如果應用程式使用受限制的範圍要求存取敏感的使用者資料,就必須完成驗證程序。Google Health API 的大多數範圍都受到限制,因此您必須完成驗證,應用程式才能公開發布。
在此期間,Google 會驗證您的應用程式是否符合《API 服務使用者資料政策》和任何其他適用政策。
如果應用程式未通過驗證,使用者上限為 100 位。如要支援更多使用者,請完成驗證程序。這項驗證與 Google Play 等應用程式商店要求的應用程式審查程序不同。如果應用程式尚未完成這項驗證,雖然可能會在 Google Play 商店上架,但仍僅限 100 位使用者。詳情請參閱 OAuth 應用程式驗證說明中心
驗證程序分為兩個部分:
- OAuth 應用程式驗證:Google 信任與安全團隊會審查您在 Google Cloud 控制台中提供的應用程式身分、範圍和其他資訊。詳情請參閱「驗證規定」。
- 安全性評估:您的應用程式必須接受第三方安全性評估,確保能安全處理使用者資料。
OAuth 應用程式驗證
如要準備驗證,請參閱並遵循 OAuth 2.0 受限範圍指南。本指南將說明如何在 Google Cloud 控制台中準備及申請驗證。
請盡量詳細說明應用程式需要各項範圍的原因。如果不同範圍的理由含糊不清或重複,可能會導致驗證程序延後。
應用程式內揭露規定
您必須醒目地向使用者揭露應用程式如何存取、使用及分享他們的健康與健身資料。
應用程式內揭露事項必須符合下列規定:
- 必須隨附於應用程式中,不能只出現在應用程式說明或網站中。
- 必須在正常使用應用程式時就能顯示,不需要讓使用者透過選單或設定頁面操作才能查看。
- 必須說明存取或蒐集的資料類型。
- 必須說明資料的使用或分享方式。
- 不得僅列載於隱私權政策或服務條款中。
- 不得包含在與 Google Health API 資料蒐集行為無關的其他揭露事項中。
以下是建議的揭露聲明格式: 「{應用程式名稱} 會收集健康與健身資料,以便提供{功能}、{功能}和{功能}。」
例如:「為提供數據分析和個人化指導,『健身教練』會收集活動記錄。」
安全性評估 (CASA)
除了 OAuth 驗證外,使用受限制範圍的應用程式也必須根據雲端應用程式安全防護評估架構 (CASA),每年完成安全性評估。需要完成這項程序時,Google 信任與安全團隊會通知您並提供操作說明。
第三方安全公司會進行這項評估,確認您的應用程式能安全處理使用者資料,並在收到要求時刪除使用者資料。CASA 採用業界認可的 OWASP 應用程式安全性驗證標準 (ASVS)。通過評估後,安全評估人員會核發驗證函 (LOV) 給您的應用程式。
如要進一步瞭解 CASA 計畫,以及尋找授權安全性評估機構,請造訪雲端應用程式安全性評估網站。
如果您已取得符合業界標準的安全認證,或有近期滲透測試結果,或許就能加快 CASA 流程。CASA 提供加速器計畫,讓評估人員使用認可的安全架構中現有的有效文件,減少多餘的檢查,進而降低評估成本。
安全評估作業可能需要 2 至 3 週 (第 2 級應用程式) 或 4 至 6 週 (第 3 級應用程式) 才能完成,且您必須支付第三方評估人員費用,金額視應用程式的複雜程度而定,介於 $500 美元至 $4,500 美元之間。信任與安全團隊會通知開發人員何時開始 CASA 程序。
收到驗證函後,請將該函提交給 Google 信任與安全團隊,完成安全性評估。
回報問題和錯誤
CASA 評估是由第三方執行,Google 無法控管這項評估程序。如果評估有任何問題,請直接向您選擇的安全性評估人員提出。