我在前两篇文章里分享了Global Ready的app时会遇到的不同挑战。这篇我继续分享在合规性方面的挑战。
说到合规性compliance,不得不说GDPR标准,当我们发布了一个teams app后,微软会要求开发人员做一个security self assessment,这个assessment大约有100个问题,其中有10多个问题都是针对GDPR的。
实际上,说白了GDPR的要求也不复杂,但是实现起来肯定让各位程序猿/程序媛多掉头发。
它的要求是:
- Right to be informed
- Right to restrict processing
- Right to rectification
- Right of access
- Right to data portability
- Right to object
- Rights in relation to automated decision making and profiling
- Right to erasure/to be forgotten
你软件系统使用的任何用户数据,需要告知用户你是怎么用的,你不能把数据在用户不知情的情况下给第三方。当用户想要查看他的数据,你系统要提供,当用户需要导出他自己的数据,你需要能导出,当用户需要删除他自己的数据,你需要能彻底删除,包括你的所有历史数据和备份数据。这点实际上很要命,如果你把一些备份数据放在一些硬盘上,然后把硬盘放在仓库里。删个数据就是要命的事情了。但是