OWASP Top 10 Privacy Risks

Por

Você já conhece o OWASP Top 10 Privacy Risks? Se não conhece, vem comigo que vou te explicar rapidinho a que isto se refere.

A sigla OWASP refere-se à Open Web Application Security Project (traduzido como “Projeto de Segurança de Aplicações Abertas na Web”). A OWASP é “é uma fundação sem fins lucrativos que trabalha para melhorar a segurança do software. Através de projetos de software de código aberto liderados pela comunidade, centenas de capítulos locais em todo o mundo, dezenas de milhares de membros e conferências educacionais e de treinamento líderes, a Fundação OWASP é a fonte para que desenvolvedores e tecnólogos protejam a web.”

Um dos projetos mais conhecidos da fundação é o “OWASP Top 10”, que “é um documento padrão de conscientização para desenvolvedores e segurança de aplicações web. Ele representa um amplo consenso sobre os riscos de segurança mais críticos para as aplicações web.” O OWASP Top 10 é “reconhecido mundialmente pelos desenvolvedores como o primeiro passo para uma codificação mais segura.”

Mas o que nem todo mundo sabe é que a OWASP desenvolveu o “OWASP Top 10 Privacy Risks”. Como o próprio nome diz, corresponde a uma seleção dos 10 principais riscos à privacidade, com a indicação de sua probabilidade e impacto, além das medidas de mitigação. Como indicado no próprio site,

O OWASP Top 10 Privacy Risks Project fornece uma lista dos 10 principais riscos de privacidade em aplicações web e contramedidas relacionadas. Ele cobre aspectos tecnológicos e organizacionais que se concentram em riscos da vida real, e não apenas em questões legais. O Projeto fornece dicas sobre como implementar o privacy by design em aplicações web com o objetivo de ajudar desenvolvedores e provedores de aplicações web a entender e melhorar a privacidade. A lista usa as Diretrizes de Privacidade da OCDE como uma estrutura e também pode ser usada para avaliar os riscos de privacidade associados a aplicações web específicas.

Aqui estão os 10 riscos à privacidade apresentados pela OWASP em 2021:

  1. Vulnerabilidades em aplicações web
  2. Vazamento de dados do lado do operador
  3. Resposta insuficiente em caso de incidente de segurança
  4. Pedir consentimento genérico
  5. Políticas, termos e condições não transparentes
  6. Exclusão insuficiente dos dados do usuário
  7. Dados de qualidade insuficiente
  8. Expiração de sessão ausente ou insuficiente
  9. Impossibilidade de acesso e modificação de dados por parte dos usuários
  10. Coleta de dados não necessários para a finalidade indicada ao usuário

É importante destacar que cada um destes riscos à privacidade é descrito no site da OWASP, e já há inclusive tradução para português. Também está presente a indicação da probabilidade (ou frequência), bem como do nível de impacto ao titular de dados pessoais. Vale a pena conferir!

Você já conhecia o OWASP Top 10 Privacy Risks? Usa a metodologia e as indicações para segurança – o OWASP Top 10? Pretende utilizar o OWASP Top 10 Privacy Risks? Deixe abaixo seus comentários!