پرائیویسی بذریعہ ڈیزائن: سافٹ ویئر ڈویلپمنٹ ٹیموں کے لیے ایک عملی گائیڈ

پرائیویسی بذریعہ ڈیزائن کوئی تجویز نہیں ہے --- یہ GDPR آرٹیکل 25 کے تحت ایک قانونی تقاضہ ہے۔ تنظیموں کو "مناسب تکنیکی اور تنظیمی اقدامات" کو لاگو کرنا چاہیے تاکہ یہ یقینی بنایا جا سکے کہ ڈیٹا کے تحفظ کے اصول پروسیسنگ میں ہی شامل ہیں۔ اس کے باوجود زیادہ تر ترقیاتی ٹیمیں رازداری کو ایک سوچ سمجھ کر پیش کرتی ہیں، آرکیٹیکچر کے سیٹ ہونے کے بعد رضامندی کے فارم اور کوکی بینرز پر بولٹنگ کرتی ہیں۔

یہ گائیڈ پرائیویسی بذریعہ ڈیزائن کے سات بنیادی اصولوں کو قابل عمل انجینئرنگ طریقوں، ڈیزائن کے نمونوں اور کوڈ کی سطح کے نفاذ میں ترجمہ کرتا ہے۔

اہم ٹیک ویز

• ڈیزائن کے لحاظ سے رازداری کا مطلب ہے رازداری کو فن تعمیر کے فیصلوں میں سرایت کرنا، اسے بعد میں ایک خصوصیت کے طور پر شامل نہیں کرنا
• اسکیما کی سطح پر ڈیٹا کو کم سے کم کرنا شروع سے ہی زیادہ جمع ہونے سے روکتا ہے۔
• جب خلاف ورزی ہوتی ہے تو تخلص اور خفیہ کاری گہرائی میں دفاع فراہم کرتی ہے۔
• رازداری کے تحفظ کے تجزیات انفرادی صارف کے ڈیٹا کو ظاہر کیے بغیر کاروباری بصیرت فراہم کر سکتے ہیں۔

---

سافٹ ویئر پر لاگو سات اصول

1. فعال نہیں رد عمل

ڈیٹا اکٹھا کرنے سے پہلے پرائیویسی کنٹرولز بنائیں، خلاف ورزی کے بعد نہیں۔

عملی طور پر:

• صارف کی کہانی کی قبولیت کے معیار میں رازداری کے تقاضے شامل کریں۔
• فن تعمیر کے جائزوں کے دوران رازداری کے خطرے کا ماڈل چلائیں۔
• صارف کے ڈیٹا کو چھونے والی ہر پل درخواست کے لیے پرائیویسی چیک لسٹ بنائیں

2. پرائیویسی بطور ڈیفالٹ سیٹنگ

صارفین کو اپنی رازداری کے تحفظ کے لیے کارروائی کرنے کی ضرورت نہیں ہونی چاہیے۔

عملی طور پر:

• کم از کم ڈیٹا شیئرنگ کے لیے نئے صارف اکاؤنٹس ڈیفالٹ
• تجزیاتی ٹریکنگ آپٹ ان ہے، آپٹ آؤٹ نہیں۔
• پروفائل کی مرئیت ڈیفالٹ پرائیویٹ ہے۔
• کم از کم مطلوبہ مدت تک ڈیٹا برقرار رکھنا ڈیفالٹ ہے۔

// Default privacy settings for new users
const DEFAULT_PRIVACY_SETTINGS = {
  profileVisibility: 'private',       // Not 'public'
  analyticsTracking: false,           // Opt-in required
  marketingEmails: false,             // Opt-in required
  dataSharing: false,                 // Opt-in required
  activityLog: true,                  // Security feature, on by default
  twoFactorAuth: true,               // Security feature, on by default
};

3. پرائیویسی ڈیزائن میں شامل ہے۔

پرائیویسی سسٹم کا بنیادی جزو ہے، ایڈ آن نہیں۔

ڈیٹا بیس اسکیما ڈیزائن:

-- Privacy-aware schema design
CREATE TABLE users (
    id UUID DEFAULT gen_random_uuid() PRIMARY KEY,
    -- Separate PII from operational data
    email VARCHAR(255) NOT NULL,          -- PII
    email_hash VARCHAR(64) NOT NULL,      -- For lookups without exposing email
    name_encrypted BYTEA,                 -- Encrypted at rest
    -- Operational fields (non-PII)
    role VARCHAR(50) NOT NULL DEFAULT 'user',
    created_at TIMESTAMP DEFAULT NOW(),
    -- Privacy metadata
    consent_timestamp TIMESTAMP,
    consent_version VARCHAR(20),
    data_retention_until TIMESTAMP,
    deletion_requested_at TIMESTAMP
);

-- Separate sensitive data into its own table with stricter access
CREATE TABLE user_pii (
    user_id UUID PRIMARY KEY REFERENCES users(id) ON DELETE CASCADE,
    phone_encrypted BYTEA,
    address_encrypted BYTEA,
    date_of_birth_encrypted BYTEA,
    -- Audit trail
    last_accessed_at TIMESTAMP,
    last_accessed_by UUID
);

4. مکمل فعالیت (مثبت رقم)

پرائیویسی فعالیت کی قیمت پر نہیں آنی چاہیے۔ ڈیزائن کے نظام جو دونوں فراہم کرتے ہیں.

مثال: پرسنلائزیشن اور پرائیویسی کے درمیان انتخاب کرنے کے بجائے، پرائیویسی کو محفوظ کرنے والی پرسنلائزیشن کا استعمال کریں:

• فیڈریٹڈ لرننگ: مقامی ڈیٹا پر تربیت یافتہ ML ماڈلز، صرف مجموعی نتائج کا اشتراک کیا جاتا ہے۔
• امتیازی رازداری: انفرادی شناخت کو روکنے کے لیے تجزیات میں شور شامل کریں۔
• آن ڈیوائس پروسیسنگ: سفارشات صارف کے آلے پر شمار کی جاتی ہیں، سرور پر نہیں۔

5. اینڈ ٹو اینڈ سیکیورٹی

اس کی پوری زندگی کے دوران ڈیٹا کی حفاظت کریں۔

| لائف سائیکل اسٹیج | حفاظتی اقدام | |------------------------------------------------| | مجموعہ | ٹرانزٹ میں TLS 1.3، ان پٹ کی توثیق | | پروسیسنگ | میموری سے محفوظ ہینڈلنگ، PII کی کوئی لاگنگ نہیں | | ذخیرہ | آرام پر AES-256 خفیہ کاری، کلیدی انتظام | | شیئرنگ | خفیہ کردہ چینلز، وصول کنندگان کے ساتھ DPAs | | آرکائیویل | خفیہ شدہ آرکائیو، لاگنگ تک رسائی | | حذف کرنا | کرپٹوگرافک مٹانا، تصدیق |

6. مرئیت اور شفافیت

صارفین کو یہ سمجھنا چاہیے کہ ان کے ڈیٹا کا کیا ہوتا ہے۔

عمل درآمد:

// Privacy dashboard API endpoint
@Controller('privacy')
export class PrivacyController {
  @Get('my-data')
  @ApiOperation({ summary: 'Get all personal data (GDPR Art. 15)' })
  async getMyData(@Req() req: AuthenticatedRequest) {
    return {
      profile: await this.userService.getProfile(req.user.sub),
      orders: await this.orderService.getUserOrders(req.user.sub),
      supportTickets: await this.supportService.getUserTickets(req.user.sub),
      loginHistory: await this.authService.getLoginHistory(req.user.sub),
      consentRecords: await this.consentService.getUserConsents(req.user.sub),
      dataProcessors: this.getDataProcessorList(),
    };
  }

  @Post('export')
  @ApiOperation({ summary: 'Export personal data (GDPR Art. 20)' })
  async exportMyData(@Req() req: AuthenticatedRequest) {
    // Generate machine-readable export (JSON)
    return this.privacyService.generateDataExport(req.user.sub);
  }

  @Post('delete')
  @ApiOperation({ summary: 'Request data deletion (GDPR Art. 17)' })
  async requestDeletion(@Req() req: AuthenticatedRequest) {
    return this.privacyService.initiateDataDeletion(req.user.sub);
  }
}

7. صارف کی رازداری کا احترام

صارف کو ڈیزائن کے ہر فیصلے کے مرکز میں رکھیں۔

---

رازداری کو محفوظ رکھنے والے فن تعمیر کے نمونے۔

پیٹرن 1: ڈیٹا الگ کرنا

ذاتی طور پر قابل شناخت معلومات کو آپریشنل ڈیٹا سے الگ کریں:

[Frontend] --> [API Gateway] --> [Application Service]
                                       |
                      +----------------+----------------+
                      |                                 |
              [Operational DB]                    [PII Vault]
              (Orders, products,                  (Names, emails,
               analytics - by ID)                  addresses - encrypted)

پیٹرن 2: رضامندی سے چلنے والی پروسیسنگ

// Consent middleware
async function requireConsent(purpose: string) {
  return async (req: Request, res: Response, next: NextFunction) => {
    const consent = await consentService.check(req.user.id, purpose);
    if (!consent.granted) {
      throw new ForbiddenException(
        `Processing for "${purpose}" requires user consent`
      );
    }
    next();
  };
}

// Usage
@Get('recommendations')
@UseGuards(requireConsent('personalization'))
async getRecommendations(@Req() req: AuthenticatedRequest) {
  return this.recommendationService.getForUser(req.user.sub);
}

پیٹرن 3: خودکار ڈیٹا ختم ہونا

// TTL-based data retention
const RETENTION_POLICIES = {
  supportTickets: { days: 1095, action: 'anonymize' },    // 3 years
  recruitmentData: { days: 730, action: 'delete' },        // 2 years
  analyticsEvents: { days: 365, action: 'aggregate' },     // 1 year
  sessionLogs: { days: 90, action: 'delete' },             // 90 days
  tempUploads: { days: 7, action: 'delete' },              // 7 days
};

---

فریق ثالث کے انضمام میں رازداری

ہر فریق ثالث کا انضمام ایک ممکنہ رازداری کا خطرہ ہے۔ جب آپ کی ایپلیکیشن صارف کا ڈیٹا کسی بیرونی سروس کو بھیجتی ہے، تو آپ اس کے ذمہ دار بن جاتے ہیں کہ وہ سروس اسے کیسے ہینڈل کرتی ہے۔

انٹیگریشن پرائیویسی اسسمنٹ

کسی بھی فریق ثالث کی خدمت کو مربوط کرنے سے پہلے جو صارف کے ڈیٹا پر کارروائی کرتی ہے:

مشترکہ انٹیگریشن رازداری کے خطرات

تجزیات: گوگل تجزیات، مکسپینل، اور اسی طرح کی خدمات صارف کے رویے کا ڈیٹا وصول کرتی ہیں۔ ڈیٹا کی نمائش کو کم سے کم کرنے کے لیے سرور سائیڈ اینالیٹکس یا کوکی فری متبادلات (قابل قابلِ فہم، فیتھم) استعمال کریں۔

ادائیگی کی کارروائی: پٹی، پے پال، اور اسی طرح کی خدمات مالیاتی ڈیٹا پر کارروائی کرتی ہیں۔ PCI-DSS دائرہ کار میں توسیع سے بچنے کے لیے ان کے میزبان ادائیگی کے فارمز (سٹرائپ ایلیمنٹس) کا استعمال کریں۔ کبھی بھی مکمل کریڈٹ کارڈ نمبروں کو لاگ ان نہ کریں۔

ای میل سروسز: SendGrid، Mailgun، اور اسی طرح کی خدمات ای میل پتوں اور پیغام کے مواد پر کارروائی کرتی ہیں۔ یقینی بنائیں کہ ای میل سروس فراہم کنندہ کے پاس دستخط شدہ DPA ہے اور وہ آپ کے وصول کنندہ کا ڈیٹا اشتہارات کے لیے استعمال نہیں کرتا ہے۔

کسٹمر سپورٹ: Zendesk، Intercom، اور اسی طرح کی سروسز کسٹمر کی گفتگو کو اسٹور کرتی ہیں جن میں PII شامل ہوسکتا ہے۔ سپورٹ پلیٹ فارم میں ڈیٹا برقرار رکھنے کو ترتیب دیں اور یقینی بنائیں کہ DPA تمام ڈیٹا کی اقسام کا احاطہ کرتا ہے۔

---

ڈویلپر چیک لسٹ

صارف کے ڈیٹا کو چھونے والی ہر خصوصیت کے لیے

• یہ فیچر کون سا ذاتی ڈیٹا اکٹھا کرتا ہے؟ (اسے دستاویز کریں)
• جمع کرنے کی قانونی بنیاد کیا ہے؟ (رضامندی، معاہدہ، جائز مفاد)
• کیا یہ کم از کم ڈیٹا کی ضرورت ہے؟ (ڈیٹا مائنسائزیشن)
• ہم اسے کب تک برقرار رکھیں گے؟ (برقرار رکھنے کی پالیسی)
• کس کو رسائی حاصل ہے؟ (کم سے کم استحقاق)
• کیا یہ آرام اور ٹرانزٹ میں خفیہ کردہ ہے؟ (سیکیورٹی)
• کیا صارف اپنے ڈیٹا تک رسائی، برآمد اور حذف کر سکتا ہے؟ (حقوق)
• کیا یہ آڈٹ کے مقاصد کے لیے لاگ کیا گیا ہے؟ (احتساب)
• کیا یہ سرحدوں کو عبور کرتا ہے؟ (منتقلی میکانزم)
• اگر زیادہ خطرہ ہو تو کیا DPIA مکمل ہو چکا ہے؟ (تشخیص)

---

اکثر پوچھے گئے سوالات

کیا رازداری بذریعہ ڈیزائن صرف GDPR کے لیے ہے؟

نہیں، جبکہ GDPR اسے ایک قانونی تقاضہ بناتا ہے (آرٹیکل 25)، ڈیزائن کے لحاظ سے رازداری عالمی سطح پر ایک تسلیم شدہ بہترین عمل ہے۔ کیلیفورنیا کا CPRA، برازیل کا LGPD، اور ہندوستان کا DPDP سبھی نظام کے ڈیزائن میں رازداری کو سرایت کرنے کے لیے یکساں تقاضے شامل کرتے ہیں۔ GDPR تعمیل کے لیے ڈیزائن کے ذریعے رازداری کا نفاذ خود بخود بیشتر دیگر دائرہ اختیار کی ضروریات کو پورا کرتا ہے۔

ہم کسی موجودہ ایپلیکیشن میں رازداری کو دوبارہ کیسے بنا سکتے ہیں؟

ترجیح دیں: (1) آڈٹ کریں کہ آپ کے پاس کون سا ذاتی ڈیٹا ہے اور یہ کہاں رہتا ہے، (2) ڈیٹا کے موضوع کی درخواست کے ورک فلو (رسائی، حذف، برآمد) کو لاگو کریں، (3) حساس ڈیٹا کے لیے خفیہ کاری شامل کریں، (4) برقرار رکھنے کی پالیسیوں اور خودکار حذف کو نافذ کریں، (5) رضامندی کا انتظام شامل کریں جہاں غائب ہو۔ یہ مثالی نہیں ہے لیکن سب سے پہلے سب سے زیادہ خطرے والے خلا کو دور کرتا ہے۔

کیا پرائیویسی بذریعہ ڈیزائن کا مطلب ہے کہ ہم تجزیات استعمال نہیں کر سکتے؟

نہیں، اس کا مطلب ہے تجزیات کو ذمہ داری سے استعمال کرنا۔ انفرادی ٹریکنگ کے بجائے مجموعی ڈیٹا۔ ویب سائٹ میٹرکس کے لیے کوکی فری اینالیٹکس (قابل قابلِ فہم) استعمال کریں۔ مصنوعات کے تجزیات کے لیے، PII یا تخلص شناخت کنندگان کے بغیر واقعات جمع کریں۔ A/B ٹیسٹنگ کے لیے، کلائنٹ سائیڈ ٹریکنگ کوکیز کے بغیر سرور سائیڈ اسائنمنٹ استعمال کریں۔ رازداری اور تجزیات سوچ سمجھ کر ڈیزائن کے ساتھ مطابقت رکھتے ہیں۔

ہم Odoo میں ڈیزائن کے ذریعے رازداری کو کیسے نافذ کرتے ہیں؟

اوڈو کئی بلٹ ان پرائیویسی خصوصیات فراہم کرتا ہے: صارف تک رسائی کے گروپس (فی ماڈیول تک رسائی کنٹرول)، آڈٹ لاگنگ (ریکارڈ پر چیٹر)، اور ڈیٹا آرکائیونگ۔ ان کے ساتھ ان کو بہتر بنائیں: حساس ڈیٹا کے لیے انکرپٹڈ کسٹم فیلڈز، شیڈول کردہ ایکشنز کا استعمال کرتے ہوئے خود کار طریقے سے برقرار رکھنے کے اصول، کسٹم رپورٹس کا استعمال کرتے ہوئے GDPR ڈیٹا ایکسپورٹ کی فعالیت، اور رابطہ ریکارڈز پر رضامندی سے باخبر رہنا۔ ECOSIRE کی Odoo حسب ضرورت خدمات میں رازداری کے لحاظ سے ڈیزائن کا نفاذ شامل ہے۔

---

آگے کیا آتا ہے۔

ڈیزائن کے لحاظ سے رازداری انجینئرنگ کا شعبہ ہے۔ اسے لائف سائیکل مینجمنٹ کے لیے ڈیٹا برقرار رکھنے کی پالیسیوں، ویب پراپرٹیز کے لیے کوکی رضامندی کا نفاذ اور اندرونی سسٹمز کے لیے ملازمین کے ڈیٹا کی رازداری کے ساتھ جوڑا بنائیں۔

ECOSIRE سے رابطہ کریں پرائیویسی بہ ڈیزائن مشاورت اور سافٹ ویئر آرکیٹیکچر کے جائزے کے لیے۔

---

ECOSIRE کے ذریعہ شائع کیا گیا -- کاروبار کو کوڈ کی ہر سطر میں رازداری بنانے میں مدد کرنا۔