A OWASP – Open Web Application Security Project – publicou a nova versão da sua lista de riscos à privacidade. O OWASP Top 10 Privacy Risks mantém uma lista com os 10 principais riscos à privacidade em aplicações web. Complementarmente, mantém também uma lista de contramedidas relacionadas aos riscos apresentados. A lista abrange aspectos tecnológicos e organizacionais que enfocam os riscos da vida real, não apenas questões legais. A elaboração da lista leva em consideração as Diretrizes de Privacidade da OCDE e pode ser usada para avaliar os riscos de privacidade associados a aplicações web específicas.

O projeto foi fundado em 2014, com o lançamento da versão 1.0. Em 2016, foi publicada a lista de contramedidas relacionadas aos riscos apresentados dois anos antes. E agora, em 2021, foi publicada a versão 2.0 da lista de riscos, sendo que o texto das contramedidas segue em desenvolvimento.

Um ponto interessante é que a lista é independente de localização, baseando-se fortemente nos princípios da OCDE para proteção à privacidade e dados pessoais. Essas diretrizes são um consenso entre países membros e caracterizadas pela clareza. Além disso, levam em conta uma flexibilidade necessária para acompanhar a evolução da tecnologia enquanto se mantém o respeito à privacidade e a proteção aos dados pessoais.

Top 10 Privacy Risks

2021 (v2)2014 (v1)Risco
11Vulnerabilidades em aplicações web
22Vazamento de dados pelo lado do operador
33Resposta insuficiente devido ao vazamento de dados
4NovoConsentimento em tudo
55Políticas, termos e condições não transparentes
64Exclusão insuficiente de dados pessoais
7NovoQualidade dos dados insuficiente
89Expiração de sessão ausente ou insuficiente
913Incapacidade dos usuários de acessar e modificar seus dados
106A coleta de dados não requeridos para o propósito consentido pelo usuário

Como pontos interessantes dessa nova lista, percebemos que o top3 continua o mesmo, com uma grande preocupação com as vulnerabilidades nas aplicações, que podem levar ao vazamento e comprometimento dos dados, e um processo de resposta ao incidente que não seja capaz de realmente conter o dano para o titular afetado. Além disso dois novos riscos são apresentados, com destaque para o risco (4) – consentimento em tudo especialmente no cenário atual, quase um ano depois do início da vigência da LGPD, onde percebemos que ainda há uma grande dificuldade no entendimento do conceito de consentimento. Por outro lado, a coleta de dados não necessários ao processamento caiu algumas posições.

A página oficial do projeto, onde a lista poderá ser consultada, é encontrada em https://owasp.org/www-project-top-10-privacy-risks/


0 comentário

Deixe um comentário

Avatar placeholder

O seu endereço de e-mail não será publicado.