通用數(shù)據(jù)保護法規(guī)（GDPR）已成為處理個人數(shù)據(jù)的組織的關(guān)鍵任務(wù)，包括使用PHP來構(gòu)建其Web應(yīng)用程序的數(shù)據(jù)。不管開發(fā)人員的位置如何，了解GDPR的范圍和要求對于確保安全和合法的數(shù)據(jù)處理至關(guān)重要。

在此博客中，我們?yōu)镻HP Web開發(fā)人員圍繞GDPR的常見問題提供答案。然后，我們探索GDPR PHP最佳實踐，并討論需要達到GDPR標準的團隊的解決方案。

GDPR PHP合規(guī)性：常見問題

對于使用PHP的人，了解特定的GDPR合規(guī)性要求對于確保安全和合法的數(shù)據(jù)處理至關(guān)重要。在我們針對Web開發(fā)人員解決特定的GDPR最佳實踐之前，讓我們探討一些有關(guān)GDPR，PHP和合規(guī)性標準的常見問題。

什么是GDPR？

GDPR于2018年5月25日生效，從2021年9月開始生效。

GDPR有什么保護？

GDPR保護個人數(shù)據(jù)和個人隱私權(quán)的幾個關(guān)鍵領(lǐng)域：個人數(shù)據(jù)保護，個人權(quán)利和特殊保護。我們將在本文稍后詳細描述它們。

如果我在歐盟外，GDPR是否適用于我的PHP Web應(yīng)用程序？

當滿足以下條件之一時，您的PHP Web應(yīng)用程序必須符合GDPR：

• 您為歐盟公民提供商品或服務(wù)。
• 您擁有基于歐盟的用戶或客戶。
• 您的網(wǎng)站通過cookie來針對歐盟流量（如果未獲得同意，那是非法的）。

不遵守GDPR的處罰是什么？

嚴重的經(jīng)濟罰款包括全球年收入和行政罰款的4％，以及諸如審計或禁令之類的糾正措施。不合規(guī)會損害聲譽，并導致刑事指控和其他執(zhí)法行動。

PHP開發(fā)人員的GDPR最佳實踐

對于開發(fā)PHP Web應(yīng)用程序的程序員，符合GDPR涉及與數(shù)據(jù)安全和管理有關(guān)的幾個關(guān)鍵方面。要考慮的要點包括：

• 建立安全的基礎(chǔ)
• 數(shù)據(jù)存儲和處理
• 訪問控制
• 同意管理
• 訪問權(quán)和糾正權(quán)
• 數(shù)據(jù)刪除
• 數(shù)據(jù)安全
• 培訓和意識

通過遵循這些GDPR最佳實踐，PHP開發(fā)人員可以在保護私人和敏感數(shù)據(jù)的同時保持合規(guī)性。

數(shù)據(jù)存儲和處理

在考慮GDPR PHP最佳實踐時，要牢記兩種類型的數(shù)據(jù)存儲：

• 數(shù)據(jù)加密可確保敏感信息（例如密碼和個人數(shù)據(jù)）被存儲在數(shù)據(jù)庫中和通過網(wǎng)絡(luò)傳輸過程中。使用HTTPS在客戶端和服務(wù)器之間進行安全通信。
• 數(shù)據(jù)最小化僅收集必要的個人數(shù)據(jù)，并避免收集比應(yīng)用程序任務(wù)所需的更多信息。

通常，我們建議客戶最大程度地減少收集和使用的用戶數(shù)據(jù)量。重要的是要避免收集不必要的個人信息或?qū)⑵溆糜谥饕鈭D之外的目的。

此外，PHP還提供了多個庫和工具，用于加密，安全通信和數(shù)據(jù)存儲：

• OpenSSL為對稱和非對稱加密，哈希和SSL/TLS通信提供了強有力的支持。
• 鈉（libsodium）內(nèi)置在PHP 7.2及后續(xù)版本中，為加密，簽名和哈希提供了現(xiàn)代，安全的加密原語。
• PHP的密碼哈希API（例如，password_hash（））提供了安全的方法，用于哈希和驗證密碼。
• Phpseclib為RSA，AE和其他加密操作提供了純PHP解決方案。
• GNUPG（GPG）使用公共/私鑰提供加密和數(shù)字簽名。
• JWT（JSON Web令牌）廣泛用于基于API的身份驗證中的安全通信。
• 實施TLS/SSL（HTTPS），通過確保通信來保護運輸中的數(shù)據(jù)。

有多個PHP框架可以幫助您完成上述任務(wù)。其中之一是Zend Framework的Laminas Framework。 Laminas Crypt組件提供了用于加密和哈希敏感數(shù)據(jù)的實用程序。下面的簡化示例展示了一種僅保留密碼的方法并將其與登錄過程中的原件進行比較的方法：

使用laminas \ crypt \ password \ bcrypt;

$ bcrypt = new bcrypt（）;
$ hashedpassword = $ bcrypt-> create（'password'）;
if（$ bcrypt-> verify（'密碼'，$ hashedpassword））{
    回聲'密碼匹配！';
}

訪問控制

授權(quán)和身份驗證可用于實施旨在防止未經(jīng)授權(quán)訪問個人數(shù)據(jù)的強大機制?？梢酝ㄟ^使用哈希和鹽來完成密碼來實現(xiàn)它們。此外，基于角色的訪問控制（RBAC）可用于為用戶定義不同的角色和權(quán)限，控制誰有訪問哪些信息。

為此，我們還可以利用現(xiàn)有的有用工具或庫。從現(xiàn)在開始，我們將主要使用Laminas框架進行示例。 Laminas auth和ACL組件可用于實現(xiàn)安全的身份驗證和基于角色的訪問控制。下面給出了另一個簡化的示例：

使用laminas \ permissions \ acl \ acl;
使用laminas \ permissions \ acl \ recor \ genericrole作為角色；

$ acl = new acl（）;
$ acl-> addResource（'admin'）;
$ acl->允許（'guest'，null，['index']）;
$ acl->允許（'會員'，'admin'，['edit'，'delete']）;

同意管理

請求處理個人數(shù)據(jù)時，請務(wù)必顯示清晰且可理解的同意消息。這樣可以確保用戶在必要時輕松撤回同意。保留同意書的記錄，包括接收同意的日期和時間以及用戶標識符。

可以使用Laminas日志模塊進行數(shù)據(jù)訪問和修改的全面記錄和審核。確保您沒有記錄任何敏感或私人數(shù)據(jù)，例如密碼或一個人的年齡和地址。

使用laminas \ log \ logger;
使用laminas \ log \ writer \ stream;

$ logger = new Logger（）;
$ writer = new Stream（'Path/to/your/your/log/file'）;
$ logger-> addWriter（$ writer）;
$ logger-> info（'用戶訪問的個人資料頁面。'，['user_id'=> 123]）;

如果您不使用任何PHP框架，另一個選項是將安全的Zendphp Runtimes與Zendhq擴展時期使用。這種強大的組合使團隊可以在維護GDPR PHP合規(guī)性標準的同時監(jiān)視，檢查，優(yōu)化，保護和擴展PHP應(yīng)用程序。例如，只需定義自定義監(jiān)視事件以日志同意管理工作流，zendhq將記錄和審核數(shù)據(jù)訪問和修改：

 $ userdata = new Class {
      公共字符串$ text =一些有關(guān)接收同意的數(shù)據(jù)';
   };
 zend_monitor_custom_event（'gdpr title'，'gdpr同意文本'，$ userdata，-1）; 

訪問權(quán)和糾正權(quán)

GDPR PHP合規(guī)性包括訪問權(quán)和個人數(shù)據(jù)的糾正權(quán)。數(shù)據(jù)管理接口為用戶提供了一個可以查看，編輯或刪除其個人數(shù)據(jù)的接口。此外，迅速有效地處理數(shù)據(jù)的訪問和糾正請求對于維持GDPR合規(guī)性很重要。

此類數(shù)據(jù)系統(tǒng)的用戶界面可能會隨著時間的推移而發(fā)展，但是在可以在受保護區(qū)域內(nèi)安全傳遞所需數(shù)據(jù)的Web API進行投資至關(guān)重要，并且不必花費很高或耗時即可創(chuàng)建此類API。我們建議客戶的開始是使用Laminas API工具，可以幫助他們立即創(chuàng)建所需的API接口。

數(shù)據(jù)刪除

根據(jù)GDPR，允許用戶請求刪除其個人數(shù)據(jù)。始終執(zhí)行“被遺忘的權(quán)利”并相應(yīng)地發(fā)展功能。例外是保留數(shù)據(jù)的法律原因。維護數(shù)據(jù)刪除過程的文檔以證明GDPR依從性。

如果實現(xiàn)了Web API，則可以允許數(shù)據(jù)所有者編輯自己的信息。有了受限的訪問，還可以授予系統(tǒng)管理員根據(jù)需要修改數(shù)據(jù)的能力。

數(shù)據(jù)安全

無論合規(guī)要求如何，始終建議遵循PHP安全性最佳實踐。定期將軟件，庫和依賴項更新為最新版本，以防止漏洞。實施監(jiān)視系統(tǒng)和日志將有助于檢測并應(yīng)對潛在的安全漏洞。

您可以開發(fā)自己的工具來監(jiān)視數(shù)據(jù)流，也可以利用ZendPHP和ZendHQ等解決方案，這些解決方案旨在監(jiān)視系統(tǒng)并響應(yīng)影響其性能，安全性和完整性的事件。

培訓和意識

培訓您的團隊保護個人數(shù)據(jù)的重要性，并確保他們對GDPR合規(guī)性所需的程序有充分的了解。告知您的PHP應(yīng)用程序用戶其權(quán)利以及您的應(yīng)用程序保護這些權(quán)利的步驟。

以上是GDPR PHP合規(guī)性：維護Web應(yīng)用程序的GDPR的詳細內(nèi)容。更多信息請關(guān)注PHP中文網(wǎng)其他相關(guān)文章！