Requisiti relativi all'SDK

Gli sviluppatori di app spesso si affidano a codice di terze parti (ad esempio, un SDK) per integrare funzionalità e servizi chiave per le loro app. Quando includi un SDK nella tua app, devi assicurarti che gli utenti siano al sicuro e che la tua app sia protetta da qualsiasi vulnerabilità. In questa sezione dimostriamo come alcuni dei nostri attuali requisiti di privacy e sicurezza si applichino al contesto degli SDK e siano pensati per aiutare gli sviluppatori a integrare in modo sicuro e protetto gli SDK nelle loro app.

Se includi un SDK nella tua app, hai la responsabilità di assicurarti che il codice e le pratiche di terze parti non facciano sì che la tua app violi le Norme del programma per gli sviluppatori di Google Play. È importante conoscere il modo in cui gli SDK dell'app gestiscono i dati utente e assicurarsi di sapere quali autorizzazioni utilizzano, quali dati raccolgono e perché.  È bene ricordare che la raccolta e la gestione dei dati utente da parte di un SDK devono essere in linea con la norma relativa all'utilizzo di questi dati da parte dell'app.

Per assicurarti che l'uso di un SDK non violi i requisiti della norma, leggi e comprendi le seguenti norme nella loro interezza e prendi nota di alcuni dei requisiti esistenti relativi agli SDK riportati di seguito:

Norme relative ai dati utente

Devi assicurare la trasparenza in merito alla modalità di gestione dei dati utente (ad esempio le informazioni fornite da un utente o raccolte in relazione a un utente, incluse le informazioni del dispositivo). Ciò significa divulgare accesso, raccolta, utilizzo, trattamento e condivisione dei dati utente dalla tua app e limitare l'utilizzo dei dati agli scopi conformi alle norme dichiarati.

Se nell'app includi un codice di terze parti (ad esempio, un SDK), devi garantire che questo codice e le procedure di terze parti che rispettano i dati utente nella tua app siano conformi alle Norme del programma per gli sviluppatori di Google Play, che includono i requisiti relativi alle informative e all'utilizzo. Ad esempio, devi assicurarti che i tuoi provider di SDK non vendano dati utente personali e sensibili recuperati dalla tua app. Questo requisito si applica a prescindere se i dati utenti vengono trasferiti dopo essere stati inviati a un server o tramite l'incorporamento di un codice di terze parti nella tua app.

Dati utente personali e sensibili

  • Devi limitare accesso, raccolta, utilizzo e condivisione di dati utente personali e sensibili acquisiti tramite l'app a funzionalità di app e servizi e scopi conformi alle norme ragionevolmente previste dall'utente come segue:
    • Le app che estendono l'utilizzo dei dati utente personali e sensibili per la pubblicazione di annunci devono essere conformi alle norme relative agli annunci di Google Play.
  • Devi gestire tutti i dati utente personali e sensibili in sicurezza, compresa la loro trasmissione utilizzando metodi moderni di crittografia (ad esempio, tramite HTTPS).
  • Devi utilizzare una richiesta di autorizzazioni di runtime ogni qual volta sia disponibile, prima di accedere ai dati controllati tramite autorizzazioni Android.

Vendita di dati utente personali e sensibili

Non devi vendere dati utente personali e sensibili.

  • Per "vendita" si intende lo scambio o il trasferimento di dati utente personali e sensibili a una terza parte per un corrispettivo monetario.
    • Non viene inteso come vendita il trasferimento avviato dagli utenti di dati utente personali e sensibili, ad esempio quando un utente usa una funzionalità dell'app per trasferire un file a una terza parte o quando sceglie di usare un'app di studio per scopi dedicati.

Requisiti di consenso e informativa ben visibile

Nei casi in cui accesso, raccolta, utilizzo o condivisione di dati utente personali e sensibili da parte della tua app non rientrino nelle ragionevoli previsioni dell'utente in merito al prodotto o alla funzionalità in questione devi rispettare i requisiti di consenso e visibilità dell'informativa delle norme relative ai dati utente.

Se la tua app integra un codice di terze parti (ad esempio, un SDK) progettato per raccogliere dati utente personali e sensibili per impostazione predefinita, entro 2 settimane dalla ricezione di una richiesta di Google Play (o, se la richiesta di Google Play prevede un periodo di tempo maggiore, entro questo periodo) devi fornire prove sufficienti a dimostrare che la tua app soddisfa i requisiti di consenso e visibilità dell'informativa di questa norma, ad esempio in relazione ad accesso, raccolta, utilizzo o condivisione dei dati tramite il codice di terze parti.

Assicurati che l'uso di codice di terze parti (ad esempio, un SDK) non faccia sì che la tua app violi le norme relative ai dati utente.

Fai riferimento a questo articolo del Centro assistenza per ulteriori informazioni sul requisito di consenso e visibilità dell'informativa.

Esempi di violazioni causate dagli SDK

  • Un'app con un SDK che raccoglie dati utente personali e sensibili e che non li tratta come soggetti a queste norme relative ai dati utente e ai requisiti di consenso e visibilità dell'informativa, accesso e trattamento dei dati (tra cui vendita non consentita).
  • Un'app integra un SDK che raccoglie dati utente personali e sensibili per impostazione predefinita, in violazione dei requisiti di queste norme relativi al consenso dell'utente e all'informativa ben visibile. 
  • Un'app con un SDK che dichiara di raccogliere dati utente personali e sensibili solo per fornire all'app funzionalità di lotta alle frodi e agli abusi, mentre l'SDK condivide anche i dati raccolti con terze parti per pubblicità o analisi. 
  • Un'app include un SDK che trasmette le informazioni sui pacchetti installati dagli utenti senza rispettare le linee guida relative all'informativa ben visibile e/o le linee guida sulle norme sulla privacy

Ulteriori requisiti relativi all'accesso a dati personali e sensibili

La tabella seguente descrive i requisiti relativi ad attività specifiche.

Attività  Requisito
L'app raccoglie o collega identificatori dei dispositivi persistenti (ad esempio IMEI, IMSI, numero di serie della SIM e così via)

Gli identificatori dei dispositivi persistenti non possono essere collegati ad altri dati utente personali e sensibili o a identificatori dei dispositivi reimpostabili, se non per le seguenti finalità:

  • servizi di telefonia collegati a un'identità SIM (ad esempio chiamate Wi-Fi collegate all'account di un operatore); e
  • app di gestione di dispositivi aziendali, utilizzando la modalità proprietario del dispositivo.

Questi utilizzi devono essere indicati in posizione ben visibile, come specificato nelle norme relative ai dati utente.

Consulta questa risorsa per scoprire identificatori univoci alternativi.

Leggi le norme relative agli annunci per avere ulteriori indicazioni relative all'ID pubblicità di Android.
L'app è rivolta a bambini e ragazzi La tua app può includere solo SDK che dispongono dell'autocertificazione per l'utilizzo nei servizi rivolti ai minori. Consulta il Programma relativo all'SDK per gli annunci autocertificati per la famiglia per leggere il testo completo delle norme e i requisiti. 

 

Esempi di violazioni causate dagli SDK

  • Un'app che utilizza un SDK che collega l'ID Android e la posizione 
  • Un'app con un SDK che collega l'AAID agli identificatori del dispositivo persistenti per qualsiasi scopo pubblicitario o di analisi. 
  • Un'app che utilizza un SDK che collega l'AAID e l'indirizzo email per scopi di analisi.

Sezione Sicurezza dei dati

Tutti gli sviluppatori sono tenuti a compilare in modo chiaro e preciso una sezione Sicurezza dei dati per ogni app, fornendo spiegazioni dettagliate in merito alla raccolta, all'utilizzo e alla condivisione dei dati utente. Sono inclusi i dati raccolti e gestiti tramite librerie o SDK di terze parti usati nelle loro app. Lo sviluppatore è responsabile dell'esattezza dell'etichetta e di mantenere aggiornate queste informazioni. Ove pertinente, la sezione deve essere conforme alle informative presenti nelle norme sulla privacy dell'app.

Leggi questo articolo del Centro assistenza per ulteriori informazioni sulla compilazione della sezione Sicurezza dei dati.

Consulta le norme relative ai dati utente complete.
Norme relative ad autorizzazioni e API che accedono a informazioni sensibili

Le richieste di autorizzazioni e di API che accedono a informazioni sensibili dovrebbero essere sensate per gli utenti. Puoi richiedere solo le autorizzazioni e le API che accedono a informazioni sensibili necessarie per implementare funzionalità o servizi esistenti della tua app che vengono promossi nella scheda di Google Play. Non puoi utilizzare le autorizzazioni o le API che accedono a informazioni sensibili che consentono l'accesso ai dati dell'utente o del dispositivo per funzionalità o scopi non dichiarati, non implementati o non consentiti. I dati personali o sensibili accessibili tramite le autorizzazioni o le API che hanno accesso a informazioni sensibili non possono mai essere venduti né condivisi con lo scopo di facilitare la vendita.

Consulta le Norme relative ad autorizzazioni e API che accedono a informazioni sensibili.

Esempi di violazioni causate dagli SDK

  • La tua app include un SDK che richiede la posizione in background per uno scopo non consentito o non dichiarato. 
  • La tua app include un SDK che trasmette l'IMEI derivato dall'autorizzazione read_phone_state di Android senza il consenso dell'utente.
Norme relative al malware

Le nostre norme relative al malware sono semplici: l'ecosistema Android, incluso il Google Play Store, e i dispositivi degli utenti dovrebbero essere privi di comportamenti dannosi, come i malware. Sulla base di questo principio fondamentale, ci impegniamo per offrire un ecosistema Android sicuro per i nostri utenti e i loro dispositivi.

Si definisce malware qualsiasi codice che potrebbe mettere a rischio un dispositivo, un utente o i suoi dati. Il termine malware include, a titolo esemplificativo, applicazioni potenzialmente dannose, programmi binari o modifiche di framework, appartenenti a varie categorie, ad esempio app di spyware, phishing o trojan. L'elenco delle categorie viene completato e aggiornato continuamente da Google.

Consulta le norme relative al malware complete.

Esempi di violazioni causate dagli SDK

  • Un'app che viola il modello di autorizzazioni Android o sottrae le credenziali (ad esempio, i token OAuth) da altre app.
  • App che utilizzano funzionalità in modo illecito per evitare disinstallazione o arresto.
  • Un'app che disattiva SELinux.
  • La tua app include un SDK che viola il modello di autorizzazioni Android ottenendo privilegi elevati tramite l'accesso ai dati del dispositivo per uno scopo non dichiarato.
  • La tua app include un SDK con codice che induce con l'inganno gli utenti ad abbonarsi a contenuti o ad acquistarli tramite il loro conto telefonico.

Le app di escalation dei privilegi che eseguono il rooting dei dispositivi senza l'autorizzazione dell'utente sono classificate come app di rooting.
Norme relative al software mobile indesiderato

Comportamento trasparente e informative chiare

Tutto il codice deve rispettare le promesse fatte all'utente. Le app devono fornire tutte le funzionalità comunicate. Le app non devono confondere gli utenti. 

Esempi di violazioni:

  • Frode pubblicitaria
  • Ingegneria sociale

Proteggere i dati utente

È necessario essere chiari e trasparenti in merito ad accesso, utilizzo, raccolta e condivisione di dati utente personali e sensibili. L'utilizzo dei dati utente deve rispettare tutte le Norme sui dati utente pertinenti, ove applicabili, e adottare tutte le misure necessarie per proteggere questi dati.

Esempi di violazioni:

  • Raccolta dei dati (vedi Spyware)
  • Utilizzo illecito di autorizzazioni limitate

Consulta le Norme relative al software mobile indesiderato
Norme sull'utilizzo illecito di dispositivi e reti

Sono vietate le app che interrompono, danneggiano, interferiscono con il funzionamento o accedono in modo non autorizzato al dispositivo dell'utente, altri dispositivi o computer, server, reti, API (interfacce di programmazione di un'applicazione) o servizi inclusi, a titolo esemplificativo, altre app sul dispositivo, servizi di Google o la rete di un operatore autorizzato.

App o codice di terze parti (ad esempio, un SDK) con linguaggi interpretati (JavaScript, Python, Lua e così via) caricati in fase di runtime (ad esempio, non inclusi nell'app) non devono consentire potenziali violazioni delle norme di Google Play.

È vietato il codice che introduce o sfrutta vulnerabilità di sicurezza. Consulta il Programma App Security Improvement per scoprire i problemi di sicurezza più recenti segnalati agli sviluppatori.

Consulta le norme sull'utilizzo illecito di dispositivi e reti.

Esempi di violazioni causate dagli SDK

  • Le app che agevolano servizi proxy verso terzi sono consentite solo laddove questo sia lo scopo principale dell'app proposto all'utente.
  • La tua app include un SDK che scarica codice eseguibile, come file dex o codice nativo, da una fonte diversa da Google Play.
  • La tua app include un SDK contenente un componente WebView con interfaccia JavaScript aggiunta che carica contenuti web non attendibili (ad esempio, URL http://) oppure URL non verificati derivanti da fonti non attendibili (ad esempio, URL derivanti da intent non attendibili).
  • La tua app include un SDK che contiene codice utilizzato per l'aggiornamento del proprio APK.
  • La tua app include un SDK che espone gli utenti a una vulnerabilità di sicurezza scaricando i file su una connessione non sicura.
  • La tua app utilizza un SDK che contiene codice per scaricare o installare applicazioni da fonti sconosciute al di fuori di Google Play.
Norme relative ai comportamenti ingannevoli

Sono vietate le app che cercano di ingannare gli utenti o di favorire comportamenti disonesti incluse, a titolo esemplificativo ma non esaustivo, tutte le app il cui funzionamento sia determinato essere impossibile. Le app devono contenere comunicazioni, descrizioni e immagini/video precisi relativi alla loro funzionalità in ogni parte dei metadati. Non devono cercare di imitare funzionalità o avvisi del sistema operativo o di altre app. Eventuali modifiche alle impostazioni del dispositivo non devono essere apportate all'insaputa e senza il consenso dell'utente, che deve poterle annullare.

Consulta le norme relative ai comportamenti ingannevoli complete.

Trasparenza del comportamento

La funzionalità della tua app deve essere ragionevolmente chiara agli utenti; non includere funzionalità nascoste, inattive o non provviste di documentazione nella tua app. Non sono consentite tecniche per evitare i controlli delle app. Alle app potrebbe essere richiesto di fornire ulteriori dettagli per garantire la sicurezza degli utenti, l'integrità del sistema e la conformità alle norme.

Esempio di violazione causata dall'SDK

  • La tua app include un SDK che utilizza tecniche per evitare i controlli delle app.

Quali norme per gli sviluppatori di Google Play sono comunemente associate alle violazioni causate dagli SDK?

Per aiutarti a garantire che qualsiasi codice di terze parti utilizzato dalla tua app sia conforme alle Norme del programma per gli sviluppatori di Google Play, consulta le seguenti norme nella loro interezza:

Sebbene queste norme siano più comunemente oggetto di discussione, è importante ricordare che un codice SDK errato potrebbe far sì che l'app violi un'altra norma non menzionata sopra. Ricorda di rivedere tutte le norme nella loro interezza e di tenerti sempre al passo con i relativi aggiornamenti, in quanto è tua responsabilità, come sviluppatore di app, assicurarti che gli SDK gestiscano i dati delle tue app in modo conforme alle norme.

Per saperne di più, visita il nostro Centro assistenza.

È stato utile?

Come possiamo migliorare l'articolo?

Hai bisogno di ulteriore assistenza?

Prova i passaggi successivi indicati di seguito:

Contattaci Dacci ulteriori informazioni e potremo aiutarti
true
Ricerca
Cancella ricerca
Chiudi ricerca
Menu principale
14424318963918195802
true
Cerca nel Centro assistenza
true
true
true
true
true
92637
false
false