Este guia identifica todos os locais onde os usuários podem compartilhar, publicamente ou inadvertidamente, informações de identificação pessoal (PII) por meio de suas próprias ações no Discourse, e como os administradores podem restringir ou gerenciar essas opções.
Nível de usuário necessário: Administrador
Os usuários têm várias maneiras de compartilhar voluntariamente informações sobre si mesmos no Discourse, tanto intencionalmente quanto acidentalmente. Compreender essas áreas ajuda os administradores a implementar salvaguardas adequadas e a educar os usuários sobre as melhores práticas de privacidade.
Resumo
Diferentemente dos dados que o Discourse armazena automaticamente (endereços IP, e-mails, credenciais de autenticação), este guia aborda locais onde os usuários escolhem ativamente compartilhar informações. Os usuários podem compartilhar PII por meio de suas informações de perfil, em postagens e mensagens, através de campos personalizados, status do usuário e outros recursos da comunidade. Muitos desses recursos podem ser desativados ou restritos pelos administradores do site para reduzir o risco de exposição acidental de PII.
Onde os usuários podem compartilhar PII publicamente
Os usuários podem compartilhar informações de identificação pessoal em várias áreas do Discourse:
- Nome de usuário - Visível publicamente em todo o site em todas as postagens e interações
- Nome - Nome de exibição opcional que pode aparecer ao lado do nome de usuário
- Perfil (sobre mim) - Seção de informações biográficas nos perfis dos usuários
- Site - Campo opcional de URL do site visível nos cartões de usuário e perfis
- Localização - Campo opcional de localização visível nos cartões de usuário e perfis
- Postagens - Incluindo tópicos, respostas, mensagens pessoais, mensagens de chat e comentários
- Campos personalizados - Campos adicionais definidos pelos administradores do site (como “ocupação” ou “empresa”)
- Status do usuário - Mensagens de status temporárias como “ausente”, “trabalhando de casa”, etc.
- Tags - Um usuário tentando muito compartilhar informações pode criar uma tag como
meu-nome-e-jenny-ligue-para-mim-no-867-5309
Muitos desses recursos podem ser desativados ou restritos pelos administradores do site.
As mensagens pessoais não são criptografadas de ponta a ponta. Os administradores do site podem acessar o conteúdo das MP, e os moderadores podem ter acesso dependendo da configuração do seu site.
Exposição de PII baseada em perfil
Nome de usuário
O nome de usuário é visível publicamente em todo o site e aparece em todas as postagens, tópicos e interações de usuários. Os usuários escolhem seu nome de usuário durante o registro.
Opções do administrador:
- Você não pode desativar nomes de usuário (eles são obrigatórios para o Discourse)
- Defina
min_username_lengthemax_username_lengthpara controlar o formato do nome de usuário - Defina
username_change_periodpara permitir um período de carência onde os usuários podem alterar seu próprio nome de usuário caso não tenham entendido as implicações de sua escolha ao se inscreverem para uma conta. O valor padrão é de 3 dias. Após o vencimento do período de alteração do nome de usuário, os usuários devem solicitar uma alteração de nome de usuário ao Administrador do site, que pode alterar o nome de usuário a partir do perfil de administrador do usuário.
Nome
O campo “nome” (às vezes referido como “nome completo”) é um campo opcional que pode ser exibido ao lado do nome de usuário.
Opções do administrador:
- Desative a exibição de nomes com a configuração do site
enable_names - Controle os requisitos de nome com a configuração
full_name_requirement - Use
prioritize_username_in_uxpara enfatizar nomes de usuário em vez de nomes em toda a interface
“Sobre mim” do perfil
Os usuários podem adicionar informações biográficas ao seu perfil, que é publicamente visível por padrão.
Opções do administrador:
- Ative
hide_user_profiles_from_publicpara desativar cartões de usuário, perfis de usuário e o diretório de usuários para usuários anônimos - Ative
hide_new_user_profilespara ocultar os perfis de novos usuários (ativado por padrão) - Ative
allow_users_to_hide_profilepara permitir que os usuários escolham ocultar seus próprios perfis - Defina
default_hide_profilecomo true para ocultar todos os perfis de novos usuários por padrão
Site
Os usuários podem opcionalmente adicionar uma URL de site ao seu perfil, que é publicamente visível no cartão de usuário e na página do perfil.
Opções do administrador:
- Use a configuração
allowed_user_website_domainspara restringir quais domínios de site os usuários podem vincular (vazio por padrão, o que significa que todos os domínios são permitidos) - Ocultar perfis (veja acima) impedirá o acesso público a este campo
Localização
Os usuários podem especificar opcionalmente sua localização, que aparece no cartão de usuário e no perfil.
Opções do administrador:
- Este campo não pode ser desativado individualmente; ele está sempre disponível como um campo opcional para os usuários. No entanto, ocultar perfis (veja acima) impedirá o acesso público
- Eduque os usuários sobre as implicações de privacidade do compartilhamento de dados de localização
Campos personalizados
Os administradores podem criar campos de usuário personalizados que aparecem durante o cadastro e nos perfis de usuário. Esses campos podem inadvertidamente coletar PII.
Opções do administrador:
- Revise cuidadosamente todos os campos de usuário personalizados para coleta de PII
- Crie apenas campos personalizados que sejam necessários para sua comunidade
- Considere tornar campos sensíveis opcionais em vez de obrigatórios
- Use a opção “Mostrar no perfil público” com discernimento
Status do usuário
O recurso de status do usuário permite que os usuários definam uma mensagem de status temporária (como “ausente” ou “trabalhando de casa”) com um emoji e um tempo de expiração opcional.
Opções do administrador:
- O status do usuário é desativado por padrão e gerenciado com a configuração do site
enable_user_status - Se ativado, eduque os usuários para não incluírem PII em mensagens de status
Exposição de PII baseada em conteúdo
Postagens e respostas
Os usuários podem incluir PII em qualquer conteúdo que postarem, incluindo:
- Tópicos
- Respostas
- Comentários (em Incorporar comentários do Discourse em outro site via Javascript)
- Mensagens pessoais (MPs)
- Mensagens de chat (se o plugin Chat estiver ativado)
Opções do administrador:
- Use AI Triage ou o recurso
watched_wordspara sinalizar ou bloquear padrões específicos (números de telefone, endereços, etc.) - Administradores e moderadores podem intervir rapidamente para editar ou remover qualquer PII no conteúdo por meio de ações internas da equipe: edição, exclusão e revisão da fila de conteúdo sinalizado ou retido.
- Use a configuração
edit_history_visible_to_publicpara controlar globalmente quem pode ver o histórico de edições após a remoção de PII ou o botãoHide Revision(Ocultar Revisão) no modal de histórico de revisões para remoções pontuais de PII.
Tópicos
Os títulos dos tópicos são publicamente visíveis (a menos que estejam em uma categoria privada) e podem conter inadvertidamente PII.
Opções do administrador:
- Use ações da equipe para editar rapidamente títulos de tópicos que contenham PII
- Considere tornar áreas de discussão sensíveis em categorias privadas
Mensagens de chat
Se o plugin Discourse Chat estiver ativado, os usuários podem compartilhar PII em canais de chat e mensagens diretas.
Opções do administrador:
- Configure cuidadosamente quais grupos têm acesso ao chat
Exposição de PII baseada em tags
Usuários com permissões apropriadas podem criar tags. Em casos extremos, um usuário pode criar uma tag que contenha PII.
Exemplo: Um usuário tentando muito compartilhar seu número de telefone pode criar uma tag como meu-nome-e-jenny-ligue-para-mim-no-867-5309
Opções do administrador:
- Restrinja a criação de tags a níveis de usuário confiáveis com a configuração
Create tag allowed groups(Grupos permitidos para criar tag)