Если ваше приложение запрашивает доступ к конфиденциальным пользовательским данным с использованием ограниченных областей действия, оно должно пройти процесс проверки. Большинство областей действия для Google Health API являются ограниченными, а это значит, что вы должны пройти проверку, прежде чем ваше приложение станет общедоступным.
В ходе этого процесса Google проверяет, соответствует ли ваше приложение Политике использования пользовательских данных API-сервисов и любым другим применимым политикам.
Если ваше приложение не прошло проверку, оно ограничено 100 пользователями. Для поддержки большего количества пользователей необходимо пройти процесс проверки. Эта проверка проводится отдельно от любых процедур проверки приложений, требуемых такими магазинами приложений, как Google Play. Приложение, не прошедшее эту проверку, может быть размещено в магазине Google Play, но по-прежнему ограничено 100 пользователями. Для получения дополнительной информации см. Справочный центр по проверке приложений OAuth.
Процесс проверки состоит из двух частей:
- Проверка приложения OAuth : команда Google по вопросам доверия и безопасности проверяет подлинность вашего приложения, области действия и другую информацию, которую вы предоставляете в консоли Google Cloud. Дополнительную информацию см. в разделе «Требования к проверке» .
- Оценка безопасности : Ваше приложение должно пройти независимую оценку безопасности, чтобы гарантировать надежную обработку пользовательских данных.
Проверка приложения OAuth
Для подготовки к проверке ознакомьтесь с руководством по ограниченным областям действия OAuth 2.0 и следуйте ему. В этом руководстве описаны шаги по подготовке и запросу проверки в консоли Google Cloud.
При объяснении необходимости использования каждой из областей действия в вашем приложении, будьте конкретны. Расплывчатые или повторяющиеся обоснования для разных областей действия могут привести к задержкам в процессе проверки.
Требования к раскрытию информации внутри приложения
Вы должны четко и наглядно сообщить пользователям, как ваше приложение получает доступ к их данным о здоровье и физической активности, использует их и передает им.
Информация, содержащаяся в приложении:
- Информация должна содержаться в самом приложении, а не только в описании приложения или на веб-сайте.
- Оно должно отображаться в процессе обычного использования приложения и не требовать от пользователя перехода в меню или настройки.
- Необходимо описать данные, к которым осуществляется доступ или которые собираются.
- Необходимо объяснить, как данные используются или передаются.
- Это нельзя просто включить в политику конфиденциальности или условия предоставления услуг.
- Не может быть включено в другие раскрытия информации, не связанные со сбором данных через API Google Health.
Вот рекомендуемый формат для заявления о раскрытии информации: «{Название приложения} собирает данные о здоровье и физической активности для обеспечения работы {функция}, {функция} и {функция}».
Например: «Фитнес-тренер собирает данные об активности для проведения аналитики и персонализированного коучинга».
Оценка безопасности (CASA)
В дополнение к проверке OAuth, приложения, использующие ограниченные области действия, также должны ежегодно проходить оценку безопасности на основе структуры оценки безопасности облачных приложений (CASA) . Команда Google по вопросам доверия и безопасности уведомит вас с инструкциями о необходимости завершения этой процедуры.
Сторонняя компания по обеспечению безопасности проводит эту оценку, чтобы подтвердить, что ваше приложение безопасно обрабатывает пользовательские данные и может удалять их по запросу. CASA использует общепризнанный в отрасли стандарт проверки безопасности приложений OWASP (ASVS) . После успешного прохождения оценки ваше приложение получает от эксперта по безопасности письмо-подтверждение (Letter of Validation, LOV).
Для получения более подробной информации о программе CASA и для поиска авторизованных экспертов по оценке безопасности посетите веб-сайт оценки безопасности облачных приложений .
Если у вас есть действующие сертификаты безопасности или результаты недавних тестов на проникновение, соответствующие общепринятым отраслевым стандартам, вы можете ускорить процесс CASA. CASA предлагает программу Accelerator , которая позволяет оценщикам использовать уже имеющуюся действительную документацию из Accepted Security Frameworks для сокращения дублирующих проверок и потенциального снижения затрат на оценку.
Оценка безопасности может занять 2-3 недели для заявок второго уровня и 4-6 недель для заявок третьего уровня, и включает в себя оплату услуг стороннего оценщика в размере от 500 до 4500 долларов США в зависимости от сложности вашего приложения. Компания Trust and Safety сообщит разработчику, когда следует начать процесс CASA.
После получения письма-подтверждения (Letter of Validation, LOV) отправьте его в группу Google по вопросам доверия и безопасности для завершения оценки безопасности.
Эскалация
Оценка CASA проводится сторонней организацией, и Google не контролирует этот процесс. Любые вопросы, касающиеся оценки, следует направлять непосредственно выбранному вами специалисту по оценке безопасности.