Missing privacy manifest file

Archivo Privacy Manifest faltante

Riesgo: medio

Descripción

Un Privacy Manifest es una declaración formal que describe los tipos de datos que una aplicación y sus SDK de terceros recopilan de sus usuarios, el propósito detrás de la recopilación de estos datos y las API específicas que se utilizan con estos fines.

¿Qué es un Privacy Manifest?

En un sentido más amplio, un Privacy Manifest puede considerarse un documento o archivo integral dentro del proyecto de una aplicación que: Enumera los tipos de datos que recopila la aplicación (por ejemplo, ubicación, identificadores personales, datos de uso). Explica el propósito detrás de la recopilación de cada tipo de datos (por ejemplo, mejorar la experiencia del usuario, proporcionar contenido personalizado). Detalla las API y los SDK de terceros utilizados que acceden o recopilan estos datos. Garantiza el cumplimiento de las leyes de privacidad y las directrices de la plataforma (por ejemplo, GDPR, CCPA, directrices de la App Store de Apple).

Importancia de un Privacy Manifest

1. Cumplimiento normativo: Muchas jurisdicciones de todo el mundo tienen leyes estrictas de privacidad y protección de datos. Un Privacy Manifest ayuda a garantizar que una aplicación cumpla con estas leyes al declarar de manera transparente sus prácticas de uso de datos.

2. Requisitos de la plataforma: Apple tiene directrices y requisitos específicos en materia de privacidad. Un Privacy Manifest detallado ayuda a cumplir con estos requisitos, en particular para superar el proceso de revisión de la App Store.

3. Confianza del usuario: La transparencia en la forma en que una aplicación recopila, utiliza y administra los datos del usuario puede mejorar significativamente la confianza del usuario. Un Privacy Manifest es un paso hacia la construcción de esta transparencia, mostrando a los usuarios que la aplicación respeta su privacidad.

4. Minimización de datos y limitación de propósitos: Al obligar a los desarrolladores a enumerar y justificar explícitamente los datos que recopilan, un Privacy Manifest fomenta los principios de minimización de datos y limitación de propósitos. Estos principios son fundamentales para las prácticas de privacidad por diseño, lo que garantiza que las aplicaciones no recopilen más datos de los necesarios y utilicen los datos únicamente para los fines declarados.

Por qué debería agregarlo por motivos de privacidad

1. Mejora la transparencia: Proporciona a los usuarios información clara sobre qué datos se recopilan y por qué, lo que les permite tomar decisiones informadas sobre el uso de la aplicación.

2. Fomenta la confianza del usuario: Demostrar un compromiso con la privacidad puede diferenciar una aplicación en un mercado saturado, lo que puede aumentar su atractivo para los usuarios conscientes de la privacidad.

3. Prepara para futuras normativas: El panorama normativo evoluciona rápidamente, con un énfasis cada vez mayor en la privacidad del usuario y la protección de datos. La adopción proactiva de medidas como un Privacy Manifest posiciona bien a una aplicación para las futuras necesidades de cumplimiento.

4. Evita riesgos legales y de reputación: El incumplimiento de las leyes y directrices de privacidad puede dar lugar a multas importantes, impugnaciones legales y daños a la reputación de una aplicación. Un Privacy Manifest es un paso hacia la mitigación de estos riesgos.

Recomendación

Para abordar el requisito de declarar un archivo Privacy Manifest (PrivacyInfo.xcprivacy) para su aplicación iOS y sus SDK de terceros, debe crear y configurar este archivo para detallar los tipos de datos que recopila su aplicación, la razón para recopilar estos datos y las API específicas que requieren estas declaraciones. Este paso es crucial para garantizar el cumplimiento de su aplicación con las pautas de privacidad, mejorar la transparencia y generar confianza en sus usuarios.

Aquí hay una descripción general de los pasos y un ejemplo para guiarlo en la configuración del archivo PrivacyInfo.xcprivacy:

Paso 1: Crear el archivo Privacy Manifest

1. Seleccione File > New File.
2. Desplácese hacia abajo hasta la sección Resource y seleccione el tipo de archivo App Privacy.
3. Haga clic en Next.
4. Marque el target de su aplicación o SDK de terceros en la lista de Targets.
5. Haga clic en Create.

Paso 2: Agregar entradas para las API requeridas

Dentro de su archivo PrivacyInfo.xcprivacy, deberá agregar pares clave-valor que representen las API que utiliza su aplicación o sus SDK de terceros, junto con los motivos de su uso. Las claves deben ser los nombres de las API y los valores deben ser cadenas que describan el propósito de usar estas API en su aplicación.

A continuación, se muestra un ejemplo de estructura de cómo podría verse su PrivacyInfo.xcprivacy. Este ejemplo asume el uso de las API "File timestamp APIs" y "User defaults APIs":

XML

  <?xml version="1.0" encoding="UTF-8"?>
  <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
  <plist version="1.0">
    <dict>
        <key>NSPrivacyAccessedAPITypes</key>
        <array>
            <dict>
                <key>NSPrivacyAccessedAPIType</key>
                <string>NSPrivacyAccessedAPICategoryDiskSpace</string>
                <key>NSPrivacyAccessedAPITypeReasons</key>
                <array>
                    <string>E174.1</string>
                </array>
            </dict>
            <dict>
                <key>NSPrivacyAccessedAPIType</key>
                <string>NSPrivacyAccessedAPICategoryUserDefaults</string>
                <key>NSPrivacyAccessedAPITypeReasons</key>
                <array>
                    <string>CA92.1</string>
                </array>
            </dict>
        </array>
    </dict>
  </plist>

Paso 3: Garantizar la precisión y el cumplimiento

Reflejar la funcionalidad de la aplicación: Asegúrese de que los motivos enumerados reflejen con precisión cómo su aplicación usa los datos derivados de estas API. No rastreo: Confirme que no usa las API ni los datos derivados con fines de rastreo, a menos que se declare explícitamente y sea necesario para la funcionalidad de la aplicación. Revisar y actualizar según sea necesario: A medida que su aplicación evolucione, revise y actualice periódicamente su archivo PrivacyInfo.xcprivacy para que coincida con cualquier nueva recopilación de datos o uso de API.

Paso 4: Documentación y revisión

Antes del envío, verifique dos veces la documentación de su aplicación y las divulgaciones dentro de la aplicación para asegurarse de que estén alineadas con las declaraciones realizadas en su archivo PrivacyInfo.xcprivacy. Esta coherencia es vital para superar las App Store Review Guidelines, en particular las relacionadas con la privacidad.

Cumplir con estos pasos ayudará a garantizar que su aplicación cumpla con los estándares requeridos de privacidad y transparencia en el uso de datos, lo que facilitará un proceso de revisión más fluido y mejorará la confianza del usuario.

Enlaces

• Privacy manifest files
• Describing use of required reason API

Estándares

• OWASP_MASVS_L1:
  • MSTG_ARCH_12
• OWASP_MASVS_L2:
  • MSTG_ARCH_12
• GDPR:
  • ART_5
  • ART_25
  • ART_32
  • ART_35
• PCI_STANDARDS:
  • REQ_2_2
  • REQ_6_2
  • REQ_6_3
  • REQ_7_3
• OWASP_MASVS_v2_1:
  • MASVS_PRIVACY_3
• CNIL_FOR_EDITORS:
  • EDITORS_1_1_1
  • EDITORS_2_2_1
  • EDITORS_2_2_2