אם האפליקציה שלכם מבקשת גישה לנתונים רגישים של משתמשים באמצעות היקפי גישה מוגבלים, היא חייבת לעבור תהליך אימות. רוב ההיקפים של Google Health API הם מוגבלים, ולכן צריך להשלים את תהליך האימות לפני שהאפליקציה תהיה זמינה לציבור.
במהלך התהליך הזה, Google בודקת שהאפליקציה שלכם עומדת בדרישות של המדיניות בנושא נתוני משתמשים בשירותי API ושל כל מדיניות רלוונטית אחרת.
אם האפליקציה לא מאומתת, היא מוגבלת ל-100 משתמשים. כדי לתמוך ביותר משתמשים, צריך להשלים את תהליך האימות. האימות הזה נפרד מכל תהליך בדיקת אפליקציות שנדרש על ידי חנויות אפליקציות כמו Google Play. אפליקציה שלא עברה את האימות הזה עשויה להופיע בחנות Google Play, אבל עדיין מוגבלת ל-100 משתמשים. מידע נוסף זמין במרכז העזרה לאימות אפליקציות ב-OAuth
תהליך האימות מורכב משני חלקים:
- אימות אפליקציות OAuth: צוות האמון והבטיחות של Google בודק את הזהות, ההיקפים ומידע נוסף שסיפקתם על האפליקציה במסוף Google Cloud. מידע נוסף מופיע במאמר בנושא דרישות האימות.
- הערכת אבטחה: האפליקציה שלכם צריכה לעבור הערכת אבטחה של צד שלישי כדי לוודא שהיא מטפלת בנתוני המשתמשים בצורה מאובטחת.
אימות אפליקציות ב-OAuth
כדי להתכונן לאימות, כדאי לעיין במדריך היקפי הרשאות מוגבלים של OAuth 2.0 ולפעול לפי ההוראות שבו. במדריך הזה מוסבר איך להתכונן לאימות ולבקש אימות במסוף Google Cloud.
צריך להסביר באופן ספציפי למה האפליקציה זקוקה לכל היקף. הצדקות מעורפלות או כפולות להיקפים שונים עלולות לגרום לעיכובים בתהליך האימות.
דרישות לגבי גילוי נאות באפליקציה
אתם צריכים לפרט למשתמשים באופן בולט איך האפליקציה ניגשת לנתונים של אימוני כושר שלהם, משתמשת בהם ומשתפת אותם.
הגילוי הנאות שיוצג באפליקציה:
- צריכה להופיע באפליקציה עצמה, ולא רק בתיאור של האפליקציה או באתר.
- צריכה להופיע במהלך שימוש רגיל באפליקציה, בלי שהמשתמש יצטרך לעבור לתפריט מסוים או להגדרות מסוימות כדי לראות אותה.
- צריכה לתאר את הנתונים שנאספים באפליקציה או שיש לאפליקציה גישה אליהם.
- צריכה להסביר את אופן השימוש בנתונים או השיתוף שלהם.
- לא יכול להופיע רק כחלק ממדיניות הפרטיות או מהתנאים וההגבלות.
- לא יכולה להיכלל בהודעות גילוי נאות אחרות שלא קשורות לאיסוף נתונים באמצעות Google Health API.
הנה פורמט מומלץ להצהרת הגילוי הנאות: "{App name} אוסף נתוני בריאות ונתונים של אימוני כושר כדי לאפשר {feature}, {feature}, ו-{feature}."
לדוגמה: "האפליקציה Fitness Coach אוספת נתוני פעילות כדי לאפשר ניתוח ואימון בהתאמה אישית".
הערכת אבטחה (CASA)
בנוסף לאימות OAuth, אפליקציות שמשתמשות בהיקפים מוגבלים צריכות גם להשלים בדיקת אבטחה שנתית על סמך מסגרת בדיקת האבטחה של אפליקציות בענן (CASA). הצוות לנושאי מהימנות ובטיחות ב-Google ישלח לכם הוראות להשלמת התהליך הזה.
ההערכה הזו מתבצעת על ידי חברת אבטחה של צד שלישי כדי לוודא שהאפליקציה מטפלת בנתוני משתמשים בצורה מאובטחת ויכולה למחוק נתוני משתמשים לפי בקשה. ב-CASA נעשה שימוש בתקן OWASP לאימות אבטחת אפליקציות (ASVS), שמקובל בתחום. אחרי שתעברו את ההערכה, האפליקציה תקבל מכתב אימות (LOV) ממעריך האבטחה.
לפרטים נוספים על תוכנית CASA ולרשימה של מעריכי אבטחה מורשים, אפשר להיכנס לאתר של Cloud Application Security Assessment.
אם יש לכם אישורי אבטחה קיימים או תוצאות עדכניות של בדיקות חדירה שתואמות לסטנדרטים המקובלים בתעשייה, יכול להיות שתוכלו לזרז את תהליך CASA. במסגרת CASA מוצעת תוכנית Accelerator שמאפשרת למעריכים להשתמש בתיעוד תקף קיים ממסגרות אבטחה מקובלות כדי לצמצם בדיקות מיותרות ולהוזיל את עלויות ההערכה.
הערכת האבטחה יכולה להימשך שבועיים עד שלושה שבועות עבור אפליקציות ברמה 2, ו-4 עד 6 שבועות עבור אפליקציות ברמה 3. יש לשלם עמלות למעריך של צד שלישי, בסכום שנע בין 500 ל-4,500 דולר ארה"ב, בהתאם למורכבות האפליקציה. צוות Trust and Safety יגיד למפתח מתי להתחיל את תהליך CASA.
אחרי שמקבלים את מכתב האימות (LOV), שולחים אותו לצוות המהימנות והבטיחות של Google כדי להשלים את הערכת האבטחה.
הסלמות
הערכת CASA מתבצעת על ידי צד שלישי, ול-Google אין שליטה בתהליך ההערכה הזה. אם יש בעיות בהערכה, צריך לפנות ישירות למעריך האבטחה שבחרתם.