分析ツール(つまりGoogleアナリティクス)を使用して、Webアプリの使用方法、使用者、ユーザーの技術的能力に関する情報を収集したいと思います。このツールの導入の一環として、セキュリティへの影響を尋ねます。
Google Analyticsを使用すると、セキュリティ上の懸念が生じますか?導入される可能性のあるPCIコンプライアンスの問題はありますか?また、不当な懸念がない場合、これをどのように文書化できますか? Googleアナリティクスのウェブサイトを検索しましたが、プライバシーに関する声明は見つかりましたが、ツールが収集する情報や保存方法に関する具体的な声明は見つかりませんでした。
https://support.google.com/analytics/answer/6004245?hl=ja underaccountに記載されているように、データは公式にGoogle Analyticsアカウント管理者によって所有されています管理者がデータセクションを制御します。
企業でこの同様のイニシアチブに取り組むとき、IT情報管理ISO認定17021および27006を利用しました。有効な証明書は https://storage.googleapis.com/support-kms-prod/で取得できます。 8E2BD7B74E99E08E0E4F9FA870E49092BFE4
Google従業員のユーザーデータへの独自のアクセスを検討する場合、「従業員のアクセス制御と手順」ドキュメントに記載されていますが、内部使用のみでコピーが見つからないと想定しています。私が見つけた最も近いサポート文書は、Google Apps for Business製品に関するもので、こちらにあります https://static.googleusercontent.com/media/www.google.com/en/US/work/apps/business /files/google-apps-security-and-compliance-whitepaper.pdf
Google Analyticsを使用するには、Googleが提供するページにJavaScriptスニペットを挿入する必要があります。これにより、このJavaScriptがページまたは訪問者に対して何かを行うという技術的な機会がGoogleに与えられます。確かにGoogleを信頼する必要があります。また、このコードが送信中に変更されないことを信頼する必要があります。 Googleがインフラストラクチャを保護していることを信頼する必要があります。
I-セキュリティが懸念される場合は、GAまたはサードパーティのスクリプトソースを使用しないでください。信者になったり、簡単な解決策をとったり、「おそらく」大丈夫なら大丈夫だと合理化したりしないでください。
一番下の理由は、サードパーティのスクリプトリファレンスを使用するとき、あなた自身があなたのウェブサイトのセキュリティを保証できないことです。これは連邦政府の標準であり、すべてではないにしてもほとんどすべての州のWebセキュリティポリシーの標準です。 GAが安全または許容できるように見えるようにする州/連邦政府の声明から脇道にされないでください。コアポリシーを探し、矛盾したポリシーステートメントに注意し、常識を最優先に保ちます。それは、ウェブサイト管理者としての州のために私がしなければならなかったことであり、ポリシーを参照した後、私たちの機関のセキュリティ責任者からサポートを得ました。彼はITに精通していたので、彼の理解とサポートを得るために多くのギャップを埋めたり、多くの点をつなぐ必要はありませんでした。