Безопасность данных Google Play. Руководство для разработчиков

Безопасность данных Google Play начала активно внедряться в этом году. Начиная с 22 августа 2022 года, все разработчики Android для добавления или обновления приложений Android в Google Play должны представить декларацию, описывающую их методы обеспечения безопасности и конфиденциальности мобильных приложений. После этой даты все новые мобильные приложения для Android будут содержать в Google Play список информации о безопасности данных, в котором будет указано, как мобильное приложение собирает, хранит и передает данные пользователей. Без этой информации могут заблокировать приложение представленное в Google Play.

У разработчиков Android, не знакомых с новыми требованиями безопасности Google Play, могут возникнуть вопросы о приближающемся сроке. И о том, что они должны сделать, чтобы продемонстрировать соответствие требованиям. Разработчики могут использовать эту статью в качестве руководства, чтобы понять цель политики, какую информацию необходимо раскрывать и другие примечательные детали этой инициативы.

Почему Google создал раздел «Безопасность данных»?

Google запустил инициативу «Безопасность данных», чтобы предоставить пользователям мобильных приложений более прозрачную информацию о том, как разработчики собирают, передают и защищают их данные. В то время как большинство разработчиков анализируют данные мобильных приложений для исправления ошибок и улучшения функциональности, другие продают личные данные третьим лицам с целью получения прибыли без согласия пользователя.

Кроме того, резкий рост активности мобильных приложений в последние годы привлек внимание к вопросам конфиденциальности и безопасности. Поскольку активность мобильных приложений превысила активность настольных компьютеров, субъекты угроз теперь нацелены на мобильные приложения с небезопасной практикой кодирования и слабой защитой. В результате пользователи хотят знать, создают ли разработчики свои мобильные приложения с учетом требований безопасности и конфиденциальности.

Безопасность данных Google Play позволяет 2,8 миллиардам пользователей Android легко определить, каким из более чем 3,5 миллионов приложений для Android можно доверять. Подобно тому, как этикетки с информацией о питании позволяют людям принимать обоснованные решения при выборе продуктов питания, информация о безопасности данных информирует пользователей Android о том, как приложения используют и хранят личные данные.

«Мы слышали от пользователей и разработчиков приложений, что отображения данных, которые собирает приложение, без дополнительного контекста недостаточно», — прокомментировала вице-президент Google по продуктам, безопасности и конфиденциальности Android Сюзанна Фрей в недавнем сообщении. «Пользователи хотят знать, с какой целью собираются их данные и передает ли разработчик данные пользователя третьим лицам. Кроме того, пользователи хотят понимать, как разработчики приложений защищают данные пользователей после загрузки приложения. Именно поэтому мы создали раздел «Безопасность данных», чтобы разработчики могли обозначить, какие данные собираются и для чего».

Какую информацию должны раскрывать разработчики? Безопасность данных Google Play

Разработчики Android теперь должны декларировать следующие сведения о коде и сторонних библиотеках, которые использует в приложении:

  • Собирает ли приложение данные
  • Является ли сбор данных необязательным или обязательным
  • Типы собираемых данных и их цель
  • Передаются ли данные третьим лицам с помощью библиотек или SDK
  • Шифруются ли данные при передаче
  • Могут ли пользователи запросить удаление данных
  • Соблюдает ли приложение правила семейной безопасности Google Play.
  • Прошло ли приложение независимую проверку на соответствие глобальному стандарту безопасности.

Все ли разработчики мобильных приложений для Android должны участвовать в программе?

Да. Для того чтобы новые и обновленные мобильные приложения для Android могли быть загружены в Google Play, разработчики должны представить обязательные декларации о безопасности данных. Разработчики должны заполнить форму, даже если мобильное приложение не собирает данные пользователей.

Разработчики, не представившие декларацию безопасности данных, получат в Google Play отметку «Нет доступной информации». Поэтому они могут быть лишены возможности опубликовать свое приложение. Google также отправит разработчикам электронное письмо с уведомлением о том, что у приложения есть проблемы, которые необходимо устранить.

Google Play

Как разработчики могут выделить свое приложение? Безопасность данных Google Play

Хотя все разработчики мобильных приложений для Android с новыми или обновленными приложениями должны представить форму безопасности данных, они могут продемонстрировать свою приверженность конфиденциальности и безопасности еще больше с помощью дополнительной независимой проверки безопасности. App Defense Alliance (ADA) занимается защитой пользователей Google Play путем предотвращения проникновения угроз на их устройства и повышения качества приложений во всей экосистеме.

Консорциум ADA создал программу Mobile Application Security Assessment (MASA) в качестве стандартной программы проверки безопасности и конфиденциальности. Основанный на стандарте проверки безопасности мобильных приложений Open Web Application Security Project (OWASP), процесс проверки MASA позволяет разработчикам убедиться, что их мобильные приложения соответствуют общепринятому в отрасли стандарту безопасности мобильных приложений.

Авторизованные лаборатории ADA проводят тестирование безопасности и конфиденциальности мобильных приложений с использованием MASA для подтверждения того, что приложения для Android соответствуют набору основных требований безопасности. Эксперты авторизованных лабораторий по безопасности мобильных приложений используют руководство OWASP Mobile Security Testing Guide (MSTG) для определения соответствия мобильного приложения Android требованиям OWASP MASVS L1 в следующих областях:

  • Хранение данных и конфиденциальность
  • Криптография
  • Аутентификация и управление сеансами
  • Сетевая коммуникация
  • Взаимодействие с платформой
  • Качество кода и параметры сборки

Мобильные приложения, прошедшие верификацию ADA MASA, имеют обозначение независимого обзора безопасности. Оно применяется к безопасности данных приложения в Google Play в листингах магазина. Этот процесс проверки дает мобильным приложениям конкурентное преимущество в Google Play. Процесс помогает пользователям определить, какие разработчики приложили максимум усилий для защиты пользователей и обеспечения доверия.

Требования безопасности Google Play подчеркивают доверие пользователей к производителям приложений в плане защиты их данных. Разработчики мобильных приложений должны понять эту новую программу и включить эти шаги в свой процесс. Безусловно учитывая дополнительные данные, необходимые для представления, чтобы не задерживать принятие и публикацию мобильного приложения. Разработчики мобильных приложений должны рассмотреть преимущества получения независимого обзора безопасности через проверку ADA MASA. Это для того, чтобы подтвердить безопасность и качество сборки, которая выделяется среди конкурентов.

Также рекомендуем к прочтению нашу статью Топ 10 Тренды мобильных приложений на 2022 год.