Missing Declaration of Device or Other IDs Collection in Privacy Policy

Déclaration manquante de la collecte de l'appareil ou d'autres identifiants dans la politique de confidentialité

Risque : medium

Description

La vulnérabilité réside dans la politique de confidentialité de l'application, car elle ne mentionne pas la collecte de l'appareil des utilisateurs ou d'autres identifiants (IDs), bien que ce type de données soit déclaré dans la section Play Data Safety, mettant potentiellement la confidentialité des utilisateurs en danger.

Recommandation

Afin d'atténuer la vulnérabilité liée à la collecte de l'appareil des utilisateurs ou d'autres identifiants, assurez-vous que votre politique de confidentialité indique clairement la finalité de la collecte de ces données et obtenez le consentement explicite des utilisateurs avant de le faire. De plus, mettez en œuvre des mesures de sécurité des données robustes pour protéger ces informations contre tout accès non autorisé ou toute utilisation abusive.

Liens

• Android Privacy Guidelines
• Privacy Policies for Mobile Apps
• Apple Privacy Manifest
• CWE-359: Exposure of Private Information ("Privacy Violation")

Normes

• OWASP_MASVS_L1:
• OWASP_MASVS_L2:
• OWASP_MASVS_RESILIENCE:
• CWE_TOP_25:
• GDPR:
  • ART_5
  • ART_6
  • ART_7
  • ART_9
  • ART_11
  • ART_13
  • ART_15
  • ART_16
  • ART_17
  • ART_32
• CCPA:
  • CCPA_1798_100
  • CCPA_1798_105
  • CCPA_1798_110
  • CCPA_1798_115
  • CCPA_1798_120
  • CCPA_1798_125
  • CCPA_1798_130
  • CCPA_1798_135
  • CCPA_1798_140
  • CCPA_1798_150
• PCI_STANDARDS:
• OWASP_MASVS_v2_1:
  • MASVS_PRIVACY_1
  • MASVS_PRIVACY_2
  • MASVS_PRIVACY_3
  • MASVS_PRIVACY_4
• OWASP_ASVS_L1:
• OWASP_ASVS_L2:
• OWASP_ASVS_L3:
• SOC2_CONTROLS:
  • CC_2_3
  • CC_5_3
• CNIL_FOR_EDITORS:
  • EDITORS_3_1_1