现代身份指南
Search…
⌃K

第十五章 取消账户

身份生命周期中的最后一个事件是销户,即帐户和相关身份属性被删除或禁用,因此无法再使用。 当一个账户被终止时,有几个设计点需要考虑,涉及如何删除或禁用账户、保留哪些身份信息以及保留多长时间。

账户终止

帐户可能因多种原因被终止。 如果帐户所有者不再需要使用服务,他们可能会删除帐户。 如果帐户已被放弃或客户违反服务条款滥用服务,则服务管理员也可能会删除该帐户。 对于付费服务,如果用户未能支付服务费用,则可能导致终止。 在大学环境中,当学生毕业时,学生的帐户可能会被终止。 在公司环境中,如果员工离职,帐户可能会被终止。 无论何种原因,终止后,必须处理该帐户,使其不能再用于访问资源。 但是,账户终止并不是简单地删除一个帐户。

最佳实践

取消帐户流程设计上应考虑到一些最佳做法来规避风险, 包括确保及时完成账户的注销、防止意外删除帐户,从使客户能够将数据传输到其他地方、满足隐私权和安全删除请求。 确切的要求会因环境而异。 本节将描述与销户相关的许多常见要求,以帮助您确定哪些对您的项目是必要的。

确保完成

取消配置的最佳做法是确保完成!如果不再需要某个帐户,则应将其禁用,以免被未经授权的用户劫持。不幸的是,众所周知,在缺乏成熟身份管理的环境中,销户被忽视了。为了最大限度地减少废弃或未使用帐户的可能性,您应该实施自动化以触发定期帐户审查和取消账户配置。在公司环境中,当用户终止时,HR 系统可能会启动销户的工作流。在大学环境中,学生信息系统可能会在毕业时触发帐户取消配置。然而,即使是最好的自动化也会在某些时候失败,因此对现有帐户进行定期审计对于找到不合适再保留的帐户至关重要,以便于取消账户配置。在面向消费者的环境中,考虑取消多年长期没有活动的帐户可能是合适的。

提供软删除的方法

即便是概率很低, 如果您提供“删除帐户”按钮,几乎可以确定会有人会错误地删除他们的帐户。 为了避免在发生这种情况时恢复客户数据的麻烦,您可以通过实施软删除来减少错误删除帐户的后恢复难度。 删除前采用给出清晰的确认提醒的形式(“注意:您确定要删除您的帐户吗?这无法撤消!”),并在帐户被真正删除之前提供宽限期的同时将帐户标记为已删除。 在宽限期内,应提供“取消删除帐户”功能。 您还可以在宽限期开始时发送确认电子邮件,说明该帐户已标记为删除,并将在宽限期结束时永久删除。 虽然并非万无一失,但这可以防止一些意外的帐户删除和恢复错误删除的帐户的工作。

保留取消配置的身份

取消配置帐户时,最好保留已删除帐户标识符的列表,并防止每个标识符将来被新所有者重复使用。 如果不这样做,新人可以使用以前使用的标识符创建帐户,并且可能能够请求与该标识符关联的历史数据以获取属于该帐户的先前所有者的数据。 如果在单点登录场景中使用已删除的帐户标识符并用于访问多个应用程序,则具有相同标识符的新帐户的所有者可能能够访问这些应用程序中前一个人的数据。 如果将电子邮件地址用作帐户的唯一标识符,这一点尤其重要。 通过保留以前使用过的标识符并针对活动帐户和取消配置帐户检查所有新标识符的唯一性,可以避免这几个问题。

保存账户记录

您永远不知道何时可能会检测到未经授权的活动。 事后需要保留一定时期的日志便于后续的审计,可能需要数周甚至数月。 由于追溯的调查随时可能发生,即使帐户已关闭,您也应考虑是否应将有关已删除帐户的信息保留一段合理的时间,包括交易、提交时间、执行这些操作的帐户 、与帐户相关联的身份数据以及有利于证据所需的任何其他信息。 删除帐户时,最好保留一些帐户身份信息以及帐户被禁用或终止的日期、时间和原因。 如果帐户因滥用而被终止,保留足够的记录可能有助于确定用户是否会尝试使用相同的身份数据开设另一个帐户。
需要值得警惕的是,隐私法规要求仅在出于合法商业目的需要时才能保留数据,并且用户有权要求删除有关他们的个人数据。 这些权利可能与备份和审计日志的需要发生冲突。 在实践中,正在制定方法来满足隐私权的意图以及经营的需求。 这些方法包括最小化保留的数据、加密和限制对保留数据的访问,以及遵循定义的数据保留策略和程序。 此类政策和程序应在法律和隐私顾问的指导下制定,以确保与当前最佳实践保持一致。

数据传输

为客户提供从您的服务下载或传输数据的方法可能会有助于您的业务,甚至可能需要这样做。 作为隐私立法的一部分,用户可能拥有此权利,例如 GDPR(通用数据隐私条例)。 提供这样的功能还可能促进那些担心供应商锁定的客户注册,让他们了解如果不满意,他们可以拿走自己的数据去其他地方。 企业客户通常会要求能够定期获取所有数据的摘录,以保护自己免受供应商故障的影响。
对于消费者用户,提供自助方式下载客户拥有的数据是一种可性的方案。 在删除帐户之前,可以在“删除帐户”过程中将下载数据的功能作为可选项。 您应该考虑对客户最有用的数据格式。 对于敏感数据,应该有一个验证的程序在提供数据转储之前验证请求者。 要求加强身份验证或至少重新身份验证以获取数据是一种很好的预防措施。 如果用户在没有锁定屏幕的情况下离开键盘,这可以有效的保护用户的数据。
对于企业或商业客户,还有几点需要额外的考虑。 要求客户的两个人参与请求过程以防止单独的参与者出于未经授权的目的下载敏感的公司数据,这么做对于数据的安全是有意义的。 一旦为下载请求获得了合适的客户验证,就应该以最直接、自助的方式提供,以尽量减少服务提供商的人员对客户数据的访问。 例如,如果数据转储是由服务提供商的人员手动导出的,它可能会被下载到个人的笔记本电脑或通过有风险的渠道传输给客户。
对于涉及用户身份和密码的企业客户数据,密码应以散列格式存储,如果使用不同的散列函数,则可能无法在其他地方使用。 第 4 章讨论在系统之间迁移用户身份数据的选项。 对于消费者用户,应该考虑传输的数据格式以及传输过程的安全性。 即使客户要离开,提供良好的体验也可能为未来提供机会。

隐私擦除权

当用户删除其帐户时,仅删除您自己的服务保存的有关用户的数据可能还不够。 GDPR 第 17 条赋予消费者删除权,通常称为被遗忘权,允许用户请求组织删除其拥有的关于用户的数据。根据 GDPR 第 19 条,数据控制者有义务向他们提供个人数据的任何数据处理者传达删除请求。希望删除其帐户的用户可能希望行使删除权,这可能需要删除应用程序用户存储库中的数据以及其他的可能的数据处理服务。
应该注意的是,删除权不会取消企业或组织可能具有的其他需要保存记录的义务,包括那些包含个人信息保护的义务。 GDPR 第 17 条第 3 款概述了不适用删除权的几种情况。这些包括履行数据控制者或处理者的法律义务、支持信息自由权以及确立、行使或捍卫法律主张。金融机构可能有法律义务在账户关闭后保留一段时间的个人信息记录。医疗保健组织通常需要在服务日期之后保留一段时间内与医疗保健相关的记录。即使是小型企业也有法律义务在一段时间内保留就业和税务记录。平衡隐私权和其他法律义务可能很复杂,因此组织应与法律和隐私专家协商,定义处理擦除请求的数据保留政策和程序。

擦除证书

除了出于隐私原因禁用和终止个人用户帐户的程序外,企业客户终止使用服务后,可以要求服务方删除他们的企业帐户。 这可以包括与帐户关联的管理用户的用户数据、与服务相关的应用程序数据和用户数据。完成删除后, 客户可以向服务方申请删除证书,以确认说明他们的所有数据都已被删除。 如果涉及敏感数据,包括有关用户的数据,客户可以要求安全删除证书。 这种证明以确保服务商尽职的按照要求的予以删除,这有助于保护企业客户的敏感信息。

重新关联配置的场景

也许存在这样的场景,客户在删除账户后,请求重新配置其先前取消配置的帐户,这需要为此制定策略的可能性。 如果帐户被重新配置并提供给授权所有者以外的其他人,则将构成安全漏洞,因此一种选择是不支持重新配置。 如果要支持重新配置,您将需要验证请求者是帐户的授权所有者的程序。 如果支持这一点,任何策略都需要符合适用的隐私立法。

总结

当与员工或客户的关系结束时,您可能需要做的不仅仅是删除他们的帐户。 您可能需要保留帐户的标识符并防止其他人再次使用它。 您应该标记出于审计目的需要哪些数据元素,并制定符合隐私和法律建议的数据保留计划。 您可能还需要满足安全删除程序的要求并提供删除证书。