Se o app solicitar acesso a dados do usuário sensíveis usando escopos restritos, ele precisará concluir um processo de verificação. A maioria dos escopos da API Google Health é restrita, o que significa que você precisa concluir a verificação antes que o app fique disponível publicamente.
Durante esse processo, o Google verifica se o app obedece à Política de dados do usuário dos serviços de API e a outras políticas aplicáveis.
Se o app não for verificado, ele será limitado a 100 usuários. Para oferecer suporte a mais usuários, conclua o processo de verificação. Essa verificação é separada de qualquer processo de análise de apps exigido por lojas de apps, como o Google Play. Um app que não concluiu essa verificação pode ser listado na Google Play Store, mas ainda está limitado a 100 usuários. Para mais informações, consulte a Central de Ajuda sobre a verificação de apps OAuth.
O processo de verificação tem duas partes:
- Verificação de apps OAuth: a equipe de confiabilidade e segurança do Google analisa a identidade, os escopos e outras informações fornecidas no console do Google Cloud. Consulte Requisitos de verificação para mais informações.
- Avaliação de segurança: seu aplicativo precisa passar por uma avaliação de segurança de terceiros para garantir que ele processe os dados do usuário com segurança.
Verificação de apps OAuth
Para se preparar para a verificação, revise e siga o guia de escopos restritos do OAuth 2.0. Esse guia descreve as etapas para se preparar e solicitar a verificação no console do Google Cloud.
Seja específico ao explicar por que o app precisa de cada escopo. Justificativas vagas ou duplicadas para escopos diferentes podem causar atrasos no processo de verificação.
Requisitos de divulgação no app
Você precisa divulgar aos usuários como o app acessa, usa e compartilha os dados de saúde e condicionamento físico deles.
A divulgação no app:
- precisa estar dentro do próprio app, não somente na descrição dele ou em um site;
- precisa ser exibida no uso normal do app e não pode exigir que o usuário navegue até um menu ou até as configurações;
- precisa descrever os dados que estão sendo acessados ou coletados;
- precisa explicar como os dados são usados ou compartilhados;
- não pode ser colocada somente na Política de Privacidade ou nos Termos de Serviço;
- não pode ser incluída em outras divulgações não relacionadas à coleta de dados da API Google Health.
Confira um formato recomendado para a declaração de divulgação: "{Nome do app} coleta dados de saúde e fitness para ativar {recurso}, {recurso} e {recurso}."
Por exemplo: "O Fitness Coach coleta dados de atividade para ativar análises e treinamentos personalizados."
Avaliação de segurança (CASA)
Além da verificação do OAuth, os apps que usam escopos restritos também precisam concluir uma avaliação de segurança anual com base na estrutura de avaliação de segurança de apps na nuvem (CASA). A equipe de confiabilidade e segurança do Google notifica você com instruções quando isso precisa ser concluído.
Uma empresa de segurança terceirizada realiza essa avaliação para confirmar se o app processa os dados do usuário com segurança e pode excluir dados do usuário mediante solicitação. A CASA usa o Padrão de verificação de segurança de aplicativos (ASVS, na sigla em inglês) da OWASP, reconhecido pelo setor. Depois de passar na avaliação, o app recebe uma Carta de validação (LOV, na sigla em inglês) do avaliador de segurança.
Para mais detalhes sobre o CASA CASA e para encontrar avaliadores de segurança autorizados, acesse o site da Avaliação de segurança de aplicativos na nuvem.
Se você tiver certificações de segurança ou resultados recentes de testes de penetração que estejam alinhados aos padrões aceitos do setor, talvez seja possível acelerar o processo da CASA. A CASA oferece um programa acelerador que permite que os avaliadores usem a documentação válida de estruturas de segurança aceitas para reduzir verificações redundantes e, potencialmente, diminuir os custos de avaliação.
A avaliação de segurança pode levar de duas a três semanas para aplicativos de nível 2 e de quatro a seis semanas para aplicativos de nível 3. Ela envolve taxas pagas ao avaliador terceirizado, que variam de US $500 a US $4.500, dependendo da complexidade do app. A equipe de confiabilidade e segurança vai informar ao desenvolvedor quando iniciar o processo da CASA.
Depois de receber a Carta de validação (LOV), envie-a à equipe de confiabilidade e segurança do Google para concluir a avaliação de segurança.
Encaminhamentos
A avaliação da CASA é realizada por terceiros, e o Google não tem controle sobre esse processo. Qualquer problema com a avaliação precisa ser levantado diretamente com o avaliador de segurança escolhido.