Identity Verification Information Collection Not Disclosed in Privacy Policy

Collecte d'informations de vérification d'identité non divulguée dans la politique de confidentialité

Risk: medium

Description

L'application collecte des informations pour la vérification de l'identité, telles que des images de pièces d'identité officielles ou des selfies de vérification, mais la politique de confidentialité ne le divulgue pas clairement. Ce type de données est hautement sensible et directement lié à l'identité légale d'un individu. Le fait de ne pas informer les utilisateurs de cette collecte peut être trompeur et peut violer les réglementations sur la confidentialité exigeant un consentement explicite et des mesures de sécurité strictes.

Recommandation

Mettez à jour la politique de confidentialité de votre application pour indiquer explicitement que des informations de vérification d'identité sont collectées. Décrivez clairement les types d'informations collectées, les finalités spécifiques de leur collecte, la manière dont elles sont traitées et stockées de manière sécurisée, leur durée de conservation et les droits des utilisateurs concernant ces données. Assurez-vous d'obtenir le consentement explicite des utilisateurs et que toutes les pratiques sont conformes aux lois applicables sur la protection des données.

Liens

• GDPR Article 9 - Processing of Special Categories of Personal Data (if biometrics involved in ID)
• GDPR Article 32 - Security of Processing
• NIST Special Publication 800-63A - Digital Identity Guidelines: Enrollment and Identity Proofing
• CWE-359: Exposure of Private Information ("Privacy Violation")

Normes

• GDPR:
  • ART_5
  • ART_6
  • ART_7
  • ART_9
  • ART_12
  • ART_13
  • ART_25
  • ART_32
  • ART_35
• CCPA:
  • CCPA_1798_100
  • CCPA_1798_110
  • CCPA_1798_150
• OWASP_MASVS_v2_1:
  • MASVS_PRIVACY_1
  • MASVS_PRIVACY_2
• SOC2_CONTROLS:
  • CC_2_3
  • CC_5_3
  • CC_6_1
• CNIL_FOR_EDITORS:
  • EDITORS_1_2_5
  • EDITORS_3_1_1
  • EDITORS_3_1_2
  • EDITORS_4_1_1