Chính phủ Vương quốc Anh đưa ra Hướng dẫn bảo mật cho ứng dụng dành cho thiết bị di động
Các hướng dẫn do Bộ Kỹ thuật số, Văn hóa, Truyền thông và Thể thao (DCMS) biên soạn, yêu cầu các nhà khai thác và nhà phát triển đảm bảo rằng các ứng dụng nhận được bản cập nhật để khắc phục các lỗ hổng bảo mật và kêu gọi mọi nhà phát triển ứng dụng thiết lập quy trình tiết lộ lỗ hổng. Nhà phát triển phải cập nhật ứng dụng của họ khi thư viện bên thứ ba hoặc bộ công cụ phát triển phần mềm (SDK) mà họ đang sử dụng nhận được bản cập nhật bảo mật hoặc quyền riêng tư.
Khi Nhà phát triển gửi bản cập nhật bảo mật cho ứng dụng, nhà điều hành App Store sẽ khuyến khích người dùng cập nhật ứng dụng lên phiên bản mới nhất. Nhà điều hành App Store không được từ chối các bản cập nhật bảo mật độc lập mà không đưa ra giải thích mạnh mẽ và rõ ràng cho Nhà phát triển về lý do tại sao điều này lại xảy ra. Trong trường hợp Nhà vận hành App Store không phê duyệt bản cập nhật do lo ngại rằng họ đang tương tác với Nhà phát triển độc hại, họ sẽ có sự linh hoạt về khoảng thời gian và chi tiết của phản hồi nói trên để phản hồi của họ không hỗ trợ các tác nhân độc hại.
Nhà điều hành App Store sẽ hiển thị thông tin bên dưới (do Nhà phát triển cung cấp) cho tất cả các ứng dụng trên cửa hàng ứng dụng của họ, chẳng hạn như trong phần bảo mật và quyền riêng tư dành riêng:
- Các khu vực pháp lý nơi dữ liệu của người dùng được lưu trữ và xử lý cho từng ứng dụng.
- Các bên liên quan được cấp quyền truy cập vào dữ liệu của người dùng. Các danh mục bên liên quan được hiển thị cho người dùng phải bao gồm các công ty bên thứ ba, tổ chức của ứng dụng, chính phủ cụ thể hoặc không được chia sẻ với bất kỳ ai.
- Mục đích truy cập hoặc sử dụng dữ liệu của người dùng. Các danh mục nên bao gồm tiếp thị, phân tích, dịch vụ người dùng.
- Thời điểm ứng dụng được cập nhật lần cuối và mọi thông tin bảo mật có liên quan khác, cũng như thông tin được liên kết với các quyền.
Khi một ứng dụng bị xóa hoặc không khả dụng khỏi cửa hàng ứng dụng, Nhà điều hành App Store sẽ thông báo cho người dùng về ứng dụng đó và hướng dẫn cách người dùng xóa ứng dụng khỏi thiết bị của họ trong vòng 30 ngày.
Các nhà điều hành App Store cần thực hiện các bước thích hợp khi phát sinh vi phạm dữ liệu cá nhân:
- Nếu Nhà phát triển hoặc Nhà điều hành App Store biết về sự cố bảo mật trong ứng dụng liên quan đến vi phạm dữ liệu cá nhân, họ nên thông báo cho các bên liên quan khác bao gồm Nhà phát triển ứng dụng, Nhà điều hành App Store và Nhà phát triển thư viện/SDK.
- Các nhà phát triển sẽ đánh giá tác động của sự cố nói trên và thực hiện theo các bước thích hợp được quy định theo luật bảo vệ dữ liệu.
- Khi xảy ra vi phạm dữ liệu cá nhân thông qua một ứng dụng, Nhà phát triển sẽ thông báo cho người dùng bị ảnh hưởng và hướng dẫn biển báo để người dùng tự bảo vệ mình.
Khi Nhà điều hành App Store được thông báo về vi phạm dữ liệu cá nhân trong ứng dụng, họ nên cân nhắc xem có nên cung cấp ứng dụng cho người dùng không.
Nói chung, hướng dẫn yêu cầu ngành tuân thủ tám tiêu chuẩn riêng biệt, bao gồm cả việc đảm bảo rằng nhận thức về vi phạm dữ liệu cá nhân sẽ chuyển sang những người chơi khác trong ngành, bao gồm cả nhà phát triển bộ công cụ phát triển phần mềm.
DCMS cho biết họ sẽ bắt đầu hỏi các nhà điều hành cửa hàng ứng dụng vào đầu năm 2023 xem họ có tuân thủ các nguyên tắc hay không và sẽ thu thập phản hồi bằng văn bản vào mùa xuân.
Sẽ có một khoảng thời gian chín tháng để Nhà điều hành và Nhà phát triển tuân thủ Quy tắc. DCMS ban đầu chỉ tập trung vào việc đánh giá việc tuân thủ Quy tắc với Nhà điều hành App Store. Điều này là do đại đa số người dùng truy cập ứng dụng từ các nền tảng do Nhà điều hành App Store cung cấp. DCMS dự định bắt đầu các cuộc họp với các Nhà điều hành App Store từ đầu năm 2023 để xác định xem họ đã bắt đầu ban hành các thay đổi trong quy trình của họ chưa, bao gồm các yêu cầu đối với Nhà phát triển dựa trên Bộ quy tắc. Các nhà điều hành được hoan nghênh tổ chức các cuộc họp bổ sung với DCMS để tìm kiếm bất kỳ thông tin làm rõ nào và nêu bật những hành động họ đang thực hiện. DCMS dự định cũng sẽ yêu cầu các báo cáo bằng văn bản từ các Nhà điều hành App Store vào Mùa xuân năm 2023, báo cáo này sẽ được coi là bí mật. Các báo cáo phải nêu rõ cách họ đáp ứng các điều khoản trong Bộ quy tắc và/hoặc các bước đang được thực hiện để tuân thủ Bộ quy tắc.
Khi các cuộc họp và báo cáo bằng văn bản này đã được xem xét, nếu DCMS xác định rằng dữ liệu đã được cung cấp không đầy đủ và/hoặc nhiều Nhà điều hành không thực hiện các bước để tuân thủ, thì DCMS dự định sẽ tiến hành nghiên cứu độc lập của riêng mình. Đây là một Quy tắc tự nguyện, do đó, Nhà điều hành App Store và Nhà phát triển cũng sẽ có thể tạo sự khác biệt cho mình bằng cách khẳng định công khai rằng họ tuân thủ Quy tắc.
Julia Lopez, thành viên Đảng Bảo thủ của Quốc hội, người đứng đầu bộ phận cho biết: "Người tiêu dùng có thể tin tưởng rằng tiền và dữ liệu của họ nằm trong tay an toàn khi sử dụng ứng dụng và các biện pháp này sẽ không chỉ thúc đẩy nền kinh tế kỹ thuật số của chúng tôi mà còn bảo vệ mọi người khỏi gian lận".
Mặc dù các nền tảng ứng dụng như Apple Store và Google Play Store có các chính sách bảo mật áp dụng cho các ứng dụng trên nền tảng của họ, nhưng một cuộc điều tra của chính phủ Anh cho biết rằng các ứng dụng độc hại đã xuất hiện trong các nền tảng này mặc dù đã có các quy trình kiểm tra nhằm đảm bảo an toàn cho việc tải xuống.
Apple và Google điều hành các cửa hàng ứng dụng nổi tiếng nhất, nhưng nghiên cứu của công ty bảo mật Internet vạn vật Copper Horse do chính phủ ủy quyền đã xác định được 111 cửa hàng trên toàn cầu có ứng dụng cho nhiều loại thiết bị, bao gồm cả TV thông minh và thiết bị đeo được.
Nguyễn Anh Tuấn