Verificación de alcance restringido

Ciertas API de Google (las que aceptan alcances sensibles o restringidos ) tienen requisitos para las apps que buscan permiso de acceso a los datos de consumidores. Estos requisitos adicionales para permisos restringidos requieren que una app demuestre que son un tipo de aplicación permitido y se envíen a revisiones adicionales, que incluyen una posible evaluación de seguridad.

La aplicabilidad de los permisos restringidos dentro de una API depende principalmente del grado de acceso requerido para proporcionar una función relevante en la app: solo lectura, solo escritura, lectura y escritura, etcétera.

Cuando usas OAuth 2.0 a fin de obtener el permiso de una Cuenta de Google para acceder a estos datos, debes usar strings denominadas alcances para especificar el tipo de datos a los que deseas acceder y la cantidad de acceso que necesitas. Si tu app solicita permisos sensibles o restringidos, debes completar el proceso de verificación, a menos que el uso de tu app califique para una excepción.

Los alcances restringidos tienen una cantidad menor en comparación con los permisos sensibles. En las Preguntas frecuentes sobre la verificación de la API de OAuth de verificación, se incluye la lista actual de permisos sensibles y restringidos. Estos permisos proporcionan un amplio acceso a los datos del usuario de Google y requieren que realices un proceso de verificación de permiso antes de solicitarlos desde cualquier Cuenta de Google. Si deseas obtener información sobre este requisito, consulta la Política de Datos del Usuario de los Servicios de las API de Google y los Requisitos adicionales para permisos específicos de la API o la página específica para desarrolladores de Google. Si almacenas o transmites datos de alcance restringido en servidores, debes completar una evaluación de seguridad.

Información sobre los permisos restringidos

Si tu app solicita alcances restringidos y no califica para una excepción, debes cumplir con los requisitos adicionales para permisos específicos de la API de la Política de Datos del Usuario de los Servicios de la API de Google o los requisitos específicos del producto que se indican en la página del desarrollador de Google, lo que requiere un proceso de revisión más exhaustivo.

Comprende el uso de tu permiso

• Revisa los alcances que usa tu app o el que quieras usar. Para conocer el uso de tu permiso actual, examina el código fuente de la app y busca los alcances que se envíen con solicitudes de autorización.
• Determina que cada alcance solicitado es necesario para las acciones previstas de la función de tu app y usa el privilegio mínimo necesario para proporcionar la función. Por lo general, una API de Google tiene documentación de referencia en la página de Google Developers para sus extremos que incluye el alcance necesario para llamar al extremo o a propiedades específicas. Para obtener más información sobre los permisos de acceso necesarios para los extremos de la API a los que llama tu app, lee la documentación de referencia de esos extremos. For example, for an app that only uses Gmail APIs to occasionally send emails on a user's behalf, don't request the scope that provides full access to the user's email data.
• Los datos que recibes de una API de Google solo deben usarse de acuerdo con las políticas de la API y la forma en que representas a los usuarios en las acciones de tu app y en tu política de privacidad.
• Consulta la documentación de la API para obtener más información sobre cada alcance, incluido su posible estado sensitive or restricted o restringido.
• Declara todos los permisos que usa tu app en la página de permisos de la configuración de pantalla de consentimiento de OAuth de API Console. Los permisos que especifiques se agruparán en categorías sensibles o restringidas para destacar las verificaciones adicionales que sean necesarias.
• Encuentra el mejor alcance que coincida con los datos que usa tu integración, comprende su uso, confirma que todo funcione en un entorno de prueba y, luego, prepárate para enviar la verificación.

Asegúrate de tener en cuenta el tiempo necesario para completar la verificación del plan de lanzamiento de tu app o las funciones nuevas que requieran un alcance nuevo. Uno de estos requisitos adicionales se produce si la app accede a los datos del usuario de Google o puede hacerlo a través de un servidor. En estos casos, el sistema debe someterse a una evaluación de seguridad anual realizada por un asesor independiente externo aprobado por Google. Por este motivo, el proceso de verificación de permisos restringidos puede tardar varias semanas en completarse. Ten en cuenta que todas las apps deben completar primero el paso de verificación de marca, que suele tardar entre 2 y 3 días hábiles, si cambió la información de marca desde la última verificación de pantalla de consentimiento de OAuth aprobada.

Tipos de aplicación permitidos

Algunos tipos de aplicaciones pueden acceder a permisos restringidos para cada producto. Puedes encontrar los tipos de aplicaciones en la página de Google Developers específica de productos (por ejemplo, la política de la API de Gmail).

Es tu responsabilidad comprender y determinar tu tipo de app. Sin embargo, si no estás seguro sobre el tipo de aplicación, puedes seleccionar la opción ¿Qué funciones usarás? cuando envíes la app para verificarla. El equipo de verificación de API de Google determinará el tipo de aplicación.

Evaluación de seguridad

Todas las apps que soliciten acceso a los datos restringidos de los usuarios de Google y puedan acceder a ellos desde un servidor de terceros o a través de él deben pasar por una evaluación de seguridad realizada por evaluadores incorporados en la seguridad de Google. Esta evaluación ayuda a mantener seguros los datos de los usuarios de Google, ya que verifica que todas las apps que acceden a los datos de los usuarios de Google demuestren la capacidad de manejarlos de forma segura y borrar los datos que solicitan los usuarios.

A fin de estandarizar nuestra evaluación de seguridad, usamos la App Defense Alliance y el framework de evaluación de seguridad de aplicaciones en la nube (CASA).

Como se mencionó anteriormente, para mantener el acceso a cualquier alcance restringido verificado, las apps deben volver a verificarse para garantizar el cumplimiento y completar una evaluación de seguridad al menos cada 12 meses después de la fecha de aprobación de la carta de evaluación del evaluador (LOA). Si la app agrega un nuevo permiso restringido, es posible que se deba volver a evaluar para abarcar el alcance adicional si no se incluyó en una evaluación de seguridad anterior.

El equipo de revisión de Google te enviará un correo electrónico cuando sea el momento de renovar la certificación de la app. Para asegurarte de que se notifique a los miembros correctos de tu equipo sobre esta aplicación anual, asocia las Cuentas de Google adicionales a tu proyecto de API Console como propietario o editor. También ayuda a mantener actualizados los correos electrónicos de asistencia para usuarios y de contacto del desarrollador que se especifican en el Consent Screen pagede OAuth de Google API Console .

Pasos para preparar la verificación

Todas las apps que usan las API de Google para solicitar acceso a los datos deben completar los siguientes pasos a fin de completar la verificación de la marca:

1. Confirma que tu app no se incluye en ninguno de los casos prácticos de la sección Excepciones a los requisitos de verificación.
2. Asegúrate de que tu app cumpla con los requisitos de desarrollo de la marca de las API o los productos asociados. Por ejemplo, consulta los lineamientos de desarrollo de la marca para los permisos de Acceso con Google.
3. Verifica la propiedad de los dominios autorizados de tu proyecto en Google Search Console. Usa una Cuenta de Google asociada a tu API Console proyecto como propietario o editor.
4. Asegúrate de que toda la información de marca en la pantalla de consentimiento de OAuth, como el nombre de la app, el correo electrónico de asistencia, el URI de la página principal, el URI de la política de privacidad, etc., represente con exactitud la identidad de la app.

Requisitos de la página principal de la aplicación

Asegúrese de que su página principal cumpla con los siguientes requisitos:

• La página principal debe ser de acceso público y no solo accesible para los usuarios que acceden a su sitio.
• La relevancia de tu página principal para la aplicación en proceso de revisión debe ser clara.
• Los vínculos a la ficha de la app en Google Play Store o la página de Facebook no se consideran páginas principales válidas para la aplicación.

Requisitos de los vínculos a las políticas de privacidad de la aplicación

Asegúrate de que la política de privacidad de tu app cumpla con los siguientes requisitos:

• La política de privacidad debe estar visible para los usuarios, alojada dentro del mismo dominio que la página principal de la aplicación y vinculada a la pantalla de consentimiento de OAuth de Google API Console. Ten en cuenta que la página principal debe incluir una descripción de la funcionalidad de la app, además de vínculos a la política de privacidad y a las Condiciones del Servicio opcionales.
• La política de privacidad debe divulgar la forma en que tu aplicación accede a los datos del usuario de Google, los usa, los almacena o los comparte. The privacy policy must comply with the Google API Services User Data Policy and the Limited Use requirements for restricted scopes.Debes limitar el uso de los datos del usuario de Google según las prácticas que se divulgan según tu Política de Privacidad publicada.
• Review example cases of privacy policies that don't meet the Limited Use requirements.

Cómo enviar la app para verificarla

Un proyecto deGoogle API Console organiza todos tus recursos de API Console . Un proyecto consta de un conjunto de Cuentas de Google asociadas que tienen permiso para realizar operaciones de proyectos, un conjunto de API habilitadas y la configuración de facturación, autenticación y supervisión de esas API. Por ejemplo, un proyecto puede contener uno o más clientes de OAuth, configurar las API para que los usen esos clientes y configurar una pantalla de consentimiento de OAuth que se muestra a los usuarios antes de que autoricen el acceso a la app.

Si alguno de tus clientes de OAuth no está listo para la producción, te sugerimos que lo borres del proyecto que solicita la verificación. Puedes hacerlo en Google API Console.

Para solicitar la verificación, sigue estos pasos:

1. Asegúrate de que tu app cumpla con las Condiciones del Servicio de las API de Google y la Política de Datos del Usuario de los Servicios de la API de Google.
2. Mantén actualizadas las funciones de propietario y editor de las cuentas asociadas de tu proyecto, así como el correo electrónico de asistencia al usuario de la pantalla de consentimiento de OAuth y la información de contacto del desarrollador, en tu API Console. Esto garantiza que se notifique a los miembros correctos de tu equipo sobre los nuevos requisitos.
3. Ve a la API Console OAuth Consent Screen page.
4. Haz clic en el botón Selector de proyectos.

5. En el cuadro de diálogo Seleccionar de que aparece, elige tu proyecto. Si no puedes encontrar tu proyecto, pero sabes el ID del proyecto, puedes crear una URL en tu navegador con el siguiente formato:

   https://console.developers.google.com/apis/credentials/consent?project=[PROJECT_ID]

   Reemplaza [PROJECT_ID] por el ID del proyecto que deseas usar.

6. Selecciona el botón Editar aplicación.
7. Ingresa la información necesaria en la página de la pantalla de consentimiento de OAuth y, luego, selecciona el botón Guardar y continuar.
8. Usa el botón Agregar o quitar permisos para declarar todos los alcances solicitados por la app. En la sección Alcances no sensibles, se completa previamente un conjunto inicial de permisos necesarios para el Acceso con Google. Los permisos agregados se clasifican como no sensibles, sensitive, or restricted.
9. Proporciona hasta tres vínculos a cualquier documentación relevante relacionada con funciones de tu app.

10. Proporciona la información adicional que se solicite sobre tu app en los pasos posteriores.

    1. Ensure your app complies with the Additional requirements for specific API scopes, which includes undergoing an annual security assessment if your app accesses restricted scope Google users' data from or through a third-party server.
    2. Ensure your app is one of the allowed types specified in the Limited Use section of the Additional requirements for specific API scopes page.
    3. If your app is a task automation platform, your demonstration video must showcase how multiple API workflows are created and automated, and in which directions user data flows.

    4. Prepare a video that fully demonstrates how a user initiates and grants access to the requested scopes and shows, in detail, the usage of the granted sensitive and restricted scopes in the app. Upload the video to YouTube Studio and set Visibility as Unlisted. You need to provide a link to the demonstration video in the YouTube link field.

       1. Show the OAuth grant process that users will experience, in English. This includes the consent flow and, if you use Google Sign-In, the sign-in flow.
       2. Show that the OAuth consent screen correctly displays the App Name.
       3. Show that the browser address bar of the OAuth consent screen correctly includes your app's OAuth client ID.
       4. To show how the data will be used, demonstrate the functionality that's enabled by each sensitive and restricted scope that you request.
       5. If you use multiple clients, and therefore have multiple OAuth client IDs, show how the data is accessed on each OAuth client.
    5. Select your permitted application type from the "What features will you use?" list.
    6. Describe how you will use the restricted scopes in your app and why more limited scopes aren't sufficient.
11. Si la configuración de la app que proporcionas requiere verificación, puedes enviarla para su verificación. Llena los campos obligatorios y haz clic en Enviar para comenzar el proceso de verificación.

Después de que envíes la app, el equipo de Confianza y Seguridad de Google hará un seguimiento por correo electrónico con la información adicional que necesites o los pasos que debes completar. Revisa tus direcciones de correo electrónico en la sección Información de contacto del desarrollador y el correo electrónico de asistencia de tu pantalla de consentimiento de OAuth para obtener solicitudes de información adicional. También puedes ver la página de la pantalla de consentimiento de OAuth de tu proyecto para confirmar el estado de revisión actual del proyecto, incluso si el proceso de revisión está en pausa mientras esperamos tu respuesta.

Excepciones a los requisitos de verificación

Si tu app se usará en cualquiera de las situaciones que se describen en las siguientes secciones, no es necesario que la envíes para su revisión.

Uso personal

Un caso práctico es si eres el único usuario de tu app o si solo unos pocos usuarios usan la aplicación. Tú y la cantidad limitada de usuarios pueden sentirse cómodos para avanzar en la pantalla de app sin verificar y otorgar a tus cuentas personales acceso a la app.

Proyectos que se usan en los niveles de desarrollo, etapa de pruebas o etapa de pruebas

A fin de cumplir las Políticas de Google OAuth 2.0, te recomendamos que tengas diferentes proyectos para entornos de prueba y producción. Te recomendamos que solo envíes la app para verificarla si quieres que esté disponible para cualquier usuario con una Cuenta de Google. Por lo tanto, si tu app está en las fases de desarrollo, prueba o etapa de pruebas, no se requiere verificación.

Si tu app está en las fases de desarrollo o prueba, puedes dejar el Estado de publicación en la configuración predeterminada Pruebas. Esta configuración significa que la app aún está en desarrollo y solo está disponible para los usuarios que agregues a la lista de usuarios de prueba. Debes administrar la lista de Cuentas de Google que participan en el desarrollo o la prueba de tu app.

Solo datos de propiedad del servicio

Si tu app usa una cuenta de servicio para acceder solo a sus propios datos y no accede a datos del usuario (vinculados a una Cuenta de Google), no es necesario que solicites la verificación.

Para comprender qué son las cuentas de servicio, consulta Cuentas de servicio en la documentación de Google Cloud. Para obtener instrucciones sobre cómo usar una cuenta de servicio, consulta Usa OAuth 2.0 para aplicaciones de servidor a servidor.

Solo para uso interno

Esto significa que solo las personas de tu organización de Google Workspace o Cloud Identity usan la app. El proyecto debe ser propiedad de la organización, y su pantalla de consentimiento de OAuth debe estar configurada para un tipo de usuario interno. En este caso, es posible que tu administrador necesite una aprobación de la organización. Para obtener más información, consulta Consideraciones adicionales de Google Workspace.

• Obtén más información sobre las aplicaciones internas y públicas.
• Obtén información sobre cómo marcar tu app como interna en la sección Preguntas frecuentes ¿Cómo puedo marcar mi app como solo para uso interno?

Instalación en todo el dominio

Si planeas que tu app se oriente solo a los usuarios de una organización de Google Workspace o Cloud Identity, y siempre use la instalación de todo el dominio, tu app no requerirá una verificación de app. Esto se debe a que una instalación de todo el dominio permite que un administrador del dominio otorgue a las aplicaciones internas y de terceros acceso a los datos de los usuarios. Los administradores de la organización son las únicas cuentas que pueden agregar la app a una lista de entidades permitidas para usarla dentro de sus dominios.

Obtén información sobre cómo hacer que tu app sea una instalación para todo el dominio en las Preguntas frecuentes Mi aplicación tiene usuarios con cuentas empresariales de otro dominio de Google Workspace.