إذا كان تطبيقك يطلب الوصول إلى بيانات المستخدمين الحسّاسة باستخدام نطاقات محظورة، يجب أن يكمل عملية التحقّق. معظم نطاقات Google Health API مقيّدة، ما يعني أنّه عليك إكمال عملية إثبات الملكية قبل أن يصبح تطبيقك متاحًا للجميع.
أثناء هذه العملية، تتحقّق Google من التزام تطبيقك بسياسة بيانات المستخدمين الخاصة بخدمات واجهة برمجة التطبيقات وأي سياسات أخرى سارية.
إذا لم يتم التحقّق من تطبيقك، سيقتصر على 100 مستخدم. لإتاحة استخدام التطبيق لعدد أكبر من المستخدمين، عليك إكمال عملية التحقّق. تتم عملية التحقّق هذه بشكل منفصل عن أي عملية مراجعة للتطبيقات تتطلبها متاجر التطبيقات، مثل Google Play. قد يتم إدراج تطبيق لم يكمل عملية إثبات الملكية هذه في "متجر Google Play"، ولكن سيظل عدد المستخدمين محدودًا بـ 100 مستخدم. لمزيد من المعلومات، يُرجى الاطّلاع على مركز مساعدة التحقّق من تطبيقات OAuth.
تتضمّن عملية التحقّق من المعلنين جزأين:
- التحقّق من تطبيق OAuth: يراجع فريق "الثقة والسلامة" في Google هوية تطبيقك ونطاقاته والمعلومات الأخرى التي تقدّمها في Google Cloud Console. لمزيد من المعلومات، يُرجى الاطّلاع على متطلبات إثبات الهوية.
- تقييم الأمان: يجب أن يخضع تطبيقك لتقييم أمان من جهة خارجية للتأكّد من أنّه يعالج بيانات المستخدمين بشكل آمن.
التحقّق من تطبيقات OAuth
للاستعداد لعملية التحقّق، يُرجى مراجعة دليل نطاقات OAuth 2.0 المحظورة واتّباع التعليمات الواردة فيه. يوضّح هذا الدليل خطوات الاستعداد لطلب إثبات الملكية في "وحدة تحكّم Google Cloud".
يجب أن تكون محدّدًا عند توضيح سبب حاجة تطبيقك إلى كل نطاق. قد تؤدي المبرّرات الغامضة أو المكرّرة لنطاقات مختلفة إلى حدوث تأخيرات في عملية إثبات الملكية.
متطلبات الإفصاح داخل التطبيق
يجب أن تفصح بوضوح للمستخدمين عن كيفية وصول تطبيقك إلى بيانات الصحة واللياقة البدنية الخاصة بهم واستخدامها ومشاركتها.
يجب أن يتَّسم بيان الإفصاح داخل التطبيق بالمعايير التالية:
- يجب أن يكون الإفصاح داخل التطبيق نفسه، وليس في وصف التطبيق أو على موقع إلكتروني.
- يجب أن يُعرض أثناء الاستخدام العادي للتطبيق بدون الحاجة إلى انتقال المستخدم إلى قائمة أو إعدادات.
- يجب أن يتضمّن وصفًا للبيانات التي يتم الوصول إليها أو جمعها.
- يجب أن يوضِّح طريقة استخدام البيانات أو مشاركتها.
- لا يمكن الاكتفاء بعرضه ضِمن سياسة الخصوصية أو بنود الخدمة فقط.
- لا يمكن تضمينه مع بيانات إفصاح أخرى غير مرتبطة بجمع البيانات من Google Health API.
في ما يلي تنسيق مقترَح لبيان الإفصاح: "يجمع تطبيق {App name} بيانات الصحة واللياقة البدنية لتفعيل الميزات {feature} و{feature} و{feature}."
على سبيل المثال: "يجمع تطبيق Fitness Coach بيانات نشاط المستخدم لتفعيل الإحصاءات والتدريب المخصّص".
تقييم الأمان (CASA)
بالإضافة إلى عملية التحقّق من OAuth، يجب أن تجتاز التطبيقات التي تستخدم نطاقات محدودة أيضًا تقييم أمان سنويًا استنادًا إلى إطار عمل تقييم أمان تطبيقات السحابة الإلكترونية (CASA). سيُرسل إليك فريق الثقة والأمان في Google إشعارًا يتضمّن التعليمات اللازمة لإكمال هذه العملية.
تُجري شركة أمان تابعة لجهة خارجية هذا التقييم للتأكّد من أنّ تطبيقك يتعامل مع بيانات المستخدمين بأمان ويمكنه حذفها عند الطلب. يستخدم تقييم أمان تطبيقات السحابة الإلكترونية معيار التحقّق من أمان التطبيقات (ASVS) المعترف به في المجال من OWASP. بعد اجتياز التقييم، يتلقّى تطبيقك خطاب مصادقة من الجهة المسؤولة عن تقييم الأمان.
للحصول على مزيد من التفاصيل حول برنامج CASA والاطّلاع على مقيِّمي الأمان المعتمَدين، يُرجى الانتقال إلى الموقع الإلكتروني لبرنامج تقييم أمان تطبيقات السحابة الإلكترونية.
إذا كانت لديك شهادات أمان حالية أو نتائج حديثة لاختبار الاختراق تتوافق مع المعايير المقبولة في المجال، قد تتمكّن من تسريع عملية CASA. تقدّم CASA برنامج Accelerator الذي يتيح للمقيّمين استخدام المستندات الصالحة الحالية من أُطر الأمان المقبولة للحدّ من عمليات التحقّق المكرّرة وربما خفض تكاليف التقييم.
يمكن أن تستغرق عملية تقييم الأمان مدة تتراوح بين أسبوعَين و3 أسابيع لطلبات المستوى 2، وبين 4 أسابيع و6 أسابيع لطلبات المستوى 3، وتتضمّن رسومًا مستحقة الدفع إلى الجهة الخارجية التي تجري التقييم، وتتراوح بين 500 دولار أمريكي و4,500 دولار أمريكي، وذلك حسب درجة تعقيد تطبيقك. سيُعلم فريق "الثقة والأمان" المطوّر بموعد بدء عملية CASA.
بعد الحصول على "خطاب التحقّق" (LOV)، أرسِل الخطاب إلى "فريق الثقة والسلامة" في Google لإكمال تقييم الأمان.
حالات التصعيد
تُجري جهة خارجية تقييم CASA، ولا تتحكّم Google في عملية التقييم هذه. يجب التواصل مباشرةً مع الجهة التي اخترتها لتقييم الأمان بشأن أي مشاكل متعلّقة بالتقييم.