Каждый раз, когда Вы запускаете визуальный тест с облачным инструментом, Ваши скриншоты отправляются на удалённые серверы. Эти скриншоты зачастую содержат гораздо больше, чем простая веб-страница: внутренние дашборды с клиентскими данными, административные интерфейсы, неопубликованные макеты продуктов, формы с предзаполненными реальными данными.
Вопрос здесь не технический. Он юридический и стратегический: куда уходят Ваши тестовые данные и кто имеет к ним доступ?
Что на самом деле содержат Ваши скриншоты
Когда Вы думаете «тестовый скриншот», Вы представляете публичную главную страницу. На деле же команды QA преимущественно тестируют внутренние интерфейсы и аутентифицированные пользовательские пути:
Управленческие дашборды с реальными финансовыми показателями. Бэк-офисы с именами клиентов, адресами, номерами заказов. Платёжные интерфейсы с частично видимыми банковскими реквизитами. Макеты функциональности, ещё не анонсированные публично. Staging-окружения, реплицирующие производственные данные.
Каждый из этих скриншотов — потенциально конфиденциальные данные. И с большинством визуальных тестовых инструментов на рынке все эти скриншоты автоматически отправляются в облако — часто в Соединённые Штаты.
Проблема американских облачных инструментов
Большинство популярных инструментов визуального тестирования — Applitools, Percy (BrowserStack), Chromatic — это американские компании, серверы которых размещены в США или управляются организациями, подведомственными американскому законодательству.
GDPR (Общий регламент защиты данных) накладывает строгие ограничения на передачу персональных данных за пределы Европейского Союза. С тех пор как Суд справедливости ЕС аннулировал Privacy Shield в 2020 году (решение Schrems II), передача данных в Соединённые Штаты юридически усложнена.
Конкретно: если Ваши скриншоты содержат персональные данные (имя, адрес или номер клиента, даже частично видимые на экране), их отправка на американский сервер без надлежащих гарантий может составить нарушение GDPR.
И помимо строгого соответствия GDPR, существует вопрос интеллектуальной собственности. Ваши интерфейсы, макеты и видимая бизнес-логика — всё это имеет ценность. Отправка их на сторонние серверы — риск, который многие компании недооценивают.
Отрасли, где это — реальная проблема
Банковский сектор и финансы: регуляторы устанавливают строгие требования к локализации данных. Скриншот, отображающий клиентский баланс, не может проходить через иностранный сервер без серьёзных предосторожностей.
Здравоохранение: медицинские данные относятся к наиболее защищённым по GDPR. Дашборд больницы, захваченный при визуальном тесте, — это медицинские данные.
Оборона и государственный сектор: государственные тендеры всё чаще требуют суверенных решений. Никакого американского облака, без исключений.
Электронная коммерция: даже стандартный розничный сайт фиксирует имена, адреса и историю покупок в своих бэк-офисах.
B2B SaaS: Ваши клиенты доверяют Вам свои данные. Если Ваша процесс тестирования раскрывает их третьей стороне, это Ваша контрактная и юридическая ответственность.
Локальный подход: полный контроль
Простейшее решение — никогда не отправлять скриншоты за пределы Вашей инфраструктуры.
Именно таков подход Delta-QA. Настольная версия работает полностью локально: скриншоты делаются на Вашей машине, сравниваются на Вашей машине и хранятся на Вашей машине. Никакие данные не проходят через внешний сервер. Никакой учётной записи для создания, никакого API-токена, никакого облачного подключения.
Для команд, которым необходимо делиться результатами, версия On-Premise развёртывается на Ваших собственных серверах — в Вашем дата-центре, в Вашем частном облаке или внутри Вашей внутренней сети. Данные никогда не покидают Ваш периметр.
Этот подход устраняет вопрос GDPR в его корне: если данные не уходят, нет передачи для регулирования.
Инструменты с открытым исходным кодом: частичная альтернатива
Инструменты с открытым исходным кодом, такие как Playwright и BackstopJS, также по умолчанию работают локально. Это реальное преимущество с точки зрения конфиденциальности.
Но у них есть компромисс: они требуют навыков разработчика для установки, настройки и обслуживания. Если Ваша команда QA не обладает этими навыками, инструмент не будет использоваться нужными людьми.
Delta-QA сочетает оба преимущества: локальность по умолчанию (как инструменты с открытым исходным кодом) и доступность без кода (в отличие от них).
За пределами GDPR: суверенитет как конкурентное преимущество
Вопрос выходит за рамки регулирования. Всё больше европейских компаний выбирают суверенные инструменты не по обязанности, а по убеждению.
Точно знать, где находятся Ваши данные, кто имеет к ним доступ и иметь возможность доказать это клиентам — это коммерческое преимущество. В тендере фраза «наши тестовые данные никогда не покидают нашу инфраструктуру» может стать решающей.
Как проверить, куда сейчас уходят Ваши данные
Если Вы уже используете инструмент визуального тестирования, задайте следующие вопросы: Где расположены серверы, хранящие Ваши скриншоты? Под чьей юрисдикцией operates компания? Данные шифруются при передаче и при хранении? Как долго хранятся скриншоты? Можно ли запросить полное удаление? Есть ли вариант On-Premise или европейского хостинга?
Если Ваш провайдер не может чётко ответить на эти вопросы — это тревожный сигнал.
FAQ
Применяется ли GDPR к тестовым скриншотам?
Да, в любом случае, когда скриншот содержит персональные данные — имя, адрес электронной почты или номер клиента, даже частично видимые. Тестовые данные не имеют специального освобождения по GDPR.
Достаточно ли анонимизации тестовых данных?
Анонимизация может снизить риск, но на скриншотах её трудно гарантировать. Видимое в углу имя, адрес в предзаполненной форме — одной упущенной детали достаточно.
Отправляет ли Delta-QA данные в облако?
Нет. Настольная версия работает полностью локально. Ни один скриншот, ни одни данные никогда не покидают Вашу машину. Версия On-Premise работает на Ваших собственных серверах.
Какие инструменты визуального тестирования совместимы с GDPR?
Инструменты, работающие локально (Delta-QA, Playwright, BackstopJS), проще всего привести в соответствие, поскольку отсутствует передача данных. Облачные инструменты (Applitools, Percy, Chromatic) требуют дополнительных мер предосторожности.
Гарантирует ли «Сделано во Франции» соответствие GDPR?
Не автоматически, но европейский издатель непосредственно подчиняется GDPR и не сталкивается с ограничениями трансатлантической передачи. Это структурное преимущество.
Конфиденциальность тестовых данных — не второстепенный вопрос. Это юридическая, коммерческая и стратегическая проблема. Выбор инструмента, сохраняющего данные внутри компании — не паранойя, а грамотное управление.
Для углубления
- Визуальное тестирование Remix: почему full-stack фреймворк делает визуальное тестирование ещё более критичным
- Визуальное тестирование для Ruby on Rails: почему view specs недостаточны и как визуальное тестирование заполняет пробел
- Визуальное тестирование Shift-Right: почему визуальное тестирование не заканчивается на деплое