Foydalanuvchi ma'lumotlarini saqlash β biznes uchun yuridik mas'uliyat. O'zbekiston "Shaxsiy ma'lumotlar to'g'risida" qonun bor. Yevropa GDPR, AQSh CCPA. Buzilsa β jarima.
Qaysi ma'lumotlar shaxsiy?
Ism, familiya, telefon, email, IP, manzil, JSHSHIR/INN, foto, ovoz. Cookie ID, device ID β ham shaxsiy hisoblanadi yangi qonunlar bo'yicha.
Saqlash printsiplari
1) Minimal β faqat kerakli ma'lumot. 2) Maqsadli β "reklama uchun" deyilgan bo'lsa, faqat reklama. 3) Vaqtli β muddat tugagach o'chirish (5 yil odatda). 4) Aniq β foydalanuvchi roziligi.
Encryption at rest
DB'da shifrlangan saqlash. MySQL β Transparent Data Encryption (TDE). PostgreSQL β pgcrypto. Parol β bcrypt/argon2 (encrypt emas β bir tomonli hash). Kartochkalar β hech qachon o'zingiz saqlamang, payment processor ishlatadi.
Encryption in transit
HTTPS majburiy. API'lar ham HTTPS. DB-server β web-server β TLS yoki VPN.
Backup shifrlash
Backup fayllar S3/Google Drive'da β AES-256 bilan shifrlangan bo'lsin. Misol: tar + gpg encrypt.
Foydalanuvchi huquqlari
1) Ma'lumotlarni ko'rish (export). 2) O'chirish (Right to be forgotten). 3) To'g'rilash. 4) Ishlovni cheklash. Sayt'ingizda "Mening ma'lumotlarim" sahifasi bo'lsin.
Cookie roziligi
EU foydalanuvchilar uchun cookie banner majburiy. "Faqat zaruriy" va "Barchasiga rozi" tugmalari. Analytics, reklama cookie'lar β alohida rozilik.
Sayt.uz amaliyot
Foydalanuvchi parol β bcrypt cost 12. Sessiya β HTTPS, SameSite=Strict cookie. Backup AES-256. Roziliklar audit log'da saqlanadi.
Hujum bo'lsa β 72 soat
GDPR: 72 soat ichida regulyatorga xabar. Foydalanuvchilarga ham xabar β qaysi ma'lumot oshkor bo'lgan, nima qilish kerak. Yashirish β yana qattiqroq jarima.
Audit log
Kim, qachon, qanday ma'lumotga kirgan β log. Database query log, application log. Yiliga 1 marta tahlil.
3-shaxs xizmatlari
Google Analytics, Facebook Pixel, payment processors β DPA (Data Processing Agreement) imzolash. Ular sizning foydalanuvchi ma'lumotlarini qanday saqlashini tushunib.