Memorizzazione nella cache dei dati personali: GDPR

2

Ci sono richieste nella mia applicazione web che contengono "dati personali" (nome, codice postale, numero di telefono, data di nascita, ecc.). Vorrei sapere quali controlli di memorizzazione nella cache sono consigliabili. Sto usando HTTPS.

Questa domanda è stata posta la best practice per la cache dei dati sensibili prima.

Sembra che dovrei usare Cache-Control: private se non sono molto paranoico ..

Indicates that all or part of the response message is intended for a single user and MUST NOT be cached by a shared cache, such as a proxy server.

... e Cache-Control: no-store se sono molto paranoico.

E per "paranoico" intendo: "pensare di mantenere i dati personali nella cache dell'utente singolo dell'agente utente è una cattiva idea".

Penso che mantenere i dati personali in una cache utente singola di user-agent sia fondamentalmente soddisfacente . Sembra che l'opinione sia divisa su questo, e la mia opinione è di circa 10 minuti di googlatura. Inoltre, non penso che la domanda collegata fornisca realmente un modo per prendere una decisione informata qui. Quindi mi piacerebbe sapere se le persone non sono d'accordo .

Devo cambiare il mio approccio qui a causa di GDPR?

Se avessi fatto la stessa domanda per "Dati personali sensibili" cambia qualcosa?

    
posta Nathan Cooper 26.03.2018 - 13:45
fonte

1 risposta

4

La legge riguarda ciò che sei autorizzato a memorizzare e indirizza la tua infrastruttura. E la legge ha lo scopo di dare all'utente il controllo sui suoi dati.

La cache del client appartiene all'infrastruttura del client in qualsiasi definizione ragionevole e già è sotto il controllo dell'utente.

Questo può essere interpretato in modo diverso quando si provano cose come i supercookies che rimangono anche quando la cronologia viene eliminata o altri trucchi subdoli, ma finché si parla solo della solita cache client questo non è nulla che si sta memorizzando attivamente e niente hai accesso diretto a

Ma stai attento alle altre cache. Forse il tuo bilanciamento del carico memorizza nella cache le risposte con un'intestazione della cache che consente il caching. Quindi le persone possono argomentare che hai ancora dati su di loro memorizzati. Potrebbe non essere troppo facile per accedervi, ma è lì, potrebbe esservi accesso o potrebbe fuoriuscire quando vieni violato.

Disclaimer: non sono un avvocato e potresti trovarne uno. Al momento nessuno sa per certo cosa ti farà denunciare e cosa no.

    
risposta data 26.03.2018 - 17:07
fonte

Leggi altre domande sui tag