Payment and Financial Information Collection Not Disclosed in Privacy Policy

Recopilación de información financiera y de pago no revelada en la política de privacidad

Risk: medium

Descripción

La aplicación recopila información financiera o de pago, como detalles de tarjetas de crédito o números de cuentas bancarias, pero la política de privacidad no revela esta recopilación de datos. Los datos financieros y de pago son muy confidenciales. Omitir esta información de la política de privacidad puede engañar a los usuarios sobre cómo se manejan sus datos y puede violar los requisitos de regulaciones de privacidad como RGPD y CCPA, así como los estándares de la industria como PCI DSS, si corresponde.

Recomendación

Actualice la política de privacidad de su aplicación para indicar explícitamente que se recopila información financiera y de pago. Describa claramente los tipos de datos financieros recopilados, los propósitos específicos para su recopilación, cómo se procesan y almacenan de forma segura (incluidas medidas de seguridad como cifrado y controles de acceso), cualquier práctica de intercambio (por ejemplo, con procesadores de pago) y los períodos de retención de datos. Garantice total transparencia y cumplimiento de todas las leyes y normas de protección de datos pertinentes.

Enlaces

• PCI Security Standards Council
• GDPR Article 32 - Security of Processing
• GDPR Article 35 - Data Protection Impact Assessment
• CWE-311: Missing Encryption of Sensitive Data
• CWE-359: Exposure of Private Information ("Privacy Violation")

Estándares

• GDPR:
  • ART_5
  • ART_6
  • ART_7
  • ART_12
  • ART_13
  • ART_25
  • ART_32
  • ART_35
• CCPA:
  • CCPA_1798_100
  • CCPA_1798_110
  • CCPA_1798_150
• OWASP_MASVS_v2_1:
  • MASVS_PRIVACY_1
  • MASVS_PRIVACY_2
• SOC2_CONTROLS:
  • CC_2_3
  • CC_5_3
  • CC_6_1
  • CC_6_7
• CNIL_FOR_EDITORS:
  • EDITORS_3_1_1
  • EDITORS_3_1_2
  • EDITORS_4_1_1