Missing Declaration of Device or Other IDs Collection in Privacy Policy

Declaración faltante de recopilación de dispositivos u otros identificadores en la política de privacidad

Riesgo: medium

Descripción

La vulnerabilidad existe en la política de privacidad de la aplicación, ya que omite mencionar la recopilación del dispositivo de los usuarios u otros identificadores (IDs), a pesar de que este tipo de datos se declara en la sección Play Data Safety, lo que podría poner en riesgo la privacidad de los usuarios.

Recomendación

Para mitigar la vulnerabilidad de la recopilación del dispositivo de los usuarios u otros identificadores, asegúrese de que su política de privacidad indique claramente el propósito de recopilar estos datos y obtenga el consentimiento explícito de los usuarios antes de hacerlo. Además, implemente medidas sólidas de seguridad de datos para proteger esta información del acceso no autorizado o el uso indebido.

Enlaces

• Android Privacy Guidelines
• Privacy Policies for Mobile Apps
• Apple Privacy Manifest
• CWE-359: Exposure of Private Information ("Privacy Violation")

Estándares

• OWASP_MASVS_L1:
• OWASP_MASVS_L2:
• OWASP_MASVS_RESILIENCE:
• CWE_TOP_25:
• GDPR:
  • ART_5
  • ART_6
  • ART_7
  • ART_9
  • ART_11
  • ART_13
  • ART_15
  • ART_16
  • ART_17
  • ART_32
• CCPA:
  • CCPA_1798_100
  • CCPA_1798_105
  • CCPA_1798_110
  • CCPA_1798_115
  • CCPA_1798_120
  • CCPA_1798_125
  • CCPA_1798_130
  • CCPA_1798_135
  • CCPA_1798_140
  • CCPA_1798_150
• PCI_STANDARDS:
• OWASP_MASVS_v2_1:
  • MASVS_PRIVACY_1
  • MASVS_PRIVACY_2
  • MASVS_PRIVACY_3
  • MASVS_PRIVACY_4
• OWASP_ASVS_L1:
• OWASP_ASVS_L2:
• OWASP_ASVS_L3:
• SOC2_CONTROLS:
  • CC_2_3
  • CC_5_3
• CNIL_FOR_EDITORS:
  • EDITORS_3_1_1