Jika aplikasi Anda meminta akses ke data pengguna sensitif menggunakan cakupan yang dibatasi, aplikasi tersebut harus menyelesaikan proses verifikasi. Sebagian besar cakupan untuk Google Health API dibatasi, yang berarti Anda harus menyelesaikan verifikasi sebelum aplikasi Anda tersedia untuk publik.
Selama proses ini, Google akan memverifikasi bahwa aplikasi Anda mematuhi Kebijakan Data Pengguna Layanan API dan kebijakan lain yang berlaku.
Jika tidak diverifikasi, aplikasi Anda akan dibatasi hingga 100 pengguna. Untuk mendukung lebih banyak pengguna, Anda harus menyelesaikan proses verifikasi. Verifikasi ini terpisah dari proses peninjauan aplikasi yang diperlukan oleh app store seperti Google Play. Aplikasi yang belum menyelesaikan verifikasi ini mungkin tercantum di Google Play Store, tetapi masih dibatasi hingga 100 pengguna. Untuk mengetahui informasi selengkapnya, lihat Pusat Bantuan Verifikasi Aplikasi OAuth
Proses verifikasi memiliki dua bagian:
- Verifikasi aplikasi OAuth: Tim Kepercayaan dan Keamanan Google meninjau identitas, cakupan, dan informasi lain yang Anda berikan di konsol Google Cloud. Lihat Persyaratan Verifikasi untuk mengetahui informasi selengkapnya.
- Penilaian keamanan: Aplikasi Anda harus menjalani penilaian keamanan pihak ketiga untuk memastikan aplikasi tersebut menangani data pengguna dengan aman.
Verifikasi aplikasi OAuth
Untuk mempersiapkan verifikasi, tinjau dan ikuti panduan Cakupan yang Dibatasi OAuth 2.0. Panduan ini menguraikan langkah-langkah untuk mempersiapkan dan meminta verifikasi di konsol Google Cloud.
Berikan penjelasan yang spesifik saat menjelaskan alasan aplikasi Anda memerlukan setiap cakupan. Justifikasi yang tidak jelas atau duplikat untuk cakupan yang berbeda dapat menyebabkan penundaan dalam proses verifikasi.
Persyaratan pengungkapan di dalam aplikasi
Anda harus mengungkapkan secara jelas kepada pengguna cara aplikasi Anda mengakses, menggunakan, dan membagikan data kesehatan dan kebugaran mereka.
Pengungkapan di dalam aplikasi:
- Harus ada di dalam aplikasi itu sendiri, bukan hanya di deskripsi aplikasi atau di situs.
- Harus ditampilkan dalam penggunaan aplikasi yang normal serta tidak mengharuskan pengguna untuk membuka menu atau setelan.
- Harus menjelaskan data yang diakses atau dikumpulkan.
- Harus menjelaskan cara data digunakan atau dibagikan.
- Tidak boleh hanya disertakan dalam kebijakan privasi atau persyaratan layanan.
- Tidak boleh disertakan dengan pengungkapan lain yang tidak terkait dengan pengumpulan data Google Health API.
Berikut adalah format yang direkomendasikan untuk pernyataan pengungkapan: "{Nama aplikasi} mengumpulkan data kesehatan dan kebugaran untuk mengaktifkan {fitur}, {fitur}, dan {fitur}."
Misalnya: "Fitness Coach mengumpulkan data aktivitas untuk mengaktifkan analisis dan pelatihan yang dipersonalisasi."
Penilaian keamanan (CASA)
Selain verifikasi OAuth, aplikasi yang menggunakan cakupan yang dibatasi juga harus menyelesaikan penilaian keamanan tahunan berdasarkan framework Penilaian Keamanan Aplikasi Cloud (CASA). Tim Kepercayaan dan Keamanan Google akan memberi tahu Anda dengan petunjuk saat penilaian ini perlu diselesaikan.
Perusahaan keamanan pihak ketiga melakukan penilaian ini untuk mengonfirmasi bahwa aplikasi Anda menangani data pengguna dengan aman dan dapat menghapus data pengguna sesuai permintaan. CASA menggunakan Standar Verifikasi Keamanan Aplikasi (ASVS) OWASP yang diakui industri. Setelah Anda lulus penilaian, aplikasi Anda akan menerima Surat Validasi (LOV) dari penilai keamanan.
Untuk mengetahui detail selengkapnya tentang program CASA dan menemukan penilai keamanan resmi, buka situs Penilaian Keamanan Aplikasi Cloud.
Jika Anda memiliki sertifikasi keamanan yang ada atau hasil uji penetrasi terbaru yang sesuai dengan standar industri yang diterima, Anda mungkin dapat mempercepat proses CASA. CASA menawarkan program Akselerator yang memungkinkan penilai menggunakan dokumentasi valid yang ada dari Framework Keamanan yang Diterima untuk mengurangi pemeriksaan yang berlebihan dan berpotensi menurunkan biaya penilaian.
Penilaian keamanan dapat memerlukan waktu 2-3 minggu untuk aplikasi tingkat 2 dan 4-6 minggu untuk aplikasi tingkat 3 agar dapat diselesaikan dan dikenai biaya yang harus dibayar kepada penilai pihak ketiga, mulai dari $500 hingga $4.500 USD, bergantung pada kompleksitas aplikasi Anda. Tim Kepercayaan dan Keamanan akan memberi tahu developer kapan harus memulai proses CASA.
Setelah mendapatkan Surat Validasi (LOV), kirimkan surat tersebut ke tim Kepercayaan dan Keamanan Google untuk menyelesaikan penilaian keamanan Anda.
Eskalasi
Penilaian CASA dilakukan oleh pihak ketiga, dan Google tidak memiliki kontrol atas proses penilaian ini. Setiap masalah terkait penilaian harus diajukan langsung kepada penilai keamanan yang Anda pilih.