Los usuarios de aplicaciones móviles se han vuelto más expertos en proteger la información personal confidencial y considerar el nivel de permisos de acceso para otorgar aplicaciones. Al mismo tiempo, los legisladores han instituido regulaciones como el Reglamento General de Protección de Datos (GDPR) y la Ley de Privacidad del Consumidor de California (CCPA) que restringen las prácticas de uso e intercambio de datos en todo el mundo. Como resultado, los desarrolladores de aplicaciones móviles deben adaptarse y hacer todo lo posible para proteger la privacidad del usuario y salvaguardar la información personal.
Los desarrolladores pueden adelantarse a las medidas reglamentarias y mejorar la experiencia general del usuario buscando formas de implementar funciones de privacidad de aplicaciones móviles directamente en sus aplicaciones móviles. Aquí hay seis características de privacidad de aplicaciones móviles que se deben considerar incluir en futuros sprints de DevSecOps.
Etiquetas de privacidad transparentes
Hacer que los usuarios sepan qué datos está recopilando y por qué es crucial porque proporciona un contexto de por qué esa información puede ser importante para la forma en que se ejecuta la aplicación. Los usuarios conscientes de la privacidad han cuestionado el uso de sus datos por parte de las aplicaciones porque los desarrolladores tradicionalmente han sido opacos sobre lo que recopilan y dónde transmite o comparte datos la aplicación.
Darles a los usuarios un inventario del uso de datos puede asustar a los desarrolladores y agregar trabajo adicional al proceso; la responsabilidad es así. Pero los desarrolladores deben prepararse porque eventualmente se les exigirá esa responsabilidad. Es probable que la industria vea más análisis de reputación de terceros con empresas que mantienen a raya a los desarrolladores de aplicaciones móviles con informes de privacidad. Póngase al frente de la pelota ahora y comience a agregar etiquetas transparentes a sus aplicaciones, al igual que las etiquetas nutricionales en los alimentos.
Además, considere hacer que el intercambio de información de privacidad de aplicaciones móviles sea una conversación bidireccional. Los desarrolladores de aplicaciones móviles pueden hacer mucho por la experiencia del cliente y la mejora continua si también incluyen detalles de contacto muy fáciles de encontrar para que los usuarios se comuniquen cuando encuentren problemas de privacidad y vulnerabilidades en la aplicación. No hagas que busquen en tu sitio web, inclúyelo en la propia aplicación. Colocar eso dentro de la etiqueta de privacidad es un lugar natural.
Opciones de uso de datos granulares
Con leyes de privacidad de datos como GDPR y CCPA que implementan mandatos de derecho de datos de usuario de aceptación y exclusión voluntaria, ahora es el momento para que los desarrolladores de aplicaciones móviles se tomen en serio los tipos de opciones que brindan a los usuarios para hacer selecciones de uso de datos dentro de las propias aplicaciones. En aras del cumplimiento y una mejor satisfacción del usuario, los desarrolladores móviles deben considerar la creación de funciones directamente en la aplicación que brinden a los usuarios un control más granular sobre qué datos recopila la aplicación y con quién comparte o no el desarrollador ciertos datos. Puede marcar una gran diferencia en la experiencia del usuario si ese control se ofrece directamente a través de la aplicación a través de varios botones de radio en lugar de tener que ir a un sitio web misterioso para manejar esa capacidad.
Considere esto en todas las geografías en lugar de solo para los ciudadanos de California o de la UE, ya que hay más leyes de privacidad de datos en el horizonte y hacer esto ahora lo protegerá de la deuda técnica en el futuro.
HTTPS
No todas las funciones de privacidad de las aplicaciones móviles son funciones de seguridad. Y no todas las características de seguridad están relacionadas con la privacidad. Sin embargo, definitivamente hay ciertas características de seguridad que refuerzan en gran medida la privacidad del usuario cuando están bien implementadas. Uno de los más obvios es la comunicación cifrada.
Los usuarios necesitan la tranquilidad de saber que nadie más que el desarrollador puede recopilar su información si están usando una aplicación en particular. La implementación de HTTPS brinda la seguridad de que los atacantes no pueden usar ataques de intermediario (MiTM) y otras técnicas para detectar información privada de la aplicación. Muchos desarrolladores móviles ya se han subido al carro de HTTPS, pero todavía hay muchos que resisten con HTTP. Un estudio reciente que hicimos en NowSecure encontró que una de cada cinco aplicaciones de Android y una de cada siete aplicaciones de iOS todavía usan HTTP.
Además, asegúrese de implementar HTTPS de forma segura. En dispositivos móviles, hay muchas formas de implementar TLS, y si lo hace incorrectamente, puede volverse tan inseguro como simplemente usar HTTP. De alguna manera, es peor porque genera una falsa sensación de seguridad: puede haber conexiones MiTM ocultas en la aplicación y el usuario ni siquiera pensará que es posible que eso suceda porque la aplicación supuestamente es una aplicación HTTPS. Por lo tanto, es crucial que la aplicación no solo implemente HTTPS, sino que también lo haga correctamente.
Almacenamiento de aplicaciones con privacidad optimizada
Tanto iOS como Android han hecho todo lo posible para proteger los dispositivos a nivel de plataforma, incluida la forma en que se almacenan los datos en estas computadoras de bolsillo. Sin embargo, todavía hay formas en que los atacantes remotos pueden extraer datos del dispositivo y hay formas en que las aplicaciones que se encuentran en la parte superior de los sistemas operativos pueden almacenar datos de manera insegura, poniendo en riesgo la privacidad del usuario en el proceso. Y, lamentablemente, esta es una realidad que los desarrolladores móviles tienden a pasar por alto.
La optimización del almacenamiento de datos para la privacidad puede reducirse a algo tan simple como implementar correctamente el cifrado de los datos en reposo. También se puede fomentar teniendo más en cuenta las ubicaciones en las que la aplicación almacena datos para que otras aplicaciones no puedan acceder a ellos. Por ejemplo, en Android hay ubicaciones llamadas almacenamiento externo a las que puede acceder una aplicación que también son accesibles para el usuario y para otras aplicaciones. Es importante ser considerado con eso y ser consciente de los problemas de privacidad de la aplicación móvil que pueden surgir al permitir que la aplicación almacene datos en un almacenamiento externo. Porque dependiendo de cómo su aplicación use esos datos y qué se almacene allí, un desarrollador podría estar aumentando los riesgos de privacidad para el usuario al aprovecharlos.
Controles de contenido
Muchas aplicaciones tienen una funcionalidad integrada que podría usarse para phishing a los usuarios, esencialmente brindando los medios para que un usuario viole la privacidad de su propia aplicación móvil. Un ejemplo clásico de esto son las vistas web, que son, en esencia, un navegador integrado en la aplicación que facilita al desarrollador acceder al contenido externo que se mostrará dentro de la aplicación. Las vistas web no son necesariamente algo malo en sí mismas, pero sin algunos controles de contenido que restrinjan qué contenido web se puede mostrar y qué no, definitivamente pueden ser utilizadas por atacantes con fines maliciosos.
Simplemente demuestra que los controles de contenido son cruciales para mantener la privacidad de los datos de los usuarios que manejan las aplicaciones.
Permisos correctamente configurados
Los desarrolladores de aplicaciones inteligentes reconocen que las integraciones sólidas son buenas para todos en el ecosistema móvil. Pero también deben tener en cuenta que las conexiones inseguras y los permisos para compartir entre aplicaciones pueden poner en riesgo los datos de los usuarios. Cuando los permisos son demasiado promiscuos o están mal configurados, una aplicación se erige como una fuente principal de fugas de datos en el dispositivo de un usuario. Depende de los desarrolladores bloquear sus permisos tanto como sea posible para evitar que eso suceda. Esto también se puede vincular a las opciones de uso de datos, brindando al usuario opciones informadas sobre las aplicaciones que pueden abarcar sus datos y permitiéndoles controlar qué va a dónde.
Aviso de privacidad de la aplicación móvil
Las funciones de privacidad de aplicaciones móviles como las que sugerimos aquí son solo el comienzo para crear aplicaciones móviles seguras y fáciles de usar. Para idear una estrategia sobre cómo los desarrolladores pueden mejorar la privacidad de las aplicaciones móviles, consulte nuestro libro electrónico más reciente, «Construyendo la privacidad por diseño en su cartera de aplicaciones móviles».
Relacionado:
