External Account Information Collection Not Disclosed in Privacy Policy

Collecte d'informations de compte externe non divulguée dans la politique de confidentialité

Risk: medium

Description

L'application accède à ou collecte des informations provenant de comptes externes des utilisateurs (tels que des profils de réseaux sociaux ou d'autres services tiers), mais la politique de confidentialité ne le divulgue pas clairement. Cela peut inclure des informations de profil, des listes de contacts ou d'autres données provenant de comptes liés. Ne pas informer les utilisateurs de cet accès aux données peut être trompeur et enfreindre les réglementations sur la confidentialité.

Recommandation

Mettez à jour la politique de confidentialité de votre application pour indiquer explicitement si et comment les informations provenant de comptes externes sont consultées ou collectées. Décrivez clairement les types d'informations obtenues, les objectifs spécifiques de cet accès, la manière dont les données sont utilisées, stockées, leur période de conservation, et tout partage avec l'application principale. Assurez-vous que les utilisateurs donnent leur consentement clair avant de lier des comptes externes et qu'ils comprennent à quelles données il sera accédé.

Liens

• GDPR - Personal Data Definition
• OAuth 2.0 Standard
• CWE-359: Exposure of Private Information ("Privacy Violation")

Normes

• GDPR:
  • ART_5
  • ART_6
  • ART_7
  • ART_12
  • ART_13
  • ART_25
  • ART_32
• CCPA:
  • CCPA_1798_100
  • CCPA_1798_110
  • CCPA_1798_150
• OWASP_MASVS_v2_1:
  • MASVS_PRIVACY_1
  • MASVS_PRIVACY_2
• SOC2_CONTROLS:
  • CC_2_3
  • CC_5_3
  • CC_6_1
• CNIL_FOR_EDITORS:
  • EDITORS_3_1_1
  • EDITORS_3_1_2