Collection of Users' Purchase History in Privacy Policy

Collecte de l'historique des achats des utilisateurs dans la politique de confidentialité

Risque : moyen

Description

La vulnérabilité réside dans la politique de confidentialité de l'application, qui omet de mentionner la collecte de l'historique des achats des utilisateurs. Ce type de données est pourtant déclaré dans la section Play Data Safety, exposant potentiellement les informations sensibles des utilisateurs à leur insu ou sans leur consentement.

Recommandation

Pour atténuer la vulnérabilité liée à la collecte de l'historique d'achat des utilisateurs, veillez à ce que votre politique de confidentialité décrive clairement la façon dont ces données seront utilisées, stockées et protégées. Mettez en œuvre des mesures de chiffrement robustes, des contrôles d'accès et des audits de sécurité réguliers pour protéger ces informations sensibles contre tout accès ou toute utilisation abusive non autorisés. De plus, fournissez aux utilisateurs des options d'activation/désactivation transparentes (opt-in/opt-out) et des instructions claires sur la manière dont ils peuvent gérer leurs préférences en matière de données.

Liens

• Android Privacy Guidelines
• Privacy Policies for Mobile Apps
• Apple Privacy Manifest
• CWE-359: Exposure of Private Information ("Privacy Violation")

Normes

• OWASP_MASVS_L1:
• OWASP_MASVS_L2:
• OWASP_MASVS_RESILIENCE:
• CWE_TOP_25:
• GDPR:
  • ART_5
  • ART_6
  • ART_7
  • ART_9
  • ART_11
  • ART_13
  • ART_15
  • ART_16
  • ART_17
  • ART_32
• CCPA:
  • CCPA_1798_100
  • CCPA_1798_105
  • CCPA_1798_110
  • CCPA_1798_115
  • CCPA_1798_120
  • CCPA_1798_125
  • CCPA_1798_130
  • CCPA_1798_135
  • CCPA_1798_140
  • CCPA_1798_150
• PCI_STANDARDS:
• OWASP_MASVS_v2_1:
  • MASVS_PRIVACY_1
  • MASVS_PRIVACY_2
  • MASVS_PRIVACY_3
  • MASVS_PRIVACY_4
• OWASP_ASVS_L1:
• OWASP_ASVS_L2:
• OWASP_ASVS_L3:
• SOC2_CONTROLS:
  • CC_2_3
  • CC_5_3
• CNIL_FOR_EDITORS:
  • EDITORS_3_1_1