Index
隐私政策中未明确披露用户凭据的处理方式
描述
该应用程序处理用户凭据,但隐私政策未明确描述如何保护和管理此敏感信息。妥善处理凭据对于帐户安全至关重要,而政策不够清晰可能会掩盖重要的安全实践。
建议
更新应用程序的隐私政策,以清楚地说明如何处理用户凭据和与身份验证相关的数据。具体说明为保护此类信息而采取的安全措施,例如密码的哈希和加盐、令牌的安全存储以及 HTTPS 的使用。
链接
- OWASP Application Security Verification Standard (ASVS) - V2 Authentication
- NIST Special Publication 800-63B - Digital Identity Guidelines
- GDPR Article 32 - Security of Processing
- CWE-257: Storing Passwords in a Recoverable Format
标准
- GDPR:
- ART_5
- ART_6
- ART_12
- ART_13
- ART_25
- ART_32
- CCPA:
- CCPA_1798_100
- CCPA_1798_110
- CCPA_1798_150
- OWASP_MASVS_v2_1:
- MASVS_PRIVACY_1
- SOC2_CONTROLS:
- CC_2_3
- CC_5_3
- CC_6_1
- CC_6_2
- CNIL_FOR_EDITORS:
- EDITORS_3_1_1
- EDITORS_4_1_1