如果您的应用使用受限范围请求访问用户的敏感数据,则必须完成验证流程。Google Health API 的大多数范围都受到限制,这意味着您必须先完成验证,然后您的应用才能公开提供。
在此过程中,Google 会验证您的应用是否符合 API 服务用户数据政策 以及任何其他适用政策。
如果您的应用未通过验证,则只能支持 100 位用户。如需支持更多用户,您必须完成验证流程。此验证流程与 Google Play 等应用商店要求的任何应用审核流程是分开的。未完成此验证的应用可能会在 Google Play 商店中列出,但仍只能支持 100 位用户。如需了解详情,请参阅 OAuth 应用验证帮助中心
验证流程分为两个部分:
- OAuth 应用验证:Google 的信任与安全团队会审核您在 Google Cloud 控制台中提供的应用身份、范围和其他信息。如需了解详情,请参阅验证要求 。
- 安全评估:您的应用必须接受第三方 安全评估,以确保其安全处理用户数据。
OAuth 应用验证
如需为验证做好准备,请查看并遵循 OAuth 2.0 受限范围 指南。本指南概述了在 Google Cloud 控制台中准备和请求验证的步骤。
在解释应用为何需要每个范围时,请务必具体说明。如果针对不同范围的理由含糊不清或重复,可能会导致验证流程延迟。
应用内信息披露要求
您必须向用户醒目披露应用如何访问、使用和分享其健康与健身数据。
应用内披露声明:
- 必须位于应用本身内,而不能仅位于应用说明中或网站上。
- 必须在应用的正常使用过程中显示,而无需用户导航到菜单或设置。
- 必须说明正在访问或收集的数据。
- 必须说明如何使用或分享数据。
- 不得只列在隐私权政策或服务条款中。
- 不得包含在其他与 Google Health API 数据收集无关的披露声明中。
以下是披露声明的推荐格式: “{应用名称}会收集健康与健身数据,以便支持{功能}、{功能}和{功能}。”
例如:"健身教练会收集活动数据,以便支持分析和 个性化辅导。"
安全评估 (CASA)
除了 OAuth 验证之外,使用受限范围的应用还必须 根据云应用安全性评估框架 (CASA)完成年度安全评估。 Google 的信任与安全团队会在需要完成此评估时通知您并提供说明。
第三方安全公司会执行此评估,以确认您的应用安全处理用户数据,并且可以根据请求删除用户数据。CASA 使用 业界公认的 OWASP 应用安全验证标准 (ASVS)。通过评估后,您的应用会收到安全评估人员出具的验证函 (LOV)。
如需详细了解 CASA 计划并查找授权的安全评估人员,请访问云应用安全性评估网站。
如果您拥有符合公认行业标准的现有安全认证或近期渗透测试结果,则或许可以加快 CASA 流程。CASA 提供 加速器 计划,允许评估人员使用来自 公认安全框架 的现有有效文档,以减少冗余检查并可能降低评估费用。
安全评估可能需要 2-3 周(对于第 2 级应用)或 4-6 周(对于第 3 级应用)才能完成,并且需要向第三方评估人员支付费用,费用范围为 500 美元到 4,500 美元,具体取决于应用的复杂程度。信任与安全团队会告知开发者何时开始 CASA 流程。
收到验证函 (LOV) 后,请将该函件提交给 Google 的信任与安全团队,以完成安全评估。
问题上报
CASA 评估由第三方执行,Google 无法控制此评估流程。与评估相关的任何问题都应直接向您选择的安全评估人员提出。