تأیید برنامه

اگر برنامه شما با استفاده از محدوده‌های محدود، درخواست دسترسی به داده‌های حساس کاربر را داشته باشد، باید یک فرآیند تأیید را تکمیل کند. اکثر محدوده‌های API سلامت گوگل محدود هستند، به این معنی که قبل از اینکه برنامه شما به صورت عمومی در دسترس قرار گیرد، باید تأیید را تکمیل کنید.

در طول این فرآیند، گوگل تأیید می‌کند که برنامه شما با خط‌مشی داده‌های کاربر سرویس‌های API و سایر خط‌مشی‌های مربوطه مطابقت دارد.

اگر برنامه شما تأیید نشده باشد، به ۱۰۰ کاربر محدود می‌شود. برای پشتیبانی از کاربران بیشتر، باید فرآیند تأیید را تکمیل کنید. این تأیید جدا از هرگونه فرآیند بررسی برنامه است که توسط فروشگاه‌های برنامه مانند Google Play الزامی است. برنامه‌ای که این تأیید را تکمیل نکرده باشد، ممکن است در فروشگاه Google Play فهرست شود، اما همچنان به ۱۰۰ کاربر محدود است. برای اطلاعات بیشتر، به مرکز راهنمایی تأیید برنامه OAuth مراجعه کنید.

فرآیند تأیید دو بخش دارد:

  • تأیید برنامه OAuth : تیم اعتماد و ایمنی گوگل، هویت، حوزه‌ها و سایر اطلاعات برنامه شما را که در کنسول Google Cloud ارائه می‌دهید، بررسی می‌کند. برای اطلاعات بیشتر به الزامات تأیید مراجعه کنید.
  • ارزیابی امنیتی : برنامه شما باید تحت ارزیابی امنیتی شخص ثالث قرار گیرد تا اطمینان حاصل شود که داده‌های کاربر را به طور ایمن مدیریت می‌کند.

تأیید برنامه OAuth

برای آماده شدن برای تأیید، راهنمای OAuth 2.0 Restricted Scopes را بررسی و دنبال کنید. این راهنما مراحل آماده‌سازی و درخواست تأیید در کنسول Google Cloud را شرح می‌دهد.

هنگام توضیح اینکه چرا برنامه شما به هر محدوده نیاز دارد، دقیق باشید. توجیهات مبهم یا تکراری برای محدوده‌های مختلف می‌تواند باعث تأخیر در فرآیند تأیید شود.

الزامات افشای اطلاعات درون برنامه‌ای

شما باید به طور واضح نحوه دسترسی، استفاده و اشتراک‌گذاری داده‌های سلامت و تناسب اندام کاربران توسط برنامه خود را برای آنها آشکار کنید.

افشای درون برنامه‌ای:

  • باید درون خود برنامه باشد، نه فقط در توضیحات برنامه یا در وب‌سایت.
  • باید در حالت عادی استفاده از برنامه نمایش داده شود و نیازی به رفتن کاربر به منو یا تنظیمات نداشته باشد.
  • باید داده‌هایی که مورد دسترسی یا جمع‌آوری قرار می‌گیرند را شرح دهد.
  • باید نحوه استفاده یا اشتراک‌گذاری داده‌ها را توضیح دهد.
  • نمی‌توان آن را فقط در سیاست حفظ حریم خصوصی یا شرایط خدمات قرار داد.
  • نمی‌توان آن را در کنار سایر افشاگری‌های غیرمرتبط با جمع‌آوری داده‌های API گوگل هلث قرار داد.

قالب پیشنهادی برای بیانیه افشا به این صورت است: «{App name} داده‌های سلامت و تناسب اندام را برای فعال کردن {feature}، {feature} و {feature} جمع‌آوری می‌کند.»

برای مثال: «مربی تناسب اندام داده‌های فعالیت را جمع‌آوری می‌کند تا امکان تجزیه و تحلیل و مربیگری شخصی‌سازی‌شده را فراهم کند.»

ارزیابی امنیتی (CASA)

علاوه بر تأیید OAuth، برنامه‌هایی که از دامنه‌های محدود استفاده می‌کنند، باید ارزیابی امنیتی سالانه‌ای را نیز بر اساس چارچوب ارزیابی امنیت برنامه‌های ابری (CASA) تکمیل کنند. تیم اعتماد و ایمنی گوگل، در صورت نیاز به تکمیل این فرآیند، دستورالعمل‌هایی را به شما اطلاع می‌دهد.

یک شرکت امنیتی شخص ثالث این ارزیابی را انجام می‌دهد تا تأیید کند که برنامه شما داده‌های کاربر را به طور ایمن مدیریت می‌کند و می‌تواند داده‌های کاربر را بنا به درخواست حذف کند. CASA از استاندارد تأیید امنیت برنامه OWASP (ASVS) که در صنعت شناخته شده است، استفاده می‌کند. پس از قبولی در ارزیابی، برنامه شما یک نامه اعتبارسنجی (LOV) از ارزیاب امنیتی دریافت می‌کند.

برای جزئیات بیشتر در مورد برنامه CASA و یافتن ارزیابان امنیتی مجاز، به وب‌سایت ارزیابی امنیت برنامه‌های ابری مراجعه کنید.

اگر گواهینامه‌های امنیتی موجود یا نتایج تست نفوذ اخیری دارید که با استانداردهای پذیرفته‌شده صنعت مطابقت دارند، ممکن است بتوانید فرآیند CASA را تسریع کنید. CASA یک برنامه شتاب‌دهنده ارائه می‌دهد که به ارزیابان اجازه می‌دهد از اسناد معتبر موجود از چارچوب‌های امنیتی پذیرفته‌شده استفاده کنند تا بررسی‌های اضافی را کاهش داده و هزینه‌های ارزیابی را به‌طور بالقوه کاهش دهند.

تکمیل ارزیابی امنیتی می‌تواند برای درخواست‌های سطح ۲، ۲ تا ۳ هفته و برای درخواست‌های سطح ۳، ۴ تا ۶ هفته طول بکشد و شامل هزینه‌هایی است که به ارزیاب شخص ثالث پرداخت می‌شود و بسته به پیچیدگی برنامه شما، از ۵۰۰ تا ۴۵۰۰ دلار آمریکا متغیر است. Trust and Safety به توسعه‌دهنده اطلاع می‌دهد که چه زمانی فرآیند CASA را شروع کند.

پس از دریافت نامه تأیید (LOV)، نامه را برای تکمیل ارزیابی امنیتی خود به تیم اعتماد و ایمنی گوگل ارسال کنید.

تشدید تنش‌ها

ارزیابی CASA توسط شخص ثالث انجام می‌شود و گوگل هیچ کنترلی بر این فرآیند ارزیابی ندارد. هرگونه مشکل در مورد ارزیابی باید مستقیماً با ارزیاب امنیتی منتخب شما مطرح شود.