Collection of Users' Purchase History in Privacy Policy

Recopilación del historial de compras de los usuarios en la política de privacidad

Riesgo: medio

Descripción

La vulnerabilidad existe en la política de privacidad de la aplicación, ya que omite mencionar la recopilación del historial de compras de los usuarios, a pesar de que este tipo de datos se declara en la sección de seguridad de datos de Google Play (Play Data Safety), exponiendo potencialmente información sensible de los usuarios sin su conocimiento ni consentimiento.

Recomendación

Para mitigar la vulnerabilidad en torno a la recopilación del historial de compras de los usuarios, asegúrese de que su política de privacidad describa claramente cómo se utilizarán, almacenarán y protegerán estos datos. Implemente medidas sólidas de cifrado, controles de acceso y auditorías de seguridad periódicas para proteger esta información sensible del acceso o uso no autorizado. Adicionalmente, proporcione a los usuarios opciones transparentes de inclusión/exclusión (opt-in/opt-out) e instrucciones claras sobre cómo pueden administrar sus preferencias de datos.

Enlaces

• Android Privacy Guidelines
• Privacy Policies for Mobile Apps
• Apple Privacy Manifest
• CWE-359: Exposure of Private Information ("Privacy Violation")

Estándares

• OWASP_MASVS_L1:
• OWASP_MASVS_L2:
• OWASP_MASVS_RESILIENCE:
• CWE_TOP_25:
• GDPR:
  • ART_5
  • ART_6
  • ART_7
  • ART_9
  • ART_11
  • ART_13
  • ART_15
  • ART_16
  • ART_17
  • ART_32
• CCPA:
  • CCPA_1798_100
  • CCPA_1798_105
  • CCPA_1798_110
  • CCPA_1798_115
  • CCPA_1798_120
  • CCPA_1798_125
  • CCPA_1798_130
  • CCPA_1798_135
  • CCPA_1798_140
  • CCPA_1798_150
• PCI_STANDARDS:
• OWASP_MASVS_v2_1:
  • MASVS_PRIVACY_1
  • MASVS_PRIVACY_2
  • MASVS_PRIVACY_3
  • MASVS_PRIVACY_4
• OWASP_ASVS_L1:
• OWASP_ASVS_L2:
• OWASP_ASVS_L3:
• SOC2_CONTROLS:
  • CC_2_3
  • CC_5_3
• CNIL_FOR_EDITORS:
  • EDITORS_3_1_1