MASVS-PRIVACY-1

コントロール

アプリは機密データやリソースへのアクセスを最小限に抑えます。

説明

アプリはその機能にとって絶対に必要なデータへのアクセスのみを要求し、常にユーザーからのインフォームドコンセントが必要です。このコントロールにより、アプリはデータの最小化を確実に実践し、アクセス制御を制限して、データ侵害や漏洩の潜在的な影響を軽減します。

さらに、アプリは必要な場合にのみサードパーティとデータを共有すべきであり、これにはサードパーティ SDK がデフォルトや同意なしではなく、ユーザーの同意に基づいて動作することを強制することも含む必要があります。アプリはサードパーティ SDK が同意シグナルを無視したり、同意を確認する前にデータを収集することを防ぐ必要があります。

さらに、アプリは組み込まれている SDK の「サプライチェーン」を認識すべきであり、データが依存関係のチェーンに不必要に渡されないようにします。データに対するエンドツーエンドの責任は最近の SBOM 規制要件に沿うものであり、アプリのデータ実践に対する説明責任をさらに高めます。