Enviar para la verificación de la marca

Todas las apps que acceden a las API de Google deben verificar que representen su identidad y su intención con precisión según se especifica en la Política de Datos del Usuario de los Servicios de la API de Google. A fin de protegerte a ti y a los usuarios compartidos de Google y la app, es posible que Google deba verificar tu aplicación y pantalla de consentimiento.

Tu app requiere verificación si cumple con todos los siguientes criterios:

  • En la Google API Console, la configuración de tu app se establece para un tipo de usuario Externo. Esto significa que tu app está disponible para cualquier usuario con una Cuenta de Google.
  • Quieres que tu aplicación muestre un logotipo o nombre visible en la pantalla de consentimiento de OAuth.

Si incluyes información de marca verificada, puedes aumentar la probabilidad de que un usuario reconozca tu marca y decida otorgar acceso a tu app. Esta información también puede causar menos revocaciones cuando un usuario o un administrador de Google Workspace revise apps y servicios de terceros con acceso a la cuenta. El proceso de verificación de marca de la pantalla de consentimiento de OAuth suele tardar entre 2 y 3 días hábiles después de que envíes la verificación.

Si no envías tu solicitud de verificación de marca, es posible que disminuya la confianza de los usuarios respecto de tu solicitud de datos, lo que puede generar menos autorizaciones para el usuario y revocaciones.

La pantalla de consentimiento le indica a los usuarios quién solicita acceso a sus datos y a qué tipo de datos debe acceder tu app en su nombre, como se destaca en el cuadro 2 de la figura 1.

Cuando tu app pasa por el proceso de verificación de marca y recibe la aprobación, es más probable que la cuenta que otorga el permiso comprenda claramente las políticas de identidad y de datos del usuario de tu app. Esta comprensión clara puede aumentar la probabilidad de que un titular de cuenta autorice tus solicitudes y mantenga el acceso cuando revisa las posibles revocaciones en la página de su Cuenta de Google. El contenido que configuras en OAuth Consent Screen page en API Console propaga los siguientes componentes:

  1. El nombre y logotipo de tu app (como se muestra en el cuadro 1 de la figura 1)
  2. Tu correo electrónico de asistencia al usuario, que aparece después de seleccionar el nombre de la app (cuadro 2 de la figura 1)
  3. Vínculos a la política de privacidad y las Condiciones del Servicio (cuadro 3 de la figura 1)
Las etiquetas numeradas ilustran diferentes funciones de una pantalla de consentimiento de OAuth de un proyecto con información de marca aprobada.
Figura 1: Simulación de la pantalla de consentimiento de OAuth

Dominios autorizados

Como parte del proceso de verificación de la marca, Google requiere la verificación de todos los dominios asociados a la pantalla de consentimiento y las credenciales de OAuth de una aplicación. Te pedimos que verifiques el componente de dominio disponible para el registro en un sufijo público: el dominio privado superior. Por ejemplo, una pantalla de consentimiento de OAuth configurada con una página principal de la aplicación de https://sub.example.com/product solicita al titular de la cuenta que verifique la propiedad del dominio example.com.

La sección Dominios autorizados del editor de pantalla de consentimiento de OAuth debe contener los dominios privados principales que se usan en los URI de la sección Dominio de la app. Estos dominios incluyen la página principal de la app, la Política de Privacidad y las Condiciones del Servicio. La sección Dominios autorizados también debe incluir los URI de redireccionamiento o los orígenes de JavaScript autorizados en tus tipos de clientes de OAuth de aplicaciones web.

Verifica la propiedad de los dominios autorizados con Google Search Console. Una Cuenta de Google con permisos de propietario para un dominio debe estar asociada con el API Console proyecto que usa ese dominio autorizado. Para obtener más información sobre las verificaciones de dominio en Google Search Console, consulta Verifica la propiedad de tu sitio.

Pasos para prepararse para la verificación

Todas las apps que usan las API de Google para solicitar acceso a los datos deben realizar los siguientes pasos para completar la verificación de la marca:

  1. Confirma que tu app no se incluye en ninguno de los casos de uso de la sección Excepciones de los requisitos de verificación.
  2. Asegúrate de que tu app cumpla con los requisitos de desarrollo de la marca de las API o el producto asociados. Por ejemplo, consulta los lineamientos de desarrollo de la marca para los alcances de Acceso con Google.
  3. Verifica la propiedad de los dominios autorizados de tu proyecto en Google Search Console. Usa una Cuenta de Google asociada a tu API Console proyecto como propietario o editor.
  4. Asegúrate de que toda la información de desarrollo de la marca que aparezca en la pantalla de consentimiento de OAuth, como el nombre de la app, el correo electrónico de asistencia, el URI de la página principal, el URI de la política de privacidad, etc., represente con exactitud la identidad de la app.

Requisitos de la página principal de la aplicación

Asegúrese de que su página principal cumpla con los siguientes requisitos:

  • La página principal debe ser de acceso público y no solo los usuarios deben acceder a su sitio.
  • La relevancia de tu página principal con respecto a la app en proceso de revisión debe ser clara.
  • Los vínculos a la ficha de la app en Google Play Store o su página de Facebook no se consideran páginas principales válidas para la aplicación.

Requisitos de los vínculos a la Política de Privacidad de la aplicación

Asegúrate de que la política de privacidad de la aplicación cumpla con los siguientes requisitos:

  • Los usuarios deben poder ver la política de privacidad, estar alojada en el mismo dominio que la página principal de tu aplicación y estar vinculada a ella en la pantalla de consentimiento de OAuth de la Google API Console. Ten en cuenta que la página principal debe incluir una descripción de la funcionalidad de la aplicación, así como vínculos a la política de privacidad y a las Condiciones del Servicio opcionales.
  • La política de privacidad debe divulgar la forma en que tu aplicación accede, usa, almacena o comparte los datos del usuario de Google. Debes limitar el uso de los datos del usuario de Google según las prácticas que divulga tu Política de Privacidad.

Cómo enviar tu app para verificarla

Un Google API Console proyecto organiza todos tus recursos API Console . Un proyecto consta de un conjunto de Cuentas de Google asociadas que tienen permiso para realizar operaciones de proyecto, un conjunto de API habilitadas y la configuración de facturación, autenticación y supervisión de esas API. Por ejemplo, un proyecto puede contener uno o más clientes de OAuth, configurar las API para que los usen esos clientes y configurar una pantalla de consentimiento de OAuth que se muestre a los usuarios antes de autorizar el acceso a la app.

Si alguno de tus clientes de OAuth no está listo para la producción, te sugerimos que lo borres del proyecto que solicita la verificación. Puedes hacerlo en Google API Console.

Para solicitar la verificación, sigue estos pasos:

  1. Asegúrate de que tu app cumpla con las Condiciones del Servicio de las API de Google y la Política de Datos del Usuario de los Servicios de las API de Google.
  2. Mantén las funciones de propietario y editor de las cuentas asociadas de tu proyecto al día, así como el correo electrónico de asistencia al usuario y la información de contacto del desarrollador de OAuth en tu API Console. Esto garantiza que los miembros correctos de tu equipo reciban notificaciones de los requisitos nuevos.
  3. Ve a API Console OAuth Consent Screen page.
  4. Haz clic en el botón Selector de proyectos.

  5. En el diálogo Seleccionar una opción que aparece, selecciona tu proyecto. Si no puedes encontrar tu proyecto, pero sabes su ID, puedes crear una URL en tu navegador en el siguiente formato:

    https://console.developers.google.com/apis/credentials/consent?project=[PROJECT_ID]

    Reemplaza [PROJECT_ID] por el ID del proyecto que deseas usar.

  6. Selecciona el botón Editar app.
  7. Ingresa la información necesaria en la página de la pantalla de consentimiento de OAuth y, luego, selecciona el botón Guardar y continuar.
  8. Usa el botón Agregar o quitar permisos a fin de declarar todos los alcances solicitados por la app. Un conjunto inicial de alcances necesarios para el Acceso con Google se completa previamente en la sección Alcances no sensibles. Los permisos agregados se clasifican como no sensibles, sensitive, or restricted.
  9. Proporciona hasta tres vínculos a cualquier documentación relevante para las funciones relacionadas en tu app.

  10. Proporciona la información adicional que se solicite sobre la app en los pasos posteriores.

  11. Si la configuración de la app que proporcionas requiere verificación, puedes enviarla para su verificación. Llena los campos obligatorios y haz clic en Enviar para iniciar el proceso de verificación.

Después de que envíes la app, el equipo de Confianza y seguridad de Google te enviará un correo electrónico con la información adicional que necesite o los pasos que debes completar. Revisa tus direcciones de correo electrónico en la sección Información de contacto del desarrollador y el correo electrónico de asistencia de la pantalla de consentimiento de OAuth para obtener solicitudes de información adicional. También puedes ver la página de consentimiento de OAuth de tu proyecto para confirmar el estado actual de la revisión, incluido si el proceso de revisión está en pausa mientras esperamos tu respuesta.

Excepciones a los requisitos de verificación

Si tu app se usará en alguna de las situaciones que se describen en las siguientes secciones, no es necesario que la envíes para su revisión.

Uso personal

Un caso práctico es si eres el único usuario de tu app o si solo unos pocos usuarios la usan y todos te conocen personalmente. Tú y tu cantidad limitada de usuarios pueden sentirse cómodos al avanzar por la pantalla de app no verificada y otorgar acceso a tu app a tus cuentas personales.

Proyectos usados en los niveles de desarrollo, prueba o etapa de pruebas

A fin de satisfacer las Políticas de Google OAuth 2.0, te recomendamos tener proyectos diferentes para los entornos de prueba y producción. Te recomendamos que solo envíes la app para verificarla si quieres que esté disponible para cualquier usuario con una Cuenta de Google. Por lo tanto, si tu app está en las fases de desarrollo, prueba o etapa de pruebas, no se requiere verificación.

Si tu app se encuentra en las fases de desarrollo o prueba, puedes dejar el Estado de publicación en la configuración predeterminada de Pruebas. Esta configuración significa que la app aún está en desarrollo y solo está disponible para los usuarios que agregues a la lista de usuarios de prueba. Debes administrar la lista de Cuentas de Google que participan en el desarrollo o las pruebas de tu app.

Mensaje de advertencia que indica que Google no verificó una app que se está probando.
Figura 2. Pantalla de advertencia del verificador

Solo datos del servicio

Si tu app usa una cuenta de servicio para acceder solo a sus propios datos y no accede a ningún dato del usuario (vinculado a una Cuenta de Google), no es necesario que envíes la verificación.

Para comprender qué son las cuentas de servicio, consulta Cuentas de servicio en la documentación de Google Cloud. Para obtener instrucciones sobre cómo usar una cuenta de servicio, consulta Usa OAuth 2.0 para aplicaciones de servidor a servidor.

Solo para uso interno

Esto significa que solo las personas de tu organización de Google Workspace o Cloud Identity usan la app. El proyecto debe ser propiedad de la organización y su pantalla de consentimiento de OAuth debe estar configurada para un tipo de usuario interno. En este caso, es posible que tu administrador necesite la aprobación de un administrador de la organización. Para obtener más información, consulta Consideraciones adicionales de Google Workspace.

Instalación en todo el dominio

Si planeas que tu app se oriente únicamente a los usuarios de una organización de Google Workspace o Cloud Identity y siempre use la instalación para todo el dominio, la app no requerirá la verificación. Esto se debe a que una instalación en todo el dominio permite que un administrador de dominio otorgue a aplicaciones internas y de terceros acceso a los datos de tus usuarios. Los administradores de la organización son las únicas cuentas que pueden agregar la app a una lista de entidades permitidas para usarla dentro de sus dominios.

Obtén información sobre cómo hacer que tu app sea una instalación para todo el dominio en las preguntas frecuentes Mi aplicación tiene usuarios con cuentas empresariales de otro dominio de Google Workspace.