W czasie, gdy prym wiodą systemy informatyczne i stały się one niezbędną krytyczną częścią każdej organizacji, każdy administrator danych powinien przeanalizować jeszcze jedną kwestię…
Załóżmy, że otwieramy nową polską firmę. By skutecznie działać na rynku, wybieramy profesjonalny hosting poczty typu Google (GSUITE) oraz aktywujemy dodatek, dzięki któremu możemy monitorować, czy wysłany email został otwarty. Następnie chcemy przeprowadzać kampanie marketingowe i decydujemy się na system do rozsyłania poczty np. Mailchimp. By skutecznie realizować działania sprzedażowe, wybieramy jeden z wiodących systemów CRM np. Salesforce.
Zobacz, dlaczego 31% naruszeń danych prowadzi do zwolnienia pracowników.
To nie koniec, gdyż potrzebujemy jeszcze wirtualnej centrali telefonicznej. Na koniec, rejestrujemy konto Livechat, by móc prowadzić skuteczną komunikację z Klientami, którzy wchodzą na firmową stronę internetową. Biuro rachunkowe, z którym współpracujemy udostępnia nam platformę online do wymiany dokumentów, a część naszych pracowników to partnerzy B2B, więc chcemy ich dane pobierać z CRM.
Po kilku tygodniach, zauważamy potrzebę integracji i automatyzacji wdrożonych programów. Korzystamy w tym celu z tzw. API. Łączymy system do wysyłania kampanii email z kontem poczty Gsuite. Chcemy również by każdy email od naszego Klienta wpadał do kartoteki Klienta w systemie CRM, w tym celu korzystamy z wbudowanego API. Dalej, zależy nam, by każda rozmowa z Klientem na livechat, również trafiała do systemu CRM, ale okazuje się, że nie ma takiej opcji.
Wyszukujemy w wyszukiwarce oprogramowanie, które umożliwia synchronizację pomiędzy wybranymi programami. Dzięki takiemu narzędziu, możemy dodać scenariusz typu: „jeśli Klient wszedł na stronę 3 raz, widział cennik to sprawdź, czy pisaliśmy z nim emaile, jeśli tak to wyświetl mu gorącą ofertę w formie popup, przy okazji kolejnej wizyty. Nasz znajomy polecił nam też swojego kuzyna, którego syn za czekoladę opracował dla nas nakładkę na program, która generuje raporty, takie, jakie oczekujemy.
Po tej krótkiej historii, możemy pomyśleć, że tematem artykułu jest – jak skutecznie wdrożyć automatyzację oraz jak połączyć ze sobą różne programy. Nic bardziej mylnego! Na kanwie powyższej opowieści, zastanówmy się, jak ma się do tego wszystkiego RODO.
Przez lata przyzwyczajeni jesteśmy do tego, że programiści i firmy zewnętrzne, spełniają nasze oczekiwania w zakresie upraszczania różnych zadań. Czy jednak jesteśmy świadomi zarówno plusów i minusów takich rozwiązań?
API z ang. application programming interface, czyli interfejs programowania aplikacji, to zespół funkcji oraz warunków, umożliwiających skuteczną komunikację, pomiędzy określoną liczbą programów. To taki uniwersalny sposób komunikacji pomiędzy programami.
Opisana sytuacja, prezentuje wymianę informacji na wielu płaszczyznach. Zarówno w sposób zautomatyzowany, jak i wyzwalany przez użytkownika. Określa relacje przesyłania danych zwykłych oraz wrażliwych. Problem jest tylko jeden.
Po pierwsze, producenci oprogramowania niejednokrotnie twierdzą, że w ramach integracji nie ma mowy o przetwarzaniu danych osobowych, gdyż wysyłane są one co pewien czas i natychmiast znikają z serwerów pośrednich – co jest totalną bzdurą. Równie często, gdy prześledzimy relacje, podmiotami przetwarzającymi są firmy nie tylko spoza Unii Europejskiej, lecz także z państw, które nie posiadają skutecznych metod egzekwowania prawidłowości przetwarzania danych osobowych.
Od 2012 roku, Europa cierpi na brak dobrych programistów. By zaoferować atrakcyjne warunki, tzw. Software House, oferują pracę zdalną, jak również chętnie zatrudniają pracowników z całego świata. Ryzyko przetwarzania danych osobowych w sposób niebezpieczny wzrasta diametralnie. Ostatnio, w ramach audytu w dużej polskiej grupie kapitałowej, okazało się, że 70% działu IT, to freelancerzy z Indii. Spółka notowana wysoko na polskiej giełdzie, w której dostęp do newralgicznych danych, jest na stałe otwarty do krajów trzecich i to freelancerom.
Duża część przeprowadzanych ataków dotyczy nie stricte największych koncernów, lecz wytypowanych, słabych podwykonawców, którzy jednak mają dostęp do kluczowych informacji lub przetwarzają je w ogromnej skali.
Takimi potencjalnymi ofiarami stają się systemy umożliwiające synchronizację danych w ramach wymiany poprzez API. Przejmując dostęp do serwera dostawcy możemy nie tylko przejąć i ujawnić dane, lecz na etapie integracji, możemy ingerować w ich integralność. Po co usuwać dane z serwera ofiary, jeśli możemy np. podmienić konto bankowe w ramach realizacji kilku przelewów?
Wniosek…
Komunikacja w ramach API zasługuje na szczególny audyt. Nawet najprostsze połączenie dwóch programów, może oznaczać wyrażenie zgody np. na dostęp do naszych wszystkich wiadomości. Przykładem na to są programy wysyłające powiadomienia sms, gdy otrzymamy wiadomość email o danym temacie.
Na etapie integracji, aplikacje pytają, czy udzielamy im dostępu do całego konta Google tj. do wszystkich wiadomości i plików. Ewidencjonowanie i opis przepływu w ramach API, umożliwia program do RODO Kryptos72. Przetestuj zupełnie za darmo jeszcze dzisiaj!