MASVS-PRIVACY: Privacidade¶
O principal objetivo do MASVS-PRIVACY é fornecer uma base para a privacidade do usuário. Ele não pretende cobrir todos os aspectos da privacidade do usuário, especialmente quando outros padrões e regulamentos, como a ENISA ou o GDPR, já fazem isso. Nós nos concentramos no próprio aplicativo, observando o que pode ser testado usando informações publicamente disponíveis ou encontradas dentro do aplicativo por meio de métodos como análise estática ou dinâmica.
Embora alguns testes associados possam ser automatizados, outros exigem intervenção manual devido à natureza sutil da privacidade. Por exemplo, se um aplicativo coleta dados que não foram mencionados na loja de aplicativos ou em sua política de privacidade, é necessário uma verificação manual cuidadosa para detectar isso.
Nota sobre "Coleta e Compartilhamento de Dados": Para os testes do MASTG, tratamos "Coletar" e "Compartilhar" de maneira unificada. Isso significa que, seja o aplicativo enviando dados para outro servidor ou transferindo-os para outro aplicativo no dispositivo, nós o vemos como dados que potencialmente saem do controle do usuário. Validar o que acontece com os dados em endpoints remotos é desafiador e muitas vezes não é viável devido a restrições de acesso e à natureza dinâmica das operações do lado do servidor. Portanto, essa questão está fora do escopo do MASVS.
ISENÇÃO DE RESPONSABILIDADE IMPORTANTE:
O MASVS-PRIVACY não pretende servir como uma referência exaustiva ou exclusiva. Embora forneça orientações valiosas sobre considerações de privacidade centradas no aplicativo, ele nunca deve substituir avaliações abrangentes, como uma Avaliação de Impacto à Proteção de Dados (DPIA) exigida pelo Regulamento Geral de Proteção de Dados (GDPR) ou outras estruturas legais e regulatórias pertinentes. As partes interessadas são fortemente aconselhadas a adotar uma abordagem holística para a privacidade, integrando os insights do MASVS-PRIVACY com avaliações mais amplas para garantir a conformidade abrangente com a proteção de dados. Dada a natureza especializada das regulamentações de privacidade e a complexidade da proteção de dados, essas avaliações são melhor conduzidas por especialistas em privacidade, e não por especialistas em segurança.
| ID | statement |
|---|---|
| MASVS-PRIVACY-1 | The app minimizes access to sensitive data and resources. |
| MASVS-PRIVACY-2 | The app prevents identification of the user. |
| MASVS-PRIVACY-3 | The app is transparent about data collection and usage. |
| MASVS-PRIVACY-4 | The app offers user control over their data. |