Esta receita faz parte da s0rie Aprenda CIAM atrav0s de exemplos: Quatro receitas para aprimorar a seguran0a e a UX do seu aplicativo. Você pode saber mais sobre a série baixando nossas quatro receitas em formato de livro de receitas. Nesta receita, você aprenderá como adicionar autenticação sem senha ao seu aplicativo usando passkeys. |
Os consumidores querem ver e fazer mais digitalmente e confiam em marcas que são claras sobre como suas informações são usadas para agregar valor.
Garantir a privacidade de dados para qualquer usuário, seja ele seu funcionário, cliente ou contratado, raramente é uma consideração única.
Diferentes órgãos reguladores têm diferentes requisitos de conformidade dependendo do tipo de dados com os quais você está trabalhando, seja acesso de usuários a informações de saúde (HIPAA) ou informações pessoais relacionadas a indivíduos na UE (GDPR).
A conformidade com a privacidade de dados é mais do que apenas obter o consentimento apropriado. É uma estrutura para acesso apropriado, que inclui a segurança dos dados de seus consumidores.
Por que a conformidade com a privacidade de dados é importante?
Com organizações maiores, vem uma responsabilidade maior em relação à profundidade da conformidade exigida por regulamentações como GDPR e CCPA. Dito isto, nenhuma organização — nem mesmo a menor — está isenta quando se trata de privacidade de dados — e a segurança é um componente importante da privacidade de dados.
Pense em como a privacidade funciona no mundo real. Você pode colocar quatro paredes e uma porta em praticamente qualquer coisa. Mas se a porta não tiver uma fechadura, esse espaço é privado?
Fase 1: Implementar um log de auditoria
Em conformidade com o GDPR e CCPA, organizações grandes e pequenas são obrigadas a certas práticas de auditoria, e a base dessas práticas começa com uma camada de conformidade de auditoria, também conhecida como um log de auditoria.
Ao contrário das ferramentas SIEM ou de registro do sistema, o registro de auditoria retransmite o impacto de um incidente de segurança em um prompt legível — como um registro histórico de eventos — para avaliar o risco associado às ações de um indivíduo ou grupo em sua plataforma, em comparação com as permissões que eles têm, e levantar uma bandeira vermelha quando não corresponderem.
Com o Auth0 by Okta, você não precisa construir seu fluxo de log de auditoria. Nossos logs estão prontos para auditoria assim que saem da caixa, com várias certificações de conformidade integradas para ajudar a dar suporte à prontidão para conformidade.
No entanto, esse é apenas o começo. Os logs de auditoria informam quais partes de sua plataforma são frequentadas e quais dados são visíveis ao seu menor denominador comum. Cabe às organizações mobilizar esses insights em proteção tangível para seus consumidores e fornecer ferramentas que lhes dão controle sobre seus dados.
Fase 2: Consentimento
As leis de privacidade de dados podem exigir que as organizações obtenham o consentimento apropriado antes de processar dados pessoais. Com o Auth0 by Okta professional e enterprise, os clientes podem obter consentimento usando Custom Prompts.
O Custom Prompts é um recurso construído na linguagem de modelo Liquid, projetado para dar aos desenvolvedores maior controle sobre a experiência de login e inscrição, com modelos parciais em vários entry points. Basicamente, com um pouco de HTML, CSS e Javascript, as equipes podem impulsionar seus esforços de consentimento com o Auth0 da Okta, usando o Universal Login hospedado na nuvem.
Esses templates parciais podem realizar um consentimento granular e capturar outras informações em diferentes pontos da jornada de autenticação, alimentados por Auth0 by Okta Actions. Nesta receita, adicionaremos um prompt de inscrição usando Actions.
Receita
Ingredientes
- Universal Login
- Domínio Personalizado (Branding > Domínios Personalizados)
- Custom Page Template
- Vamos carregar nosso template de consentimento parcial em nosso login com uma chamada de API.
Aqui está o parcial de consentimento.
<div class="ulp-field"> <input type="checkbox" name="ulp-terms-of-service" id="terms-of-service"> <label for="terms-of-service"> Eu aceito o <a href="https://example.com/tos">termos e condições</a> </label> </div> |
Adicione isso a um comando curl e pronto.
# Adicione as informações do seu próprio tenant URL='https://TENANT.ENVIRONMENT.auth0.com/api/v2/prompts/signup/partials' TOKEN='eyJhbGci…'
curl -X PUT \ -H 'Content-Type: application/json' \\ -H "Authorization: Bearer $TOKEN" \ -d "{\"signup\":{\"form-content-end\":\" <div class= 'ulp-field '> <input type= 'checkbox ' name= 'ulp-terms-of-service ' id= 'terms-of-service '> <label for= 'terms-of-service '> I accept the <a href= 'https://example.com/tos '>terms and conditions</a> </label> </div> " \ "$URL" |
- Como o Universal Login está pronto para suportar UX consistente e com a marca, seus parciais personalizados se encaixarão perfeitamente com o resto da UI
- Para proteger este código do lado do cliente, precisamos dar o passo extra de criar uma validação do lado do servidor — na forma de uma Action de pré-registro do usuário — navegando até Actions > Biblioteca > Construir Personalizado
- Adicione o seguinte código à Action, que evitará a validação do formulário sem consentimento e, em seguida, Deploy para salvar:
exports.onExecutePreUserRegistration = async (event, api) => { const termsOfService = event.request.body['ulp-terms-of-service']; if(!termsOfService) { api.validation.error("invalid_payload", "Por favor, revise os termos de serviço."); return; } api.user.setUserMetadata("termsOfService", true); }; |
- Navegue até Flows > Pre User Registration e adicione sua Ação Custom
- Agora, quando seu usuário der consentimento, isso será documentado em seu perfil (User Management > Users) em user_metadata
Fase 3: Central de preferências
A conformidade com a privacidade de dados exige que os usuários consintam com a coleta e o uso de seus dados pessoais e possam revogá-los e acessar ou corrigir seus dados ou excluí-los de sua plataforma.
Um Central de Preferências é um local onde os usuários gerenciam suas preferências, incluindo os boletins informativos nos quais se inscreveram e qualquer outro serviço intermediário que exija consentimento explícito.
Quando as organiza150es investem em uma solu15o de identidade como o Auth0 da Okta, criar centrais de prefer0ncias 0 muito f0cil por meio da API de gerenciamento do Auth0.
Fase ∞: Segurança de dados
Atores maliciosos são tão ativos quanto as organizações na busca de maneiras de aproveitar a mais recente tecnologia. A segurança de dados não tem um jogo final, mas o Auth0 by Okta tem ferramentas poderosas e pessoal especializado à sua disposição para manter a atividade fraudulenta fora de sua plataforma.
Qual o próximo passo?
Com seu aplicativo seguro e em conformidade, é hora de usar o CIAM para obter uma visão universal de seu consumidor em vários canais.
Na nossa próxima receita, exploraremos a extensibilidade do CIAM, integrando os dados de seus consumidores em um sistema de marketing. Se você quiser ver isso, além de todas as outras receitas, em um guia abrangente, baixe nosso livro de receitas.
