小白理财出品 | 零壹智库
1、评测流程:该评测主要分为3个阶段
使用前:首先判断隐私政策是否满足要求。是否公开收集使用个人信息规则;是否明示收集使用个人信息的目的、方式和范围;是否未经用户同意收集使用个人信息;是否提供删除或更正个人信息功能;是否公布投诉、举报方式等信息。
注册时:判断密码是否存在安全漏洞。例如,登陆密码和交易密码是否独立;密码是否明文显示;是否具有密码即时防护功能;是否具有密码复杂度校验功能等。
使用时:判断个人信息是否存在泄露风险。例如,个人信息是否明文展示;是否具有即时防护功能等。
1. 使用前:隐私政策是否满足要求
2)隐私政策易于阅读?
评测结果:满足,隐私政策对于个人信息的收集范围进行了字体加粗处理,且语言通俗易懂。
3)隐私政策中包含了收集使用个人信息规则?
4)用户明示收集、使用个人信息的目的、方式、范围?
评测结果:满足。拉卡拉app中,详细列出了收集个人信息的主要3个途径,以及使用个人信息的目的及范围。
5)在利用用户个人信息和算法定向推送信息,为用户提供了非定向推送信息的选项。
6)没有收集与业务功能无关的个人信息。
7)支持并提供用户撤回同意收集个人信息的途径、方式?
评测结果:不满足。在拉卡拉隐私政策中,并未提供撤回隐私政策的途径或方式。
8)支持用户注销账号。
9)支持用户查询、更正或删除个人信息?未设置不必要或不合理条件阻止用户更正、删除个人信息或注销用户账号?
评测结果:支持用户查询、更正或删除个人信息,但是部分个人信息不提供访问或更正服务。
10)建立并公布个人信息安全投诉、举报渠道?
评测结果:满足。针对个人信息安全投诉,拉卡拉提供了电话或邮箱两种方式。
11)在用户明确拒绝后没有继续索要权限打扰用户。
评测结果:不满足。在使用过程中,除非用户进行帐户注册,均未出现要求向用户索要授权的现象。
2. 注册时,判断密码是否存在安全漏洞
12)客户端应用软件登录时应采用适宜的验证要素,包括但不限于口令、短信验证码、手势密码、生物特征识别等方式。
评测结果:满足。
13)应确保采用的身份验证要素相互独立,如:用于登录验证的口令和用于交易的口令不能一致。
评测结果:满足。登陆密码需要由8-30位英文字母、数字或符号组成,而支付密码则由6位数字组成。密码设置规则的不同,导致2个密码相互独立。
14)对于手势密码、短信验证码、生物特征信息作为验证要素时应满足相关标准
评测结果:满足。
15)图形验证码不得作为独立的身份验证要素
评测结果:满足。
16)在用户身份认证后,客户端应用软件进入终端系统后台时,如果超过设定时限后被唤醒切换到前台,应采取措施对用户身份重新认证。
评测结果:满足。
17)客户端应用软件应提供客户输入银行卡支付密码和网络支付交易密码的即时防护功能。
评测结果:满足。
18)客户端应用软件不应明文显示银行卡密码和网络支付交易密码。
评测结果:满足。
19)客户端应用软件应提供认证失败处理功能,可采取结束会话、限制失败登录次数和自动退出等措施。
评测结果:不满足。当用户登录账户时,并不会限制登录次数。
20)客户端应用软件应配合服务端提供密码复杂度校验功能,保证用户设置的密码达到一定的强度,避免采用简单交易密码或与客户个人信息相似度过高的交易密码。
评测结果:不满足。用户登录时的密码只需要满足由8-30位英文字母、数字或符号组成即可。
21)应严格限制使用初始登录密码与初始交易密码,若设置初始密码,应强制用户在首次登录后修改初始密码。
评测结果:不满足。
22)在修改密码前,应对用户身份进行重新验证;并且对原密码输入错误次数进行限制。
评测结果:满足。用户在修改登录密码时,需要通过手机号验证、身份证验证、图形验证、手机验证码、姓名验证才能完成密码修改。对于支付密码,用户仅有5次错误输入机会。
23)修改密码时新密码不应与原密码相同。
评测结果:部分满足。支持登陆新密码与原密码相同;不支持支付密码与原密码相同。
24)在密码重置时,应使用短信验证码、用户注册信息校核等方式,对用户身份进行校验;并且采用两种或两种以上要素进行身份认证。
评测结果:满足。用户在修改登录密码时,需要通过手机号、身份证、图形验证、手机验证码4种以上要素才能完成密码修改。
25)应采取有效措施提醒客户避免设置与常用软件、网站相同或相似的用户名和密码组合,并采取有效措施引导客户设置独立的支付密码。
评测结果:满足。不支持连续数字位支付密码,例如“123456;不支持3位以上连续相同数字,例如“111122”。
26)客户端应用软件应实现身份认证过程的防截屏、录屏,如:输入手势验证码、登录口令等。
评测结果:不满足。用户可以通过录屏获取、或截屏获取登录密码或手势密码等。
3. 使用时,判断个人信息是否存在泄露风险。
27)客户端应用软件应提供客户输入信息的即时防护功能,如:卡片验证码、卡片有效期、银行卡账号、身份证号码、手机号码等信息。
评测结果:部分满足。当用户输入银行卡号、身份证号码时,均会被“•”所代替。而用户输入手机号码时,并未有即时防护功能。
28)处于未登录状态时,不应展示与个人信息主体相关的用户鉴别信息(如:卡片验证码、卡 片有效期、登录密码、支付密码等)。
评测结果:满足。
29)处于已登录状态时,个人金融信息展示,除银行卡有效期外,用户鉴别信息(如:卡片验证码、登录密码、支付密码等)不应明文展示。
评测结果:满足。
30)处于已登录状态时,个人金融信息展示 ,对于银行卡号、客户法定名称、手机号码、证件类或其他识别标识信息等可以直接或组合后确定信息主体的信息应进行屏蔽展示,或由用户选择是否屏蔽展示。
评测结果:满足。
31)在提示客户认证失败时,应模糊错误提示信息,防止错误提示信息中泄露用户全部账号、交易金额等敏感数据。
评测结果:满足。
32)除交易对账、转账收款方确认等必须由用户确认的情况外,客户端应用软件在显示个人信息,如: 银行账号、身份证号码、手机号码、姓名等时应屏蔽关键字段。
评测结果:满足
三、评测结果