Лучшие практики SDK для обеспечения безопасности пользователей, Лучшие практики SDK для обеспечения безопасности пользователей

Как разработчик приложений вы хотите быть уверены в том, что можете обеспечить безопасность своих пользователей, а ваши приложения — в безопасности и стабильности от любых уязвимостей, в том числе тех, которые могут быть вызваны используемыми вами комплектами разработки программного обеспечения (SDK).

Как поставщик SDK вы не хотите, чтобы ваш SDK заставлял разработчика приложения или игры нарушать политики разработчиков Google Play, что может подорвать их бизнес и подвергнуть их принудительным действиям со стороны Google Play.

Узнайте больше о рекомендациях по обеспечению безопасности пользователей независимо от того, являетесь ли вы разработчиком приложений, использующим SDK, или разработчиком SDK.

Для разработчиков приложений

• Прежде чем интегрировать SDK в свое приложение, убедитесь, что вы знаете, какие разрешения он использует, какие данные собирает и почему. Включите эту информацию в форму безопасности данных . Обратите внимание, что вы, как разработчик приложения, несете ответственность за сбор данных SDK, даже если вы не используете определенную функцию SDK.
• Ознакомьтесь со всеми политиками разработчиков Google Play, касающимися того, когда вы можете и не можете расширять использование собранных вами пользовательских данных. Например, для использования местоположения устройства вы должны сделать любой обмен этими данными третьей стороной / SDK известным конечным пользователям. посредством требований о заметном раскрытии информации и согласии .
• Будьте в курсе обновлений политики Google Play, чтобы убедиться, что SDK, который вы включили в свое приложение, не приводит к нарушению вашим приложением политик Play, таких как обновления Политики неправомерного использования устройств и сети , Политики в отношении рекламы и Политики в отношении пользовательских данных. к постоянным идентификаторам .
• Не продавайте личную и конфиденциальную информацию пользователей.
• Если вы получили уведомление о нарушении в вашем приложении, вызванном SDK, которое вам необходимо устранить, обратитесь к этой ссылке, чтобы узнать, как его устранить.
• Ознакомьтесь с индексом Google Play SDK, чтобы узнать, какие SDK зарегистрированы в консоли Google Play, какие разрешения Android используют эти SDK и многое другое.

Для поставщиков SDK

• Ознакомьтесь с правилами Google Play для разработчиков .
• Следите за обновлениями политики Google Play, чтобы убедиться, что ваш SDK не приводит к тому, что приложения нарушают политики Play, такие как Политика неправомерного использования устройств и сети , Политика рекламы и Политика пользовательских данных в отношении постоянных идентификаторов . Приложения, использующие ваш SDK, могут нарушать эти правила и поэтому могут быть подвергнуты принудительным мерам со стороны Google Play. Например:
  • Если ваш SDK использует личные и конфиденциальные пользовательские данные, вы должны убедиться, что вы ясно указали это в своей общедоступной документации для приложений, использующих ваш SDK.
  • SDK с интерпретируемыми языками (JavaScript, Python, Lua и т. д.), загружаемые во время выполнения (например, не упакованные вместе с приложением), не должны допускать потенциальных нарушений (например, сбор установленных пакетов без соответствующей цели, раскрытие и согласие) Правила Google Play.
  • Не продавайте личную и конфиденциальную информацию пользователей.
• Поддерживайте новейшие функции безопасности API и минимизации данных в своих SDK (см. обновление за апрель 2022 г. здесь ).
• Помогите своим клиентам понять, какие пользовательские данные может собирать ваш SDK, и причину их использования, чтобы разработчики приложений могли включить это в свое заметное раскрытие информации и согласие конечным пользователям, а также в свою политику конфиденциальности, когда это применимо.
• Вам следует реализовать логику, которая считывает и придерживается предпочтений пользователя, собранных разработчиком приложения, или обеспечить наличие механизма, позволяющего разработчику приложения точно инициализировать ваш SDK в соответствии с этим событием согласия пользователя.
  • Предоставляйте информацию об использовании ваших данных в формате, удобном для доступа и публичного использования. Вот необязательный формат , который может вас заинтересовать для публикации вашей информации, поскольку многие разработчики знакомы с этим форматом. Примеры см. в раскрытии данных Google Firebase SDK и раскрытии данных Google AdMob SDK .

Как разработчик приложений вы хотите быть уверены в том, что можете обеспечить безопасность своих пользователей, а ваши приложения — в безопасности и стабильности от любых уязвимостей, в том числе тех, которые могут быть вызваны используемыми вами комплектами разработки программного обеспечения (SDK).

Как поставщик SDK вы не хотите, чтобы ваш SDK заставлял разработчика приложения или игры нарушать политики разработчиков Google Play, что может подорвать их бизнес и подвергнуть их принудительным действиям со стороны Google Play.

Узнайте больше о рекомендациях по обеспечению безопасности пользователей независимо от того, являетесь ли вы разработчиком приложений, использующим SDK, или разработчиком SDK.

Для разработчиков приложений

• Прежде чем интегрировать SDK в свое приложение, убедитесь, что вы знаете, какие разрешения он использует, какие данные собирает и почему. Включите эту информацию в форму безопасности данных . Обратите внимание, что вы, как разработчик приложения, несете ответственность за сбор данных SDK, даже если вы не используете определенную функцию SDK.
• Ознакомьтесь со всеми политиками разработчиков Google Play, касающимися того, когда вы можете и не можете расширять использование собранных вами пользовательских данных. Например, для использования местоположения устройства вы должны сделать любой обмен этими данными третьей стороной / SDK известным конечным пользователям. посредством требований о заметном раскрытии информации и согласии .
• Будьте в курсе обновлений политики Google Play, чтобы убедиться, что SDK, который вы включили в свое приложение, не приводит к нарушению вашим приложением политик Play, таких как обновления Политики неправомерного использования устройств и сети , Политики в отношении рекламы и Политики в отношении пользовательских данных. к постоянным идентификаторам .
• Не продавайте личную и конфиденциальную информацию пользователей.
• Если вы получили уведомление о нарушении в вашем приложении, вызванном SDK, которое вам необходимо устранить, обратитесь к этой ссылке, чтобы узнать, как его устранить.
• Ознакомьтесь с индексом Google Play SDK, чтобы узнать, какие SDK зарегистрированы в консоли Google Play, какие разрешения Android используют эти SDK и многое другое.

Для поставщиков SDK

• Ознакомьтесь с правилами Google Play для разработчиков .
• Следите за обновлениями политики Google Play, чтобы убедиться, что ваш SDK не приводит к тому, что приложения нарушают политики Play, такие как Политика неправомерного использования устройств и сети , Политика рекламы и Политика пользовательских данных в отношении постоянных идентификаторов . Приложения, использующие ваш SDK, могут нарушать эти правила и поэтому могут быть подвергнуты принудительным мерам со стороны Google Play. Например:
  • Если ваш SDK использует личные и конфиденциальные пользовательские данные, вы должны убедиться, что вы ясно указали это в своей общедоступной документации для приложений, использующих ваш SDK.
  • SDK с интерпретируемыми языками (JavaScript, Python, Lua и т. д.), загружаемые во время выполнения (например, не упакованные вместе с приложением), не должны допускать потенциальных нарушений (например, сбор установленных пакетов без соответствующей цели, раскрытие и согласие) Правила Google Play.
  • Не продавайте личную и конфиденциальную информацию пользователей.
• Поддерживайте новейшие функции безопасности API и минимизации данных в своих SDK (см. обновление за апрель 2022 г. здесь ).
• Помогите своим клиентам понять, какие пользовательские данные может собирать ваш SDK, и причину их использования, чтобы разработчики приложений могли включить это в свое заметное раскрытие информации и согласие конечным пользователям, а также в свою политику конфиденциальности, когда это применимо.
• Вам следует реализовать логику, которая считывает и придерживается предпочтений пользователя, собранных разработчиком приложения, или обеспечить наличие механизма, позволяющего разработчику приложения точно инициализировать ваш SDK в соответствии с этим событием согласия пользователя.
  • Предоставляйте информацию об использовании ваших данных в формате, удобном для доступа и публичного использования. Вот необязательный формат , который может вас заинтересовать для публикации вашей информации, поскольку многие разработчики знакомы с этим форматом. Примеры см. в раскрытии данных Google Firebase SDK и раскрытии данных Google AdMob SDK .