GDPR PHPコンプライアンス：Webアプリケーション用のGDPRの維持

一般的なデータ保護規則（GDPR）は、Webアプリケーションを構築するためにPHPを使用しているものを含む、個人データを処理する組織にとって重要な任務となっています。開発者の場所に関係なく、安全で合法的なデータ処理を確保するには、GDPRの範囲と要件を理解することが不可欠です。

このブログでは、PHP Web開発者向けのGDPRを取り巻くよくある質問への回答を提供します。次に、GDPR PHPのベストプラクティスを探索し、GDPR基準を満たす必要があるチームのソリューションについて話し合います。

GDPR PHPコンプライアンス：よくある質問

PHPを扱っている人にとっては、安全で合法的なデータ処理を確保するために、特定のGDPRコンプライアンス要件を理解することが重要です。 Web開発者向けの特定のGDPRベストプラクティスに対処する前に、GDPR、PHP、およびコンプライアンス基準に関するよくある質問をいくつか検討しましょう。

GDPRとは何ですか？

GDPRは2018年5月25日に施行され、2021年9月からのより厳しい要件が発効しました。

GDPRは何を保護しますか？

GDPRは、個人データのいくつかの重要な分野と個人データ保護、個人の権利、特別な保護のいくつかの重要な領域を保護します。この記事の後半で詳しく説明します。

私がEUの外にいる場合、GDPRは私のPHP Webアプリに適用されますか？

次の条件のいずれかが満たされている場合、PHP WebアプリケーションはGDPRに準拠する必要があります。

• EU市民に商品またはサービスを提供します。
• EUベースのユーザーまたは顧客がいます。
• あなたのウェブサイトは、Cookieを介したEUのトラフィックを対象としています（同意が得られない場合、それは違法です）。

GDPRへの違反に対する罰則は何ですか？

重要な財務罰則には、世界の年間収益と管理罰金の最大4％に加えて、監査や差し止め命令などの是正措置が含まれます。コンプライアンス違反は評判を損ない、刑事告発やその他の執行措置につながる可能性があります。

PHP開発者向けのGDPRベストプラクティス

PHP Webアプリケーションを開発するプログラマーの場合、GDPRに準拠するには、データのセキュリティと管理に関連するいくつかの重要な側面が含まれます。考慮すべき重要なポイントは次のとおりです。

• 安全な基盤の作成
• データストレージと処理
• アクセス制御
• 同意管理
• アクセスと修正の権利
• データの削除
• データセキュリティ
• トレーニングと意識

これらのGDPRベストプラクティスに従うことにより、PHP開発者はプライベートデータを保護しながらコンプライアンスを維持できます。

データストレージと処理

GDPR PHPのベストプラクティスを検討する際には、2種類のデータストレージがあります。

• データ暗号化により、パスワードや個人データなどの機密情報が、データベースとネットワーク上の送信中に暗号化されて保存されることが保証されます。クライアントとサーバー間の安全な通信にはHTTPSを使用します。
• データの最小化は、必要な個人データのみを収集し、アプリケーションのタスクに必要以上の情報を収集しないようにします。

通常、お客様に、収集して使用するユーザーデータの量を最小限に抑えることをお勧めします。不必要な個人情報の収集を避けたり、主な意図を超えた目的でそれを使用したりすることを避けることが重要です。

さらに、PHPは、暗号化、安全な通信、およびデータストレージのためのいくつかのライブラリとツールを提供します。

• OpenSSLは、対称的および非対称暗号化、ハッシュ、およびSSL/TLS通信を堅牢なサポートを提供します。
• PHP 7.2および後続のバージョンに組み込まれたナトリウム（Libsodium）は、暗号化、署名、およびハッシュのための最新の安全な暗号化プリミティブを提供します。
• PHPのパスワードハッシュAPI（例：Password_Hash（））は、パスワードをハッシュおよび検証するための安全なメソッドを提供します。
• PHPSECLIBは、RSA、AES、およびその他の暗号操作に純粋なPHPソリューションを提供します。
• GNUPG（GPG）は、パブリック/プライベートキーを使用して暗号化とデジタル署名を提供します。
• JWT（JSON Web Tokens）は、APIベースの認証での安全な通信に広く使用されています。
• TLS/SSL（HTTPS）は、実装されたときに、通信を確保することにより輸送中のデータを保護します。

上記のタスクを支援できる複数のPHPフレームワークがあります。そのうちの1つは、Zend Frameworkの後継者であるLaminas Frameworkです。 Laminas Cryptコンポーネントは、暗号化とハッシュに敏感なデータを提供するためのユーティリティを提供します。以下の簡略化された例は、パスワードのハッシュだけを保持し、ログインプロセス中にオリジナルと比較する方法を示しています。

 laminas \ crypt \ password \ bcryptを使用します。

$ bcrypt = new bcrypt（）;
$ hashedpassword = $ bcrypt-> create（ 'password'）;
if（$ bcrypt-> verify（ 'password'、$ hashedpassword））{
    echo 'パスワードマッチ！';
}

アクセス制御

許可と認証は、個人データへの不正アクセスを防ぐために設計された強力なメカニズムを実装するために使用できます。ハッシュと塩漬けを使用してパスワードを使用することで実現できます。さらに、ロールベースのアクセス制御（RBAC）を使用して、ユーザーのさまざまな役割と権限を定義し、誰がどの情報にアクセスできるかを制御できます。

また、この目的のために既存の役立つツールまたはライブラリを利用することもできます。これからは、主にラミナスフレームワークを使用します。 LAMINAS AUTHおよびACLコンポーネントを使用して、安全な認証とロールベースのアクセス制御を実装できます。別の簡略化された例を以下に示します。

 laminas \ permissions \ acl \ aclを使用します。
laminas \ permissions \ acl \ role \ genericroleを役割として使用します。

$ acl = new acl（）;
$ acl-> addResource（ 'admin'）;
$ acl-> lock（ 'guest'、null、['index']）;
$ acl-> lock（ 'member'、 'admin'、['edit'、 'delete']）;

同意管理

個人データを処理する許可を要求する際には、常に明確で理解できる同意メッセージを表示します。これにより、ユーザーは必要に応じて簡単に同意を引き出すことができます。同意を受け取る日付と時刻、およびユーザー識別子を含む同意の記録を保持します。

Laminasログモジュールは、データアクセスと変更の包括的なログと監査のために使用できます。パスワードや人の年齢や住所などの機密データやプライベートデータを記録していないことを確認してください。

 laminas \ log \ loggerを使用します。
Laminas \ log \ writer \ streamを使用します。

$ logger = new logger（）;
$ writer = new Stream（ 'path/to/your/log/file'）;
$ logger-> addwriter（$ writer）;
$ logger-> info（ 'ユーザーアクセスプロファイルページ。'、['user_id' => 123]）;

PHPフレームワークを使用していない場合、別のオプションは、ZendHQ拡張機能で安全なZendPHPランタイムを使用することです。この強力な組み合わせにより、チームはGDPR PHPコンプライアンス標準を維持しながら、PHPアプリケーションを監視、検査、最適化、保護、および拡張することができます。たとえば、同意管理ワークフローを記録するためにカスタムモニターイベントを定義するだけで、ZendHQはデータのアクセスと変更を記録および監査します。

 $ userdata = new class {
      public string $ text =同意の受信に関するデータ。
   };
 zend_monitor_custom_event（ 'gdpr title'、 'gdpr同意テキスト'、$ userdata、-1）; 

アクセスと修正の権利

GDPR PHPコンプライアンスには、個人データのアクセス権と修正の権利が含まれます。データ管理インターフェイスは、個人データを表示、編集、または削除できるインターフェイスをユーザーに提供します。さらに、データへのアクセスと修正のリクエストを迅速かつ効率的に処理することは、GDPRコンプライアンスを維持するために重要です。

このようなデータシステムのユーザーインターフェイスは時間の経過とともに進化する可能性がありますが、保護エリア内で必要なデータを安全に配信できるWeb APIに早期に投資することが重要であり、そのようなAPIを作成するために費用や費用がかかる必要はありません。クライアントのスタートとして推奨するのは、すぐに必要なAPIインターフェイスを作成するのに役立つLaminas APIツールを使用することです。

データの削除

GDPRでは、ユーザーは個人データの削除を要求することができます。常に「忘れられる権利」を実装し、それに応じて機能を開発します。これの例外は、データを保持する法的理由がある場合です。データ削除プロセスのドキュメントを維持して、GDPRコンプライアンスを実証します。

Web APIが実装されている場合、追加の機能により、データの所有者が独自の情報を編集できるようになります。アクセスが制限されているため、システム管理者には、必要に応じてデータを変更する機能を付与することもできます。

データセキュリティ

コンプライアンスの要件に関係なく、PHPセキュリティのベストプラクティスに従うことが常に推奨されます。脆弱性を防ぐために、ソフトウェア、ライブラリ、依存関係を最新のバージョンに定期的に更新します。監視システムとログの実装は、潜在的なセキュリティ侵害を検出して対応するのに役立ちます。

データフローを監視するための独自のツールを開発するか、ZendPHPやZendHQなどのソリューションを利用することができます。これは、システムを監視し、そのパフォーマンス、セキュリティ、および完全性に影響を与えるイベントに対応するように設計されています。

トレーニングと意識

個人データを保護することの重要性についてチームを訓練し、GDPRコンプライアンスに必要な手順を完全に理解していることを確認します。 PHPアプリケーションのユーザーの権利と、それらの権利を保護するためにアプリケーションがとる手順について通知します。

以上がGDPR PHPコンプライアンス：Webアプリケーション用のGDPRの維持の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。