Si votre application demande l'accès à des données utilisateur sensibles à l'aide de niveaux d'accès restreints, elle doit se soumettre à une procédure de validation. La plupart des niveaux d'accès de l'API Google Health sont restreints, ce qui signifie que vous devez effectuer la validation avant que votre application ne soit disponible publiquement.
Au cours de cette procédure, Google vérifie que votre application respecte le Règlement sur les données utilisateur dans les services d'API et toutes les autres règles applicables.
Si votre application n'est pas validée, elle est limitée à 100 utilisateurs. Pour prendre en charge davantage d'utilisateurs, vous devez effectuer la procédure de validation. Cette validation est distincte de toute procédure d'examen des applications requise par les boutiques d'applications comme Google Play. Une application qui n'a pas effectué cette validation peut être listée sur le Google Play Store, mais elle est toujours limitée à 100 utilisateurs. Pour en savoir plus, consultez le Centre d'aide sur la validation des applications OAuth.
La procédure de validation comporte deux étapes :
- Validation de l'application OAuth : l'équipe Trust & Safety de Google examine l'identité, les niveaux d'accès et les autres informations que vous fournissez dans la console Google Cloud de votre application. Pour en savoir plus, consultez la section Exigences liées à la validation.
- Évaluation de la sécurité : votre application doit faire l'objet d'une évaluation de la sécurité par un tiers pour s'assurer qu'elle gère les données utilisateur de manière sécurisée.
Validation de l'application OAuth
Pour préparer la validation, consultez et suivez le guide sur les niveaux d'accès restreints OAuth 2.0. Ce guide décrit les étapes à suivre pour préparer et demander la validation dans la console Google Cloud.
Soyez précis lorsque vous expliquez pourquoi votre application a besoin de chaque niveau d'accès. Des justifications vagues ou dupliquées pour différents niveaux d'accès peuvent entraîner des retards dans la procédure de validation.
Exigences de divulgation dans l'application
Vous devez indiquer clairement à vos utilisateurs comment votre application accède à leurs données de santé et de remise en forme, les utilise et les partage.
Le communiqué dans l'application :
- doit figurer dans l'application même, et pas seulement dans la description de celle-ci ou sur un site Web ;
- doit s'afficher lors de l'utilisation normale de l'application et ne pas nécessiter que l'utilisateur accède à un menu ou à des paramètres ;
- doit décrire les données auxquelles l'application accède ou qu'elle collecte ;
- doit expliquer comment les données sont utilisées ou partagées ;
- ne peut pas uniquement figurer dans des règles de confidentialité ou des conditions d'utilisation ;
- ne doit pas être inclus avec d'autres communiqués sans rapport avec la collecte de données de l'API Google Health.
Voici un format recommandé pour le communiqué : "{Nom de l'application} collecte des données de santé et de remise en forme pour activer {fonctionnalité}, {fonctionnalité} et {fonctionnalité}."
Exemple : "Fitness Coach collecte des données d'activité pour permettre l'analyse et le coaching personnalisé."
Évaluation de la sécurité (CASA)
En plus de la validation OAuth, les applications qui utilisent des niveaux d'accès restreints doivent également effectuer une évaluation annuelle de la sécurité basée sur le framework Cloud App Security Assessment (CASA). L'équipe Trust & Safety de Google vous envoie des instructions lorsque cette évaluation doit être effectuée.
Une entreprise de sécurité tierce effectue cette évaluation pour confirmer que votre application gère les données utilisateur de manière sécurisée et qu'elle peut les supprimer sur demande. CASA utilise la norme OWASP Application Security Verification Standard (ASVS), reconnue dans le secteur. Une fois l'évaluation réussie, votre application reçoit une lettre de validation de l'évaluateur de sécurité.
Pour en savoir plus sur le CASA CASA et trouver des évaluateurs de sécurité agréés, consultez le site Web Cloud Application Security Assessment.
Si vous disposez de certifications de sécurité ou de résultats de tests d'intrusion récents conformes aux normes du secteur acceptées, vous pourrez peut-être accélérer la procédure CASA. CASA propose un programme d'accélération qui permet aux évaluateurs d'utiliser la documentation valide existante des frameworks de sécurité acceptés pour réduire les vérifications redondantes et potentiellement diminuer les coûts d'évaluation.
L'évaluation de la sécurité peut prendre deux à trois semaines pour les applications de niveau 2 et quatre à six semaines pour les applications de niveau 3. Elle implique des frais à payer à l'évaluateur tiers, allant de 500 à 4 500 USD, en fonction de la complexité de votre application. L'équipe Trust & Safety indique au développeur quand commencer la procédure CASA.
Une fois que vous avez reçu votre lettre de validation, envoyez-la à l'équipe Trust & Safety de Google pour terminer votre évaluation de la sécurité.
Remontées d'informations
L'évaluation CASA est effectuée par un tiers, et Google n'a aucun contrôle sur cette procédure d'évaluation. Tout problème lié à l'évaluation doit être signalé directement à l'évaluateur de sécurité que vous avez choisi.