Missing Privacy Policy Disclosure for Calendar Events Collection

Falta de divulgación en la política de privacidad sobre la recopilación de eventos del calendario

Risk: medium

Descripción

La vulnerabilidad existe en la política de privacidad de la aplicación, ya que no menciona la recopilación de eventos del calendario de los usuarios, a pesar de que este tipo de datos se declara en la sección de Seguridad de los Datos de Play Store, lo que podría poner en riesgo la información sensible de los usuarios.

Recomendación

Para mitigar la vulnerabilidad de recopilar eventos del calendario de los usuarios, asegúrese de que su política de privacidad indique claramente el propósito de recopilar estos datos, cómo se utilizarán, y proporcione a los usuarios la opción de excluirse de compartir esta información. Además, implemente fuertes medidas de seguridad de datos para proteger los eventos del calendario de los usuarios contra el acceso no autorizado o el mal uso.

Enlaces

• Android Privacy Guidelines
• Privacy Policies for Mobile Apps
• Apple Privacy Manifest
• CWE-359: Exposure of Private Information ("Privacy Violation")

Estándares

• OWASP_MASVS_L1:
• OWASP_MASVS_L2:
• OWASP_MASVS_RESILIENCE:
• CWE_TOP_25:
• GDPR:
  • ART_5
  • ART_6
  • ART_7
  • ART_9
  • ART_11
  • ART_13
  • ART_15
  • ART_16
  • ART_17
  • ART_32
• CCPA:
  • CCPA_1798_100
  • CCPA_1798_105
  • CCPA_1798_110
  • CCPA_1798_115
  • CCPA_1798_120
  • CCPA_1798_125
  • CCPA_1798_130
  • CCPA_1798_135
  • CCPA_1798_140
  • CCPA_1798_150
• PCI_STANDARDS:
• OWASP_MASVS_v2_1:
  • MASVS_PRIVACY_1
  • MASVS_PRIVACY_2
  • MASVS_PRIVACY_3
  • MASVS_PRIVACY_4
• OWASP_ASVS_L1:
• OWASP_ASVS_L2:
• OWASP_ASVS_L3:
• SOC2_CONTROLS:
  • CC_2_3
  • CC_5_3
• CNIL_FOR_EDITORS:
  • EDITORS_3_1_1