App Compliance Audit

En app kan ikke blive analyseret automatisk på samme måde som et website og derfor er ACA en separat løsning. Et dokument, som beskriver løsningen er vedhæftet.

 

Formål

Formålet med ACA er at analysere en app i forhold til GDOR og ePrivacy lovgivningen. Outputtet af analysen er en rapport, som dokumenterer compliance-niveauet af den analyserede app. ACA’en bør anvendes i forbindelse med release af hver nye version og i forbindelse med lancering af nye apps.

 

Metode

For at analysen kan blive udført, har Cookie Information etableret to forskellige testmiljøer: Et for Android og et for iOS. Testmiljøerne indeholder rigtige telefoner og vi kan monitorere både indgående og udgående dataflows. Vi monitorerer også hvad der foregår inde i selve appen (brug af dtabaser etc.) så dybt, som det overhovedet er muligt i hver app.

Analysen udføres ved at anvende Cookie Informations GDPR Mobile Privacy Audit (også kaldet “MPA”). MPA’en aktiveres fra nedenstående skærmbillede:

Cookie Informations GDPR Mobile Privacy Audit - Forside

 

Analysen udføres i 7 trin

  1. Telefonen aktiveres i testmiljøet og en test-session initieres fra MPA’en ved at vælge enten Android eller iSO.
  2. Appen downloades fra AppStore, Google Play eller fra en fil.
  3. Når testsessionen er startet, så kan telefonen med den åbne app ses i MPA’en. Hvis appen indeholder log-in, så indtaster man brugernavn og login.
  4. En liste over alle appens funktioner forberedes for at sikre, at alt bliver testet.
  5. Analysen gennemgøres
    ACA vil fra MPA brugergrænsefladen prøve alle funktioner og sider i appen. Dette inkluderer ting som at kontakte help desk (hvis det er en funktion, der er tilgængelig), at oprette en ny bruger, ændre password etc. Undervejs vil MPA’en indsamle al data fra app’en.
  6. Analyse af resultaterne
    Når testen er færdig, så analyseres al indsamlet data og resultaterne præsenteres under ’Resultater’. Resultat-sektionen er organiseret i henhold til de forskellige krav i GDPR. Hvert element indeholder en kort version af GDPR-kravene og en uddybende beskrivelse af hvilke problemstillinger, der er identificeret.

  7. Anvisning på nødvendige ændringer
    Baseret på rapporten laver udvikleren de påkrævede ændringer og så gentester vi app’en.

Juridisk dokumentation

Løsningen producerer en pdf rapport, der dokumenterer compliance. Rapporten fremsendes til opdragsgiver og gemmes i systemet.


Figur 6 – App Compliance rapport