Se la tua app richiede l'accesso a dati utente sensibili utilizzando ambiti con restrizioni, deve completare una procedura di verifica. La maggior parte degli ambiti per l'API Google Health sono con restrizioni, il che significa che devi completare la verifica prima che la tua app sia disponibile pubblicamente.
Durante questa procedura, Google verifica che la tua app rispetti le Norme relative ai dati utente dei servizi API e qualsiasi altra norma applicabile.
Se la tua app non è verificata, è limitata a 100 utenti. Per supportare un numero maggiore di utenti, devi completare la procedura di verifica. Questa verifica è separata da qualsiasi procedura di revisione dell'app richiesta dagli app store come Google Play. Un'app che non ha completato questa verifica potrebbe essere elencata nel Google Play Store, ma è comunque limitata a 100 utenti. Per saperne di più, consulta il Centro assistenza per la verifica delle app OAuth.
La procedura di verifica è suddivisa in due parti:
- Verifica app OAuth: il team Trust & Safety di Google esamina l' identità, gli ambiti e altre informazioni fornite nella console Google Cloud della tua app. Per saperne di più, consulta Requisiti di verifica.
- Valutazione della sicurezza: la tua applicazione deve essere sottoposta a una valutazione della sicurezza di terze parti per garantire che gestisca i dati utente in modo sicuro.
Verifica app OAuth
Per prepararti alla verifica, esamina e segui la guida Ambiti con restrizioni OAuth 2.0. Questa guida descrive i passaggi per prepararsi alla verifica e richiederla nella console Google Cloud.
Sii specifico quando spieghi perché la tua app ha bisogno di ogni ambito. Giustificazioni vaghe o duplicate per ambiti diversi possono causare ritardi nella procedura di verifica.
Requisiti relativi alle informative in-app
Devi comunicare in modo chiaro ai tuoi utenti in che modo la tua app accede ai loro dati di salute e fitness, li utilizza e li condivide.
L'informativa in-app:
- Deve trovarsi all'interno dell'app, non soltanto su un sito web o nella descrizione dell'app stessa.
- Deve essere visualizzata durante il normale utilizzo dell'app e non richiedere all'utente di navigare in un menu o nelle impostazioni.
- Deve descrivere i dati a cui si accede o che vengono raccolti.
- Deve spiegare in che modo i dati vengono utilizzati o condivisi.
- Non può essere inserita esclusivamente nelle norme sulla privacy o nei Termini di servizio.
- Non può essere inclusa in altre informative non correlate alla raccolta di dati dell'API Google Health.
Ecco un formato consigliato per l'informativa: "{Nome dell'app} raccoglie dati sulla salute e sul fitness per attivare {funzionalità}, {funzionalità} e {funzionalità}."
Ad esempio: "Fitness Coach raccoglie dati sull'attività per consentire l'analisi e il coaching personalizzato."
Valutazione della sicurezza (CASA)
Oltre alla verifica OAuth, le app che utilizzano ambiti con restrizioni devono anche completare una valutazione della sicurezza annuale basata sul framework Cloud App Security Assessment (CASA). Il team Trust & Safety di Google ti invia una notifica con le istruzioni quando questa operazione deve essere completata.
Una società di sicurezza di terze parti esegue questa valutazione per confermare che la tua app gestisce i dati utente in modo sicuro e può eliminarli su richiesta. CASA utilizza lo standard OWASP Application Security Verification Standard (ASVS) riconosciuto dal settore. Dopo aver superato la valutazione, la tua app riceve una lettera di convalida (LOV) dal valutatore della sicurezza.
Per maggiori dettagli sul programma CASA e per trovare valutatori della sicurezza autorizzati, visita il sito web Cloud Application Security Assessment.
Se disponi di certificazioni di sicurezza esistenti o di risultati di test di penetrazione recenti in linea con gli standard di settore accettati, potresti essere in grado di accelerare la procedura CASA. CASA offre un programma Accelerator che consente ai valutatori di utilizzare la documentazione valida esistente dei framework di sicurezza accettati per ridurre i controlli ridondanti e potenzialmente ridurre i costi di valutazione.
Il completamento della valutazione della sicurezza può richiedere 2-3 settimane per le applicazioni di livello 2 e 4-6 settimane per le applicazioni di livello 3 e comporta costi pagabili al valutatore di terze parti, che vanno da 500 a 4500 $ USA, a seconda della complessità dell'app. Trust & Safety comunicherà allo sviluppatore quando avviare la procedura CASA.
Dopo aver ricevuto la lettera di convalida (LOV), inviala al team Trust & Safety di Google per completare la valutazione della sicurezza.
Segnalazioni
La valutazione CASA viene eseguita da una terza parte e Google non ha il controllo di questa procedura di valutazione. Eventuali problemi relativi alla valutazione devono essere segnalati direttamente al valutatore della sicurezza scelto.