Privacy / Yksityisyys

In English

Currently, the aim is not to identify users when they just browse works produced by a publishing application, nor is a normally behaving user identified by the publishing application or third-party support services, not even by an IP address [1]. At least not usually. Such support services include New Relic One ("observability platform") [2] and Datadog ("monitoring and analytics tool") [3]. On the server side, the publishing application sends metrics to these external services at regular intervals, in order to ensure the reliability of the service. The log analysis functionality of these monitoring services may be utilized, but if unique information such as IP address is included, an effort is made to filter it out. These are support services managed by the publishing application provider and the publishing application client does not have access to them, nor does they have access to view the data or 'raw data' derived from the metrics collected. Data is collected and aggregated from users in a device-independent manner and practices are consistent in this respect.

Separately, the right is reserved to clarify and prevent disruptive/intrusive behaviour by refining the log data momentarily and which may result in more log lines than those with a severity level of e.g. Warning or Alert. These logs will also contain IP addresses and may be used to perform a causal analysis, e.g. to which organisation the IP address belongs to. Thus, the accumulated log data will be deleted within a time limit such as one month, unless there is a reason to keep the log data longer, e.g. for authorities. Log data may be transferred to a third party (e.g. Papertrail) to allow logs to be read and analysed in the web interface provided. The log data is also not accessible to the client of the publishing application and is only available to the developer of the publishing application.

As published works may include a wide range of outputs originally published on different services, it is possible that these services include some form of tracking code or set cookies to identify the user when they appear in a work. These pieces of content may be classified as maps, podcasts, coding tutorials, videos, etc. If you wish, you can obtain information on the privacy policies associated with them from the websites of the relevant services.

No information that could or would be used for marketing purposes will be collected from browsing-only users of the publication service without a separate form asking for individual information. Likewise, there is no personalised information that a browsing user could possibly wish to remove. It is possible to include a "coding demonstration" (e.g., CodePen and JSFiddle) that asks the user for some information. For these, the publishing application customer will hopefully follow good practices with regard to data protection and user identifiability.

Anonymous statistical data will be collected about the pages users visit, which can be made available to the producer of the work that was read, the client of the publishing application, and the developer of the publishing application. The images in the works are distributed to users' browsers via the Content Delivery Network (CDN) service [4], which, according to its privacy statement, does not receive any data that allows identifying of users, unless such data is included in the web address, etc. (there isn't). The CDN service is (probably) registered by each customer and its management interface allows the publishing application customer to view, to a limited extent, anonymised statistics on, for example, the number of views of images in the works.

Registration to the publishing application is only available to publishing application customers and login is only available to customers and users of user accounts created by them. Whether the registration of a user ID is done via Facebook authentication, email verification or the management interface of the publishing application, the user's email address is stored in the database as part of the user record. This email address is often not used for anything, but there must be some channel of communication when needed and the email address works well for that. Necessary situations might include password resets or important information about the operation of the publishing application. The developer of the publication service reserves the right to use user email addresses accumulated in the databases of the various instances of the publication service to send necessary notifications to users, for example in situations where a customer of the publication service has not fulfilled obligations or where there is a major malfunction of the publication service. After the communication is completed, the list of e-mail addresses of the user accounts thus collected will be destroyed. Alternatively, if possible, the developer of the publishing application may contact the customer(s) only, who will then, at their discretion, contact the persons to whom they have assigned the user IDs in the instance of the publishing application.

The personal data of customers of the publishing application may have to be disclosed to the Finnish authorities in order to prove that the seller of the publishing application has received the money from its customers solely for onward transfer (prepayments using a PayPal account). The assumption is that the only information that needs to be passed on is the name of the customer, the amount of money and the purpose of the transaction. This possible practice is only valid if the developer of the publishing application offers the publication for sale as a private individual, i.e. before the other characteristics of a business are fulfilled.

All content produced and stored in the instance of the publishing application is physically located on servers to which only the developer of the publishing application (and possibly also his authorised, trusted employee) has access, in addition to the data centre service provider. Authenticated users can at any time export all project material related to a work, for example, or delete the entire project, leaving no data or files related to that project in the database and server directories.

The customer of the publishing application has the possibility to create and delete user accounts in its management interface. Users with user accounts can choose to co-edit their works by including one or more users with user accounts in the list of editing users on a project-by-project basis. Each instance of the publishing application uses different databases, files and servers, so different customers of the publishing application cannot access each other's data. The user accounts of the different publishing application instances are only available to one particular instance of the publishing application.

Momentarily, and only for the purposes of developing the publishing application, the code of the publishing application may be modified in such a way that certain specific logs may contain information as unique as a username. Such situations could include, for example, finding out why a certain type of activity for a certain user takes longer than normal, or why a unique id code for a particular user or users is not what it should be. Log lines might then look like, for example:

16:08:27:879_25-02-2020;user-exampleuser;needgroup-pictureupload;servlet;uploadstart;1
16:08:27:879_25-02-2020;user-exampleuser;needgroup-pictureupload;servlet;uploadend;642

bf0e9758-9fd1-4696-bd7e-eb0ffdffc4e1::1587982742480;servletname=ginkgobilobaservice;needgroup=basicelements;commandtype=savejson;writingcollection_name=New%20writing%20collection;task=addwritingcollection;loginname=exampleuser;project_id=372
bf0e9758-9fd1-4696-bd7e-eb0ffdffc4e1::1587982742480;phase=addelement;elementtype=writingcollection

The application server logs may in some situations contain usernames, but they are not extracted for any purpose beyond debugging:

0:0:0:0:0:0:0:1 - - [28/Apr/2020:15:24:26 +0300] "GET /kotvawritestories/ginkgobilobaservice?lang=en&needgroup=basicelements&task=loadwritingsbywritingcollection&writingcollection_id=551&commandtype=getjson&sessioncode=b13707&loginname=exampleuser&_=1588076665228 HTTP/1.1" 500 3940

As such, the developer of the publishing application has the possibility to view public and unpublished content of the publishing application's clients and material exported to the publishing application instance, such as images, but the intention is to refrain from doing so. This means that images and database data are not encrypted in such a way that they always have to be decrypted before they can be viewed. The client will be asked for permission to make extensive use of the database or files for testing purposes. The development of the publishing application does not specifically require that the contents of the database used by the customer's instance of the publishing application need to be examined in detail and in depth, but when investigating faults, it is unavoidable that data stored in the database is not seen momentarily in the process. Normally, the development of the publication service is carried out using separate test servers and test data.

The database structure may need to be changed when a newer version of the publishing application is installed, which in the simplest case may mean e.g. adding one new data field, but the database structure may change to such an extent that the data in the database has to be moved to a different place in the database, and thus there's a risk that that the customer's data will be seen momentarily. For these necessary changes, no separate permission is asked from the customer or from those to whom the customer has given user accounts.

Some errors in the source code may only occur in certain specific circumstances and situations and thus source code might include parts that can be activated by a configuration attribute and what allows to trace exactly how the error occurred, what happened, what happened next, etc. Or at least this is the ideal case. In reality, solving problems often requires a variety of approaches and perspectives.

For separately activated debug-enabling code, third-party services may be used and which specify, for example, what source code lines must be included to allow examination and analysis of error using the provided web interface. Services such as Sentry and Rollbar use their web pages to communicate the variety of ways in which, for example, problems can be resolved. When using such services data that includes information about the users of the publishing application may be transmitted over the network, over a secure connection. Whatever data is transferred it is not stored for very long and it is not used for anything other than troubleshooting. Such external services often offer no choice as to the country in which the servers that make their service possible are physically located.

The developer of the publishing application will seek to take care of the security of the servers, management interface of the data centre service provider etc., where one person can take care of the security of their own and the instances of the publishing application. Part of the security of the users of the publishing application is the protection of user passwords with SHA-2 (cryptographic hash function), with the addition of a so-called salting, i.e. a random string added to the password before it is processed by SHA-2.

Depending on the data centre service provider, the customer of the publishing application can choose where in the world he wants the servers of the publishing application to be located, so if he chooses one of the three options (Finland, Germany or the USA) that is not in the same country as the reader of the publishing application's works or some users with user accounts, information about the use of the publishing application can be unauthorisedly discovered in more parts of the network than if the user and the publishing application were located in the same country, when not using secure connection. It is up to the customer of the publishing application to decide whether to use an SSL certificate to promote the connection protocol from unsecured HTTP to secured HTTPS. The data centre service provider may, depending on the configuration of the publisher, copy the data on the servers of the publishing application from one country to another, e.g. for server mirroring purposes, but even then only under the control of the same data centre service provider. The CDN service BunnyCDN copies, by default, everything it is intended to distribute to PoP (Point of Presence) servers in several countries. Thus, all public images of the works end up on servers in several countries (slightly configurable), but only the public ones.

Information stored directly or indirectly by users on the publishing application will not be made available, nor will it be made available to other parties for any purpose beyond that explained above. Conversations with customers and other users with user accounts are, in principle, intended to be aware of by participants in the conversation. The customer register is not intended for use by any third party and will not be sold or redistributed. An exception to this is to facilitate communication by storing customers' e-mail addresses and names, for example in an email campaign-type online service, so that it wouldn't be necessary to use only an email client to communicate. The customer register may be used, within the limits of the law and good practice, to mention ancillary services of the publication service by email, but these messages will also include an opt-out option.

[1] For example, New Relic's guidelines state that its APM (Application Performance Management) agent installed on instance of the publishing application, which collects metrics on service activity, does not capture user IP addresses ("Client IP address: Not captured") and although its Browser Monitoring component uses the IP address to segment users, it is not stored anywhere and is only used momentarily to determine a rough geographic location: https://docs. newrelic.com/docs/apm/new-relic-apm/getting-started/apm-agent-data-security/

[2] More information about New Relic's privacy policy: https://docs.newrelic.com/docs/security/security-privacy/data-privacy/data-privacy-new-relic/.

[3] The Datadog privacy notice states that "Datadog's services are not generally intended to be used for processing personal data and we make available to our customers information on both filtering and masking personal data before customer data is submitted to our subscription services.": https://www.datadoghq.com/gdpr/.

[4] The Bunny CDN privacy notice states that "In most cases, the data held and collected by bunny.net does not contain any user identifiable data. In some cases, which depend on how you are using bunny.net and how your website is structured, personal data may be collected from your users. Such information includes hosting user uploaded content as well as personal data that might be transmitted in the URL, User-Agent or Referer headers of the HTTP protocol."

Suomeksi

Nykyisellään pyrkimyksenä ei ole yksilöidä käyttäjiä heidän vain selaillessaan julkaisusovelluksessa tuotettuja teoksia, eikä normaalisti käyttäytyvää käyttäjää tulla julkaisusovelluksen tai kolmannen osapuolen tukipalvelujen toimesta yksilöineeksi edes IP-osoitteen verran [1]. Ainakaan tavanomaisesti. Tällaisia tukipalveluja ovat mm. New Relic One ("observability platform") [2] ja Datadog ("monitoring and analytics tool") [3]. Julkaisusovellus lähettää palvelin-puolella näihin ulkoisiin palveluihin metriikkaa säännöllisin väliajoin, tarkoituksena varmistella palvelun toimintavarmuutta. Näiden monitorointipalvelujen logianalyysi-toiminnallisuutta saatetaan hyödyntää, mutta jos tuolloin mukaan pääsee IP-osoitteen tapaista yksilöivää tietoa, se pyritään suodattamaan pois. Nämä ovat julkaisusovelluksen tuottajan hallinnoimia tukipalveluita, eikä julkaisusovelluksen asiakkaalla ole käyttätunnuksia niihin, eikä muutenkaan pääsyä tarkastelemaan kerätystä metriikasta johdettua tietoa tai "raakadataa". Dataa kertyy ja kerätään käyttäjistä päätelaiteriippumattomasti ja käytännöt ovat niiltä osin yhtenäiset.

Erikseen varataan oikeus selvitellä ja estää häiritsevästi/tunkeilevasti käyttäytyvien tahojen toimintaa hienoistamalla kertyvää logidataa hetkellisesti palvelimeen suuntautuviin yhteydenottoihin liittyihin, jolloin logeihin voi päätyä enemmänkin tietorivejä kuin niitä, joiden vakavuusaste on esim. Warning tai Alert. Näihin logeihin päätyy myös IP-osoitteita ja niiden perusteella saatetaan tehdä syy-perustaista selvittelyä esim. siltä osin, mille organisaatiolle kyseinen IP-osoite kuuluu. Tätenkin kertyvä logidata poistetaan määräajan kuten kuukauden kuluessa ellei ole syytä säilyttää logidataa pidempään esim. viranomaisia varten. Logidata saatetaan siirtää kolmannelle osapuolelle (esim. Papertrail), jotta logeja voidaan lukea ja analysoida tarjotussa web-käyttöliittymässä. Logitietoihinkaan ei julkaisusovelluksen asiakkaalla ole pääsyä, vaan ne ovat vain julkaisusovellusta kehittävän tahon käytettävissä.

Koska julkaistuihin teoksiin voidaan sisällyttää monenlaisia alunperin eri palveluissa julkaistuja tuotoksia, on mahdollista, että nämä palvelut tulevat jossain teoksessa näkyessään sisällyttäneeksi mukaan jonkinlaisen seurantakoodin tai asettaneeksi evästeitä käyttäjän tunnistamiseksi. Luokitukseltaan nämä sisällön osat voivat olla esim. karttoja, podcasteja, koodaus-esittelyjä ja videoita. Niihin liittyvistä tietosuojailmoituksista käyttäjä voi halutessaan hankkia tietoa asianomaisten palveluiden verkkosivuilta.

Vain selailevista julkaisusovelluksen käyttäjistä ei ilman erillistä, yksilöiviä tietoja kyselevää lomaketta kerätä sellaisia tietoja, joita voisi tai yritettäisiin käyttää markkinointiin. Samaten, sellaista personoitua tietoa, jota selaileva käyttäjä voisi mahdollista haluta poistaa, ei ole. Teoksiin on mahdollista sisällyttää sellainen "koodausesittely" (esim. CodePen ja JSFiddle), jossa kysellään käyttäjältä jotain tietoja. Näiden osalta julkaisusovelluksen asiakas noudattanee toivon mukaan hyviä käytäntöjä tietosuojaan ja käyttäjien identifioitavuuteen liittyen.

Käyttäjien esille latailemista sivuista kerätään anonyymia tilastodataa, joka voidaan antaa sekä luetun teoksen tuottajan, julkaisusovelluksen asiakkaan, että julkaisusovellusta kehittävän käyttöön. Teoksissa olevat kuvat jaetaan käyttäjien selaimiin CDN-palvelun (Content Delivery Network) [4] kautta, eikä senkään tietosuojailmoituksen mukaan sille päädy käyttäjiä identifioivaa dataa, ellei sellaista ole mukana verkko-osoitteessa tjm. (ei ole). CDN-palveluun jokainen asiakas rekisteröityy (todennäköisesti) itse ja sen hallintakäyttöliittymästä julkaisusovelluksen asiakas voi rajatussa määrin tarkastella anonymisoituja tilastoja esim. teoksissa olevien kuvien katselumääristä.

Julkaisusovellukseen rekisteröinti on käytettävissä vain julkaisusovelluksen asiakkaille ja sisäänkirjautuminen on käytettävissä vain asiakkaille ja heidän luomiensa käyttäjätunnusten käyttäjille. Tapahtui käyttäjätunnuksen rekisteröinti Facebook-tunnistamisella, sähköpostilla vahvistamisella tai julkaisusovelluksen hallintakäyttöliittymässä, tallennetaan tietokantaan käyttäjätunnus-tietueen osaksi käyttäjän sähköpostiosoite. Tätä sähköpostiosoitetta ei useinkaan käytetään mihinkään, mutta tarvittaessa jonkinlainen viestintäkanava on oltava ja sähköpostiosoite toimii siinä hyvin. Tarpeellisia tilanteita voivat olla esim. salasanan palautus tai tärkeä tiedote julkaisusovelluksen toimintaan liittyen. Julkaisusovellusta kehittävä taho varaa oikeuden käyttää eri julkaisusovelluksen instanssien tietokantoihin kertyviä käyttäjien sähköpostiosoitteita välttämättömien tiedotteiden lähettämiseen käyttäjille esim. sellaisissa tilanteissa, joissa julkaisusovelluksen asiakas ei ole suoriutunut velvoitteistaan tai julkaisusovelluksessa on jokin merkittävä toimintavirhe. Viestinnän suorittamisen jälkeen täten kerätty lista käyttäjätunnuksien sähköpostiosoitteista hävitetään. Vaihtoehtoisesti, jos mahdollista, julkaisusovelluksen kehittäjä voi ottaa yhteyttä pelkästään asiakkaaseen/-aisiin, joka sitten oman arvionsa mukaan ottaa yhteyttä niihin henkilöihin, joille on käyttäjätunnukset julkaisusovelluksen instanssiin antanut.

Julkaisusovelluksen asiakkaiden henkilötietoja saatetaan joutua luovuttamaan suomalaisille viranomaisille sen osoittamiseksi, että julkaisusovelluksen myyjä on saanut asiakkailtaan saamansa rahasumman pelkästään eteenpäin siirrettäväksi (ennakkomaksut PayPal-tiliä käyttäen). Oletuksena on, että asiakkaiden tiedoista ei tuolloin tarvitse välittää eteenpäin kuin asiakkaan nimi, rahasumma ja käyttökohde. Tälläinen mahdollinen käytäntö on voimassa vain, jos julkaisusovelluksen kehittäjä tarjoaa julkaisun hankittavaksi yksityishenkilön roolissa eli ennen muiden yritystoiminnan tunnusmerkkien täyttymistä.

Kaikki tuotettu ja julkaisusovelluksen instanssiin säilötty sisältö sijaitsee fyysisesti palvelimilla, joihin datakeskus-palveluiden tarjoajan lisäksi vain julkaisusovelluksen kehittäjällä on pääsy (mahdollisesti myös hänen valtuuttamallaan, luotettavalla työntekijällä). Käyttäjätunnukselliset käyttäjät voivat milloin tahansa exportoida kaiken johonkin esim. teokseen liittyvän projektiaineiston tai poistaa koko projektin, jolloin tietokantaan ja palvelimen hakemistoihin ei jää kyseiseen projektiin liittyvää tietoa tai tiedostoja.

Julkaisusovelluksen asiakkaalla on hallintakäyttöliittymässään mahdollisuus luoda ja poistaa käyttäjätunnuksia. Käyttäjätunnukselliset käyttäjät voivat niin valitessaan yhteiseditoida teoksiaan ottamalla projektikohtaisesti yhden tai useamman käyttäjätunnuksellisen käyttäjän mukaan editoimaan jotain teosta. Jokainen julkaisusovelluksen instanssi käyttää eri tietokantoja, tiedostoja ja palvelimia, joten julkaisusovelluksen eri asiakkaat eivät pääse käsiksi toistensa tietoihin. Eri julkaisusovelluksen instanssien käyttäjätunnukset eivät ole käytössä kuin yhdessä tietyssä julkaisusovelluksen instanssissa.

Hetkellisesti ja vain julkaisusovelluksen kehittämistarkoituksissa voidaan julkaisusovelluksen koodia muokata sellaiseksi, että tiettyihin erityisiin logeihin saattaa kertyä käyttätunnuksen verran yksilöivää tietoa. Tällaisia tilanteita voisivat olla esim. sen selvittäminen, miksi jonkin tietyn käyttäjän tietynlainen toiminta kestää normaalia pidempään tai miksi jokin uniikki id-koodi ei tietyn tai useamman käyttäjän osalta ole sellainen kuin pitäisi olla. Logirivit saattaisivat tuolloin näyttää esim. seuraavanlaisilta:

16:08:27:879_25-02-2020;user-exampleuser;needgroup-pictureupload;servlet;uploadstart;1
16:08:27:879_25-02-2020;user-exampleuser;needgroup-pictureupload;servlet;uploadend;642

bf0e9758-9fd1-4696-bd7e-eb0ffdffc4e1::1587982742480;servletname=ginkgobilobaservice;needgroup=basicelements;commandtype=savejson;writingcollection_name=New%20writing%20collection;task=addwritingcollection;loginname=exampleuser;project_id=372
bf0e9758-9fd1-4696-bd7e-eb0ffdffc4e1::1587982742480;phase=addelement;elementtype=writingcollection

Sovelluspalvelimen logeihin saattaa joissain tilanteissa päätyä käyttäjätunnuksia, mutta ei niitä sieltä mihinkään debug-tarkoituksia laajempaan käyttöön poimita:

0:0:0:0:0:0:0:1 - - [28/Apr/2020:15:24:26 +0300] "GET /kotvawritestories/ginkgobilobaservice?lang=en&needgroup=basicelements&task=loadwritingsbywritingcollection&writingcollection_id=551&commandtype=getjson&sessioncode=b13707&loginname=exampleuser&_=1588076665228 HTTP/1.1" 500 3940

Julkaisusovelluksen kehittäjällä on sinänsä mahdollisuus tarkastella julkaisusovelluksen asiakkaiden julkista ja julkaisematonta sisältöä ja julkaisusovelluksen instanssiin vietyä aineistoa kuten kuvia, mutta siitä pyritään pidättäytymään. Kuvia ja tietokannan tietoja ei siis ole kryptattu sellaiseen muotoon, että ne pitäisi ensin aina dekryptata, jotta niitä voisi tarkastella. Asiakkaalta pyydetään erikseen lupa siihen, josko jotain tietokantaan tai tiedostoihin kertynyttä haluttaisiin laajassa määrin käyttää testaustarkoituksissa. Julkaisusovelluksen kehitystyö ei erityisemmin vaadi, että asiakkaan julkaisusovelluksen käyttämän tietokannan sisältöä täytyisi tarkastella yksityiskohtaisesti ja laajalti, mutta vikatapauksia selvitellessä ei voi välttää sitä, etteikö tulisi siinä ohessa hetkellisesti huomioineeksi monenlaista tietokantaan tallentunutta. Normaalisti julkaisusovelluksen kehitystyötä tehdään erillisiä testauspalvelimia ja testidataa käyttäen.

Tietokantojen rakenteisiin voi julkaisusovelluksen uudempaa versiota asentaessa joutua tekemään muutoksia, mikä voi yksinkertaisimmillaan tarkoittaa yhden uuden tietokentän lisäämisen, mutta voi tietokannan rakenne muuttua niin paljon, että tietokannassa olevaa tietoa joudutaan varmistellen siirtämään eri paikkaan tietokannassa, jolloin on myös eräänlainen riski sille, että asiakkaan tietoja tulee siinä samalla huomioineeksi. Näihin välttämättömiin muutoksiin ei pyydetä erillistä lupaa julkaisusovelluksen asiakkaalta tai niiltä, joille asiakas on antanut käyttäjätunnukset.

Ohjelmointikoodissa mahdollisesti olevat virheet voivat tulla esille vain joissain erityisissä olosuhteissa ja tilanteissa. Tällaista varten saatetaan ennakoivasti sisällyttää julkaisusovellukseen erikseen aktivoitavissa olevaa koodia, jonka avulla virhetilanteissa voidaan jäljittää tarkkaan, miten virhetilanteeseen on päädytty, mitä siitä seurasi, mitä seuraavaksi tapahtui ym. Tai näin ainakin ideaalitapauksessa. Todellisuudessa ongelmien selvittely vaatii usein monenlaisia lähestymistapoja ja näkökulmia.

Erikseen aktivoitavaa debug-enabling -koodia varten saatetaan käyttää kolmannen osapuolen palveluja, jotka määrittävät esim. sen, minkälaista koodia julkaisusovelluksen lähdekoodin täytyy lisätä, jotta vikatilanteissa tilanteita voidaan tarkastella ja analysoida tarjottua web-käyttöliittymää käyttäen. Sellaiset palvelut kuin Sentry ja Rollbar viestivät verkkosivujensa avulla, miten moninaisesti esim. niillä voi ongelmia selvitellä. Tällaisia palveluita käyttäessä voi virhetilanteiden hetkellä siirtyä verkon yli, suojattua yhteyttä pitkin, sellaista dataa, jossa on mukana julkaisusovelluksen käyttäjien tietoa. Mitä tietoa tuolloin siirtyykään, sitä ei säilötä kovinkaan pitkään, eikä hyödynnetä muutoin kuin virhetilanteiden selvittelyssä. Tällaiset ulkoiset palvelut eivät useinkaan anna mitään mahdollisuutta valita, missä valtiossa heidän palvelunsa mahdollistavat palvelimet fyysisesti sijaitsevat.

Julkaisusovelluksen kehittäjä pyrkii huolellisuuteen palvelinten, datakeskus-palveluiden tarjoajan hallintakäyttöliittymän ym. tietoturvan osalta siinä missä yksi ihminen pystyy omasta ja julkaisusovelluksen instanssien tietoturvasta huolehtimaan. Osana julkaisusovelluksen käyttäjien tietoturvaa on käyttäjien salasanojen suojaus SHA-2:lla (kryptografinen tiivistefunktio), johon on lisätty ns. suolaus eli satunnainen merkkijono, joka lisätään salasanaan ennen sen käsittelyä SHA-2:lla.

Julkaisusovelluksen asiakas voi datakeskus-palveluiden tarjoajasta riippuen valita, missäpäin maailmaa haluaa julkaisusovelluksen palvelimien sijaitsevan, joten jos hän valitsee kolmesta vaihtoehdosta (Suomi, Saksa tai USA) sellaisen, joka ei ole samassa maassa kuin julkaisusovelluksen teoksien lukija tai jotkut käyttäjätunnukselliset käyttäjät, tietoa julkaisusovelluksen käytöstä voi ilman yhteyden salauksen käyttämistä päästä luvattomasti selvittelemään useammassa kohdin verkkoa kuin jos käyttäjä ja julkaisusovelluksen sijaitsivat samassa maassa. On julkaisusovelluksen asiakkaan päätettävissä haluaako hän käyttää SSL-sertifikaattia yhteysprotokollan promotoimiseksi suojaamattomasta HTTP:stä suojatuksi HTTPS:ksi. Datakeskus-palveluiden tarjoaja saattaa, julkaisusovelluksen tekijän tekemästä konfiguroinnista riippuen, kopioida julkaisusovelluksen palvelimilla olevaa tietoa maasta toiseen esim. server mirroring -syistä, mutta tuolloinkin vain samaisen datakeskus-palveluiden tarjoajan hallinnoitavana pysyen. CDN-palvelu BunnyCDN kopioi lähtökohtaisesti kaiken sen jaeltavaksi tarkoitetun useissa eri maissa oleville PoP-palvelimille (Point of Presence). Täten kaikki teoksien julkiset kuvat päätyvät useissa maissa sijaitseville palvelimille (hiukan konfiguroinnilla rajoitettavissa), mutta vain siis julkiset.

Käyttäjien julkaisusovellukseen suoraan tai epäsuorasti tallentamia tietoja ei tarjota, eikä anneta muiden tahojen käyttöön edellä selitettyä laajemmassa tarkoituksessa. Asiakkaiden ja muiden käyttäjätunnuksellisten käyttäjien kanssa käydyt keskustelut ovat lähtökohtaisesti vain keskusteluun osallistuvien tiedettäväksi tarkoitettuja. Asiakasrekisteri ei ole tarkoitettu minkään ulkopuolisen tahon käyttöön, eikä sitä myydä tai anneta eteenpäin. Poikkeuksena tästä on viestinnän helpottaminen tallentamalla asiakkaiden sähköpostiosoitteita ja nimiä esim. johonkin sähköpostikampanja-tyyppiseen verkkopalveluun, jottei tarvitsisi käyttää pelkkää sähköpostiohjelmaa viestimiseen. Asiakasrekisteriä saatetaan hyödyntää, lakien ja hyvien käytäntöjen rajoissa, julkaisusovelluksen oheispalveluista mainitsemiseen sähköpostitse, mutta näissäkin viesteissä on mukana opt-out -mahdollisuus.

[1] Esimerkiksi New Relicin ohjeissa sanotaan, että sen palvelimelle asennettava APM-agentti (Application Performance Management), joka kerää metriikkaa palvelun toiminnasta, ei taltioi käyttäjien IP-osoitteita ("Client IP address: Not captured") ja vaikka sen Browser Monitoring -komponentti käyttää IP-osoitetta käyttäjien segmentointiin, sitä ei tallenneta mihinkään ja hyödynnetään vain hetkellisesti suurpiirteisen maantieteellisen sijainnin määrittämiseksi: https://docs.newrelic.com/docs/apm/new-relic-apm/getting-started/apm-agent-data-security/

[2] Lisätietoa New Relicin tietosuojasta: https://docs.newrelic.com/docs/security/security-privacy/data-privacy/data-privacy-new-relic/

[3] Datadogin tietosuojailmoituksessa todetaan, että "Datadog's services are not generally intended to be used for processing personal data and we make available to our customers information on both filtering and masking personal data before customer data is submitted to our subscription services.": https://www.datadoghq.com/gdpr/

[4] Bunny CDN:n tietosuojailmoituksessa sanotaan, että "In most cases, the data held and collected by bunny.net does not contain any user identifiable data. In some cases, which depend on how you are using bunny.net and how your website is structured, personal data may be collected from your users. Such information includes hosting user uploaded content as well as personal data that might be transmitted in the URL, User-Agent or Referer headers of the HTTP protocol."