A OWASP – Open Web Application Security Project – publicou a nova versão da sua lista de riscos à privacidade. O OWASP Top 10 Privacy Risks mantém uma lista com os 10 principais riscos à privacidade em aplicações web. Complementarmente, mantém também uma lista de contramedidas relacionadas aos riscos apresentados. A lista abrange aspectos tecnológicos e organizacionais que enfocam os riscos da vida real, não apenas questões legais. A elaboração da lista leva em consideração as Diretrizes de Privacidade da OCDE e pode ser usada para avaliar os riscos de privacidade associados a aplicações web específicas.
O projeto foi fundado em 2014, com o lançamento da versão 1.0. Em 2016, foi publicada a lista de contramedidas relacionadas aos riscos apresentados dois anos antes. E agora, em 2021, foi publicada a versão 2.0 da lista de riscos, sendo que o texto das contramedidas segue em desenvolvimento.
Um ponto interessante é que a lista é independente de localização, baseando-se fortemente nos princípios da OCDE para proteção à privacidade e dados pessoais. Essas diretrizes são um consenso entre países membros e caracterizadas pela clareza. Além disso, levam em conta uma flexibilidade necessária para acompanhar a evolução da tecnologia enquanto se mantém o respeito à privacidade e a proteção aos dados pessoais.
Top 10 Privacy Risks
| 2021 (v2) | 2014 (v1) | Risco |
|---|---|---|
| 1 | 1 | Vulnerabilidades em aplicações web |
| 2 | 2 | Vazamento de dados pelo lado do operador |
| 3 | 3 | Resposta insuficiente devido ao vazamento de dados |
| 4 | Novo | Consentimento em tudo |
| 5 | 5 | Políticas, termos e condições não transparentes |
| 6 | 4 | Exclusão insuficiente de dados pessoais |
| 7 | Novo | Qualidade dos dados insuficiente |
| 8 | 9 | Expiração de sessão ausente ou insuficiente |
| 9 | 13 | Incapacidade dos usuários de acessar e modificar seus dados |
| 10 | 6 | A coleta de dados não requeridos para o propósito consentido pelo usuário |
Como pontos interessantes dessa nova lista, percebemos que o top3 continua o mesmo, com uma grande preocupação com as vulnerabilidades nas aplicações, que podem levar ao vazamento e comprometimento dos dados, e um processo de resposta ao incidente que não seja capaz de realmente conter o dano para o titular afetado. Além disso dois novos riscos são apresentados, com destaque para o risco (4) – consentimento em tudo especialmente no cenário atual, quase um ano depois do início da vigência da LGPD, onde percebemos que ainda há uma grande dificuldade no entendimento do conceito de consentimento. Por outro lado, a coleta de dados não necessários ao processamento caiu algumas posições.
A página oficial do projeto, onde a lista poderá ser consultada, é encontrada em https://owasp.org/www-project-top-10-privacy-risks/
0 comentário