앱 인증

제한된 범위를 사용하여 민감한 사용자 데이터에 대한 액세스 권한을 요청하는 앱은 인증 절차를 완료해야 합니다. Google Health API의 대부분 범위는 제한되어 있으므로 앱을 공개적으로 사용하기 전에 인증을 완료해야 합니다.

이 절차 중에 Google은 앱이 API 서비스 사용자 데이터 정책 및 기타 관련 정책을 준수하는지 확인합니다.

앱이 인증되지 않은 경우 사용자 수가 100명으로 제한됩니다. 더 많은 사용자를 지원하려면 인증 절차를 완료해야 합니다. 이 인증은 Google Play와 같은 앱 스토어에서 요구하는 앱 검토 절차와는 별개입니다. 이 인증을 완료하지 않은 앱은 Google Play 스토어에 등록될 수 있지만 여전히 사용자 수가 100명으로 제한됩니다. 자세한 내용은 OAuth 앱 인증 고객센터를 참고하세요.

인증 절차는 두 부분으로 구성됩니다.

  • OAuth 앱 인증: Google의 신용안전팀에서 앱의 ID, 범위, Google Cloud 콘솔에서 제공하는 기타 정보를 검토합니다. 자세한 내용은 인증 요구사항 을 참고하세요.
  • 보안 평가: 애플리케이션은 사용자 데이터를 안전하게 처리하는지 확인하기 위해 서드 파티 보안 평가를 받아야 합니다.

OAuth 앱 인증

인증을 준비하려면 OAuth 2.0 제한된 범위 가이드를 검토하고 따르세요. 이 가이드에서는 Google Cloud 콘솔에서 인증을 준비하고 요청하는 단계를 설명합니다.

앱에 각 범위가 필요한 이유를 구체적으로 설명하세요. 여러 범위에 대한 모호하거나 중복된 근거는 인증 절차를 지연시킬 수 있습니다.

인앱 공개 요건

앱에서 사용자의 건강 및 피트니스 데이터에 액세스, 사용, 공유하는 방법을 사용자에게 명시적으로 공개해야 합니다.

인앱 공개는 다음을 충족해야 합니다.

  • 앱 설명이나 웹사이트에만 포함되는 것이 아니라 앱 자체에 포함되어야 합니다.
  • 사용자가 일부러 메뉴나 설정으로 이동하지 않고도 일반적인 앱 사용 과정에서 볼 수 있어야 합니다.
  • 액세스하거나 수집하는 데이터를 설명해야 합니다.
  • 데이터가 사용되거나 공유되는 방법을 설명해야 합니다.
  • 개인정보처리방침 또는 서비스 약관에만 포함되어서는 안 됩니다.
  • Google Health API 데이터 수집과 관련 없는 다른 공개에 포함되어서는 안 됩니다.

공개 문구의 권장 형식은 다음과 같습니다. '{앱 이름}은(는) {기능}, {기능}, {기능}을(를) 사용 설정하기 위해 건강 및 피트니스 데이터를 수집합니다.'

예: "피트니스 코치는 분석 및 맞춤형 코칭을 사용 설정하기 위해 활동 데이터를 수집합니다."

보안 평가 (CASA)

제한된 범위를 사용하는 앱은 OAuth 인증 외에도 클라우드 앱 보안 평가 프레임워크 (CASA)를 기반으로 연간 보안 평가를 완료해야 합니다. 이 평가를 완료해야 하는 경우 Google의 신용안전팀에서 안내와 함께 알림을 보냅니다.

서드 파티 보안 회사에서 이 평가를 실행하여 앱이 사용자 데이터를 안전하게 처리하고 요청 시 사용자 데이터를 삭제할 수 있는지 확인합니다. CASA는 업계에서 인정받는 OWASP 애플리케이션 보안 인증 표준 (ASVS)을 사용합니다. 평가를 통과하면 앱은 보안 평가자로부터 인증서 (LOV)를 받습니다.

CASA

허용되는 업계 표준에 부합하는 기존 보안 인증 또는 최근 침투 테스트 결과가 있는 경우 CASA 절차를 신속하게 진행할 수 있습니다. CASA는 평가자가 허용되는 보안 프레임워크의 기존 유효한 문서를 사용하여 중복 검사를 줄이고 평가 비용을 낮출 수 있는 액셀러레이터 프로그램을 제공합니다.

보안 평가를 완료하는 데 등급 2 애플리케이션은 2~3주, 등급 3 애플리케이션은 4~6주가 걸릴 수 있으며 앱의 복잡성에 따라 서드 파티 평가자에게 지불해야 하는 수수료는 미화 500~4,500달러입니다. 신용안전팀에서 개발자에게 CASA 절차를 시작해야 하는 시점을 알려줍니다.

인증서 (LOV)를 받은 후 Google의 신용안전팀에 인증서를 제출하여 보안 평가를 완료하세요.

에스컬레이션

CASA 평가는 서드 파티에서 실행하며 Google은 이 평가 절차를 제어할 수 없습니다. 평가와 관련된 문제는 선택한 보안 평가자에게 직접 제기해야 합니다.