Uygulamanız kısıtlanmış kapsamları kullanarak hassas kullanıcı verilerine erişim isteğinde bulunuyorsa doğrulama sürecini tamamlaması gerekir. Google Health API'nin kapsamlarının çoğu kısıtlanmıştır. Bu nedenle, uygulamanız herkese açık olarak kullanıma sunulmadan önce doğrulama işlemini tamamlamanız gerekir.
Bu süreçte Google, uygulamanızın API Hizmetleri Kullanıcı Verileri Politikası'na ve geçerli diğer politikalara uygun olduğunu doğrular.
Uygulamanız doğrulanmamışsa 100 kullanıcıyla sınırlıdır. Daha fazla kullanıcıyı desteklemek için doğrulama sürecini tamamlamanız gerekir. Bu doğrulama, Google Play gibi uygulama mağazalarının gerektirdiği uygulama inceleme sürecinden ayrıdır. Bu doğrulamayı tamamlamamış bir uygulama Google Play Store'da listelenebilir ancak yine de 100 kullanıcıyla sınırlı kalır. Daha fazla bilgi için OAuth Uygulaması Doğrulama Yardım Merkezi'ne bakın.
Doğrulama süreci iki bölümden oluşur:
- OAuth uygulama doğrulaması: Google'ın Güven ve Güvenlik ekibi, uygulamanızın kimliğini, kapsamlarını ve Google Cloud Console'da sağladığınız diğer bilgileri inceler. Daha fazla bilgi için Doğrulama Koşulları başlıklı makaleyi inceleyin.
- Güvenlik değerlendirmesi: Uygulamanızın kullanıcı verilerini güvenli bir şekilde işlediğinden emin olmak için üçüncü taraf güvenlik değerlendirmesinden geçmesi gerekir.
OAuth uygulama doğrulaması
Doğrulamaya hazırlanmak için OAuth 2.0 Kısıtlanmış Kapsamlar kılavuzunu inceleyin ve uygulayın. Bu kılavuzda, Google Cloud Console'da doğrulama için hazırlanma ve doğrulama isteğinde bulunma adımları açıklanmaktadır.
Uygulamanızın her kapsamı neden gerektirdiğini açıklarken ayrıntılı bilgi verin. Farklı kapsamlar için belirsiz veya yinelenen gerekçeler, doğrulama sürecinde gecikmelere neden olabilir.
Uygulama içi açıklama şartları
Uygulamanızın, kullanıcıların sağlık ve fitness verilerine nasıl eriştiğini, bu verileri nasıl kullandığını ve paylaştığını kullanıcılarınıza belirgin bir şekilde açıklamanız gerekir.
Uygulama içi açıklama:
- Yalnızca uygulama açıklamasında veya bir web sitesinde değil, uygulamanın kendi içinde de olmalıdır.
- Uygulama normal bir şekilde kullanılırken görüntülenmeli ve kullanıcının bir menüye veya ayarlara gitmesini gerektirmemelidir.
- Hangi verilere erişildiği ve hangi verilerin toplandığını açıklamalıdır.
- Verilerin nasıl kullanıldığı veya paylaşıldığı açıklanmalıdır.
- Yalnızca bir gizlilik politikasına veya hizmet şartlarına eklenmemelidir.
- Google Health API verilerinin toplanmasıyla ilgisi olmayan diğer açıklamalara dahil edilemez.
Açıklama beyanı için önerilen biçim: "{Uygulama adı}, {özellik}, {özellik} ve {özellik} özelliklerini etkinleştirmek için sağlık ve fitness verileri toplar."
Örneğin: "Fitness Coach, analizleri ve kişiselleştirilmiş koçluğu etkinleştirmek için etkinlik verilerini toplar."
Güvenlik değerlendirmesi (CASA)
Kısıtlanmış kapsamları kullanan uygulamaların OAuth doğrulamasına ek olarak, Cloud Uygulama Güvenliği Değerlendirmesi çerçevesine (CASA) dayalı yıllık güvenlik değerlendirmesini de tamamlaması gerekir. Google'ın Güvenlik Ekibi, bu işlemin tamamlanması gerektiğinde talimatlarla birlikte sizi bilgilendirir.
Üçüncü taraf bir güvenlik şirketi, uygulamanızın kullanıcı verilerini güvenli bir şekilde işlediğini ve talep üzerine kullanıcı verilerini silebildiğini doğrulamak için bu değerlendirmeyi yapar. CASA, sektörde kabul gören OWASP Uygulama Güvenliği Doğrulama Standardı'nı (ASVS) kullanır. Değerlendirmeyi geçtikten sonra uygulamanız güvenlik değerlendiricisinden Doğrulama Mektubu (LOV) alır.
CASA programı hakkında daha fazla bilgi edinmek ve yetkili güvenlik değerlendirmecilerini bulmak için Cloud Application Security Assessment web sitesini ziyaret edin.
Kabul edilen endüstri standartlarına uygun mevcut güvenlik sertifikalarınız veya son sızma testi sonuçlarınız varsa CASA sürecini hızlandırabilirsiniz. CASA, değerlendiricilerin gereksiz kontrolleri azaltmak ve değerlendirme maliyetlerini düşürmek için Kabul Edilen Güvenlik Çerçeveleri'nden alınan mevcut geçerli belgeleri kullanmasına olanak tanıyan bir Hızlandırıcı programı sunar.
Güvenlik değerlendirmesinin tamamlanması 2. katman uygulamalar için 2-3 hafta, 3. katman uygulamalar için ise 4-6 hafta sürebilir. Bu değerlendirme, uygulamanızın karmaşıklığına bağlı olarak 500-4.500 ABD doları arasında değişen ve üçüncü taraf değerlendiriciye ödenmesi gereken ücretleri içerir. Güven ve Güvenlik ekibi, geliştiriciye CASA sürecini ne zaman başlatacağını bildirir.
Doğrulama Mektubunuzu (LOV) aldıktan sonra güvenlik değerlendirmenizi tamamlamak için mektubu Google'ın Güven ve Güvenlik Ekibi'ne gönderin.
Yöneticiye iletme işlemleri
CASA değerlendirmesi üçüncü bir tarafça yapılır ve Google'ın bu değerlendirme süreci üzerinde kontrolü yoktur. Değerlendirmeyle ilgili tüm sorunlar doğrudan seçtiğiniz güvenlik değerlendirmecisine iletilmelidir.