🎲 Luan Accioly

Busca

SearchSearch

Escrita recente

Metodologia utilizada pela Mozilla

Sep 26, 2024, 4 min read

Metodologia

Seleção de produtos

Normalmente são escolhidos produtos e aplicativos conectados que provavelmente serão populares entre consumidores da América do Norte e Europa.

Decisões são baseadas na pesquisa dos produtos mais vendidos e com altas avaliações em diversos sites de produtos de consumo.

Selo de alerta de *Privacidade não incluída

Este “selo” é atribuído aos produtos com maiores problemas quando se trata de proteção e privacidade de um usuário.

Um produto ganhará o selo “*Privacidade não incluída se receber dois ou mais alertas nos seguintes critérios:

  • Como a empresa utiliza os dados
    • A empresa vende dados dos usuários?
    • A empresa coleta mais dados que o necessário para fins comerciais gerais?
  • Como os usuários podem controlar seus dados
    • A empresa fornece uma forma clara e acessível para os usuários excluírem seus dados da empresa?
    • Não explicam por quanto mantém os dados dos usuários?
  • Qual é o histórico conhecido da empresa em termos de proteção dos dados dos usuários?
    • A empresa tem histórico ruim de não proteger dados dos usuários com base em violações de segurança, vazamentos ou vulnerabilidades?
  • Atende aos Padrões Mínimos de Segurança da Mozilla?

A seção “O que pode acontecer se algo der errado?” é incluída para ajudar as pessoas a compreender os verdadeiros riscos e preocupações.

Permissões

A Mozilla busca descobrir se é o possível o dispositivo conseguir bisbilhotar você caso ele seja invadido ou com mau funcionamento.

Particular

A documentação de privacidade disponível pela empresa de cada produto é avaliada.

A Mozilla tenta avaliar:

  • Que tipo de informação é geralmente coletada por um produto, incluindo pessoal, corporal e social?
  • Como os dados são usados pela empresa?
  • O produto pode ser usado offline?
  • A política de privacidade é de fácil entendimento?

Que tipo de dados a empresa coleta?

Pessoal

  • Nome
  • E-mail
  • Número de telefone
  • Endereço

Corporais

  • Impressões digitais
  • Voz
  • Batimentos cardíacos
  • Níveis de estresse
  • Padrões de sono
  • Ciclos Menstruais

Alguns produtos utilizam voz e rosto para identificar os usuários

Social

  • Amigos
  • Contatos

E como os dados são utilizados?

Aqui é utilizada a documentação de privacidade da empresa

  • Combinam dados dos usuários com dados de outras fontes?

  • São usados para publicidade?

  • A empresa pode compartilhar ou vender dados pessoais de clientes a terceiros?

  • Os dados podem ser utilizados por terceiros para fins comerciais?

Muitas vezes, as políticas de privacidade são escritas com intuito de dar “margem” a empresa para o compartilhamento e venda de dados. Para determinar essas práticas, a Mozilla procura por FAQs ou outras informações nos sites das empresas.

Principais fatores:

  1. Qual é a quantidade de dados que a empresa coleta do usuário?
    1. O que a empresa aprende sobre você com esses dados?
    2. Coleta mais dados que o necessário para que o produto funcione?
  2. A empresa compartilha/combina/vende esses dados a um grande numero de terceiros para fins que vão além da função normal de um produto?
  3. A empresa fornece aviso antes de compartilhar os dados com terceiros?
  4. Que tipos de dados são compartilhados para fins de marketing?

Padrões mínimos de segurança

Padrão estabelecido pela Mozilla que imagina-se que devam ser cumpridos por qualquer fabricante que desenvolva produtos conectados.

E-mails são enviados pelo menos três vezes (o primeiro, 30 dias antes da publicação da matéria) para solicitar mais informações sobre o produto e como ele atende aos padrões

Caso a empresa não responda, são feitas pesquisas adicionais para tentar encontrar respostas na medida do possível

Se não for possível chegar a uma conclusão, é indicado que a empresa não atende aos padrões mínimos de segurança.

Criptografia

  • Um produto deve usar criptografia durante o uso e em repouso (quando aplicável)
  • Os dados do usuário devem ser criptografados quando forem armazenados

Atualizações de segurança

  • O produto deve permitir atualizações automáticas de segurança por um bom período após a compra, e ser ativado por padrão.

Senhas fortes

  • Se o produto utiliza ou outros meios de segurança, ele deve exigir que senhas utilizadas sejam fortes

Gestão de vulnerabilidades

  • O fornecedor deve ter um sistema para gerenciar as vulnerabilidades do produto.
  • Incluir um ponto de contato para reportar vulnerabilidades ou programa de recompensa de bugs

Política de privacidade

  • O produto deve ter uma política de privacidade disponível publicamente
  • Também deve conter informações de contato comercial na política de privacidade

Grafo

Backlinks