Payment and Financial Information Collection Not Disclosed in Privacy Policy

隐私政策中未披露的支付和财务信息收集

Risk: medium

描述

应用程序收集支付或财务信息，例如信用卡详细信息或银行账号，但隐私政策未能披露此数据收集情况。支付和财务数据高度敏感。在隐私政策中省略此信息可能会误导用户了解其数据的处理方式，并且可能违反了如GDPR和CCPA等隐私法规的要求，以及如适用时的PCI DSS等行业标准。

建议

更新您的应用程序隐私政策，以明确声明收集了支付和财务信息。清楚描述收集的财务数据类型、其收集的具体目的、如何安全地处理和存储（包括加密和访问控制等安全措施）、任何共享做法（例如，与支付处理商共享）以及数据保留期限。确保完全透明并遵守所有相关的数据保护法律和标准。

链接

• PCI Security Standards Council
• GDPR Article 32 - Security of Processing
• GDPR Article 35 - Data Protection Impact Assessment
• CWE-311: Missing Encryption of Sensitive Data
• CWE-359: Exposure of Private Information ("Privacy Violation")

标准

• GDPR:
  • ART_5
  • ART_6
  • ART_7
  • ART_12
  • ART_13
  • ART_25
  • ART_32
  • ART_35
• CCPA:
  • CCPA_1798_100
  • CCPA_1798_110
  • CCPA_1798_150
• OWASP_MASVS_v2_1:
  • MASVS_PRIVACY_1
  • MASVS_PRIVACY_2
• SOC2_CONTROLS:
  • CC_2_3
  • CC_5_3
  • CC_6_1
  • CC_6_7
• CNIL_FOR_EDITORS:
  • EDITORS_3_1_1
  • EDITORS_3_1_2
  • EDITORS_4_1_1