External Account Information Collection Not Disclosed in Privacy Policy

Recopilación de información de cuenta externa no divulgada en la política de privacidad

Risk: medium

Descripción

La aplicación accede o recopila información de cuentas externas de los usuarios (como perfiles de redes sociales u otros servicios de terceros), pero la política de privacidad no lo divulga claramente. Esto puede incluir información de perfil, listas de contactos u otros datos de cuentas vinculadas. No informar a los usuarios sobre este acceso a los datos puede ser engañoso y violar las normativas de privacidad.

Recomendación

Actualice la política de privacidad de su aplicación para indicar explícitamente si se accede a información de cuentas externas o se recopila y cómo se hace. Describa claramente los tipos de información obtenida, los propósitos específicos para este acceso, cómo se utilizan y almacenan los datos, su período de retención y cualquier intercambio con la aplicación principal. Asegúrese de que los usuarios den un consentimiento claro antes de vincular cuentas externas y comprendan a qué datos se accederá.

Enlaces

• GDPR - Personal Data Definition
• OAuth 2.0 Standard
• CWE-359: Exposure of Private Information ("Privacy Violation")

Estándares

• GDPR:
  • ART_5
  • ART_6
  • ART_7
  • ART_12
  • ART_13
  • ART_25
  • ART_32
• CCPA:
  • CCPA_1798_100
  • CCPA_1798_110
  • CCPA_1798_150
• OWASP_MASVS_v2_1:
  • MASVS_PRIVACY_1
  • MASVS_PRIVACY_2
• SOC2_CONTROLS:
  • CC_2_3
  • CC_5_3
  • CC_6_1
• CNIL_FOR_EDITORS:
  • EDITORS_3_1_1
  • EDITORS_3_1_2