Por lo general, los desarrolladores de aplicaciones usan código de terceros (por ejemplo, un SDK) para integrar la funcionalidad y los servicios clave en sus aplicaciones. Cuando incluya un SDK en su aplicación, debe asegurarse de poder mantener la seguridad de sus usuarios y aplicaciones en contra de cualquier tipo de vulnerabilidad. En esta sección, mostramos cómo algunos de nuestros requisitos de privacidad y seguridad se aplican en el contexto de los SDKs y están diseñados para ayudar a los desarrolladores a integrar de manera segura los SDKs en sus aplicaciones.
Si incluye un SDK en su aplicación, es responsable de garantizar que las prácticas y el código de terceros no provoquen una infracción de las Políticas del Programa para Desarrolladores de Google Play. Es importante estar al tanto de cómo los SDKs de su aplicación manejan los datos de los usuarios, además de asegurarse de conocer qué permisos usan, qué datos recopilan y por qué. Recuerde que la forma de recopilar y manejar los datos de los usuarios de un SDK debe alinearse con el cumplimiento de su aplicación con las políticas relacionadas al uso de esos datos.
Para asegurarse de que su uso del SDK no infrinja los requisitos de las políticas, lea y comprenda las siguientes políticas en su totalidad. A continuación, se incluyen algunos de los requisitos existentes relacionados con los SDKs:
Política de Datos del UsuarioDebe ser transparente en la manera en que maneja los datos de los usuarios (por ejemplo, información recopilada sobre un usuario o de parte de este, incluida la información del dispositivo). Es decir, debe divulgar si su aplicación accede a los datos, así como cuándo los recopila, usa, maneja y comparte, además de limitar su uso a los fines divulgados que satisfagan las políticas.
Si incluye código de terceros (por ejemplo, un SDK) en su aplicación, debe garantizar que tanto ese código como las prácticas de los terceros en cuestión relacionadas con los datos de los usuarios de su aplicación satisfagan las Políticas del Programa para Desarrolladores de Google Play, que incluyen requisitos de uso y divulgación. Por ejemplo, debe garantizar que sus proveedores de SDKs no vendan los datos sensibles y personales de los usuarios recopilados en su aplicación. Este requisito se aplica independientemente de si los datos de los usuarios se transfieren después de enviarse a un servidor o mediante la incorporación de código de terceros en su aplicación.
Datos Sensibles y Personales del Usuario
Venta de Datos Sensibles y Personales del UsuarioNo venda datos sensibles ni personales de los usuarios.
Requisitos de Divulgación Destacada y ConsentimientoEn los casos en donde el acceso, la recopilación, la utilización o el uso compartido de los datos sensibles y personales de los usuarios del producto o la función en cuestión puedan no caber dentro de las expectativas razonables de esas personas, deberá cumplir con los requisitos de divulgación destacada y consentimiento de la política de Datos del Usuario. Si su aplicación integra código de terceros (por ejemplo, un SDK) diseñado para recopilar datos sensibles y personales de los usuarios de forma predeterminada, deberá, en un plazo de 2 semanas a partir de recibir la solicitud de Google Play (o bien, si la solicitud de Google Play permite más tiempo, dentro del período correspondiente), proporcionar evidencia suficiente que demuestre que su aplicación cumple con los requisitos de Divulgación Destacada y Consentimiento de esta política, incluso en relación con el acceso, la recopilación, la utilización y el uso compartido de los datos mediante código de terceros. Recuerde asegurarse de que el uso que haga del código de terceros (por ejemplo, un SDK) no provoque que su aplicación infrinja la política de Datos del Usuario. Consulte este artículo del Centro de Ayuda para obtener más información sobre el requisito de Divulgación Destacada y Consentimiento. Ejemplos de infracciones provocadas por SDKs
Requisitos Adicionales para el Acceso a los Datos Sensibles y PersonalesLa tabla que se incluye a continuación describe los requisitos para determinadas actividades.
Ejemplos de infracciones provocadas por SDKs
Sección de Seguridad de los datosPara cada aplicación, los desarrolladores deben completar una sección clara y precisa de Seguridad de los datos en la que se detalle la utilización, la recopilación y el uso compartido de datos de los usuarios. Esto incluye los datos recopilados y manejados mediante bibliotecas o SDKs de terceros que se usen en sus aplicaciones. El desarrollador es responsable de la exactitud de la etiqueta, así como de mantener esta información actualizada. Cuando corresponda, la sección debe ser coherente con las divulgaciones que se incluyan en la política de privacidad de la aplicación. Consulte este artículo del Centro de Ayuda para obtener información adicional sobre cómo completar la sección de Seguridad de los datos. Consulte la política de Datos del Usuario en su totalidad. |
||||||
Las solicitudes de permisos y el uso de APIs que accedan a información sensible deben tener un sentido claro para los usuarios. Solo puedes solicitar permisos y usar APIs que accedan a información sensible cuando estos sean necesarios para implementar funciones o servicios existentes en tu aplicación que se promuevan en la ficha de Google Play. Se prohíbe el uso de permisos o APIs que accedan a información sensible que otorgue acceso a los datos del usuario o del dispositivo para funciones o fines no divulgados, no implementados o no autorizados. No se permite vender los datos sensibles o personales que se obtengan mediante permisos o APIs que accedan a información sensible, ni compartirlos para facilitar una venta. Consulte la política de Permisos y APIs que Acceden a Información Sensible en su totalidad. Ejemplos de infracciones provocadas por SDKs
|
Software malicioso es cualquier código que pudiera poner en riesgo a un usuario, sus datos o un dispositivo. Se incluyen, entre otros, Aplicaciones Potencialmente Dañinas (APD), objetos binarios o modificaciones de framework, que a su vez se organizan en categorías como troyanos, suplantación de identidad (phishing) y aplicaciones de software espía. (Actualizamos esta lista de manera continua con nuevas categorías).
Consulte la política de Software Malicioso en su totalidad.
Ejemplos de infracciones provocadas por SDKs
- Aplicaciones que incluyen bibliotecas de SDKs de proveedores que distribuyen software malicioso
- Aplicaciones que no cumplen con el modelo de permisos de Android o que roban credenciales (p. ej., tokens de OAuth) de otras aplicaciones
- Apps que abusan de las funciones para evitar que las desinstalen o las detengan
- Aplicaciones que inhabilitan SELinux
- Aplicaciones que incluyen un SDK que infringe el modelo de permisos de Android debido a que gana privilegios elevados mediante el acceso de los datos del dispositivo para un fin no divulgado
- Aplicaciones que incluyen un SDK con código que engaña a los usuarios para que se suscriban a contenido o lo compren a través de la facturación del operador de telefonía celular
Las aplicaciones de elevación de privilegios que otorgan a los dispositivos permisos de administrador sin que el usuario conceda el permiso se clasifican como aplicaciones con permisos de administrador.
Software espía
El software espía es una aplicación, un código o un comportamiento malicioso que recopila, exfiltra o comparte los datos de un usuario o dispositivo de una manera no relacionada con la funcionalidad permitida por las políticas.
También puede considerarse que un código o comportamiento malicioso constituye software espía si se puede interpretar que dicho código o comportamiento espía al usuario o exfiltra datos sin la notificación o el consentimiento correspondientes.
Consulte la política completa de Software Espía.
Algunos ejemplos de incumplimientos de software espía causados por SDKs incluyen, sin limitaciones, los siguientes:
- Aplicaciones que usan un SDK que transmite datos de grabaciones de audio o llamadas cuando estos no se relacionan con las funciones de la aplicación que satisfacen las políticas
- Aplicaciones con código externo malicioso (por ejemplo, un SDK) que transmite datos hacia fuera del dispositivo de una manera que el usuario no espera o sin una notificación o el consentimiento correspondientes del usuario
Comportamiento transparente y divulgaciones clarasTodo el código debe cumplir con las promesas que se hacen al usuario. Las aplicaciones deben proporcionar toda la funcionalidad comunicada y no deben confundir a los usuarios. Ejemplos de incumplimiento:
Proteja los datos del usuarioSea claro y transparente sobre el acceso, la utilización, la recopilación y el uso compartido de datos sensibles y personales del usuario. Los usos de los datos del usuario deben cumplir con todas las Políticas de Datos del Usuario pertinentes, cuando corresponda, y se deben tomar todas las precauciones necesarias para protegerlos. Ejemplos de incumplimiento:
Consulte la política de Software No Deseado para Dispositivos Móviles en su totalidad. |
No permitimos aplicaciones que interfieran con el dispositivo, lo interrumpan, lo dañen o accedan a él sin autorización, como tampoco a otros dispositivos ni computadoras, servidores, redes, interfaces de programación de aplicaciones (APIs) o servicios (incluidos, sin limitaciones, a otras aplicaciones del dispositivo, cualquier servicio de Google o red de proveedor autorizada). Las aplicaciones o códigos de terceros (p. ej., SDKs) con lenguajes interpretados (JavaScript, Python, Lua, etc.) que se cargan durante el tiempo de ejecución (p. ej., que no se incluyen junto con la aplicación) no deben permitir que se incumplan las políticas de Google Play. No permitimos código que introduzca ni explote vulnerabilidades de seguridad. Consulte el Programa de Mejora de la Seguridad de las Aplicaciones a fin de obtener información sobre los problemas de seguridad más recientes que se marcaron para los desarrolladores. Consulte la política de Abuso de Redes y Dispositivos en su totalidad. Ejemplos de infracciones provocadas por SDKs
|
No se permiten apps que intenten engañar a los usuarios ni que den lugar a comportamientos deshonestos, lo que incluye, entre otras, aquellas diseñadas para ser funcionalmente imposibles. Las apps deben proporcionar divulgaciones, descripciones, imágenes y videos precisos sobre su funcionalidad en todas las partes de los metadatos. No deben intentar imitar las funciones ni las advertencias del sistema operativo ni de otras apps. Cualquier cambio en la configuración del dispositivo debe realizarse con el conocimiento y el consentimiento del usuario, y este debe poder revertirlo. Consulte la política completa de Comportamiento Engañoso. Comportamiento TransparenteLa funcionalidad de su aplicación debe estar razonablemente clara para los usuarios. La aplicación no debe incluir funciones ocultas, latentes ni no documentadas. No se permite implementar técnicas para evadir las revisiones de aplicaciones. Se puede exigir que las aplicaciones proporcionen detalles adicionales para garantizar la seguridad de los usuarios, la integridad del sistema y el cumplimiento de las políticas.
Ejemplo de un incumplimiento provocado por el SDK
|
¿Qué Políticas para Desarrolladores de Google Play se asocian por lo general con las infracciones provocadas por SDKs?
Para ayudarlo a asegurarse de que el código de terceros que usa su aplicación satisfaga las Políticas del Programa para Desarrolladores de Google Play, consulte las siguientes políticas en su totalidad:
- Política de Datos del Usuario
- Permisos y APIs que Acceden a Información Sensible
- Política de Abuso de Redes y Dispositivos
- Software Malicioso
- Software No Deseado para Dispositivos Móviles
- Programa del SDK de Anuncios con Autocertificación para Familias
- Política de Anuncios
- Comportamiento engañoso
- Políticas del Programa para Desarrolladores de Google Play
Aunque estas políticas son las más comunes, es importante que recuerde que un código de SDK erróneo puede provocar que su aplicación infrinja alguna otra política a la que no se haya hecho referencia aquí. Recuerde revisar y estar al tanto de todas las políticas en su totalidad, ya que es su responsabilidad como desarrollador de aplicaciones asegurarse de que los SKDs manejen sus datos de aplicaciones de una manera que satisfaga las políticas.
Para obtener más información, visite nuestro Centro de Ayuda.