모바일 앱의 개인 정보 보호 준수는 매우 중요합니다. 미국 개인 정보 보호 법률 CCPA, VCDPA개인 정보 보호법 (CCPA, VCDPA, CPA) 은 사용자 데이터를 보호하고 투명성을 유지하며 사용자의 권리를 존중하는 것을 요구합니다. 위반 시에는 7,500 달러의 벌금과 사용자 신뢰의 손실이 발생할 수 있습니다. 위반을 피하기 위한 방법은 다음과 같습니다.
- 개인 정보 보호 정책: 데이터 수집, 사용, 공유, 사용자 권한에 대한 정보를 명확하게 설명합니다.
- 사용자 권한: explicit한 동의를 얻고 사용자가 데이터를 관리할 수 있도록 합니다.
- 데이터 요청: 법적 시한 내에 사용자의 요청 (접근, 삭제, Opt-out) 을 처리합니다.
- 아동 데이터 보호: COPPA와의 COPPA 13세 미만 사용자에 대해
- 기술적 안전 조치: 암호화를 사용하여,第三자 SDK를 검토하고, 개인 정보 기능을 빠르게 업데이트합니다.
- 정기적인 감사: 4분기에 데이터 처리 및 권한을 검토하는 작업을 수행합니다.
- 팀 교육: 개인 정보 법률에 대해 팀을 교육하고, 데이터를 안전하게 처리하는 방법을 교육합니다.
변화하는 법률에 대한 최신 정보를 유지하고, Capgo 사용자와의 신뢰를 구축하는 데 있어 개인 정보 준수는 벌금을 피하는 것만이 아닙니다.
USENIX Security ‘24 - 개인 정보 준수 …
미국 주요 개인 정보 보호 법률
모바일 앱의 준수성을 보장하기 위해 사용자 데이터 및 개인 정보를 처리하는 앱의 기준을 설정하는 미국 주요 개인 정보 보호 법률을 이해하는 것은 중요합니다.
CCPA 요구 사항
캘리포니아 주민의 데이터를 관리하는 앱에 대한 캘리포니아 소비자 개인 정보 보호 법률(CCPA)의 구체적인 규칙을 설명합니다. 여기서 빠른 요약을 제공합니다.
| 요구 사항 | 세부 정보 | 일정 |
|---|---|---|
| 데이터 공개 | 수집된 데이터의 유형을 명확하게 나열하세요. | At the time of collection |
| 거부 권리 | 사용자 데이터를 판매하지 않기를 원하는 사용자에게 '나의 데이터를 판매하지 않기' 옵션을 제공하십시오. | 즉시 사용 가능 |
| 삭제 권리 | 사용자의 데이터 삭제 요청을 처리하십시오. | 45일 이내 |
| 개인 정보 보호 업데이트 | 매년 1회 개인 정보 보호 정책을 검토하고 업데이트 하십시오. | 12개월마다 |
앱은 사용자의 위치 데이터와 같은 개인 정보를 수집하기 전에 사용자에게 알리고 사용자의 동의를 얻어야 합니다.
기타 주별 개인 정보 보호 법률
__CAPGO_KEEP_0__의 여러 주에서 개인 정보 보호 규정들이 시행되었습니다.
- 버지니아 소비자 데이터 보호법 (VCDPA): 사용자 데이터에 대한 투명성을 요구하고, 사용자에게 데이터 접근 및 삭제 권한을 부여하며, 타겟팅 광고에 대한 Opt-out을 허용하고, 고위험 데이터 사용에 대한 평가를 의무화합니다.
- 콜로라도 개인 정보 보호법 (CPA): universal Opt-out 기구, 명확한 개인 정보 보호 공지 및 불필요한 데이터 수집을 제한하는 것을 중점으로 합니다.
Federal Laws and FTC Rules
미국 앱에 대한 개인 정보 보호 보호를 위한 기본 라인으로 Federal 법을 설정하고, Federal Trade Commission (FTC)가 주요 지침을 강제합니다.
- 사용자에게 개인 정보 보호 약속을 지키십시오.
- 사용자 데이터를 침해로부터 보호하십시오.
- 13세 미만 사용자에 대한 Children's Online Privacy Protection Act (COPPA) 준수를 따르세요.
- 개인 정보 보호 정책에서 데이터 처리 방침을 명확하게 설명하세요.
COPPA에 따라 앱은 13세 미만의 아동으로부터 데이터를 수집하기 전에 부모님의 동의를 얻어야 하며, 수집되는 데이터의 양을 제한하고, 데이터를 안전하게 저장해야 하며, 부모님이 쉽게 이해할 수 있는 언어로 개인 정보 보호 정책을 작성해야 합니다.
개인 정보 보호 준수 체크리스트
이 체크리스트는 이전에 논의된 법적 요구 사항을 충족하는 데 도움이 되는 실제 단계를 제공합니다.
개인 정보 보호 정책 설정
U.S. 법적 표준과 일치하는 개인 정보 보호 정책을 만드세요. 다음을 포함해야 합니다:
- 데이터 수집: 수집하는 데이터의 종류를 명확하게 설명하세요.
- 사용 목적: 데이터가 어떻게 사용될 것인지 명확하게 설명하세요.
- 세 번째 당사자 공유: 사용자에게 데이터를 전달할 사람과 이유를 식별하세요.
- 사용자 권리: 사용자가 데이터 수집에 대한 접근, 삭제 또는 수집을 거부할 수 있는 방법을 설명하세요.
데이터 수집 전에 명확하고 단순한 언어로 작성된 개인 정보 보호 정책을 쉽게 찾을 수 있도록 하세요. 그리고 데이터를 수집하기 전에 그것을 분명하게 표시하세요.
또한 사용자가 데이터에 대한 통제권을 갖도록 데이터 수집에 대한 허용 제어를 설정하세요.
사용자 허용 제어
허용 제어를 설정하여 다음을 보장하세요:
- Sensitive 데이터에 대한 명백한 동의를 얻습니다.
- 사용자가 공유할 데이터를 선택할 수 있습니다.
- 동의 철회에 대한 명확한 방법이 있습니다.
- 동의 기록, 시간대 포함, 안전하게 로깅됩니다.
허용 제어가 설정된 후에는 데이터 요청을 효율적으로 처리하세요.
데이터 요청 관리
사용자 데이터 요청을 원활하게 처리하기 위한 시스템을 설정하십시오:
1. 인증 과정
사용자의 신원을 확인하기 위한 안전한 방법을 사용하여 데이터 요청을 처리하기 전에 각 인증 단계의 기록을 유지하십시오.
2. 응답 일정
법에 따라 요구되는 응답 마감일을 모니터링하고 이행하십시오.
3. 데이터 형식 옵션
사용자가 요청한 데이터를 PDF, CSV, 또는 JSON과 같은 기계가 읽을 수 있는 형식과 사용자 친화적인 형식으로 제공하십시오.
13세 미만의 어린이용 앱을 목표로 하는 경우 추가적인 단계를 취하여 데이터를 보호하십시오.
어린이 데이터 보호
13세 미만의 사용자를 대상으로 하는 앱을 제공하는 경우 COPPA를 준수하기 위해:
- 신뢰할 수 있는 확인을 통해 사용자의 연령을 확인하십시오.
- __CAPGO_KEEP_0__
- __CAPGO_KEEP_1__
- __CAPGO_KEEP_2__
__CAPGO_KEEP_3__
__CAPGO_KEEP_4__
__CAPGO_KEEP_5__
__CAPGO_KEEP_6__
__CAPGO_KEEP_7__
- __CAPGO_KEEP_8__ __CAPGO_KEEP_9__ __CAPGO_KEEP_10__
“The only solution with true end-to-end encryption, others just sign updates” – Capgo [1]
또한 사용자의 통제력을 강화하기 위해 포괄적인 개인 정보 설정을 제공합니다.
개인 정보 설정 옵션
채널별 제어를 통해 사용자가 데이터 접근을 관리할 수 있도록 해 주세요. 이러한 제어는 목표 업데이트, 베타 테스트, 단계별 출시, 및 빠른 문제 해결과 같은 기능을 지원할 수 있습니다.
세 번째 파티 SDK 검토
외부 SDK의 개인 정보 표준 및 데이터 수집 관행을 신중하게 평가하세요. 95%의 사용자가 24시간 이내에 필수적인 개인 정보 업데이트を受할 수 있도록 하세요. ROLLBACK 기구를 통해 잠재적인 문제를 효율적으로 해결하세요. 업데이트 솔루션을 선택할 때 종단 간 암호화와 세부적인 사용자 관리 도구를 결합하세요. [1]개인 정보 유지 관리 단계
이 단계는 앱이 미국 개인 정보 규정에 부합하는지 확인하기 위해 확장된 준수 프레임워크를 제공합니다. 정기적인 검토와 업데이트 는 개인 정보 요구 사항을 따라가기 위한 핵심입니다.
개인 정보 감사 일정
4분기마다 개인 정보 감사 일정으로 앱의 데이터 관행을 평가하세요:
데이터 인벤토리 검토
- __CAPGO_KEEP_0__: __CAPGO_KEEP_0__를 수집하는 모든 지점을 문서화하십시오.
- 권한 확인: 모든 데이터 접근 권한이 최신 상태인지 확인하십시오.
- 세 번째 평가: 통합 SDK에 대한 변경 사항이 개인 정보에 영향을 미칠 수 있는지 재평가하십시오.
- 정책 시행: 모든 기능에서 개인 정보 정책이 강제되는지 확인하십시오.
개인 정보 보호를 위한 관리 대시보드를 사용하여 사용자 동의율과 데이터 접근 요청과 같은 주요 지표를 모니터링하십시오. 72시간마다 자동화된 준수 검사를 수행하여 중요한 개인 정보 보호 제어 및 데이터 처리 프로세스를 감시하십시오.
각 감사 후 팀 교육 자료를 업데이트하고 개인 정보 보호 법률의 변경 사항을 확인하여 준수를 유지하십시오.
개인 정보 보호 교육 안내서
정규 감사는 강력한 팀 교육과 함께 이루어져야 하며, 모든 팀원이 일관된 개인 정보 보호 관행을 따르도록 하십시오.
1. 신규 팀원 온보딩
신규 직원에게 개인 정보 보호 교육을 우선으로 하십시오. 첫 주 내에 CCPA 요구 사항, 데이터 처리 절차 및 사용자 권한 관리에 대한 기초를 배워야 합니다.
2. 계속적인 교육
월별 교육 세션을 진행하여:
- 개인 정보 보호 법률의 업데이트
- 개인 정보 보호 준수 요구 사항
- 데이터 보호 효과적인 방법
- 개인 정보 보호 사고 처리 방법
3. 역할별 교육
역할에 따라 교육을 맞춥니다. 예를 들어, 개발자들은 보안 코딩에 집중하고, 지원 팀은 데이터 요청을 처리하고, 제품 관리자는 개인 정보 보호를 고려한 디자인에 집중합니다.
법률 업데이트 모니터링
개인 정보 보호 법률의 변경 사항을 매일 모니터링하여 법률 업데이트와 주의해야 하는 사항을 확인합니다. 주정부 입법부, FTC, 및 산업 준수 뉴스에 대한 구독을 유지합니다.
응답 프로토콜
- 개인 정보 보호 기능에 대한 변경 사항의 영향을 평가하십시오.
- __CAPGO_KEEP_0__
- 필요한 경우 개인 정보 보호 문서를 업데이트 하십시오.
- 14일 이내에 기술적 조정을 하십시오.
24시간 이내에 보안적으로 우선 순위를 두는 개인 정보 보호 업데이트 배포하십시오.
배포 중에 종단 간 암호화 보장하는 동안 개인 정보 보호 관련 업데이트에 대해 단계적 배포를 사용하십시오.
- 자동화된 준수 도구는 다음과 같은 과정을 단순화할 수 있습니다:
- 다양한 관할권에서 개인 정보 보호 법률의 변경 사항을 추적하십시오.
- 준수 결핍에 대해 팀을 알리십시오.
- 상세한 준수 보고서를 생성하십시오.
Capgo 개인 정보 보호 기능
Capgo을 사용하여 개인 정보 보호 요구 사항을 충족시키기 위해 모바일 앱을 업데이트할 때, 속도와 보안이 중요합니다. Capgo은 미국 개인 정보 보호 법률에 따라 준수할 수 있도록 도와주는 도구를 제공합니다. 업데이트는 빠르고 안전하게 이루어집니다.
Quick Update System
Capgo의 즉시 업데이트시스템은 개발자들이 지연 없이 개인 정보 보호 문제를 해결할 수 있도록 합니다. 업데이트는 24시간 이내에 95%의 활성 사용자에게 도달하며, 이미 23.5M의 업데이트가 배포되었으며, 글로벌 성공률은 82%입니다. [1]중요한 개인 정보 보호 업데이트에 대해, Capgo의 채널 시스템은 선택한 사용자 그룹과 함께 업데이트를 테스트할 수 있도록 해줍니다. 업데이트가 테스트되고 준수할 수 있도록 시간이 촉박할 때입니다.
“우리는 애그일 개발을 실천하고 @Capgo은 사용자들에게 지속적으로 제공하는 mission-critical입니다!” – Rodrigo Mantica [1]
Update Security Features
빠른 업데이트는 강력한 보안 없이는 의미가 없습니다. Capgo은 개인 정보 보호 업데이트가 보호되도록 하는 기능들, 예를 들어:
- End-to-end encryption: 업데이트는 전체 프로세스 동안 암호화됩니다.
- User-specific decryption: 만약 권한이 있는 사용자라면, 업데이트에 접근하고 설치할 수 있습니다.
- 규정 준수 검사: 내장된 도구는 Apple 및 Google 표준을 충족하는 업데이트를 확인합니다.
- 롤백 옵션: 개인 정보 보호 문제가 발생하는 경우 업데이트를 швидко 되돌릴 수 있습니다.
이 시스템은敏감한 데이터를 보호하고 미국 개인 정보 보호 법률, CCPA를 포함하여 align합니다.
개인 정보 보호 업데이트 워크플로우
Capgo의 워크플로우 도구는 개발 프로세스에 직접 통합되어 개인 정보 보호 준수 관리를 더 쉽게 관리할 수 있습니다. 주요 기능은 다음과 같습니다.
- 자동 배포: CI/CD PIPELINE과 통합하여 개인 정보 보호 업데이트를 스트리밍합니다.
- 버전 관리: 업데이트 중 개인 정보 보호 기능의 변경 사항을 추적합니다.
- 업데이트 분석: __CAPGO_KEEP_0__ 업데이트로 인한 사용자 수용도에 대한 통찰력을 제공하고 문제를 신속하게 해결합니다.
PAYG 계획의 경우 추가적인 개인 정보 보호 도구가 제공됩니다:
| 기능 | 혜택 |
|---|---|
| API 접근 | 개인 정보 보호 준수 검사를 자동화합니다. |
| 사용자 지정 도메인 | 개인 정보 보호와 관련된 통신을 브랜드에 맞게 유지합니다. |
| dedicated 지원 | 개인 정보 보호와 관련된 업데이트에 대한 전문적인 도움 |
| 확장 저장소 | 개인 정보 보호 준수에 대한 세부 로그를 저장합니다. |
Capgo은 현재 750개의 앱을 운영 환경에서 지원하고 있으며, 개인 정보 보호 규정에 따라 업데이트를 관리하는 데에 신뢰성을 입증하고 있습니다. 이러한 도구는 개발자가 규정 준수성을 유지하면서도 사용자에게 신속한 업데이트를 제공할 수 있도록 도와줍니다.
개요
이 섹션에서는 모바일 앱에서 미국 개인 정보 보호 표준을 준수하기 위한 핵심 요소를 강조합니다. 규정 준수성을 유지하려면 규정 변경에 대한 지속적인 모니터링과 신속한 대응이 필요합니다.
규정 준수는 빠른 기술적 구현과 지속적인 감독에 의존합니다. 시스템은 새로운 요구 사항이나 개인 정보 보호 문제에 신속하게 대응할 수 있어야 하며, 이는 규정 준수 노력의 강화를 의미합니다. 이전에 논의한 바와 같이 Capgo은 통합 업데이트 시스템이 규정 준수 노력을 강화할 수 있는 방안을 보여주고 있습니다.
규정 준수 영역을 유지하기 위한 주요 영역과 그에 대한 지표를 아래에 나열했습니다.
| 규정 준수 영역 | 구현 방법 | 성공 지표 |
|---|---|---|
| 업데이트 속도 | 즉시 배포 | 업데이트 성공률 |
| 보안 | 끝에서 끝까지 암호화 | - |
| 테스트 | 채널 기반 롤아웃 | 750 개의 앱이 운영 중 [1] |
