MASVS-PRIVACY:隐私¶
MASVS-PRIVACY 的主要目标是为用户隐私提供一个基准。它不旨在涵盖用户隐私的所有方面,尤其是在 ENISA 或 GDPR 等其他标准和法规已经这样做的情况下。我们专注于应用程序本身,着眼于可以使用公开可用的信息或通过静态或动态分析等方法在应用程序中找到的信息进行测试的内容。
虽然一些相关的测试可以自动化,但由于隐私的细微性质,其他测试需要手动干预。例如,如果一个应用程序收集了它在应用商店或其隐私政策中没有提及的数据,则需要仔细的手动检查才能发现这一点。
关于“数据收集和共享”的说明:对于 MASTG 测试,我们以统一的方式对待“收集”和“共享”。这意味着无论是应用程序将数据发送到另一个服务器还是将其传输到设备上的另一个应用程序,我们都将其视为可能脱离用户控制的数据。验证远程终结点上数据的处理方式具有挑战性,而且由于访问限制和服务器端操作的动态性质,通常不可行。因此,这个问题超出了 MASVS 的范围。
重要免责声明:
MASVS-PRIVACY 不旨在作为详尽或唯一的参考。虽然它为以应用为中心的隐私考虑因素提供了有价值的指导,但它绝不应取代全面的评估,例如通用数据保护条例 (GDPR) 或其他相关法律和监管框架授权的数据保护影响评估 (DPIA)。强烈建议利益相关者采取全面的隐私方法,将 MASVS-PRIVACY 的见解与更广泛的评估相结合,以确保全面的数据保护合规性。鉴于隐私法规的专业性质和数据保护的复杂性,这些评估最好由隐私专家而非安全专家进行。
控制项¶
ID | 控制 |
---|---|
MASVS-隐私-1 | 该应用最大程度地减少对敏感数据和资源的访问。 |
MASVS-隐私-2 | 该应用防止识别用户。 |
MASVS-隐私-3 | 该应用在数据收集和使用方面是透明的。 |
MASVS-隐私-4 | 该应用提供用户对其数据的控制权。 |