Jeśli aplikacja żąda dostępu do wrażliwych danych użytkownika za pomocą zakresów z ograniczeniami, musi przejść proces weryfikacji. Większość zakresów interfejsu Google Health API ma ograniczenia, co oznacza, że przed udostępnieniem aplikacji publicznie musisz przejść weryfikację.
W tym procesie Google sprawdza, czy aplikacja jest zgodna z zasadami dotyczącymi danych użytkownika w usługach interfejsu API i wszelkimi innymi obowiązującymi zasadami.
Jeśli aplikacja nie jest zweryfikowana, liczba jej użytkowników jest ograniczona do 100. Aby obsługiwać większą liczbę użytkowników, musisz przejść proces weryfikacji. Weryfikacja ta jest niezależna od procesu sprawdzania aplikacji wymaganego przez sklepy z aplikacjami, takie jak Google Play. Aplikacja, która nie przeszła tej weryfikacji, może być widoczna w Sklepie Google Play, ale jest ograniczona do 100 użytkowników. Więcej informacji znajdziesz w Centrum pomocy dotyczącego weryfikacji aplikacji OAuth
Proces weryfikacji składa się z 2 części:
- Weryfikacja aplikacji OAuth: zespół Google ds. zaufania i bezpieczeństwa sprawdza tożsamość aplikacji, zakresy i inne informacje podane w konsoli Google Cloud. Więcej informacji znajdziesz w sekcji Wymagania dotyczące weryfikacji.
- Ocena bezpieczeństwa: aplikacja musi przejść ocenę bezpieczeństwa przeprowadzoną przez zewnętrzną firmę, aby mieć pewność, że bezpiecznie przetwarza dane użytkownika.
Weryfikacja aplikacji OAuth
Aby przygotować się do weryfikacji, zapoznaj się z przewodnikiem Zakresy z ograniczeniami OAuth 2.0 i postępuj zgodnie z jego instrukcjami. W tym przewodniku znajdziesz instrukcje przygotowania się do weryfikacji i przesłania prośby o nią w konsoli Google Cloud.
Wyjaśnij, dlaczego Twoja aplikacja potrzebuje każdego zakresu. Niejasne lub powielone uzasadnienia dla różnych zakresów mogą spowodować opóźnienia w procesie weryfikacji.
Wymagania dotyczące ujawniania informacji w aplikacji
Musisz wyraźnie informować użytkowników o tym, w jaki sposób aplikacja uzyskuje dostęp do ich danych dotyczących zdrowia i aktywności fizycznej oraz jak je wykorzystuje i udostępnia.
Informacje wyjaśniające w aplikacji:
- musi znajdować się w samej aplikacji, a nie tylko w jej opisie czy na stronie internetowej;
- musi być wyświetlane podczas normalnego używania aplikacji, bez konieczności otwierania menu czy ustawień;
- musi zawierać opis danych, do których aplikacja ma dostęp lub które zbiera;
- musi wyjaśniać, jak dane są używane lub udostępniane;
- nie może znajdować się tylko w polityce prywatności lub warunkach korzystania z usługi;
- nie może być częścią innych informacji, które nie dotyczą zbierania danych przez interfejs API Google Health;
Oto zalecany format oświadczenia: „{Nazwa aplikacji} zbiera dane dotyczące zdrowia i aktywności fizycznej, aby umożliwić działanie funkcji {feature}, {feature} i {feature}”.
Przykład: „Fitness Coach zbiera dane o aktywności, aby umożliwić analizy i spersonalizowane wskazówki”.
Ocena zabezpieczeń (CASA)
Oprócz weryfikacji protokołu OAuth aplikacje korzystające z zakresów z ograniczeniami muszą też co roku przechodzić ocenę bezpieczeństwa zgodnie z zasadami oceny bezpieczeństwa aplikacji w chmurze (Cloud App Security Assessment, CASA). Zespół Google ds. zaufania i bezpieczeństwa powiadomi Cię o konieczności wykonania tej czynności i prześle instrukcje.
Ocenę przeprowadza zewnętrzna firma zajmująca się zabezpieczeniami, aby potwierdzić, że aplikacja bezpiecznie przetwarza dane użytkowników i może je usuwać na żądanie. CASA korzysta z uznanego w branży standardu OWASP Application Security Verification Standard (ASVS). Po pomyślnym przejściu oceny otrzymasz od oceniającego bezpieczeństwo dokument potwierdzający zgodność z wymaganiami.
Więcej informacji o programie CASA i autoryzowanych weryfikatorach bezpieczeństwa znajdziesz na stronie oceny bezpieczeństwa aplikacji w chmurze.
Jeśli masz certyfikaty bezpieczeństwa lub wyniki ostatnich testów penetracyjnych zgodne z przyjętymi standardami branżowymi, możesz przyspieszyć proces CASA. CASA oferuje program Accelerator, który umożliwia oceniającym korzystanie z istniejącej, ważnej dokumentacji z akceptowanych ram bezpieczeństwa, aby ograniczyć zbędne kontrole i potencjalnie obniżyć koszty oceny.
Przeprowadzenie oceny bezpieczeństwa może potrwać 2–3 tygodnie w przypadku aplikacji poziomu 2 i 4–6 tygodni w przypadku aplikacji poziomu 3. Wiąże się to z opłatami na rzecz zewnętrznego podmiotu oceniającego, które wynoszą od 500 USD do 4500 USD w zależności od złożoności aplikacji. Zespół ds. bezpieczeństwa i zaufania poinformuje dewelopera, kiedy ma rozpocząć proces CASA.
Po otrzymaniu pisma potwierdzającego (LOV) prześlij je do zespołu Google ds. zaufania i bezpieczeństwa, aby dokończyć ocenę zabezpieczeń.
Przesyłanie spraw
Ocena CASA jest przeprowadzana przez podmiot zewnętrzny, a Google nie ma wpływu na ten proces. Wszelkie problemy z oceną należy zgłaszać bezpośrednio wybranemu przez siebie oceniającemu zabezpieczenia.