Payment and Financial Information Collection Not Disclosed in Privacy Policy

プライバシーポリシーに開示されていない支払いおよび財務情報の収集

Risk: medium

説明

アプリケーションは、クレジットカードの詳細や銀行口座番号などの支払い情報または財務情報を収集しますが、プライバシーポリシーにはこのデータ収集が開示されていません。支払いおよび財務データは非常に機密性が高いです。プライバシーポリシーからこの情報を省略すると、データがどのように処理されるかについてユーザーを誤解させる可能性があり、GDPRやCCPAなどのプライバシー規制の要件、および該当する場合はPCI DSSなどの業界標準に違反する可能性があります。

推奨事項

アプリケーションのプライバシーポリシーを更新し、支払いおよび財務情報が収集されることを明記してください。収集される財務データの種類、収集の具体的な目的、安全な処理と保存方法（暗号化やアクセス制御などのセキュリティ対策を含む）、共有の慣行（決済処理業者との共有など）、およびデータ保持期間を明確に説明してください。関連するすべてのデータ保護法と標準に対する完全な透明性とコンプライアンスを確保してください。

リンク

• PCI Security Standards Council
• GDPR Article 32 - Security of Processing
• GDPR Article 35 - Data Protection Impact Assessment
• CWE-311: Missing Encryption of Sensitive Data
• CWE-359: Exposure of Private Information ("Privacy Violation")

標準

• GDPR:
  • ART_5
  • ART_6
  • ART_7
  • ART_12
  • ART_13
  • ART_25
  • ART_32
  • ART_35
• CCPA:
  • CCPA_1798_100
  • CCPA_1798_110
  • CCPA_1798_150
• OWASP_MASVS_v2_1:
  • MASVS_PRIVACY_1
  • MASVS_PRIVACY_2
• SOC2_CONTROLS:
  • CC_2_3
  • CC_5_3
  • CC_6_1
  • CC_6_7
• CNIL_FOR_EDITORS:
  • EDITORS_3_1_1
  • EDITORS_3_1_2
  • EDITORS_4_1_1