保護DataHogo
Enciclopedia de Seguridad/Mejores Prácticas de Privacidad
lowCWE-16

Sin Términos de Servicio

Sin términos de servicio, no tienes base legal para restringir el abuso, terminar cuentas o limitar tu responsabilidad por contenido generado por usuarios.

Cómo Funciona

Los términos de servicio definen el contrato entre tú y tus usuarios. Sin ellos, no puedes legalmente banear usuarios abusivos, desestimar responsabilidad por problemas de uptime, restringir cómo se puede usar tu servicio o hacer cumplir derechos de propiedad intelectual.

Código Vulnerable
// MAL: servicio sin términos de servicio
// Sin ruta /terminos
// Sin checkbox de ToS en el registro
// Sin política de uso aceptable
// Resultado: sin base legal para terminar cuentas abusivas
Código Seguro
// BIEN: términos de servicio enlazados y aceptados en el registro
// Formulario de registro:
<label>
  <input type="checkbox" required name="acceptedTerms" />
  Acepto los <a href="/terminos">Términos de Servicio</a> y la
  <a href="/privacidad">Política de Privacidad</a>
</label>
// Guarda el timestamp de acceptedTermsAt en el registro del usuario

Ejemplo Real

Empresas sin términos de servicio claros han sido incapaces de eliminar cuentas de spam, bots de scraping o usuarios que violan las políticas de la plataforma — porque sin un ToS, los usuarios no acordaron ninguna regla y la acción legal es significativamente más difícil.

Cómo Prevenirlo

  • Crea términos de servicio que cubran uso aceptable, límites de responsabilidad y terminación de cuenta
  • Requiere aceptación explícita de los ToS en el registro (checkbox, no solo un link en el footer)
  • Registra el timestamp cuando cada usuario aceptó los ToS para documentación legal
  • Actualiza los ToS cuando agregues características con nuevas implicaciones legales y notifica a los usuarios

Tecnologías Afectadas

javascript

Data Hogo detecta esta vulnerabilidad automáticamente.

Escanea Tu Repo Gratis

Vulnerabilidades Relacionadas

Sin Política de Privacidad

low

Operar sin una política de privacidad viola GDPR, CCPA y regulaciones similares — y hace que los usuarios desconfíen justificadamente del manejo de sus datos.

CWE-16

Sin Eliminación de Cuenta

medium

No ofrecer eliminación de cuenta viola el derecho de supresión del GDPR y el derecho a eliminar del CCPA — y es una señal de alerta de privacidad significativa para los usuarios.

CWE-16

Sin Banner de Cookies

low

Establecer cookies no esenciales sin consentimiento del usuario viola los requisitos del GDPR y la Directiva ePrivacy para usuarios de la UE.

CWE-16

Datos de Pago Almacenados Localmente

critical

Guardar números de tarjeta completos, CVVs o PANs en localStorage, sessionStorage o tu propia base de datos viola PCI DSS y crea una responsabilidad masiva.

CWE-312A02:2021