Missing Declaration of Email Collection in Privacy Policy

Declaración faltante de la recopilación de correos electrónicos en la política de privacidad

Risk: medium

Descripción

La vulnerabilidad existe en la falla de la aplicación para verificar correctamente si la política de privacidad menciona la recopilación de correos electrónicos de los usuarios cuando este tipo de datos se declara en la sección de Seguridad de datos de Play (Play Data Safety Section), lo que podría exponer la información personal de los usuarios sin su consentimiento.

Recomendación

Para mitigar la vulnerabilidad de la recopilación de correos electrónicos de los usuarios, asegúrese de que su política de privacidad indique claramente el propósito de recopilar estos datos, obtenga el consentimiento explícito de los usuarios e implemente medidas de seguridad sólidas para proteger la información del acceso no autorizado o el uso indebido. Además, revise y actualice periódicamente su política de privacidad para cumplir con las regulaciones de protección de datos.

Enlaces

• Android Privacy Guidelines
• Privacy Policies for Mobile Apps
• Apple Privacy Manifest
• CWE-359: Exposure of Private Information ("Privacy Violation")

Estándares

• OWASP_MASVS_L1:
• OWASP_MASVS_L2:
• OWASP_MASVS_RESILIENCE:
• CWE_TOP_25:
• GDPR:
  • ART_5
  • ART_6
  • ART_7
  • ART_9
  • ART_11
  • ART_13
  • ART_15
  • ART_16
  • ART_17
  • ART_32
• CCPA:
  • CCPA_1798_100
  • CCPA_1798_105
  • CCPA_1798_110
  • CCPA_1798_115
  • CCPA_1798_120
  • CCPA_1798_125
  • CCPA_1798_130
  • CCPA_1798_135
  • CCPA_1798_140
  • CCPA_1798_150
• PCI_STANDARDS:
• OWASP_MASVS_v2_1:
  • MASVS_PRIVACY_1
  • MASVS_PRIVACY_2
  • MASVS_PRIVACY_3
  • MASVS_PRIVACY_4
• OWASP_ASVS_L1:
• OWASP_ASVS_L2:
• OWASP_ASVS_L3:
• SOC2_CONTROLS:
  • CC_2_3
  • CC_5_3
• CNIL_FOR_EDITORS:
  • EDITORS_3_1_1