Requisitos de SDKs

Los desarrolladores de aplicaciones a menudo dependen de código de terceros (por ejemplo, un SDK) para integrar funciones y servicios clave en sus aplicaciones. Si incluyes un SDK en tu aplicación, debes asegurarte de que puedes proteger a tus usuarios y tu aplicación frente a vulnerabilidades. En esta sección, mostramos cómo algunos de nuestros requisitos actuales de privacidad y seguridad se aplican en el contexto de los SDKs y se han diseñado para ayudar a los desarrolladores a integrar de forma segura SDKs en sus aplicaciones.

Si incluyes SDKs en tu aplicación, debes asegurarte de que el código y las prácticas de terceros no provoquen que tu aplicación infrinja las Políticas del Programa para Desarrolladores de Google Play. Es importante que sepas cómo tratan los SDKs de tu aplicación los datos de usuario y que te asegures de que conoces qué permisos usan, qué datos recogen y por qué.  Recuerda que la recogida y el tratamiento de los datos de usuario por parte del SDK debe estar en consonancia con el uso que hace tu aplicación de dichos datos en cumplimiento con las políticas.

Para asegurarte de que no infringes los requisitos de las políticas al usar un SDK, lee y comprende las siguientes políticas en su totalidad y ten en cuenta algunos de los requisitos actuales en relación con los SDKs que encontrarás a continuación:

Política de Datos de Usuario

Debes ser transparente en lo relativo a cómo tratas los datos de los usuarios (por ejemplo, la información que recoges de los usuarios o sobre ellos, incluida la información de los dispositivos). Para ello, debes informar sobre cómo recoge, usa, trata, comparte y accede tu aplicación a los datos de los usuarios, así como limitar el uso de los datos a los fines declarados que cumplan las políticas.

Si incluyes en tu aplicación código de terceros (por ejemplo, un SDK), debes asegurarte de que dicho código, así como las prácticas de los terceros en cuestión que estén relacionadas con los datos de usuario de tu aplicación, cumplan las Políticas del Programa para Desarrolladores de Google Play, que incluyen requisitos de uso y de divulgación. Por ejemplo, debes asegurarte de que tus proveedores de SDKs no vendan datos de usuario personales y sensibles procedentes de tu aplicación. Este requisito se aplica con independencia de si los datos de usuario se transfieren después de enviarlos a un servidor o mediante la inserción de código de terceros en tu aplicación.

Datos de usuario personales y sensibles

  • Debe limitarse la posibilidad de recoger, usar, compartir y acceder a los datos de usuario personales y sensibles que se adquieran a través de la aplicación a proporcionar las funciones y servicios de la aplicación, así como para fines que los usuarios puedan deducir de forma razonable y que cumplan las políticas:
    • Las aplicaciones que amplíen el uso de los datos de usuario personales y sensibles para publicar anuncios deben cumplir la política de anuncios de Google Play.
  • Deben tratarse todos los datos de usuario personales y sensibles de forma segura, y transmitirlos usando un sistema moderno de cifrado, como el protocolo HTTPS.
  • Debe usarse una solicitud de permisos de ejecución siempre que sea posible antes de acceder a los datos que haya disponibles mediante los permisos de Android.

Venta de datos de usuario personales y sensibles

No vendas datos de usuario personales ni sensibles.

  • "Vender" hace referencia al intercambio o la transferencia de datos de usuario personales y sensibles a un tercero a cambio de una contraprestación económica.
    • Las transferencias de datos de usuario personales y sensibles iniciadas por el usuario (por ejemplo, cuando el usuario usa una función de la aplicación para transferir un archivo a un tercero o cuando el usuario decide utilizar una aplicación para fines específicos relacionados con estudios de investigación) no se consideran ventas.

Requisitos de aviso destacado y consentimiento

Cuando tu aplicación acceda, recoja, use o comparta datos de usuario personales y sensibles de un modo que el usuario del producto o la función en cuestión no pueda deducir de forma razonable, debes cumplir los requisitos de aviso destacado y consentimiento de la Política de Datos de Usuario.

Si tu aplicación incluye código de terceros (por ejemplo, un SDK) que está diseñado para recoger datos de usuario personales y sensibles de forma predeterminada, debes, en el plazo de 2 semanas desde la fecha en que recibas una solicitud por parte de Google Play (o, si la solicitud de Google Play establece un periodo mayor, dentro de ese periodo), proporcionar pruebas suficientes que demuestren que tu aplicación cumple los requisitos de aviso destacado y consentimiento de esta política, incluidos los relacionados con el acceso, recogida, utilización o uso compartido de los datos mediante el código de terceros.

Recuerda asegurarte de que el uso que haces de un código de terceros (por ejemplo, un SDK) no provoca que tu aplicación infrinja la Política de Datos de Usuario.

Consulta este artículo del Centro de Ayuda para obtener más información sobre el requisito de aviso destacado y consentimiento.

Ejemplos de infracciones causadas por SDKs

  • Una aplicación con un SDK que recoja datos de usuario personales y sensibles y no los trate de conformidad con esta Política de Datos de Usuario ni con los requisitos de acceso, tratamiento de datos (incluida la venta no permitida), y aviso destacado y consentimiento.
  • Una aplicación que integra un SDK que recoja datos de usuario personales y sensibles de forma predeterminada infringiendo los requisitos de esta política en relación con el consentimiento del usuario y el aviso destacado.
  • Una aplicación con un SDK que afirme recoger datos de usuario personales y sensibles únicamente para ofrecer funciones de protección contra el fraude y los abusos en la aplicación, pero cuyo SDK también comparta los datos que recoge con terceros con fines publicitarios o analíticos.
  • Una aplicación que incluya un SDK que transmita la información de los paquetes instalados por el usuario sin cumplir las directrices de aviso destacado y/o la política de privacidad

Requisitos adicionales para acceder a datos personales y sensibles

Esta tabla describe los requisitos para actividades específicas.

Actividad  Requisito
Tu aplicación recoge o vincula identificadores de dispositivos persistentes (por ejemplo, IMEI, IMSI, número de serie de SIM, etc.)

Los identificadores de dispositivos persistentes no deben vincularse a otros datos de usuario personales ni sensibles o identificadores de dispositivo que se puedan cambiar, salvo en los siguientes casos:

  • Telefonía asociada a una SIM (por ejemplo, llamadas por Wi‑Fi vinculadas a una cuenta de operador).
  • Aplicaciones de gestión de dispositivos empresariales que usen el modo Propietario del dispositivo.

Debe avisarse de estos usos a los usuarios de forma destacada tal y como se especifica en la Política de Datos de Usuario.

Consulta este artículo para obtener más información sobre los identificadores únicos alternativos.

Lee la política de anuncios para consultar más directrices sobre el ID de publicidad de Android.
Tu aplicación va dirigida a niños Tu aplicación solo puede incluir SDKs autocertificados para usar en servicios dirigidos a niños. Consulta el texto completo de la política y los requisitos del Programa de SDKs de Anuncios Autocertificados para Familias.

 

Ejemplos de infracciones causadas por SDKs

  • Una aplicación que usa un SDK que vincula el ID de Android y la ubicación.
  • Una aplicación con un SDK que conecta el AAID con identificadores del dispositivo persistentes con fines publicitarios o analíticos.
  • Una aplicación con un SDK que conecta el AAID con la dirección de correo con fines analíticos.

Sección Seguridad de los datos

Todos los desarrolladores deben incluir en todas las aplicaciones una sección Seguridad de los datos clara y precisa, donde se explique cómo se recogen, se usan y se comparten los datos de usuario. Este requisito también se aplica a los datos que se recogen y tratan mediante las bibliotecas o los SDKs de terceros que se usen en la aplicación. El desarrollador es responsable de la precisión de la sección y de que esta información esté actualizada. Si procede, esta sección debe estar en consonancia con los avisos incluidos en la política de privacidad de la aplicación.

Consulta este artículo del Centro de Ayuda para obtener más información sobre cómo completar la sección Seguridad de los datos.

Consulta la Política de Datos de Usuario completa.

Política de permisos y APIs que acceden a información sensible

Las solicitudes de permisos y APIs que acceden a información sensible deben resultar comprensibles para los usuarios. Solo puedes solicitar los permisos y las APIs que acceden a información sensible necesaria para implementar en tu aplicación las funciones o los servicios que promociones en tu ficha de Google Play. No puedes usar permisos ni APIs que accedan a información sensible y proporcionen acceso a datos de usuario o de dispositivos con fines o funciones que no hayas especificado, implementado o no estén permitidos. No puedes vender en ningún caso los datos personales o sensibles a los que tengas acceso mediante permisos o APIs que accedan a información sensible, ni tampoco compartirlos para facilitar su venta.

Consulta la política completa de permisos y APIs que acceden a información sensible.

Ejemplos de infracciones causadas por SDKs

  • Tu aplicación incluye un SDK que solicita la ubicación en segundo plano para un fin no permitido o no especificado.
  • Tu aplicación incluye un SDK que transmite el IMEI obtenido con el permiso read_phone_state de Android sin el consentimiento del usuario.
Política de malware
Nuestra política de malware es simple: no debe existir ningún tipo de conducta maliciosa (es decir, malware) en el ecosistema Android, incluido Google Play Store, ni en los dispositivos de los usuarios. A partir de este principio fundamental, nos esforzamos por garantizar que el ecosistema Android sea seguro para nuestros usuarios y sus dispositivos Android.

 El malware es un código que puede poner en riesgo la seguridad de un usuario, de sus datos o sus dispositivos. El malware incluye, entre otras amenazas, aplicaciones potencialmente dañinas, binarios y modificaciones de framework. Dichos elementos se clasifican en categorías (como troyanos, phishing y software espía) que actualizamos y ampliamos constantemente.

Los requisitos de esta política también se aplican a cualquier código de terceros (por ejemplo, un SDK) que incluyas en tu aplicación.

Consulta la política completa de malware.

Ejemplos de infracciones causadas por SDKs

  • Aplicaciones que incluyen bibliotecas de SDK de proveedores que distribuyen software malicioso.
  • Aplicaciones que infringen el modelo de permisos de Android o roban credenciales (como los tokens de OAuth) de otras aplicaciones.
  • Aplicaciones que abusan de funciones para impedir que se puedan desinstalar o detener.
  • Aplicaciones que inhabilitan SELinux.
  • Aplicaciones que incluyen un SDK que infringe el modelo de permisos de Android al obtener privilegios avanzados mediante el acceso a los datos del dispositivo para un fin no divulgado.
  • Aplicaciones que incluyen un SDK con código que engaña al usuario para que se suscriba o compre contenido mediante la facturación del móvil.

Las aplicaciones que se apropian de privilegios y rootean dispositivos sin el permiso de los usuarios se engloban en la categoría de aplicaciones de rooteado.

Software espía

Un software espía es cualquier aplicación, código o comportamiento malicioso que recoge, filtra o comparte datos del usuario o del dispositivo que no están relacionados con una función que cumple las políticas.

También se considera software espía el código o comportamiento malicioso que puede interpretarse que espía al usuario o filtra datos sin la debida notificación o consentimiento.

Consulta la política completa de software espía.

Por ejemplo, las infracciones de software espía causadas por SDKs incluyen, entre otras, las siguientes:

  • Aplicaciones que usan un SDK que transmite datos de grabaciones de audio o de llamadas si dichos datos no están relacionados con la funcionalidad de la aplicación de acuerdo con las políticas.
  • Aplicaciones con código malicioso de terceros (por ejemplo, un SDK) que transmite datos fuera del dispositivo de una manera inesperada para el usuario y/o sin la debida notificación o consentimiento del usuario.
Política de software no deseado para móviles

Comportamiento transparente e información clara

Todo el código debe cumplir las promesas que se le hagan al usuario. Las aplicaciones deben proporcionar todas las funciones de las que se informe. Las aplicaciones no deben confundir a los usuarios.

Ejemplos de infracciones:

  • Fraude publicitario
  • Ingeniería social

Protege los datos de los usuarios

Explica con claridad y transparencia todo lo relacionado con el acceso, utilización, recogida y uso compartido de los datos de usuario personales y sensibles. El uso de los datos de usuario debe cumplir todas las Políticas de Datos de Usuario pertinentes, según corresponda, y deben tomarse todas las precauciones necesarias para proteger los datos.

Ejemplos de infracciones:

  • Recogida de datos (ver también la sección sobre software espía)
  • Abuso de permisos restringidos

Consulta la política completa de software no deseado para móviles.

Política de abuso de dispositivos y redes

No admitimos aplicaciones que interfieran de forma no autorizada en el dispositivo del usuario ni con otros dispositivos u ordenadores, servidores, redes, interfaces de programación de aplicaciones (APIs) o servicios (entre los que se incluyen otras aplicaciones del dispositivo, los servicios de Google o la red de un operador autorizado). Tampoco se admitirán aplicaciones que interrumpan o dañen los elementos anteriormente citados ni que accedan a ellos de forma no autorizada.

Las aplicaciones o el código de terceros (por ejemplo, SDKs) con lenguajes interpretados (JavaScript, Python, Lua, etc.) cargados en el momento de la ejecución (es decir, no empaquetados con la aplicación) no deben permitir posibles infracciones de las políticas de Google Play.

No admitimos código que introduzca o aproveche vulnerabilidades de seguridad. Consulta el programa de mejora de la seguridad de las aplicaciones para obtener información sobre los problemas de seguridad más recientes de los que se haya informado a los desarrolladores.

Consulta la política completa de abuso de dispositivos y redes.

Ejemplos de infracciones causadas por SDKs

  • Aplicaciones que facilitan servicios proxy a terceros (solo pueden hacerlo cuando sea el objetivo principal de la aplicación para los usuarios).
  • Aplicaciones que incluyen un SDK que descarga código ejecutable, como archivos dex o código nativo, de una fuente que no sea Google Play.
  • Aplicaciones que incluyen un elemento WebView con la interfaz JavaScript añadida y que cargan contenido web que no sea de confianza (por ejemplo, una URL de http://) o URLs no verificadas obtenidas de fuentes que no sean de confianza (por ejemplo, URLs obtenidas de intents que no sean de confianza).
  • Aplicaciones que incluyen un SDK que contiene código usado para actualizar su propio APK.
  • Aplicaciones que incluyen un SDK que expone a los usuarios a una vulnerabilidad de seguridad al descargar archivos sobre una conexión no segura.
  • Aplicaciones que usan un SDK que contiene código para descargar o instalar aplicaciones de fuentes desconocidas fuera de Google Play.
  • Aplicaciones que incluyen un SDK que usa servicios en primer plano sin un caso práctico adecuado.
  • Aplicaciones que incluyen un SDK que usa servicios en primer plano para cumplir las políticas, pero que no se declara en el archivo de manifiesto de la aplicación.
Política de comportamiento engañoso

No admitimos aplicaciones que traten de engañar a los usuarios o facilitar conductas fraudulentas; esto incluye, por ejemplo, aplicaciones que estén diseñadas para no funcionar. Las aplicaciones deben incluir contenido informativo, descripciones, imágenes y vídeos precisos y veraces sobre sus funciones en los metadatos. Las aplicaciones no deben imitar las funciones ni las advertencias del sistema operativo, ni de otras aplicaciones. Cualquier cambio en los ajustes del dispositivo debe hacerse con el conocimiento y el consentimiento del usuario, y este debe poder revertirlo.

Consulta la política completa de comportamiento engañoso.

Transparencia de comportamiento

La funcionalidad de tu aplicación debería estar lo bastante clara para los usuarios; no incluyas funciones ocultas, inactivas o sin documentar en tu aplicación. No se permiten técnicas para eludir las reseñas de aplicaciones. Puede que las aplicaciones deban proporcionar información adicional para asegurar la seguridad de los usuarios, la integridad del sistema y el cumplimiento de las políticas.

Ejemplo de infracción causada por un SDK

  • Tu aplicación incluye un SDK que usa técnicas para eludir las revisiones de la aplicación.

¿Qué políticas para desarrolladores de Google Play se suelen asociar con infracciones causadas por SDKs?

Para asegurarte de que el código de terceros que usa tu aplicación cumple las Políticas del Programa para Desarrolladores de Google Play, lee las siguientes políticas en su totalidad:

Aunque muchos de los problemas suelen tener que ver con estas políticas, es importante recordar que un código incorrecto de SDKs podría provocar que tu aplicación infrinja otra política no indicada arriba. Recuerda revisar y estar al día de todas las políticas en su totalidad, puesto que es tu responsabilidad como desarrollador de aplicaciones asegurarte de que tus SDKs tratan los datos de tu aplicación en cumplimiento de las políticas.

Para obtener más información, visita nuestro Centro de Ayuda.

¿Te ha resultado útil esta información?

¿Cómo podemos mejorar esta página?
Búsqueda
Borrar búsqueda
Cerrar búsqueda
Menú principal
10952990003101121708
true
Buscar en el Centro de ayuda
true
true
true
true
true
92637
false
false