó. (trang web) cũng sử dụng các dịch vụ phân tích của bên thứ ba (như Google Analytics) để thu thập thông tin này để phân tích.
(trang web) thu thập và lưu trữ tạm thời một số thông tin nhất định về chuyến thăm của bạn để giúp chúng tôi điều chỉnh tốt hơn nội dung của chúng tôi và thiết kế trang web phù hợp với nhu cầu của bạn. Thông tin mà các cookie này thu thập bao gồm:
1. Tên miền bạn truy cập trang web của chúng tôi từ2. Địa chỉ IP máy tính của bạn 3. Ngày và giờ bạn truy cập trang web4. Hệ điều hành của máy tính của bạn5. Trình duyệt bạn đang sử dụng để truy cập trang web của chúng tôi6. Bộ định vị tài nguyên chung (URL) của các trang bạn truy cập trên trang web của chúng tôi7. Tên người dùng của bạn, nếu bạn đã đăng nhập vào trang web8. URL của trang web bạn đến, nếu bạn nhấp vào một liên kết ở đó sẽ đưa bạn đến trang web của chúng tôi
Chúng tôi có thể chia sẻ thông tin này trong nội bộ với nhân viên (trang web) hoặc nhà thầu bên thứ ba nếu cần. Thông tin này chỉ được sử dụng để cải thiện trang web và nâng cao trải nghiệm của khách truy cập. Nhật ký dữ liệu thô chỉ được giữ lại tạm thời cho mục đích quản lý trang web. "
Đây có thể sẽ là phần lớn nhất trong chính sách bảo mật của bạn vì nó thường là loại dịch vụ mà hầu hết các trang web sử dụng và nó thu thập rất nhiều thông tin về người dùng.
Điều quan trọng (và bắt buộc về mặt pháp lý) là phải minh bạch về thông tin đó và cách bạn sử dụng thông tin đó. Để tìm hiểu thêm về tính năng "Không theo dõi", hãy xem hướng dẫn của chúng tôi.
Chính sách Bảo mật của Trang web:Bảo mật
Bây giờ bạn đã trình bày chi tiết thông tin bạn thu thập được thông qua trang web của mình, đã đến lúc thêm một phần khác có thể giúp khách truy cập của bạn cảm thấy thoải mái.
Đây là nơi bạn trình bày chi tiết tất cả các bước bảo mật bạn đã thực hiện để bảo vệ thông tin của khách truy cập
Đây là một ví dụ về phần đó có thể trông như thế nào. Một lần nữa, hãy thay thế "(trang web)" bằng tên của trang web của riêng bạn và điều chỉnh văn bản mẫu này cho phù hợp với tình huống của bạn:
"(trang web) rất coi trọng việc bảo mật thông tin cá nhân của bạn. Chúng tôi thực hiện nhiều biện pháp phòng ngừa để đảm bảo rằng thông tin chúng tôi thu thập được an toàn và không thể truy cập được bởi bất kỳ ai bên ngoài tổ chức của chúng tôi. Những biện pháp phòng ngừa này bao gồm các biện pháp kiểm soát truy cập nâng cao nhằm giới hạn quyền truy cập vào thông tin đó chỉ nhân viên nội bộ yêu cầu quyền truy cập vào thông tin đó. Chúng tôi cũng sử dụng nhiều công nghệ bảo mật để bảo vệ tất cả dữ liệu được lưu trữ trên máy chủ và các hệ thống liên quan của chúng tôi. Các biện pháp bảo mật của chúng tôi thường xuyên được nâng cấp và thử nghiệm để đảm bảo chúng có hiệu quả.
Chúng tôi thực hiện các bước cụ thể sau để bảo vệ thông tin của bạn:
(1) Sử dụng các biện pháp kiểm soát truy cập nội bộ để chỉ những nhân viên hạn chế mới có quyền truy cập vào thông tin của bạn. (2) Bất kỳ ai có quyền truy cập thông tin người dùng đều được đào tạo về tất cả các chính sách tuân thủ và bảo mật liên quan. (3) Máy chủ lưu trữ thông tin khách truy cập thường xuyên được sao lưu để bảo vệ chống mất mát. (4) Tất cả thông tin được bảo mật thông qua các công nghệ bảo mật hiện đại như lớp cổng bảo mật (SSL), mã hóa, tường lửa và mật khẩu an toàn.
Tất cả các biện pháp bảo vệ truy cập được mô tả ở trên đều được áp dụng để ngăn chặn sự truy cập trái phép của người bên ngoài vào thông tin được hệ thống của chúng tôi lưu trữ hoặc truyền đi. "
Điều quan trọng khi giải thích bảo mật cho khách truy cập của bạn là bạn không đi vào quá nhiều chi tiết. Hãy nhớ rằng không phải tất cả khách truy cập của bạn đều am hiểu công nghệ. Họ chỉ cần biết các biện pháp bảo mật chung mà bạn đang thực hiện để bảo vệ thông tin của họ.
Chính sách Bảo mật của Trang web:Lựa chọn, Truy cập và Giải quyết
Quyền kiểm soát mà khách truy cập có đối với thông tin bạn thu thập thường được đề cập trong một phần duy nhất của chính sách bảo mật của trang web, ở phần cuối.
Nó bao gồm những lựa chọn nào mà khách truy cập có để truy cập thông tin và chọn không tham gia thu thập thông tin của họ. Nó cũng bao gồm việc gửi đơn khiếu nại nếu họ phát hiện ra bạn đã vi phạm chính sách bảo mật của riêng mình.
Cả ba điều này thường được đề cập bằng cách cung cấp cho khách truy cập một tùy chọn để liên hệ với bạn qua email. Bạn có thể viết câu lệnh này như sau:
"Bạn có thể thực hiện những điều sau đây bất kỳ lúc nào bằng cách liên hệ với chúng tôi qua địa chỉ email hoặc số điện thoại được cung cấp trên trang web của chúng tôi:
(1) Yêu cầu danh sách thông tin cá nhân mà chúng tôi có về bạn, nếu có. (2) Yêu cầu thay đổi, chỉnh sửa hoặc xóa thông tin cá nhân của bạn. (3) Yêu cầu chúng tôi tránh thu thập bất kỳ thứ gì trong tương lai (chọn không tham gia ).
Nếu bạn không muốn lưu cookie trên máy của mình, bạn có tùy chọn tắt cookie trong trình duyệt của mình. Tuy nhiên, hãy nhớ rằng việc tắt cookie có thể ảnh hưởng đến cách trang web này hoạt động. Việc tắt cookie của trình duyệt cũng sẽ ảnh hưởng đến cách các trang web khác mà bạn truy cập cũng như lưu trữ cookie của trình duyệt.
Bất cứ khi nào chúng tôi thu thập bất kỳ thông tin nhạy cảm nào (chẳng hạn như số an sinh xã hội hoặc thông tin thẻ tín dụng), thông tin sẽ được mã hóa và truyền đi một cách an toàn. Bạn có thể xác nhận điều này bằng cách tìm biểu tượng 'khóa' trên thanh địa chỉ trình duyệt, đồng thời xác nhận rằng liên kết URL bắt đầu bằng 'https.'
Nếu bạn tin rằng chúng tôi không tuân theo chính sách bảo mật như đã nêu ở bất kỳ điểm nào, vui lòng liên hệ ngay với chúng tôi qua email (myaddress@mybusiness.com) hoặc qua điện thoại (415-555-1212). "
Như bạn có thể thấy, toàn bộ phần này xử lý cách truy cập thông tin cá nhân, cũng như cách chọn không tham gia và cách tìm cách khắc phục nếu có bất kỳ vấn đề nào.
Câu liên hệ ở cuối phần này thường là một nơi tốt để kết thúc chính sách bảo mật của bạn.
Tuy nhiên, nếu bạn muốn kết thúc bằng một ghi chú cá nhân hơn, bạn luôn có thể thêm một đoạn khác chào mừng phản hồi hoặc nhận xét. Cũng nên xem xét cung cấp địa chỉ gửi thư thực của bạn.
Tầm quan trọng của Chính sách Bảo mật của Trang web
Việc cung cấp chính sách bảo mật trang web không chỉ quan trọng vì nó bắt buộc về mặt pháp lý.
Đó là một thực tiễn tốt để làm cho khách truy cập trang web của bạn cảm thấy tin tưởng rằng bạn đang quan tâm đến lợi ích tốt nhất của họ. Chính sách bảo mật kỹ lưỡng và chi tiết cung cấp cho khách truy cập cảm giác minh bạch. Nó cũng giúp khách truy cập mới vào trang web của bạn cảm thấy đủ an toàn để sử dụng trang web và hy vọng sẽ quay lại trong tương lai.
Chạy một trang web là một công việc khó khăn. Chúng tôi sẵn sàng trợ giúp, với nhiều bài viết về các chủ đề như thiết lập trang web, sử dụng WordPress và bảo mật trang web của bạn đúng cách.