I denna bloggpost kommer jag att lista de saker ni bör säkerställa att leverantören kan hantera när ni upphandlar Matomo, men faktum är att flera punkter på listan faktiskt gäller på de flesta open source tjänster ni ska upphandla.
Jag har valt att dela in detta i 4 områden:
Funktionalitet
Vad har ni behov av och vilka mervärden erbjuder leverantören
Säkerhet
Kompromissa aldrig på sökerheten!
Suveränitet
Privacy, integritet och suveränitet har aldriv varit viktigare.
Kompetens
Systemet i all ära men huruvida ni kommer lyckas handlar om kompetens.
1. Funktionalitet
Matomo är ett system som kan konfigureras på olika sätt, bara core i Matomo innehåller mer än 200 inställningar som man kan anpassa.
Matomo-plugins
Matomo är dessutom modulärt vilket betyder att ni kan lägga till plugin i Matomo. När ni upphandlar är det viktigt att ni frågar vilka tillägg som ingår, men kontrollera först vilka tillägg ni behöver. Vår minimum rekommendation är Custom reports (det måste ni ha).
Tillägstjänster
Alla som arbetar med webbanalys mer professionellt idag använder någon form av visualiseringsverktyg ovanpå Matomo. Det finns flera alternativ på verktyg som kan hjälpa er med detta, men det ör stor skillnad på vad de är kapabla till.
Ställ krav på fullständig dashboardlösning
Det innebär att ni skall ställa krav på en Dashboardlösning som inte "bara" använder sig av Matomos API utan ni kommer sannolikt ha behov av en lösning som har en mer fullständig dataepxort. Läs mer om varför Google Looker och Power BI är väldigt begränsade.
Frågor att ställa för att säkerställa kvalité på era Dashboardlösningar:
- Var och hos vem lagras datat - även här skall ni givetvis undvika amerikanska leverantörer.
- Vilken typ av dataaccess baseras produkten på:
- API access mot Matomo (rudimentär data) (tex Google Looker eller
- Matomo pluginen BigQuery & Data Warehouse export (medium nivå)
- Export av samtliga actions och dimensioner utan begränsning (max nivå)
- Hur många färdiga visualiseringar och Dashboards för Matomo ingår (kommer påverka ert arbete enormt)
- Kan man skapa egna mätetal och dimensioner?
- Kan man importera data från andra källor?
Enkäter
Har ni behov av att genomföra enkäter på era webbplatser? Idag kan vi erbjuda detta i vår Matomo SaaS till alla våra kunder (japp det ingår) och nej denna tjänst finns bara hos oss.
Rensning av persondata
Vi har verktyg som gör att ni kan rensa och anonymisera persondata som ni råkat samla in i Matomo. Detta kan bespara er mycket tid.
2. Säkerhet
Jag brukar som ett mantra repetera att säkerhet är en process, det är detta ni behöver ställa frågor om och sedan betygsätta mellan olika leverantörer.
Det ni också måste förstå är att Matomo endast är en liten del i leveransen så säkerhet måste handla om hela leveransen, dvs alla ingående delar i leveransen. Det handlar om nätverk, servrar, databaser etc. Systemet är inte säkrare är den svagaste länken och hur snabbt / ofta dessa uppdateringar görs är ett mått på hur säkert systemet är.
Manuella rutiner eller automation?
En anna viktig faktor är att leveranser aldrig får ske med manuella leveranser. I de sämsta fallen sköter leverantörer uppdateringar av Matomo genom att klicka på länkar i gränssnittet, detta är inte seriöst och något ni måste säkerställa att man inte gör.
Spårbarhet / SBOM
En modern systemleverantör arbetar mer spårbarhat och revisionskontroll. Alla förändringar i en leverans, skall kunna spåras. Det får inte finnas delar i en leverans som sköts genom att en tekniker loggar in på en server i produktion och gör något manuellt, då tappas ni all spårbarhet och det är omöjligt att beskriva hur systemet såg ut vid ett visst givet tillfälle. Leverantörer som sköter sina system på detta sätt kan tex ofta inte svara på frågor om "varför man fick problem" eller "var ett intrång skett" utan väldigt tidskrävande arbeten.
Vi tycker man bör ställa krav på att en leverantör alltid skall kunna tillhandahålla en så kallad SBOM (Software bill of Materials).
3. Suveränitet
Suveränitet, denna fråga har aldrig varit med relevant än efter senaste USA valet där det är tydligt att de konstruktioner som är uppsatta mellan EU och USA kan avslutas över en natt genom en presidential order.
För en organisation som gjort en "rimlig" riskbedömning borde det som nu inträffat varit med i listan över sannolika scenarios. I vår värld bär man därför vara väldigt försiktig med i vilket juridiskt område man väljer att placera sitt data. Det röcker inte med att datat finns fysiskt i Sverige eller EU om leverantören är från USA. För att minimera risker skall alla datacenter finnas inom EU och vara ägda ev Europeiska företag (det skall inte vara dotterbolag till amerikanska bolag).
Privacy och GDPR är idag en självklarhet för de flesta, det är inga problem att med Matomo möta grundkraven i GDPR, men det kräver kompetens för att sätta upp det. Vår rekommendation är att kombinera Cookie less och cookies.
4. Matomokompetens
Hur lykat ni som organisation kommer tycka Matomo är som verktyg handlar extremt mycket om hur ni använder det.
De flesta jag möter som inte är "nöjda" med verktyget har antingen ett haft ett trasig / dåligt uppsatt system eller så har man inte fått hjälp med att sätta upp mätningen på ett professionellt sätt.
VI brukar dela in kompetensen du bör fråga efter inom 3 delar:
Teknisk kompetens på plattformen Matomo
Hur väl kan leverantören förvalta Matomo?