Si tu app solicita acceso a datos sensibles del usuario con permisos restringidos, debe completar un proceso de verificación. La mayoría de los alcances de la API de Google Health son restringidos, lo que significa que debes completar la verificación antes de que tu app esté disponible de forma pública.
Durante este proceso, Google verifica que tu app cumpla con la Política de Datos del Usuario de los Servicios de la API y con cualquier otra política aplicable.
Si tu app no está verificada, se limita a 100 usuarios. Para admitir a más usuarios, debes completar el proceso de verificación. Esta verificación es independiente de cualquier proceso de revisión de apps que requieran las tiendas de aplicaciones, como Google Play. Es posible que una app que no haya completado esta verificación aparezca en Google Play Store, pero seguirá limitada a 100 usuarios. Para obtener más información, consulta el Centro de ayuda para la verificación de apps con OAuth.
El proceso de verificación tiene dos partes:
- Verificación de la app de OAuth: El equipo de Confianza y Seguridad de Google revisa la identidad, los permisos y otra información que proporcionas en la consola de Google Cloud. Consulta los Requisitos de verificación para obtener más información.
- Evaluación de seguridad: Tu aplicación debe someterse a una evaluación de seguridad externa para garantizar que maneja los datos del usuario de forma segura.
Verificación de la app de OAuth
Para prepararte para la verificación, revisa y sigue la guía de Permisos restringidos de OAuth 2.0. En esta guía, se describen los pasos para prepararse y solicitar la verificación en la consola de Google Cloud.
Sé específico cuando expliques por qué tu app necesita cada permiso. Las justificaciones vagas o duplicadas para diferentes alcances pueden causar demoras en el proceso de verificación.
Requisitos de divulgación integrada en la app
Debes divulgar de forma destacada a los usuarios cómo tu app accede a sus datos de salud y actividad física, cómo los usa y cómo los comparte.
La divulgación debe cumplir con lo siguiente:
- Debe estar dentro de la app, no solo en su descripción o en un sitio web.
- Se debe mostrar durante el uso normal de la app sin que el usuario tenga que ir al menú o la configuración.
- Debe describir los datos a los que se accede o que se recopilan.
- Debe explicar cómo se usan o comparten los datos.
- No se puede colocar únicamente en la política de privacidad o en las condiciones del servicio.
- No se puede incluir con otras divulgaciones que no estén relacionadas con la recopilación de datos de la API de Google Health.
Este es el formato recomendado para la declaración de divulgación: "{Nombre de la app} recopila datos de salud y actividad física para habilitar {función}, {función} y {función}".
Por ejemplo: "Entrenador de fitness recopila datos de actividad para habilitar las estadísticas y el entrenamiento personalizado".
Evaluación de seguridad (CASA)
Además de la verificación de OAuth, las apps que usan permisos restringidos también deben completar una evaluación de seguridad anual basada en el marco de trabajo de la Evaluación de seguridad para aplicaciones de Cloud (CASA). El equipo de Confianza y Seguridad de Google te enviará instrucciones cuando debas completar este proceso.
Una empresa de seguridad externa realiza esta evaluación para confirmar que tu app maneja los datos del usuario de forma segura y puede borrarlos a pedido. CASA usa el Estándar de verificación de seguridad para aplicaciones (ASVS) de OWASP, reconocido en la industria. Después de aprobar la evaluación, tu app recibirá una Carta de Validación (LOV) del evaluador de seguridad.
Para obtener más detalles sobre el programa de CASA y encontrar evaluadores de seguridad autorizados, visita el sitio web de la Evaluación de seguridad para aplicaciones en la nube.
Si tienes certificaciones de seguridad existentes o resultados recientes de pruebas de penetración que se alinean con los estándares aceptados de la industria, es posible que puedas acelerar el proceso de CASA. CASA ofrece un programa de aceleración que permite a los evaluadores usar documentación válida existente de marcos de seguridad aceptados para reducir las verificaciones redundantes y, potencialmente, disminuir los costos de evaluación.
La evaluación de seguridad puede tardar entre 2 y 3 semanas en completarse para las solicitudes de nivel 2, y entre 4 y 6 semanas para las solicitudes de nivel 3. Además, incluye cargos pagaderos al evaluador externo, que oscilan entre USD 500 y USD 4,500, según la complejidad de la app. El equipo de Confianza y Seguridad le indicará al desarrollador cuándo debe iniciar el proceso de CASA.
Después de obtener la Carta de Validación (LOV), envíala al equipo de Confianza y Seguridad de Google para completar la evaluación de seguridad.
Derivaciones
La evaluación de la CASA la realiza un tercero, y Google no tiene control sobre este proceso. Cualquier problema con la evaluación debe plantearse directamente al asesor de seguridad que elijas.