Gizlilik Güvenliği En İyi Uygulamaları

Bu sayfa, Android kullanıcılarının verilerinin işlenmesi üzerinde kontrole sahip olmalarını sağlamak için bir dizi veri toplama kılavuzu ve öneri içerir.

Verilerin günlüğe kaydedilmesi

Verilerin günlüğe kaydedilmesi, bu verilerin açığa çıkma riskini artırır ve sistem performansını azaltır. Hassas kullanıcı verilerinin günlüğe kaydedilmesi sonucunda çok sayıda kamu güvenliği olayı meydana geldi.

  • SD karta giriş yapmayın.
  • Uygulamalar veya sistem hizmetleri, üçüncü taraf uygulamalardan sağlanan hassas bilgiler içerebilecek verileri günlüğe kaydetmemelidir.
  • Uygulamanın temel işlevlerini sağlamak için kesinlikle gerekli olmadığı sürece, uygulamalar normal çalışmanın bir parçası olarak herhangi bir Kişisel Tanımlayıcı Bilgiyi (PII) günlüğe kaydetmemelidir.

CTS, günlüklerde potansiyel olarak hassas bilgilerin varlığını kontrol eden testler içerir.

Metrik koleksiyonu

Ölçümlerin toplanması, uygulamanızın kullanımını anlamanın ve genel kullanıcı deneyimine yönelik iyileştirmeler yapmanın önemli bir parçası olabilir. Ancak aşırı geniş metriklerin toplanması aynı zamanda kullanıcı gizliliği açısından da risk oluşturabilir.

  • Mümkünse metrikleri toplamayın.
    • Metrik toplamanız gerekiyorsa öncelikle açık, bilgilendirilmiş ve anlamlı kullanıcı izni isteyin.
  • Birkaç istisna dışında yalnızca hizmetin güvenilirliğini desteklemek için gerekli olan ölçümleri toplayın.
  • Donanım tanımlayıcıları gibi tanımlanabilir veya potansiyel olarak hassas verileri mümkün olduğunca toplamaktan kaçının.
  • Verilerin mümkün olduğunca yeterince toplandığından ve anonimleştirildiğinden emin olun.

Casus yazılım

Casus yazılım, bir kullanıcı veya cihaz hakkında bilgisi olmadan bilgi toplamayı amaçlayan, kullanıcı bilgilerini başka bir kuruluşa izinsiz olarak gönderebilen yazılım olarak tanımlanır.

  • Aşağıdaki kullanıcı veya cihaz verilerinin ifşa edilmeden veya kullanıcı için beklenmedik bir şekilde iletilmesi casus yazılım olarak kabul edilir (bu liste en önemli örnekleri içerir ancak kapsamlı bir liste değildir):
    • Kullanıcının kişileri hakkındaki bilgiler (isimler, numaralar, e-postalar)
    • Fotoğraflar veya diğer dosyalar
    • Kullanıcı e-postasındaki içerik
    • Arama kayıtları
    • SMS günlüğü
    • Web geçmişi
    • Tarayıcı yer imleri
    • Diğer uygulamalardan gelen özel bilgiler (özel /data/ dizinler)
    • Ses veya çağrı kaydı
    • Şifreler
    • OAuth belirteçleri
    • Konum
  • Tüm uygulamaların, kurulumdan önce kullanıcıya makul bir açıklama sunduğundan emin olun.