Se gestisco un sito Web che, ad esempio, richiede un sondaggio, devo proteggere i dati degli utenti dalla divulgazione se inizialmente gli utenti vengono informati che non sono sicuri? Non sto memorizzando dati finanziari o numeri di previdenza sociale, solo opinioni, nomi (utenti) ed e-mail.
Aspetti che gli utenti leggano il contratto? Veramente? Questo semplicemente non accade, è un utente raro che legge l'EULA invece di fare semplicemente clic su Avanti o controlla quella casella di controllo che dice di averlo letto.
In questi giorni c'è un'ipotesi implicita che ti prenderai cura di quello che stai facendo, nello stesso modo in cui ti aspetti che un chirurgo sappia quale organo rimuovere, e anche se firmi un pezzo di carta prima di andare in chirurgia accettando di non citare in giudizio se rimuovono una gamba invece di un rene il dovere implicito di aspettativa di cura e il successivo incubo pubblicitario quando sei eccitato in televisione perché hanno perso una gamba (il gioco di parole!) carriera per sempre.
"Sapere" che la sua insicurezza è una cosa complicata ... Come fanno a saperlo? Un bel messaggio sul sito (che è facilmente ignorato)? Un lungo ToS che nessuno si preoccupa di cliccare e tanto meno leggere? Un popup intrusivo, che l'utente tipico non leggerà e clicca direttamente per arrivare al sito?
Quindi, va bene non proteggere questi dati?
Se questi dati fossero completamente anonimi, direi "forse". Maaaaybe anche "probabilmente", dato qualche informazione in più.
Dato che le informazioni includono indirizzi e-mail e correlazioni tra nomi e opinioni (su quale "politica" religione? Preferenze sessuali? Datore di lavoro? Preferenze sessuali religiose del datore di lavoro?) Direi che è un clamoroso "Non tanto".
Anche in questo caso, dipende ancora da quali informazioni precise ci sono e perché pensi che l'utente lo sappia (ad esempio, visualizzare i commenti sul blog è abbastanza ovvio che questo viene visualizzato).
Inoltre, quando si dice "sicuro" e "protetto", questi termini non sono completamente privi di ambiguità ... La mia ipotesi è che ci si riferisca a "proteggere dalla divulgazione", ovviamente si vuole comunque impedire SQL Injection, XSS, ecc. Ecc. .
Per aggiungere, anche se ci sono molti "dipende" qui, se hai denaro e un utente può piangere fallo ti apri alle cause civili.
Leggi altre domande sui tag requirements web-application