Missing Declaration of Email Collection in Privacy Policy

Déclaration manquante de la collecte d'e-mails dans la politique de confidentialité

Risk: medium

Description

La vulnérabilité réside dans le fait que l'application ne vérifie pas correctement si la politique de confidentialité mentionne la collecte des e-mails des utilisateurs lorsque ce type de données est déclaré dans la section Sécurité des données de Google Play (Play Data Safety Section), exposant potentiellement les informations personnelles des utilisateurs sans leur consentement.

Recommandation

Pour atténuer la vulnérabilité liée à la collecte des e-mails des utilisateurs, assurez-vous que votre politique de confidentialité indique clairement la finalité de la collecte de ces données, obtient le consentement explicite des utilisateurs et met en œuvre des mesures de sécurité strictes pour protéger les informations contre tout accès non autorisé ou toute utilisation abusive. De plus, révisez et mettez à jour régulièrement votre politique de confidentialité pour rester en conformité avec les réglementations sur la protection des données.

Liens

• Android Privacy Guidelines
• Privacy Policies for Mobile Apps
• Apple Privacy Manifest
• CWE-359: Exposure of Private Information ("Privacy Violation")

Normes

• OWASP_MASVS_L1:
• OWASP_MASVS_L2:
• OWASP_MASVS_RESILIENCE:
• CWE_TOP_25:
• GDPR:
  • ART_5
  • ART_6
  • ART_7
  • ART_9
  • ART_11
  • ART_13
  • ART_15
  • ART_16
  • ART_17
  • ART_32
• CCPA:
  • CCPA_1798_100
  • CCPA_1798_105
  • CCPA_1798_110
  • CCPA_1798_115
  • CCPA_1798_120
  • CCPA_1798_125
  • CCPA_1798_130
  • CCPA_1798_135
  • CCPA_1798_140
  • CCPA_1798_150
• PCI_STANDARDS:
• OWASP_MASVS_v2_1:
  • MASVS_PRIVACY_1
  • MASVS_PRIVACY_2
  • MASVS_PRIVACY_3
  • MASVS_PRIVACY_4
• OWASP_ASVS_L1:
• OWASP_ASVS_L2:
• OWASP_ASVS_L3:
• SOC2_CONTROLS:
  • CC_2_3
  • CC_5_3
• CNIL_FOR_EDITORS:
  • EDITORS_3_1_1