美文网首页IAPP CIPT认证
OWASP定义的软件系统十大隐私风险

OWASP定义的软件系统十大隐私风险

作者: 遥望潇湘 | 来源:发表于2022-11-15 14:04 被阅读0次

OWASP是一个开源的、非盈利的全球性安全组织,致力于应用软件的安全研究。OWASP被视为web应用安全领域的权威参考,为各类企业的应用安全提供了明确的指引。目前OWASP全球拥有250个分部近7万名会员,共同推动了安全标准、安全测试工具、安全指导手册等应用安全技术的发展。

2021年OWASP发布了软件系统的隐私风险清单V2.0,指出了软件开发与运维过程中最常见与后果最严重的十大隐私风险,并同时提供了针对性的控制措施作为参考。

图1-OWASP十大隐私风险列表

这十大风险基本上可以分为三类: 一类是排名最高的数据泄漏类(P1, P2,P3), 二是数据采集不合规(P4,P5,P8,P10), 以及数据处理过程不符合用户期待(P6,P7,P9)

因为官方没有发布最新的中文版,我尝试编译了其中部分内容,供大家在设计软件时,作为隐私风险评估的参考项。

P1 Web应用程序脆弱性

在任何保护用户敏感数据或需对用户敏感数据进行操作的系统中,脆弱性都是一个关键问题。由于未能正确设计和开发应用程序,或虽检测到问题却无法及时修复应用程序(包括安全补丁),可能都会导致个人隐私数据的泄漏。

    风险检测方式

-是否定期执行渗透性测试,并关注对隐私的影响

-开发人员是否有web应用安全知识

-是否有应用和遵循安全代码规范

-系统是否有使用过期的软件或数据库

    建议的风险应对措施

-由被认可的独立安全专家对系统执行渗透测试

-定期使用自动化工具执行系统漏洞和软件安全扫描

-就是修复发现的漏洞

-为架构师和软件开发人员提供安全开发培训.

-采用应用安全开发生命周期管理框架和DevSecOps实践

-执行符合规范的补丁管理

P2 软件系统运维中的数据泄漏

由于恶意破坏或者是无意错误(缺少访问控制,不安全的存储,数据重复,缺乏安全意识),导致个人数据被未授权方访问,进而丧失机密性

    风险检测方式

-调查运维方的的可靠性

-对运维方进行审计

    建议的风险应对措施

-使用合适的用户授权与访问控制机制 (最小权限原则,多因素认证,特权账号管理)

-对所有个人数据的存储尤其是移动设备上的数据存储使用强加密

-针对所有员工的个人数据安全处理意识培训;

-利用DLP/SIEM在终端设备/网站/云服务上对个人数据的泄漏进行监测;

-在软件开发与运维阶段实现Privacy by Design

-根据数据使用目的与场景对个人数据进行匿名化与去标识化

P3 数据泄漏响应不足

当发生数据泄漏事件时,未通知被影响数据主体,未能通过补救措施进行纠错,未尝试限制数据泄漏

    风险检测方式

-是否有数据泄漏响应计划与团队,是否定期对计划进行测试;

-是否对数据泄漏事件的监控机制

-数据泄漏事故发生后,是否有及时监测到,并及时通知受影响数据主体,是否有固定证据支持事故调查

-整个事故响应是否及时,和利益相关方的沟通是否诚实,准确和易于理解。

    建议的风险应对措施

-创建和维护安全事件响应计划和团队

-定期测试该计划(每半年最少要进行一次桌面演练)

-持续监测数据泄漏事件

-数据泄漏事故发生后严格按计划进行及时响应

P4 滥用用户授权同意

针对不同的数据处理目的,要求用户给予概括性的同意;或者将用户授权的数据用于其他目的。

    风险检测方式

-收集的用户数据是否只用于用户授权的处理活动 - 目的限制原则

-采集和处理的数据范围对要实现的目的是否必要的 - 必要原则

    建议的风险应对措施

-对每个数据处理活动单独获取用户同意

-用户的同意授权必须是在知情和自愿原则下做出的

P5 不透明的政策,条款与条件

未提供足够的信息来介绍数据处理的范围与方式,让不具备法律知识的用户无法便利的访问与理解隐私政策与条款

    风险检测方式

检查隐私政策与服务条款是否满足

-用户易于获取

-内容完整 (注:隐私政策内容与形式可参考《个人信息安全规范 - 附录D》 )

-内容易于理解

    建议的风险应对措施

-服务协议和隐私政策应当易于普通用户理解;

-除了全文还提供一个易于阅读的摘要

-跟踪协议与政策的版本历史

-记录用户授权时的协议与政策版本

-为用户提供退出机制(注销账号,撤回同意,删除数据)

-为cookie,SDK等用户行为跟踪机制提供说明

P6 不完善的个人数据清除机制

在数据处理目的已经完成或用户提出数据删除请求时,未能及时有效的从系统中清除相关个人数据

    风险检测方式

-检查,验证和测试数据保存政策和个人数据删除机制

-检查数据保存期限与删除机制是否透明

    建议的风险应对措施

-建立并实施数据保存政策;

-落实数据删除机制,在数据处理目的完成后或用户提出删除需求时及时完成数据删除任务;

-如果因为技术原因数据无法被清除时,可以使用安全锁定策略,保证数据除了保存不再用于其他用途;

-使用合理的数据删除方法,确保数据删除后不可恢复

-保留数据删除的证据;

-数据清除时需要包括备份存储或已共享给第三方的的数据拷贝。

P7 数据质量不佳

使用过时、不正确或伪造的用户数据,未能及时更新/纠正用户数据中的错误

    风险检测方式

-检查应用中是否支持用户对个人数据进行更新;

-检查是否有机制要求用户定期检查和更新个人信息

-检查运维团队的数据质量管控机制

    建议的风险应对措施

-在系统中增加数据验证机制;

-增加要求用户定期检查和验证个人信息的机制;

-提供系统功能允许用户更新自己的个人信息;

-当用户的个人数据被更新时,及时同步给下游系统。

P8 会话过期机制的缺失或不足

没有有效的会话终止机制,导致在缺少同意情况下超范围采集用户数据

    风险检测方式

-退出按钮是否易于发现和使用;

-是否有自动的会话过期机制,建议小于一周

-会话过期设置是否合理,综合考虑了核心功能的需求及会话访问数据的敏感度

    建议的风险应对措施

-增加会话自动过期机制;

-允许用户根据需要自行修改会话过期时间;

-上次会话用户如果没有登出,下次登录时为用户推送提醒。

P9 用户无法访问或修改数据

没有为用户提供适合的途径去访问/修改/删除应用中采集的个人数据

    风险检测方式

-是否为用户提供了访问个人数据的途径;

-是否为用户提供了更新和删除个人数据的途径;

-收到的用户更新/删除请求,是否有同步到相关第三方(该用户数据已分享的第三方)

    建议的风险应对措施

-在应用中为用户提供功能直接访问、更新、删除个人数据;

-如果应用中无法实现,为用户提供其他途径完成个人数据的访问/更新/删除;

-及时响应用户的SDR需求,并记录。

P10 超范围收集数据

收集的个人数据超过了满足业务目的所必需,或超过了用户同意的范围

    风险检测方式

-建立数据清单,比对数据处理目的和数据收集范围的对称性;

-验证所收集数据是否都有获取必要的用户同意;

-定期对个人数据的采集进行合规检查

    建议的风险应对措施

-清晰定义数据收集的目的,在系统中只采集满足业务目的所必需的数据字段;

-贯彻数据最小化原则,默认只收集最小必要的数据;

-优化服务所需的额外数据采集,由用户自愿提供并提供机制允许用户随时opt-out;

-数据开始采集前就需确定目的及获得用户同意

参考资料:

1. OWASP中国-OWASP十大隐私风险V1.0

2. OWASP-OWASP Top 10 Privacy Risks Countermeasures v2.0

相关文章

网友评论

    本文标题:OWASP定义的软件系统十大隐私风险

    本文链接:https://www.haomeiwen.com/subject/fperxdtx.html