Nếu ứng dụng của bạn yêu cầu quyền truy cập vào dữ liệu người dùng nhạy cảm bằng các phạm vi bị hạn chế, thì ứng dụng đó phải hoàn tất quy trình xác minh. Hầu hết các phạm vi cho Google Health API đều bị hạn chế, tức là bạn phải hoàn tất quy trình xác minh trước khi ứng dụng của bạn được cung cấp công khai.
Trong quá trình này, Google sẽ xác minh để đảm bảo ứng dụng của bạn tuân thủ Chính sách dữ liệu người dùng của các dịch vụ API và mọi chính sách hiện hành khác.
Nếu chưa được xác minh, ứng dụng của bạn chỉ được phép có tối đa 100 người dùng. Để hỗ trợ nhiều người dùng hơn, bạn phải hoàn tất quy trình xác minh. Quy trình xác minh này tách biệt với mọi quy trình xem xét ứng dụng mà các cửa hàng ứng dụng (như Google Play) yêu cầu. Một ứng dụng chưa hoàn tất quy trình xác minh này có thể được liệt kê trên Cửa hàng Google Play, nhưng vẫn bị giới hạn ở 100 người dùng. Để biết thêm thông tin, hãy xem Trung tâm trợ giúp về quy trình xác minh ứng dụng OAuth
Quy trình xác minh gồm 2 phần:
- Xác minh ứng dụng OAuth: Nhóm Tin cậy và an toàn của Google sẽ xem xét danh tính, phạm vi và những thông tin khác mà bạn cung cấp về ứng dụng của mình trong bảng điều khiển Google Cloud. Hãy xem Các yêu cầu về việc xác minh để biết thêm thông tin.
- Đánh giá bảo mật: Ứng dụng của bạn phải trải qua quy trình đánh giá bảo mật của bên thứ ba để đảm bảo ứng dụng xử lý dữ liệu người dùng một cách an toàn.
Xác minh ứng dụng OAuth
Để chuẩn bị cho quy trình xác minh, hãy xem và làm theo hướng dẫn về Các phạm vi bị hạn chế của OAuth 2.0. Hướng dẫn này trình bày các bước chuẩn bị và yêu cầu xác minh trong bảng điều khiển Cloud.
Hãy trình bày cụ thể khi giải thích lý do ứng dụng của bạn cần từng phạm vi. Việc đưa ra lý do mơ hồ hoặc trùng lặp cho các phạm vi khác nhau có thể gây chậm trễ trong quy trình xác minh.
Các yêu cầu về thông tin công bố trong ứng dụng
Bạn phải công bố rõ ràng cho người dùng về cách ứng dụng của bạn truy cập, sử dụng và chia sẻ dữ liệu sức khoẻ và thể chất của họ.
Thông tin công bố trong ứng dụng:
- Phải nằm trong ứng dụng chứ không chỉ trong phần mô tả ứng dụng hay trên một trang web.
- Phải xuất hiện trong quá trình sử dụng ứng dụng bình thường và không yêu cầu người dùng di chuyển đến một trình đơn hay chế độ cài đặt.
- Phải mô tả dữ liệu mà bạn truy cập hoặc thu thập.
- Phải giải thích cách dữ liệu được sử dụng hoặc chia sẻ.
- Không được chỉ xuất hiện trong chính sách quyền riêng tư hoặc điều khoản dịch vụ.
- Không được đi kèm với các thông tin công bố khác không liên quan đến hoạt động thu thập dữ liệu của Google Health API.
Sau đây là định dạng được đề xuất cho tuyên bố công bố: "{Tên ứng dụng} thu thập dữ liệu sức khỏe và thể chất để bật {tính năng}, {tính năng} và {tính năng}."
Ví dụ: "Fitness Coach thu thập dữ liệu hoạt động để cung cấp thông tin phân tích và huấn luyện phù hợp với từng người dùng."
Đánh giá bảo mật (CASA)
Ngoài quy trình xác minh OAuth, các ứng dụng sử dụng phạm vi bị hạn chế cũng phải hoàn tất một quy trình đánh giá bảo mật hằng năm dựa trên khung Đánh giá bảo mật ứng dụng đám mây (CASA). Nhóm phụ trách vấn đề Tin cậy và An toàn của Google sẽ thông báo cho bạn kèm theo hướng dẫn khi bạn cần hoàn tất quy trình này.
Một công ty bảo mật bên thứ ba sẽ thực hiện quy trình đánh giá này để xác nhận rằng ứng dụng của bạn xử lý dữ liệu người dùng một cách an toàn và có thể xoá dữ liệu người dùng theo yêu cầu. CASA sử dụng Tiêu chuẩn xác minh Bảo mật ứng dụng (ASVS) của OWASP được công nhận trong ngành. Sau khi vượt qua quy trình đánh giá, ứng dụng của bạn sẽ nhận được Thư xác nhận (LOV) từ đơn vị đánh giá bảo mật.
Để biết thêm thông tin về chương trình CASA và tìm các chuyên gia đánh giá bảo mật được uỷ quyền, hãy truy cập vào trang web Đánh giá bảo mật ứng dụng đám mây.
Nếu có các chứng nhận bảo mật hiện tại hoặc kết quả kiểm thử xâm nhập gần đây phù hợp với các tiêu chuẩn ngành được chấp nhận, thì bạn có thể đẩy nhanh quy trình CASA. CASA cung cấp chương trình Accelerator cho phép các chuyên gia đánh giá sử dụng tài liệu hợp lệ hiện có từ Các khung bảo mật được chấp nhận để giảm các bước kiểm tra dư thừa và có thể giảm chi phí đánh giá.
Quá trình đánh giá bảo mật có thể mất từ 2 đến 3 tuần đối với các ứng dụng cấp 2 và từ 4 đến 6 tuần đối với các ứng dụng cấp 3. Ngoài ra, bạn phải trả phí cho bên đánh giá thứ ba,từ 500 đến 4.500 USD, tuỳ thuộc vào độ phức tạp của ứng dụng. Nhóm Niềm tin và An toàn sẽ cho nhà phát triển biết thời điểm bắt đầu quy trình CASA.
Sau khi bạn nhận được Thư xác nhận (LOV), hãy gửi thư này cho nhóm Niềm tin và An toàn của Google để hoàn tất quy trình đánh giá bảo mật.
Báo cáo
Bên thứ ba thực hiện quy trình đánh giá CASA và Google không kiểm soát quy trình đánh giá này. Bạn nên trực tiếp trao đổi với đơn vị đánh giá bảo mật mà bạn chọn nếu có vấn đề về quy trình đánh giá.