SDK-vereisten

App-ontwikkelaars maken vaak gebruik van code van derden (zoals een SDK) om belangrijke functionaliteit en services in hun apps te integreren. Als u een SDK in uw app opneemt, moet u zorgen dat u uw gebruikers en de app kunt beschermen tegen eventuele kwetsbaarheden. Dit artikel gaat over hoe sommige van onze bestaande privacy- en beveiligingsvereisten van toepassing zijn op SDK's en hoe deze vereisten ontworpen zijn om ontwikkelaars te helpen SDK's veilig en beveiligd te integreren in hun apps.

Als u een SDK in uw app opneemt, is het uw verantwoordelijkheid om te zorgen dat uw app met de code en de praktijken van derden niet het Programmabeleid voor ontwikkelaars van Google Play schendt. Het is belangrijk om te weten hoe de SDK's in uw app met gebruikersgegevens omgaan. Zorg daarom dat u weet welke rechten ze gebruiken, welke gegevens ze verzamelen en waarom. De verzameling en verwerking van gebruikersgegevens door een SDK moet afgestemd zijn op het gebruik van die gegevens in overeenstemming met het beleid van uw app.

Lees en begrijp het volledige beleid hieronder om te zorgen dat uw gebruik van een SDK de beleidsvereisten niet schendt. Let vooral op de daarin genoemde vereisten specifiek voor SDK's.

Beleid voor gebruikersgegevens

U moet transparant zijn over hoe u omgaat met gebruikersgegevens (zoals gegevens die van of over een gebruiker verzameld worden, waaronder apparaatgegevens). Dit betekent dat u bekendmaakt of en hoe er toegang wordt gekregen tot gebruikersgegevens in uw app, en hoe deze worden verzameld, gebruikt, verwerkt en gedeeld. Het betekent ook dat u het gebruik van de gegevens beperkt tot de bekendgemaakte en beleidsconforme doeleinden.

Als u code van derden (zoals een SDK) in uw app opneemt, moet u zorgen dat deze code aan het Programmabeleid voor ontwikkelaars van Google Play voldoet. Ook moet alle omgang van deze derde partij met de gebruikersgegevens uit uw app daaraan voldoen. Dit programmabeleid bestaat onder meer uit gebruiks- en kennisgevingsvereisten. U moet bijvoorbeeld zorgen dat uw SDK-providers geen persoonsgegevens en gevoelige gebruikersgegevens uit uw app verkopen. Deze vereiste geldt ongeacht of gebruikersgegevens nu worden overgedragen nadat ze naar een server zijn gestuurd, of door het insluiten van de code van derden in uw app.

Persoonsgegevens en gevoelige gebruikersgegevens

  • Beperk de toegang, het verzamelen, het gebruik en het delen van persoonsgegevens en gevoelige gebruikersgegevens verkregen via de app, tot de app- en servicefuncties en beleidsconforme doeleinden die de gebruiker redelijkerwijs kan verwachten:
    • Apps die het gebruik van persoonsgegevens en gevoelige gebruikersgegevens uitbreiden voor de weergave van advertenties, moeten voldoen aan het Advertentiebeleid van Google Play.
  • Zorg dat u beveiligd werkt met alle persoonsgegevens en gevoelige gebruikersgegevens, inclusief het overdragen van de gegevens met behulp van moderne versleuteling (bijvoorbeeld via https).
  • Gebruik waar mogelijk een verzoek om runtimerechten voordat toegang wordt verkregen tot gegevens die worden afgeschermd door Android-rechten.

Verkoop van persoonsgegevens en gevoelige gebruikersgegevens

U mag geen persoonsgegevens of gevoelige gebruikersgegevens verkopen.

  • Onder 'verkoop' wordt verstaan: De uitwisseling of overdracht van persoonsgegevens en gevoelige gebruikersgegevens aan een derde voor een geldelijke vergoeding.
    • Een door de gebruiker gestarte overdracht van persoonsgegevens en gevoelige gebruikersgegevens wordt niet beschouwd als verkoop (bijvoorbeeld als de gebruiker een functie in de app gebruikt om een bestand over te dragen aan een derde of als de gebruiker ervoor kiest een specifieke app te gebruiken voor speciale onderzoeksdoeleinden).

Vereisten voor prominente kennisgeving en toestemming

Als de toegang van uw app tot persoonsgegevens en gevoelige gebruikersgegevens of het verzamelen, gebruiken of delen ervan niet binnen de redelijke verwachting van de gebruiker van het betreffende product of de betreffende functie valt, moet u voldoen aan de vereiste voor prominente kennisgeving en toestemming van het Beleid voor gebruikersgegevens.

Als uw app code van derden (zoals een SDK) bevat die ontworpen is om standaard persoonsgegevens en gevoelige gebruikersgegevens te verzamelen, moet u binnen twee (2) weken na ontvangst van een verzoek van Google Play (of als in het verzoek van Google Play een langere periode is vermeld, binnen die periode) voldoende bewijs verstrekken waarin u aantoont dat uw app voldoet aan de vereisten voor prominente kennisgeving en toestemming van dit beleid, waaronder met betrekking tot de toegang tot gegevens en het verzamelen, gebruiken of delen ervan via de code van derden.

Zorg dat uw app door het gebruik van code van derden (zoals een SDK) niet het Beleid voor gebruikersgegevens schendt.

Raadpleeg dit Helpcentrum-artikel voor meer informatie over de vereiste voor prominente kennisgeving en toestemming.

Voorbeelden van door SDK veroorzaakte schendingen:

  • Een app met een SDK die persoonsgegevens en gevoelige gebruikersgegevens verzamelt en deze gegevens niet behandelt overeenkomstig dit Beleid voor gebruikersgegevens en de vereisten op het gebied van toegang, gegevensverwerking (met inbegrip van niet-toegestane verkoop), prominente kennisgeving en toestemming.
  • Een app integreert een SDK die standaard persoonsgegevens en gevoelige gebruikersgegevens verzamelt, in strijd met de vereisten van dit beleid voor toestemming van gebruikers en prominente kennisgeving.
  • Een app met een SDK die claimt alleen persoonsgegevens en gevoelige gebruikersgegevens te verzamelen om antifraude- en antimisbruikfunctionaliteit voor de app te bieden, maar de verzamelde gegevens ook met derden deelt voor advertentie- of analysedoeleinden.
  • Een app gebruikt een SDK die informatie over geïnstalleerde pakketten van gebruikers verstuurt zonder te voldoen aan de richtlijnen voor prominente kennisgeving en/of de privacybeleidsrichtlijnen.

Aanvullende vereisten voor toegang tot gevoelige en persoonsgegevens

De tabel hierna beschrijft de vereisten voor specifieke activiteiten.

Activiteit Vereiste
Uw app verzamelt of linkt naar permanente apparaat-ID's (zoals IMEI, IMSI, serienummer van de simkaart, enzovoort)

Permanente apparaat-ID's mogen niet worden gekoppeld aan andere persoonsgegevens of gevoelige gebruikersgegevens of aan apparaat-ID's die kunnen worden gereset, behalve ten behoeve van:

  • telefonie die gekoppeld is aan een sim-identiteit (bijvoorbeeld bellen via wifi koppelen aan het account van de provider), en
  • zakelijke apps voor apparaatbeheer die de modus Apparaateigenaar gebruiken.

Dit gebruik moet duidelijk bekendgemaakt worden aan gebruikers, zoals vermeld in het Beleid voor gebruikersgegevens.

Raadpleeg deze bron voor alternatieve unieke ID's.

Lees het Advertentiebeleid voor aanvullend advies over de Android-advertentie-ID.
Uw app is gericht op kinderen Uw app mag alleen SDK's gebruiken die zelfgecertificeerd zijn voor op kinderen gerichte services. Raadpleeg het Programma voor zelfgecertificeerde advertentie-SDK's voor gezinnen voor de volledige beschrijving en vereisten van het beleid.

 

Voorbeelden van door SDK veroorzaakte schendingen:

  • Een app gebruikt een SDK die de Android-ID aan Locatie koppelt.
  • Een app met een SDK die de AAID aan permanente apparaat-ID's koppelt voor advertentie- of analysedoeleinden.
  • Een app gebruikt een SDK die de AAID aan het e-mailadres koppelt voor analysedoeleinden.

Gedeelte Veiligheid van gegevens

Alle ontwikkelaars moeten een duidelijk en nauwkeurig gedeelte Veiligheid van gegevens invullen voor elke app, waarin wordt vermeld hoe gebruikersgegevens worden verzameld, gebruikt en gedeeld. Dit geldt ook voor gegevens die worden verzameld en verwerkt via bibliotheken of SDK's van derden die in hun apps worden gebruikt. De ontwikkelaar is verantwoordelijk voor de nauwkeurigheid van het label en het actueel houden van deze informatie. Waar relevant moet het gedeelte Veiligheid van gegevens overeenstemmen met de kennisgevingen die opgenomen zijn in het privacybeleid van de app.

Raadpleeg dit Helpcentrum-artikel voor meer informatie over hoe u het gedeelte Veiligheid van gegevens invult.

Zie het volledige Beleid voor gebruikersgegevens.

Beleid voor rechten en API's die toegang tot gevoelige informatie hebben

Gebruikers moeten verzoeken om rechten en API's die toegang tot gevoelige informatie hebben, kunnen begrijpen. U mag alleen vragen om rechten en API's die toegang tot gevoelige informatie hebben als dit noodzakelijk is voor de implementatie van bestaande functies of services in uw app die worden gepromoot in uw Google Play-vermelding. U mag rechten of API's met toegang tot gevoelige informatie en gebruikers- of tot apparaatgegevens niet gebruiken voor niet-bekendgemaakte, niet-uitgevoerde of niet-toegestane functies of doeleinden. Persoonsgegevens of gevoelige gebruikersgegevens waartoe toegang is verkregen door middel van rechten of API's die toegang hebben tot gevoelige informatie mogen nooit worden verkocht of gedeeld voor een doeleinde waarmee verkoop mogelijk is.

Zie het volledige Beleid voor rechten en API's die toegang hebben tot gevoelige informatie.

Voorbeelden van door SDK veroorzaakte schendingen:

  • Uw app bevat een SDK die op de achtergrond locatie opvraagt voor een niet-toegestaan of niet-openbaar gemaakt doel.
  • Uw app bevat een SDK die zonder toestemming van de gebruiker de IMEI verzendt die is afgeleid van het Android-recht read_phone_state.
Malwarebeleid
Ons malwarebeleid is simpel: het Android-ecosysteem (inclusief de Google Play Store) en apparaten van gebruikers moeten vrij zijn van schadelijk gedrag (d.w.z. malware). Met behulp van dit fundamentele beginsel streven we ernaar om een beveiligd Android-ecosysteem te bieden voor onze gebruikers en hun Android-apparaten.

 Malware is elke code die een gebruiker, de gegevens van een gebruiker of een apparaat in gevaar brengt. Malware omvat, maar is niet beperkt tot, potentieel schadelijke apps (Potentially Harmful Applications, PHA), binaire bestanden of frameworkaanpassingen die vallen binnen categorieën zoals Trojaanse paarden, phishing en spyware-apps. We updaten deze lijst voortdurend en voegen nieuwe categorieën toe.

De vereisten van dit beleid zijn ook van toepassing op code van derden (bijvoorbeeld een SDK) die u opneemt in uw app.

Zie het volledige Malwarebeleid.

Voorbeelden van door SDK veroorzaakte schendingen:

  • Een app die SDK-bibliotheken bevat van providers die schadelijke software verspreiden.
  • Een app die het rechtenmodel van Android schendt of inloggegevens (zoals OAuth-tokens) steelt uit andere apps.
  • Apps die functies misbruiken om te voorkomen dat de apps worden verwijderd of gestopt.
  • Een app die SELinux uitzet.
  • Een app gebruikt een SDK die het rechtenmodel van Android schendt door rechten op hoger niveau te verkrijgen via de toegang tot apparaatgegevens voor een niet bekendgemaakt doel.
  • Een app bevat een SDK met code die gebruikers misleidt, zodat ze zich abonneren of content kopen door middel van facturering via hun mobiele provider.

Apps die zich rechten toe-eigenen en apparaten rooten zonder toestemming van de gebruiker, worden geclassificeerd als root-apps.

Spyware

Spyware is een schadelijke app, code of gedrag waarmee gebruikers- of apparaatgegevens worden verzameld, onderschept of gedeeld die niet gerelateerd zijn aan functionaliteit die aan het beleid voldoet.

Schadelijke code of gedrag dat kan worden beschouwd als de gebruiker bespioneren of gegevens onderscheppen zonder voldoende kennisgeving of toestemming, wordt ook beschouwd als spyware.

Bekijk het complete Beleid tegen spyware.

Door SDK's veroorzaakte spywareschendingen omvatten, maar zijn niet beperkt tot:

  • Een app die een SDK gebruikt die gegevens van audio- of gespreksopnamen overdraagt als deze niet zijn gerelateerd aan app-functionaliteit die voldoet aan het beleid.
  • Een app met schadelijke code van derden (bijvoorbeeld een SDK) die gegevens vanaf het apparaat verstuurt op een manier die onverwacht is voor de gebruiker en/of zonder voldoende kennisgeving aan of toestemming van de gebruiker.
Beleid voor ongewenste mobiele software

Transparant gedrag en duidelijke openbaarmakingen

Alle code moet beloften waarmaken die aan de gebruiker zijn gedaan. Apps moeten alle meegedeelde functionaliteit bieden. Apps mogen gebruikers niet in verwarring brengen.

Voorbeelden van schendingen:

  • Advertentiefraude
  • Social engineering

Beschermen van gebruikersgegevens

Wees duidelijk en transparant over de toegang, het gebruik, het verzamelen en het delen van persoonsgegevens en gevoelige gebruikersgegevens. Het gebruik van gebruikersgegevens moet voldoen aan alle relevante Beleidsregels voor gebruikersgegevens, indien van toepassing, en alle voorzorgsmaatregelen nemen om de gegevens te beschermen.

Voorbeelden van schendingen:

  • Gegevensverzameling (vergelijk: Spyware)
  • Misbruik van beperkte rechten

Zie het volledige Beleid voor ongewenste mobiele software

Beleid voor apparaat- en netwerkmisbruik

We staan geen apps toe die het apparaat van de gebruiker, andere apparaten of computers, servers, netwerken, Application Programming Interfaces (API's) of services, inclusief maar niet beperkt tot andere apps op het apparaat, een Google-service of het netwerk van een erkende provider, verstoren, onderbreken, beschadigen of er op onbevoegde wijze toegang toe verkrijgen.

Apps of code van derden (zoals SDK's) met geïnterpreteerde talen (JavaScript, Python, Lua, enzovoort) die tijdens de runtime geladen zijn (bijv. niet verpakt bij de app), mogen geen potentiële schendingen van het Google Play-beleid toestaan.

We staan geen code toe die kwetsbaarheden in de beveiliging introduceert of misbruikt. Raadpleeg het Programma voor de verbetering van de beveiliging van apps voor meer informatie over de meest recente beveiligingsproblemen die zijn gemarkeerd voor ontwikkelaars.

Zie het volledige Beleid voor apparaat- en netwerkmisbruik.

Voorbeelden van door SDK veroorzaakte schendingen:

  • Apps die proxyservices aan derden mogelijk maken, mogen dat alleen doen in apps waar dat het primaire, op gebruikers gerichte doel van de app is.
  • Uw app bevat een SDK die uitvoerbare code downloadt, zoals dex-bestanden of native code, van een andere bron dan Google Play.
  • Uw app bevat een SDK die een WebView met toegevoegde JavaScript-interface bevat die niet-vertrouwde webcontent laadt (bijvoorbeeld http:// URL) of niet-geverifieerde URL's die zijn verkregen via niet-vertrouwde bronnen (bijvoorbeeld URL's die zijn verkregen via niet-vertrouwde intenties).
  • Uw app bevat een SDK met code die wordt gebruikt voor het updaten van de eigen APK.
  • Uw app bevat een SDK die gebruikers blootstelt aan een beveiligingslek door bestanden te downloaden via een niet-beveiligde verbinding.
  • Uw app gebruikt een SDK met code om apps van onbekende bronnen buiten Google Play om te downloaden of te installeren.
  • Uw app bevat een SDK die services op de voorgrond gebruikt zonder dat hiervoor een geschikte toepassing is.
  • Uw app bevat een SDK die services op de voorgrond gebruikt voor een reden die aan het beleid voldoet, maar die niet wordt aangegeven in het manifest van uw app.
Beleid tegen misleidend gedrag

We staan geen apps toe die gebruikers proberen te misleiden of oneerlijk gedrag mogelijk maken, inclusief maar niet beperkt tot apps waarvan is bepaald dat ze functioneel onmogelijk zijn. Apps moeten in alle onderdelen van de metadata een nauwkeurige kennisgeving, beschrijving en afbeeldingen/video van hun functionaliteit verstrekken. Apps mogen geen functies of waarschuwingen nabootsen van het besturingssysteem of van andere apps. Wijzigingen in de apparaatinstellingen moeten worden doorgevoerd met medeweten en toestemming van de gebruiker en door de gebruiker ongedaan kunnen worden gemaakt.

Zie het volledige Beleid tegen misleidend gedrag.

Transparantie van gedrag

De functionaliteit van uw app moet redelijk duidelijk zijn voor gebruikers. Neem geen verborgen, inactieve of niet-gedocumenteerde functies op in uw app. Technieken om app-beoordelingen te omzeilen zijn niet toegestaan. Voor apps moet misschien aanvullende informatie worden verstrekt om de veiligheid van gebruikers, de integriteit van het systeem en de naleving van het beleid te waarborgen.

Voorbeeld van een door een SDK veroorzaakte schending

  • Uw app bevat een SDK die technieken gebruikt om app-beoordelingen te omzeilen.

Welk beleid voor ontwikkelaars van Google Play wordt vaak in verband gebracht met door SDK veroorzaakte schendingen?

Raadpleeg de volgende beleidsregels in hun geheel om ervoor te zorgen dat alle code van derden die uw app gebruikt, voldoet aan het Programmabeleid voor ontwikkelaars van Google Play:

Hoewel deze beleidsregels over het algemeen vaker worden geschonden, is het belangrijk om te onthouden dat uw app door slechte SDK-code een beleid kan schenden dat hierboven niet wordt genoemd. Vergeet vooral niet om alle beleidsregels in hun geheel door te nemen en up-to-date te blijven van alle beleidsregels. Het is uw verantwoordelijkheid als app-ontwikkelaar om te zorgen dat uw SDK's beleidsconform met uw app-gegevens omgaan.

Ga voor meer informatie naar ons Helpcentrum.

Was dit nuttig?

Hoe kunnen we dit verbeteren?

Meer hulp nodig?

Probeer de volgende stappen:

Zoeken
Zoekopdracht wissen
Zoekfunctie sluiten
Google-apps
Hoofdmenu