一般的なデータ保護(hù)規(guī)則（GDPR）は、Webアプリケーションを構(gòu)築するためにPHPを使用しているものを含む、個(gè)人データを処理する組織にとって重要な任務(wù)となっています。開発者の場所に関係なく、安全で合法的なデータ処理を確保するには、GDPRの範(fàn)囲と要件を理解することが不可欠です。

このブログでは、PHP Web開発者向けのGDPRを取り巻くよくある質(zhì)問への回答を提供します。次に、GDPR PHPのベストプラクティスを探索し、GDPR基準(zhǔn)を満たす必要があるチームのソリューションについて話し合います。

GDPR PHPコンプライアンス：よくある質(zhì)問

PHPを扱っている人にとっては、安全で合法的なデータ処理を確保するために、特定のGDPRコンプライアンス要件を理解することが重要です。 Web開発者向けの特定のGDPRベストプラクティスに対処する前に、GDPR、PHP、およびコンプライアンス基準(zhǔn)に関するよくある質(zhì)問をいくつか検討しましょう。

GDPRとは何ですか？

GDPRは2018年5月25日に施行され、2021年9月からのより厳しい要件が発効しました。

GDPRは何を保護(hù)しますか？

GDPRは、個(gè)人データのいくつかの重要な分野と個(gè)人データ保護(hù)、個(gè)人の権利、特別な保護(hù)のいくつかの重要な領(lǐng)域を保護(hù)します。この記事の後半で詳しく説明します。

私がEUの外にいる場合、GDPRは私のPHP Webアプリに適用されますか？

次の條件のいずれかが満たされている場合、PHP WebアプリケーションはGDPRに準(zhǔn)拠する必要があります。

• EU市民に商品またはサービスを提供します。
• EUベースのユーザーまたは顧客がいます。
• あなたのウェブサイトは、Cookieを介したEUのトラフィックを?qū)澫螭趣筏皮い蓼梗ㄍ猡盲椁欷胜龊?、それは違法です）。

GDPRへの違反に対する罰則は何ですか？

重要な財(cái)務(wù)罰則には、世界の年間収益と管理罰金の最大4％に加えて、監(jiān)査や差し止め命令などの是正措置が含まれます。コンプライアンス違反は評(píng)判を損ない、刑事告発やその他の執(zhí)行措置につながる可能性があります。

PHP開発者向けのGDPRベストプラクティス

PHP Webアプリケーションを開発するプログラマーの場合、GDPRに準(zhǔn)拠するには、データのセキュリティと管理に関連するいくつかの重要な側(cè)面が含まれます?？紤]すべき重要なポイントは次のとおりです。

• 安全な基盤の作成
• データストレージと処理
• アクセス制御
• 同意管理
• アクセスと修正の権利
• データの削除
• データセキュリティ
• トレーニングと意識(shí)

これらのGDPRベストプラクティスに従うことにより、PHP開発者はプライベートデータを保護(hù)しながらコンプライアンスを維持できます。

データストレージと処理

GDPR PHPのベストプラクティスを検討する際には、2種類のデータストレージがあります。

• データ暗號(hào)化により、パスワードや個(gè)人データなどの機(jī)密情報(bào)が、データベースとネットワーク上の送信中に暗號(hào)化されて保存されることが保証されます。クライアントとサーバー間の安全な通信にはHTTPSを使用します。
• データの最小化は、必要な個(gè)人データのみを収集し、アプリケーションのタスクに必要以上の情報(bào)を収集しないようにします。

通常、お客様に、収集して使用するユーザーデータの量を最小限に抑えることをお?jiǎng)幛幛筏蓼?。不必要な個(gè)人情報(bào)の収集を避けたり、主な意図を超えた目的でそれを使用したりすることを避けることが重要です。

さらに、PHPは、暗號(hào)化、安全な通信、およびデータストレージのためのいくつかのライブラリとツールを提供します。

• OpenSSLは、対稱的および非対稱暗號(hào)化、ハッシュ、およびSSL/TLS通信を堅(jiān)牢なサポートを提供します。
• PHP 7.2および後続のバージョンに組み込まれたナトリウム（Libsodium）は、暗號(hào)化、署名、およびハッシュのための最新の安全な暗號(hào)化プリミティブを提供します。
• PHPのパスワードハッシュAPI（例：Password_Hash（））は、パスワードをハッシュおよび検証するための安全なメソッドを提供します。
• PHPSECLIBは、RSA、AES、およびその他の暗號(hào)操作に純粋なPHPソリューションを提供します。
• GNUPG（GPG）は、パブリック/プライベートキーを使用して暗號(hào)化とデジタル署名を提供します。
• JWT（JSON Web Tokens）は、APIベースの認(rèn)証での安全な通信に広く使用されています。
• TLS/SSL（HTTPS）は、実裝されたときに、通信を確保することにより輸送中のデータを保護(hù)します。

上記のタスクを支援できる複數(shù)のPHPフレームワークがあります。そのうちの1つは、Zend Frameworkの後継者であるLaminas Frameworkです。 Laminas Cryptコンポーネントは、暗號(hào)化とハッシュに敏感なデータを提供するためのユーティリティを提供します。以下の簡略化された例は、パスワードのハッシュだけを保持し、ログインプロセス中にオリジナルと比較する方法を示しています。

 laminas \ crypt \ password \ bcryptを使用します。

$ bcrypt = new bcrypt（）;
$ hashedpassword = $ bcrypt-> create（ 'password'）;
if（$ bcrypt-> verify（ 'password'、$ hashedpassword））{
    echo 'パスワードマッチ！';
}

アクセス制御

許可と認(rèn)証は、個(gè)人データへの不正アクセスを防ぐために設(shè)計(jì)された強(qiáng)力なメカニズムを?qū)g裝するために使用できます。ハッシュと塩漬けを使用してパスワードを使用することで実現(xiàn)できます。さらに、ロールベースのアクセス制御（RBAC）を使用して、ユーザーのさまざまな役割と権限を定義し、誰がどの情報(bào)にアクセスできるかを制御できます。

また、この目的のために既存の役立つツールまたはライブラリを利用することもできます。これからは、主にラミナスフレームワークを使用します。 LAMINAS AUTHおよびACLコンポーネントを使用して、安全な認(rèn)証とロールベースのアクセス制御を?qū)g裝できます。別の簡略化された例を以下に示します。

 laminas \ permissions \ acl \ aclを使用します。
laminas \ permissions \ acl \ role \ genericroleを役割として使用します。

$ acl = new acl（）;
$ acl-> addResource（ 'admin'）;
$ acl-> lock（ 'guest'、null、['index']）;
$ acl-> lock（ 'member'、 'admin'、['edit'、 'delete']）;

同意管理

個(gè)人データを処理する許可を要求する際には、常に明確で理解できる同意メッセージを表示します。これにより、ユーザーは必要に応じて簡単に同意を引き出すことができます。同意を受け取る日付と時(shí)刻、およびユーザー識(shí)別子を含む同意の記録を保持します。

Laminasログモジュールは、データアクセスと変更の包括的なログと監(jiān)査のために使用できます。パスワードや人の年齢や住所などの機(jī)密データやプライベートデータを記録していないことを確認(rèn)してください。

 laminas \ log \ loggerを使用します。
Laminas \ log \ writer \ streamを使用します。

$ logger = new logger（）;
$ writer = new Stream（ 'path/to/your/log/file'）;
$ logger-> addwriter（$ writer）;
$ logger-> info（ 'ユーザーアクセスプロファイルページ。'、['user_id' => 123]）;

PHPフレームワークを使用していない場合、別のオプションは、ZendHQ拡張機(jī)能で安全なZendPHPランタイムを使用することです。この強(qiáng)力な組み合わせにより、チームはGDPR PHPコンプライアンス標(biāo)準(zhǔn)を維持しながら、PHPアプリケーションを監(jiān)視、検査、最適化、保護(hù)、および拡張することができます。たとえば、同意管理ワークフローを記録するためにカスタムモニターイベントを定義するだけで、ZendHQはデータのアクセスと変更を記録および監(jiān)査します。

 $ userdata = new class {
      public string $ text =同意の受信に関するデータ。
   };
 zend_monitor_custom_event（ 'gdpr title'、 'gdpr同意テキスト'、$ userdata、-1）; 

アクセスと修正の権利

GDPR PHPコンプライアンスには、個(gè)人データのアクセス権と修正の権利が含まれます。データ管理インターフェイスは、個(gè)人データを表示、編集、または削除できるインターフェイスをユーザーに提供します。さらに、データへのアクセスと修正のリクエストを迅速かつ効率的に処理することは、GDPRコンプライアンスを維持するために重要です。

このようなデータシステムのユーザーインターフェイスは時(shí)間の経過とともに進(jìn)化する可能性がありますが、保護(hù)エリア內(nèi)で必要なデータを安全に配信できるWeb APIに早期に投資することが重要であり、そのようなAPIを作成するために費(fèi)用や費(fèi)用がかかる必要はありません。クライアントのスタートとして推奨するのは、すぐに必要なAPIインターフェイスを作成するのに役立つLaminas APIツールを使用することです。

データの削除

GDPRでは、ユーザーは個(gè)人データの削除を要求することができます。常に「忘れられる権利」を?qū)g裝し、それに応じて機(jī)能を開発します。これの例外は、データを保持する法的理由がある場合です。データ削除プロセスのドキュメントを維持して、GDPRコンプライアンスを?qū)g証します。

Web APIが実裝されている場合、追加の機(jī)能により、データの所有者が獨(dú)自の情報(bào)を編集できるようになります。アクセスが制限されているため、システム管理者には、必要に応じてデータを変更する機(jī)能を付與することもできます。

データセキュリティ

コンプライアンスの要件に関係なく、PHPセキュリティのベストプラクティスに従うことが常に推奨されます。脆弱性を防ぐために、ソフトウェア、ライブラリ、依存関係を最新のバージョンに定期的に更新します。監(jiān)視システムとログの実裝は、潛在的なセキュリティ侵害を検出して対応するのに役立ちます。

データフローを監(jiān)視するための獨(dú)自のツールを開発するか、ZendPHPやZendHQなどのソリューションを利用することができます。これは、システムを監(jiān)視し、そのパフォーマンス、セキュリティ、および完全性に影響を與えるイベントに対応するように設(shè)計(jì)されています。

トレーニングと意識(shí)

個(gè)人データを保護(hù)することの重要性についてチームを訓(xùn)練し、GDPRコンプライアンスに必要な手順を完全に理解していることを確認(rèn)します。 PHPアプリケーションのユーザーの権利と、それらの権利を保護(hù)するためにアプリケーションがとる手順について通知します。

以上がGDPR PHPコンプライアンス：Webアプリケーション用のGDPRの維持の詳細(xì)內(nèi)容です。詳細(xì)については、PHP 中國語 Web サイトの他の関連記事を參照してください。