כמפתחי אפליקציות, אתם רוצים לוודא שאתם יכולים לשמור על בטיחות המשתמשים שלכם, ולשמור על האפליקציות שלכם מאובטחות ויציבות מפני נקודות חולשה, כולל נקודות חולשה שעלולות להיגרם כתוצאה מערכות כלים לפיתוח תוכנה (SDK) שבהן אתם משתמשים.
כספק SDK, אתם לא רוצים שערכת ה-SDK שלכם תגרום למפתחי אפליקציות או משחקים להפר את כללי המדיניות למפתחים של Google Play. הפרות כאלה עלולות לשבש את העסק שלהם ולהוביל לפעולות אכיפה מצד Google Play.
מפתחי אפליקציות שמשתמשים ב-SDK ומפתחי SDK יכולים לקרוא מידע נוסף על שיטות מומלצות לשמירה על בטיחות המשתמשים.
למפתחי אפליקציות
- לפני שמשלבים ערכת SDK באפליקציה, חשוב לדעת באילו הרשאות היא משתמשת, אילו נתונים היא אוספת ומדוע. יש לכלול את המידע הזה בטופס אבטחת הנתונים. חשוב לזכור שאתם, מפתחי האפליקציה, אחראים להתנהגות של ה-SDK באיסוף הנתונים, גם אם אתם לא משתמשים בפונקציה מסוימת של ה-SDK.
- חשוב לקרוא את כל המדיניות של Google Play למפתחים בנוגע למקרים שבהם אפשר להרחיב את השימוש בנתוני המשתמשים שאספתם, ומקרים שבהם אי אפשר לעשות זאת.לדוגמה, כדי להשתמש במיקום המכשיר, עליכם לשתף את הנתונים האלה עם צד שלישי או ערכת SDK שידועים למשתמשים הקצה באמצעות דרישות הגילוי הנאות וההסכמה הבולטות.
- חשוב להתעדכן בעדכונים של מדיניות Google Play כדי לוודא שערכת ה-SDK שכללתם באפליקציה לא גורמת להפרה של מדיניות Play, למשל עדכונים במדיניות בנושא שימוש לרעה במכשירים וברשתות, במדיניות בנושא מודעות ובמדיניות בנושא נתוני משתמשים בנוגע למזהים קבועים.
- אסור למכור מידע אישי ורגיש של משתמשים.
- אם קיבלתם הודעה על אכיפה בעקבות הפרה באפליקציה שנגרמה על ידי SDK, עליכם לפעול לפי ההוראות שלנו לשליחת האפליקציה מחדש לאחר הפרת מדיניות.
- ב-Google Play SDK Index אפשר לראות אילו ערכות SDK רשומות ב-Google Play Console, אילו הרשאות Android הן משתמשות בהן ועוד.
לספקי SDK
- המדיניות למפתחים ב-Google Play
חשוב להתעדכן בעדכונים במדיניות של Google Play כדי לוודא שערכת ה-SDK לא גורמת לאפליקציות להפר את כללי המדיניות של Play, למשל עדכונים במדיניות בנושא ניצול לרעה של מכשירים ורשתות, במדיניות בנושא מודעות ובמדיניות בנושא נתוני משתמשים בנוגע למזהים עקביים. יכול להיות שאפליקציות שמשתמשות ב-SDK שלכם מפירות את כללי המדיניות האלה, ולכן הן עשויות להיחשף לפעולות אכיפה מצד Google Play. לדוגמה:
- אם ה-SDK שלכם משתמש בנתונים אישיים ורגישים של משתמשים, עליכם לוודא שהבהרתם זאת במסמכים הציבוריים שלכם לאפליקציות שמשתמשות ב-SDK.
- אסור שערכות SDK עם שפות מפורשות (interpreted) (למשל JavaScript, Python, Lua וכו') שנטענות בזמן הריצה (למשל, לא נכללות בחבילה של האפליקציה) יאפשרו הפרות פוטנציאליות של המדיניות של Google Play (למשל, איסוף חבילות מותקנות ללא מטרה מתאימה, גילוי נאות והסכמה).
- אסור למכור מידע אישי ורגיש של משתמשים.
תמיכה בתכונות האבטחה והצמצום של נתונים העדכניות ביותר של ממשקי API ב-SDKs. מידע נוסף זמין בפוסט בבלוג מחודש אפריל 2022.
כדאי לעזור ללקוחות להבין אילו נתוני משתמשים יכולים להיאסף באמצעות ה-SDK שלכם, ואת הסיבה לשימוש בהם. כך מפתחי האפליקציות יוכלו לכלול את המידע הזה בגילוי הנאות ובבקשת ההסכמה במיקום בולט למשתמשים הקצה, ובמדיניות הפרטיות שלהם במקרים הרלוונטיים.
עליכם להטמיע לוגיקה שקוראת את העדפות המשתמשים שנאספו על ידי מפתחי האפליקציה ופועלת בהתאם להן, או לוודא שיש מנגנון שמאפשר למפתחי האפליקציה לאתחל את ה-SDK בצורה מדויקת בהתאם לאירוע ההסכמה הזה שמוצג למשתמשים.
לספק מידע על השימוש בנתונים בפורמט שקל לגשת אליו ולצרוך אותו באופן ציבורי. הנה פורמט אופציונלי שיכול להתאים לפרסום המידע שלכם, כי מפתחים רבים מכירים את הפורמט הזה. דוגמאות אפשר למצוא בחשיפת הנתונים של Google Firebase SDK ובחשיפת הנתונים של Google AdMob SDK.