Wenn Ihre App über eingeschränkte Bereiche Zugriff auf vertrauliche Nutzerdaten anfordert, muss sie einen Überprüfungsprozess durchlaufen. Die meisten Bereiche für die Google Health API sind eingeschränkt. Das bedeutet, dass Sie die Überprüfung abschließen müssen, bevor Ihre App öffentlich verfügbar ist.
Während dieses Prozesses überprüft Google, ob Ihre App die Richtlinie zu Nutzerdaten für Google API-Dienste und alle anderen anwendbaren Richtlinien einhält.
Wenn Ihre App nicht überprüft wird, ist die Anzahl der Nutzer auf 100 beschränkt. Wenn Sie mehr Nutzer unterstützen möchten, müssen Sie den Überprüfungsprozess abschließen. Diese Überprüfung ist unabhängig von allen App-Überprüfungsprozessen, die von App-Shops wie Google Play erforderlich sind. Eine App, die diese Überprüfung nicht abgeschlossen hat, kann im Google Play Store aufgeführt sein, ist aber weiterhin auf 100 Nutzer beschränkt. Weitere Informationen finden Sie in der Hilfe zur OAuth-App-Überprüfung.
Der Überprüfungsprozess besteht aus zwei Teilen:
- OAuth-App-Überprüfung: Das Trust & Safety-Team von Google überprüft die Identität, die Bereiche und andere Informationen Ihrer App, die Sie in der Google Cloud Console angegeben haben. Weitere Informationen finden Sie unter Voraussetzungen für die Überprüfung.
- Sicherheitsprüfung: Ihre Anwendung muss einer Sicherheitsprüfung durch einen Drittanbieter unterzogen werden, um sicherzustellen, dass sie Nutzerdaten sicher verarbeitet.
OAuth-App-Überprüfung
Zur Vorbereitung auf die Überprüfung lesen Sie den Leitfaden zu eingeschränkten OAuth 2.0-Bereichen und folgen Sie den Anweisungen. In diesem Leitfaden werden die Schritte beschrieben, die Sie zur Vorbereitung auf die Überprüfung und zur Beantragung der Überprüfung in der Google Cloud Console ausführen müssen.
Erklären Sie genau, warum Ihre App die einzelnen Bereiche benötigt. Vage oder doppelte Begründungen für verschiedene Bereiche können zu Verzögerungen im Überprüfungsprozess führen.
Anforderungen für die Offenlegung innerhalb der App
Sie müssen Ihren Nutzern deutlich offenlegen, wie Ihre App auf ihre Gesundheits- und Fitnessdaten zugreift, diese verwendet und weitergibt.
Die Offenlegung innerhalb der App muss folgende Anforderungen erfüllen:
- Sie muss in der App selbst und nicht nur in der App-Beschreibung oder auf einer Website angezeigt werden.
- Sie muss dem Nutzer während der normalen Verwendung der App angezeigt werden, ohne dass dieser ein Menü oder Einstellungen öffnen muss.
- Die Art der Daten, auf die zugegriffen wird bzw. die erhoben werden, muss angegeben werden.
- Es muss erklärt werden, wie die Daten verwendet oder weitergegeben werden.
- Die Offenlegung darf nicht nur in der Datenschutzerklärung oder in den Nutzungsbedingungen erfolgen.
- Sie darf nicht in andere Offenlegungen eingebunden werden, die nicht im Zusammenhang mit der Erhebung von Daten durch die Google Health API stehen.
Hier ist ein empfohlenes Format für die Offenlegungserklärung: „{App-Name} erhebt Gesundheits- und Fitnessdaten, um {Funktion}, {Funktion} und {Funktion} zu ermöglichen.“
Beispiel: „Fitness Coach erhebt Aktivitätsdaten, um Analysen und personalisiertes Coaching zu ermöglichen.“
Sicherheitsprüfung (CASA)
Zusätzlich zur OAuth-Überprüfung müssen Apps, die eingeschränkte Bereiche verwenden, auch eine jährliche Sicherheitsprüfung auf Grundlage des Cloud App Security Assessment-Frameworks (CASA)durchlaufen. Das Trust & Safety-Team von Google benachrichtigt Sie, wenn dies erforderlich ist, und gibt Ihnen Anweisungen.
Diese Prüfung wird von einem externen Sicherheitsunternehmen durchgeführt, um zu bestätigen, dass Ihre App Nutzerdaten sicher verarbeitet und Nutzerdaten auf Anfrage löschen kann. CASA verwendet den branchenweit anerkannten OWASP Application Security Verification Standard (ASVS). Nachdem Sie die Prüfung bestanden haben, erhalten Sie vom Sicherheitsprüfer eine Validierungsbestätigung.
Weitere Informationen zum CASA Programm und zu autorisierten Sicherheitsprüfern finden Sie auf der Website zur Cloud Application Security Assessment.
Wenn Sie bereits Sicherheitszertifizierungen oder aktuelle Penetrationstestergebnisse haben, die den akzeptierten Branchenstandards entsprechen, können Sie den CASA-Prozess möglicherweise beschleunigen. CASA bietet ein Accelerator Programm, mit dem Prüfer vorhandene gültige Dokumentationen aus akzeptierten Sicherheitsframeworks verwenden können, um redundante Prüfungen zu vermeiden und die Kosten für die Prüfung möglicherweise zu senken.
Die Sicherheitsprüfung kann für Anwendungen der Stufe 2 zwei bis drei Wochen und für Anwendungen der Stufe 3 vier bis sechs Wochen dauern. Dabei fallen Gebühren an, die an den externen Prüfer zu zahlen sind und je nach Komplexität Ihrer App zwischen 500 und 4.500 US-Dollar liegen. Das Trust & Safety-Team informiert den Entwickler, wann er den CASA-Prozess starten muss.
Nachdem Sie die Validierungsbestätigung erhalten haben, senden Sie sie an das Trust & Safety-Team von Google, um die Sicherheitsprüfung abzuschließen.
Eskalierungen
Die CASA-Prüfung wird von einem Drittanbieter durchgeführt und Google hat keine Kontrolle über diesen Prozess. Alle Probleme mit der Prüfung sollten direkt mit dem von Ihnen ausgewählten Sicherheitsprüfer besprochen werden.