Index

Declaración ausente sobre la recopilación de direcciones de correo electrónico en la política de privacidad

Riesgo: medium

Descripción

La vulnerabilidad existe en la política de privacidad de la aplicación, ya que no menciona la recopilación de direcciones de correo electrónico de los usuarios, a pesar de que este tipo de datos se declara en la sección Seguridad de los datos de Play (Play Data Safety Section). Esto podría conducir a una falta de transparencia y a posibles problemas de privacidad para los usuarios.

Recomendación

Para mitigar la vulnerabilidad de la recopilación de direcciones de correo electrónico de los usuarios, asegúrese de que su política de privacidad indique claramente el propósito de la recopilación de estos datos, cómo se utilizarán y cómo los usuarios pueden optar por no participar o solicitar la eliminación de su información. Además, implemente medidas de seguridad sólidas para proteger estos datos confidenciales del acceso no autorizado o violaciones.

Enlaces

• Android Privacy Guidelines
• Privacy Policies for Mobile Apps
• Apple Privacy Manifest
• CWE-359: Exposure of Private Information ("Privacy Violation")

Estándares

• OWASP_MASVS_L1:
• OWASP_MASVS_L2:
• OWASP_MASVS_RESILIENCE:
• CWE_TOP_25:
• GDPR:
  • ART_5
  • ART_6
  • ART_7
  • ART_9
  • ART_11
  • ART_13
  • ART_15
  • ART_16
  • ART_17
  • ART_32
• CCPA:
  • CCPA_1798_100
  • CCPA_1798_105
  • CCPA_1798_110
  • CCPA_1798_115
  • CCPA_1798_120
  • CCPA_1798_125
  • CCPA_1798_130
  • CCPA_1798_135
  • CCPA_1798_140
  • CCPA_1798_150
• PCI_STANDARDS:
• OWASP_MASVS_v2_1:
  • MASVS_PRIVACY_1
  • MASVS_PRIVACY_2
  • MASVS_PRIVACY_3
  • MASVS_PRIVACY_4
• OWASP_ASVS_L1:
• OWASP_ASVS_L2:
• OWASP_ASVS_L3:
• SOC2_CONTROLS:
  • CC_2_3
  • CC_5_3
• CNIL_FOR_EDITORS:
  • EDITORS_3_1_1