Index

ユーザー資格情報の取り扱いがプライバシーポリシーで明確に開示されていない

Risk: medium

説明

アプリケーションはユーザーの資格情報を処理しますが、プライバシーポリシーにはこの機密情報がどのように保護および管理されるかが明確に記載されていません。資格情報の適切な取り扱いはアカウントのセキュリティにとって不可欠であり、ポリシーの明確さが欠如していると、重要なセキュリティ対策が不明瞭になる可能性があります。

推奨事項

アプリケーションのプライバシーポリシーを更新し、ユーザーの資格情報と認証関連データがどのように取り扱われるかを明確に説明してください。パスワードのハッシュ化とソルト処理、トークンの安全な保存、HTTPS の使用など、この情報を保護するために実施されているセキュリティ対策を明記してください。

リンク

• OWASP Application Security Verification Standard (ASVS) - V2 Authentication
• NIST Special Publication 800-63B - Digital Identity Guidelines
• GDPR Article 32 - Security of Processing
• CWE-257: Storing Passwords in a Recoverable Format

標準

• GDPR:
  • ART_5
  • ART_6
  • ART_12
  • ART_13
  • ART_25
  • ART_32
• CCPA:
  • CCPA_1798_100
  • CCPA_1798_110
  • CCPA_1798_150
• OWASP_MASVS_v2_1:
  • MASVS_PRIVACY_1
• SOC2_CONTROLS:
  • CC_2_3
  • CC_5_3
  • CC_6_1
  • CC_6_2
• CNIL_FOR_EDITORS:
  • EDITORS_3_1_1
  • EDITORS_4_1_1