Proposals 
Navigation Title

Categories
Search Title
RSLingo4Privacy
From Web 2.0 Wiki, Proposals::RS Lingo 4 Privacy

RSLingo4Privacy: Ferramentas para melhorar a consistência entre políticas e práticas de Privacidade



Enquadramento: Cada vez mais as empresas utilizam múltiplas e variadas fontes de dados para desenvolver e operar os seus sistemas de informação, fontes de dados provenientes de sistemas terceiros, tais como redes sociais, sistemas de comércio electrónico ou serviços geográficos baseados em localização. Esses sistemas baseiam-se em dependências complexas de dados e envolvem múltiplas entidades, nas quais cada stakeholder (e.g., utilizadores, engenheiros, empresas, governo) deve saber gerir e fazer respeitar os requisitos de privacidade e de segurança que exigem as suas políticas ou os seus princípios. Também neste contexto os Reguladores Norte-Americanos e Europeus esperam que as empresas satisfaçam as políticas de privacidade que anunciam, i.e. que as suas práticas sejam consistentes com as suas políticas de privacidade, incluindo, por exemplo, restrições sobre que dados podem ser obtidos e coleccionados a partir de fontes terceiras, como podem ser transferidos ou (re)usados, e para que fins.

Objectivos: O principal objectivo deste projecto é melhorar a privacidade requerida neste tipo de sistemas, pela proposta de uma série de linguagens e ferramentas computacionais que permitam ajudar a identificar o (des)alinhamento e (in)consistência entre as políticas de privacidade (anunciadas pelas empresas) e as suas práticas (conforme efectivamente suportado pelos seus sistemas), nomeadamente pela introdução da especificação de requisitos de privacidade no processo regular de desenvolvimento de software, de forma a permitir alinhar as necessidades e expectativas das várias partes envolvidas responsáveis por esses sistemas.

Descrição: Com esta motivação geral e na sequência dos resultados recentes de investigação, particularmente no âmbito da aproximação RSLingo [AS1] e nas técnicas de análise de políticas de privacidade [TB3, TB4], propomos desenvolver neste projecto as seguintes actividades:
(1) estender e adaptar a linguagem RSL-IL [AS2] para suportar a especificação formal de requisitos relacionados com a privacidade, conforme discutidos em [TB3];
(2) identificar e definir formalmente padrões linguísticos relacionados com a privacidade, e codificá-los na linguagem RSL-PL [AS3], para permitir a extracção automática de informação relevante de políticas de privacidade no formato RSL-IL equivalente; e ainda
(3) mapear ou transformar as especificações RSL-IL em especificações Eddy [TB4] equivalentes que, com ferramentas adequadas permitem a análise automática de conflitos entre essas políticas de privacidade iniciais e as especificações de privacidade definidas pelos engenheiros que desenvolvem os sistemas, bem como com as preferências dos utilizadores envolvidos. Adicionalmente, a relevância desta investigação será demonstrada através da análise de políticas de privacidade reais, nomeadamente aquelas disponibilizadas nos web sites mais populares (i.e., nos sites listados em Alexa top 500 global sites).

Referências:
[AS1] D. Ferreira, A. R. Silva,”RSLingo: An Information Extraction Approach toward Formal Requirements Specifications”, 2nd Int. Workshop on Model-Driven Requirements Engineering (MoDRE 2012), IEEE Computer Society, 2012.
[AS2] D. Ferreira, A. R. Silva,”RSL-IL: An Interlingua for Formally Documenting Requirements”, Third IEEE International Workshop on Model-Driven Requirements Engineering (MoDRE 2013), IEEE Computer Society, 2013.
[AS3] D. Ferreira, A. R. Silva,”RSL-PL: A Linguistic Pattern Language for Documenting Software Requirements, “Third International Workshop on Requirements Patterns (RePa 2013)”, IEEE Computer Society, 2013.
[TB1] T.D. Breaux, D.L. Baumer, “Legally ‘Reasonable’ Security Requirements: A 10-year FTC Retrospective.” Computers & Security, 30(4):178-193. 2011.
[TB2] T.D. Breaux, A.I Antón. “Analyzing regulatory rules for privacy and security requirements.” IEEE Trans. Soft. Engr., Special Issue on Soft. Engr. for Secure Sys., 34(1):5-20, 2008.
[TB3] T.D. Breaux, A. Rao, “Formal Analysis of Privacy Requirements Specifications for Multi-Tier Applications,” IEEE 21st International Requirements Engineering Conference, 2013.
[TB4] T.D. Breaux, H. Hibshi, A. Rao, “Eddy, A Formal Language for Specifying and Analyzing Data Flow Specifications for Conflicting Privacy Requirements,” To Appear: Requirements Engineering Journal, Springer, 2014.

Resultado esperado: O resultado desta investigação é de grande relevância e impacto tanto para a indústria como para a comunidade académica, por propor um maior rigor relacionado com a especificação e a análise de requisitos de privacidade e por permitir ajudar os engenheiros a mais facilmente identificar e evitar as inconsistências referidas e, consequentemente, realizar uma melhor concepção e implementação de seus sistemas. Em particular, o aluno deverá produzir os seguintes resultados:
- Protótipos / Ferramentas computacionais
- Validação com casos reais (selecção de politicas de privacidade de sites listados em Alexa top 500 global sites).