Identity Verification Information Collection Not Disclosed in Privacy Policy

Recopilación de información de verificación de identidad no divulgada en la política de privacidad

Risk: medium

Descripción

La aplicación recopila información para la verificación de identidad, como imágenes de identificaciones emitidas por el gobierno o selfies de verificación, pero la política de privacidad no lo divulga claramente. Este tipo de datos es altamente confidencial y está directamente vinculado a la identidad legal de un individuo. No informar a los usuarios sobre esta recopilación puede ser engañoso y puede violar las regulaciones de privacidad que requieren un consentimiento explícito y salvaguardas estrictas.

Recomendación

Actualice la política de privacidad de su aplicación para indicar explícitamente que se recopila información para la verificación de identidad. Describa claramente los tipos de información recopilada, los fines específicos para su recopilación, cómo se procesa y almacena de forma segura, durante cuánto tiempo se retiene y los derechos de los usuarios con respecto a estos datos. Asegúrese de obtener el consentimiento explícito del usuario y de que todas las prácticas cumplan con las leyes de protección de datos aplicables.

Enlaces

• GDPR Article 9 - Processing of Special Categories of Personal Data (if biometrics involved in ID)
• GDPR Article 32 - Security of Processing
• NIST Special Publication 800-63A - Digital Identity Guidelines: Enrollment and Identity Proofing
• CWE-359: Exposure of Private Information ("Privacy Violation")

Estándares

• GDPR:
  • ART_5
  • ART_6
  • ART_7
  • ART_9
  • ART_12
  • ART_13
  • ART_25
  • ART_32
  • ART_35
• CCPA:
  • CCPA_1798_100
  • CCPA_1798_110
  • CCPA_1798_150
• OWASP_MASVS_v2_1:
  • MASVS_PRIVACY_1
  • MASVS_PRIVACY_2
• SOC2_CONTROLS:
  • CC_2_3
  • CC_5_3
  • CC_6_1
• CNIL_FOR_EDITORS:
  • EDITORS_1_2_5
  • EDITORS_3_1_1
  • EDITORS_3_1_2
  • EDITORS_4_1_1