Prečo je bezpečnosť poistných aplikácií nevyhnutná
Moderné poistné aplikácie umožňujú používateľom pohodlne spravovať poistné udalosti, telematiku jazdy, poistné zmluvy, kartu asistencie či komunikáciu s likvidátorom. Tieto aplikácie často pracujú s citlivými údajmi, medzi ktoré patria informácie o zdraví, polohe či biometrické dáta. Z tohto dôvodu musia striktne dodržiavať vysokú úroveň povolení, ochrany súkromia a kybernetickej bezpečnosti. V nasledujúcom článku sa zaoberáme tým, aké požiadavky by mala spĺňať bezpečná poistná aplikácia, ako správne nastavovať povolenia a interpretovať zásady ochrany údajov na minimalizáciu rizík pre vás a vašu rodinu.
Druhy údajov spracúvaných poistnými aplikáciami
- Identifikačné údaje: meno, e-mail, telefónne číslo, číslo poistnej zmluvy, platobné informácie.
- Prevádzkové údaje: dátum a čas udalostí, logy prihlásení, používané zariadenie a verzia operačného systému.
- Lokalizačné a telematické dáta: GPS poloha, rýchlosť, zrýchlenie, štýl jazdy a prejdené trasy (napríklad v programoch „pay-how-you-drive“).
- Zdravotné a úrazové informácie: diagnózy, lekárske správy, fotografie zranení, dokumenty o práceneschopnosti.
- Mediálne súbory: fotografie a videá škôd, nahrávky z kamery či galérie používané pri fotoliečbe alebo obhliadkach.
Analýza povolení: význam jednotlivých prístupov a odporúčané nastavenia
| Povolenie | Účel využitia aplikáciou | Odporúčané bezpečné nastavenie | Riziká pri nadmernom rozsahu prístupu |
|---|---|---|---|
| Lokalita (presná/na pozadí) | Telematika jazdy, asistencia na ceste, vyhľadávanie servisu, lokalizácia poistnej udalosti | Povoliť „použiť iba pri aktívnom využívaní aplikácie“, presnú lokalitu povoľovať výlučne pre telematické funkcie | Profilovanie denných návykov, zbytočný zber detailných trás, riziko spätného odhalenia identity |
| Kamera a fotoaparát | Fotodokumentácia poistných škôd, skenovanie dokladov | Povoliť iba počas fotenia, zakázať trvalý prístup | Neoprávnený prístup k foto a video súborom, únik citlivých materiálov |
| Fotky a médiá / úložisko | Nahrávanie dokumentov, faktúr a ďalších podkladov | Vyhľadávač súborov s možnosťou vybrať konkrétne fotografie (napríklad iOS/Android Photo Picker) | Nadmerný prístup ku celej galérii, únik metadát (napr. EXIF s polohou) |
| Mikrofón | Záznam hlasových poznámok k udalostiam, hovory v rámci aplikácie | Povoliť iba ak využívate príslušnú funkciu, inak zakázať | Nevedomé odpočúvanie alebo pasívna audio telemetria |
| Senzory pohybu (akcelerometer) | Detekcia nehody, analýza štýlu jazdy | Povoliť len v rámci telematických programov; inak deaktivovať | Profilovanie správania, možná nepresná interpretácia dát |
| Kontakty / Kalendár | V výnimočných prípadoch zdieľanie polohy s blízkymi alebo pripomienky | Obvykle odmietnuť; alternatívou je manuálny vstup dát | Zbieranie sociálnych väzieb, zvyšovanie rizika úniku súkromných informácií |
| Bluetooth | Párovanie s telematickými zariadeniami, donglami alebo majákmi | Povoliť iba počas párovania a jazd | Sledovanie okolitého prostredia, možné bezpečnostné útoky prostredníctvom povolenia |
| Oznámenia | Upozornenia na termíny, vyzvanie na doplnenie dokumentov a asistenciu | Povoľovať kritické notifikácie, vypnúť marketingové oznámenia | Riziko phishingu cez push notifikácie, zahltenie používateľa |
Princípy „privacy by design“ pri vývoji poistných aplikácií
- Minimalizácia zhromažďovaných dát: aplikácia vyžiada len nevyhnutné povolenia a vždy iba v čase používania konkrétnej funkcie.
- Transparentné informovanie: jasné a zrozumiteľné obrazovky so súhlasmi, ktoré uvádzajú účel, rozsah a dobu spracovania údajov.
- Oddelenie účelov spracovania: samostatné súhlasy a rôzne retenčné lehoty pre telematiku, marketing a likvidáciu poistných udalostí.
- Šifrovanie údajov: používanie minimálne TLS 1.2 pri prenose dát a šifrované úložiská (Android Keystore, iOS Keychain) pre bezpečné uloženie tokenov a dokumentov.
- Auditovateľnosť prístupov: zaznamenávanie logov o prístupe k údajom a súborom s možnosťou kontroly, kto a kedy sprístupnil dáta, a možnosť exportu osobných údajov.
Uplatnenie GDPR v praxi – práva používateľov poistných aplikácií
- Prístup k údajom a ich prenositeľnosť: napríklad export telematických dát v štandardných formátoch CSV alebo JSON.
- Oprava a vymazanie: oprava nesprávnych údajov a žiadosť o vymazanie, ak neexistuje zákonná povinnosť archivácie, napríklad pri ukončených poistných udalostiach.
- Podanie námietok: možnosť namietať proti spracovaniu na marketingové účely alebo profilovaniu; taktiež odvolanie súhlasu s telematikou bez postihu za iné služby.
- Informácie o príjemcoch údajov: transparentne zverejnené informácie o externých subjektoch ako asistencie, znalci, cloudové služby či cezhraničné prenosy.
Bezpečné prihlásenie a správa používateľských relácií
- Viacfaktorová autentifikácia (MFA): využívajte SMS/OTP, preferovane push notifikácie a biometrickú autentifikáciu (Face ID, Touch ID) prostredníctvom OS, nie vlastné riešenia aplikácie.
- Biometrická autentifikácia cez OS API: nikdy neposkytujte aplikácii vlastné odtlačky prstov alebo fotografie, vždy používajte systémové overovanie biometrie.
- Odhlásenie a časový limit relácie: automatické odhlásenie po stanovenom čase nečinnosti a možnosť manuálne deaktivovať prihlásenia na všetkých zariadeniach.
- Bezpečnosť zariadenia: aplikácia by mala detegovať rootnuté či jailbreaknuté zariadenia a v takom prípade odmietnuť spustenie s jasným vysvetlením užívateľovi.
Telematika a férové podmienky programov „pay-how-you-drive“
- Granularita dát: preferujte event-based zber údajov (napríklad pri nehode či prudkom brzdení) namiesto nepretržitého sledovania.
- Transparentnosť hodnotenia: aplikácia musí jasne ukazovať, ktoré metriky (ako brzdenie, akcelerácia, jazda v noci) ovplyvňujú výsledné skóre a ako dlho sú dáta uchovávané.
- Možnosť opt-out bez penalizácie: odvolanie súhlasu by malo viesť maximálne k strate zľavy, nie k strate základného poistného krytia.
- Oddelenie dát telematiky a likvidácie: telematické informácie by nemali byť používané na krátenie poistných plnení bez transparentných a právne podložených pravidiel.
Fotoliečba a vzdialené obhliadky – rady pre bezpečné zdieľanie médií
- Odstránenie EXIF údajov o polohe: pred nahrávaním fotografií, ak tieto informácie nie sú nevyhnutné pre spracovanie škody.
- Výber konkrétnych snímok: namiesto poskytovania prístupu k celému albumu používajte systémové nástroje na výber jednotlivých fotografií.
- Súkromný priestor na ukladanie citlivých dát: lekárske dokumenty a podobné citlivé materiály ukladajte do šifrovaného úložiska (secure storage), nie do všeobecných priečinkov ako „Downloads“.
Nastavenia súkromia v iOS a Android zariadeniach, ktoré si treba osvojiť
- iOS: Cez Nastavenia → Súkromie a bezpečnosť spravujte Location Services (povoliť iba raz alebo počas používania), Photos (vybrať konkrétne fotografie), Tracking (zakázať sledovanie) a Background App Refresh iba pri potrebách aplikácie.
- Android: V Nastaveniach → Ochrana súkromia → Povolenia môžete upraviť prístup ku kamere, polohe a súborom („povoliť len pri používaní“), notifikácie vypnúť pre marketingové správy a uprednostniť približnú polohu pred presnou, kde je to možné.
- Obmedzenie behu aplikácie na pozadí: vypnite zásadné funkcie telematiky, ak ich momentálne nevyužívate, čím šetríte batériu a mobilné dáta.
Overenie dôveryhodnosti aplikácie pred inštaláciou
- Stiahnite aplikáciu výhradne z oficiálnych zdrojov, ako sú Apple App Store alebo Google Play, aby ste predišli inštalácii škodlivého softvéru.
- Skontrolujte hodnotenia a recenzie používateľov, ktorí môžu odhaliť prípadné bezpečnostné či funkčné nedostatky.
- Overte si informácie o vydavateľovi aplikácie a jeho reputáciu, pričom preferujte overené poisťovne a renomované spoločnosti.
- Pri inštalácii venujte pozornosť požadovaným povoleniam a odmietnite tie, ktoré sa zdajú byť nadbytočné alebo nesúvisiace s funkciami aplikácie.
Dodržiavaním týchto zásad môžete výrazne prispieť k ochrane svojich osobných údajov a zabezpečiť bezpečný a pohodlný zážitok z používania digitálnych poistných aplikácií. Pamätajte, že bezpečnosť v digitálnom prostredí je spoločnou zodpovednosťou vývojárov, poisťovní aj používateľov.
