App-ontwikkelaars maken vaak gebruik van code van derden (zoals een SDK) om belangrijke functionaliteit en services in hun apps te integreren. Als u een SDK in uw app opneemt, moet u zorgen dat u uw gebruikers en de app kunt beschermen tegen eventuele kwetsbaarheden. Dit artikel gaat over hoe sommige van onze bestaande privacy- en beveiligingsvereisten van toepassing zijn op SDK's en hoe deze vereisten ontworpen zijn om ontwikkelaars te helpen SDK's veilig en beveiligd te integreren in hun apps.
Als u een SDK in uw app opneemt, is het uw verantwoordelijkheid om te zorgen dat uw app met de code en de praktijken van derden niet het Programmabeleid voor ontwikkelaars van Google Play schendt. Het is belangrijk om te weten hoe de SDK's in uw app met gebruikersgegevens omgaan. Zorg daarom dat u weet welke rechten ze gebruiken, welke gegevens ze verzamelen en waarom. De verzameling en verwerking van gebruikersgegevens door een SDK moet afgestemd zijn op het gebruik van die gegevens in overeenstemming met het beleid van uw app.
Lees en begrijp het volledige beleid hieronder om te zorgen dat uw gebruik van een SDK de beleidsvereisten niet schendt. Let vooral op de daarin genoemde vereisten specifiek voor SDK's.
Beleid voor gebruikersgegevensU moet transparant zijn over hoe u omgaat met gebruikersgegevens (zoals gegevens die van of over een gebruiker verzameld worden, waaronder apparaatgegevens). Dit betekent dat u bekendmaakt of en hoe er toegang wordt gekregen tot gebruikersgegevens in uw app, en hoe deze worden verzameld, gebruikt, verwerkt en gedeeld. Het betekent ook dat u het gebruik van de gegevens beperkt tot de bekendgemaakte en beleidsconforme doeleinden.
Als u code van derden (zoals een SDK) in uw app opneemt, moet u zorgen dat deze code aan het Programmabeleid voor ontwikkelaars van Google Play voldoet. Ook moet alle omgang van deze derde partij met de gebruikersgegevens uit uw app daaraan voldoen. Dit programmabeleid bestaat onder meer uit gebruiks- en kennisgevingsvereisten. U moet bijvoorbeeld zorgen dat uw SDK-providers geen persoonsgegevens en gevoelige gebruikersgegevens uit uw app verkopen. Deze vereiste geldt ongeacht of gebruikersgegevens nu worden overgedragen nadat ze naar een server zijn gestuurd, of door het insluiten van de code van derden in uw app.
Persoonsgegevens en gevoelige gebruikersgegevens
Verkoop van persoonsgegevens en gevoelige gebruikersgegevensU mag geen persoonsgegevens of gevoelige gebruikersgegevens verkopen.
Vereisten voor prominente kennisgeving en toestemmingAls de toegang van uw app tot persoonsgegevens en gevoelige gebruikersgegevens of het verzamelen, gebruiken of delen ervan niet binnen de redelijke verwachting van de gebruiker van het betreffende product of de betreffende functie valt, moet u voldoen aan de vereiste voor prominente kennisgeving en toestemming van het Beleid voor gebruikersgegevens. Als uw app code van derden (zoals een SDK) bevat die ontworpen is om standaard persoonsgegevens en gevoelige gebruikersgegevens te verzamelen, moet u binnen twee (2) weken na ontvangst van een verzoek van Google Play (of als in het verzoek van Google Play een langere periode is vermeld, binnen die periode) voldoende bewijs verstrekken waarin u aantoont dat uw app voldoet aan de vereisten voor prominente kennisgeving en toestemming van dit beleid, waaronder met betrekking tot de toegang tot gegevens en het verzamelen, gebruiken of delen ervan via de code van derden. Zorg dat uw app door het gebruik van code van derden (zoals een SDK) niet het Beleid voor gebruikersgegevens schendt. Raadpleeg dit Helpcentrum-artikel voor meer informatie over de vereiste voor prominente kennisgeving en toestemming. Voorbeelden van door SDK veroorzaakte schendingen:
Aanvullende vereisten voor toegang tot gevoelige en persoonsgegevensDe tabel hierna beschrijft de vereisten voor specifieke activiteiten.
Voorbeelden van door SDK veroorzaakte schendingen:
Gedeelte Veiligheid van gegevensAlle ontwikkelaars moeten een duidelijk en nauwkeurig gedeelte Veiligheid van gegevens invullen voor elke app, waarin wordt vermeld hoe gebruikersgegevens worden verzameld, gebruikt en gedeeld. Dit geldt ook voor gegevens die worden verzameld en verwerkt via bibliotheken of SDK's van derden die in hun apps worden gebruikt. De ontwikkelaar is verantwoordelijk voor de nauwkeurigheid van het label en het actueel houden van deze informatie. Waar relevant moet het gedeelte Veiligheid van gegevens overeenstemmen met de kennisgevingen die opgenomen zijn in het privacybeleid van de app. Raadpleeg dit Helpcentrum-artikel voor meer informatie over hoe u het gedeelte Veiligheid van gegevens invult. Zie het volledige Beleid voor gebruikersgegevens. |
||||||
Gebruikers moeten verzoeken om rechten en API's die toegang tot gevoelige informatie hebben, kunnen begrijpen. U mag alleen vragen om rechten en API's die toegang tot gevoelige informatie hebben als dit noodzakelijk is voor de implementatie van bestaande functies of services in uw app die worden gepromoot in uw Google Play-vermelding. U mag rechten of API's met toegang tot gevoelige informatie en gebruikers- of tot apparaatgegevens niet gebruiken voor niet-bekendgemaakte, niet-uitgevoerde of niet-toegestane functies of doeleinden. Persoonsgegevens of gevoelige gebruikersgegevens waartoe toegang is verkregen door middel van rechten of API's die toegang hebben tot gevoelige informatie mogen nooit worden verkocht of gedeeld voor een doeleinde waarmee verkoop mogelijk is. Zie het volledige Beleid voor rechten en API's die toegang hebben tot gevoelige informatie. Voorbeelden van door SDK veroorzaakte schendingen:
|
Malware is elke code die een gebruiker, de gegevens van een gebruiker of een apparaat in gevaar brengt. Malware omvat, maar is niet beperkt tot, potentieel schadelijke apps (Potentially Harmful Applications, PHA), binaire bestanden of frameworkaanpassingen die vallen binnen categorieën zoals Trojaanse paarden, phishing en spyware-apps. We updaten deze lijst voortdurend en voegen nieuwe categorieën toe.
Zie het volledige Malwarebeleid.
Voorbeelden van door SDK veroorzaakte schendingen:
- Een app die SDK-bibliotheken bevat van providers die schadelijke software verspreiden.
- Een app die het rechtenmodel van Android schendt of inloggegevens (zoals OAuth-tokens) steelt uit andere apps.
- Apps die functies misbruiken om te voorkomen dat de apps worden verwijderd of gestopt.
- Een app die SELinux uitzet.
- Een app gebruikt een SDK die het rechtenmodel van Android schendt door rechten op hoger niveau te verkrijgen via de toegang tot apparaatgegevens voor een niet bekendgemaakt doel.
- Een app bevat een SDK met code die gebruikers misleidt, zodat ze zich abonneren of content kopen door middel van facturering via hun mobiele provider.
Apps die zich rechten toe-eigenen en apparaten rooten zonder toestemming van de gebruiker, worden geclassificeerd als root-apps.
Spyware
Spyware is een schadelijke app, code of gedrag waarmee gebruikers- of apparaatgegevens worden verzameld, onderschept of gedeeld die niet gerelateerd zijn aan functionaliteit die aan het beleid voldoet.
Schadelijke code of gedrag dat kan worden beschouwd als de gebruiker bespioneren of gegevens onderscheppen zonder voldoende kennisgeving of toestemming, wordt ook beschouwd als spyware.
Bekijk het complete Beleid tegen spyware.
Door SDK's veroorzaakte spywareschendingen omvatten, maar zijn niet beperkt tot:
- Een app die een SDK gebruikt die gegevens van audio- of gespreksopnamen overdraagt als deze niet zijn gerelateerd aan app-functionaliteit die voldoet aan het beleid.
- Een app met schadelijke code van derden (bijvoorbeeld een SDK) die gegevens vanaf het apparaat verstuurt op een manier die onverwacht is voor de gebruiker en/of zonder voldoende kennisgeving aan of toestemming van de gebruiker.
Transparant gedrag en duidelijke openbaarmakingenAlle code moet beloften waarmaken die aan de gebruiker zijn gedaan. Apps moeten alle meegedeelde functionaliteit bieden. Apps mogen gebruikers niet in verwarring brengen. Voorbeelden van schendingen:
Beschermen van gebruikersgegevensWees duidelijk en transparant over de toegang, het gebruik, het verzamelen en het delen van persoonsgegevens en gevoelige gebruikersgegevens. Het gebruik van gebruikersgegevens moet voldoen aan alle relevante Beleidsregels voor gebruikersgegevens, indien van toepassing, en alle voorzorgsmaatregelen nemen om de gegevens te beschermen. Voorbeelden van schendingen:
Zie het volledige Beleid voor ongewenste mobiele software |
We staan geen apps toe die het apparaat van de gebruiker, andere apparaten of computers, servers, netwerken, Application Programming Interfaces (API's) of services, inclusief maar niet beperkt tot andere apps op het apparaat, een Google-service of het netwerk van een erkende provider, verstoren, onderbreken, beschadigen of er op onbevoegde wijze toegang toe verkrijgen. Apps of code van derden (zoals SDK's) met geïnterpreteerde talen (JavaScript, Python, Lua, enzovoort) die tijdens de runtime geladen zijn (bijv. niet verpakt bij de app), mogen geen potentiële schendingen van het Google Play-beleid toestaan. We staan geen code toe die kwetsbaarheden in de beveiliging introduceert of misbruikt. Raadpleeg het Programma voor de verbetering van de beveiliging van apps voor meer informatie over de meest recente beveiligingsproblemen die zijn gemarkeerd voor ontwikkelaars. Zie het volledige Beleid voor apparaat- en netwerkmisbruik. Voorbeelden van door SDK veroorzaakte schendingen:
|
We staan geen apps toe die gebruikers proberen te misleiden of oneerlijk gedrag mogelijk maken, inclusief maar niet beperkt tot apps waarvan is bepaald dat ze functioneel onmogelijk zijn. Apps moeten in alle onderdelen van de metadata een nauwkeurige kennisgeving, beschrijving en afbeeldingen/video van hun functionaliteit verstrekken. Apps mogen geen functies of waarschuwingen nabootsen van het besturingssysteem of van andere apps. Wijzigingen in de apparaatinstellingen moeten worden doorgevoerd met medeweten en toestemming van de gebruiker en door de gebruiker ongedaan kunnen worden gemaakt. Zie het volledige Beleid tegen misleidend gedrag. Transparantie van gedragDe functionaliteit van uw app moet redelijk duidelijk zijn voor gebruikers. Neem geen verborgen, inactieve of niet-gedocumenteerde functies op in uw app. Technieken om app-beoordelingen te omzeilen zijn niet toegestaan. Voor apps moet misschien aanvullende informatie worden verstrekt om de veiligheid van gebruikers, de integriteit van het systeem en de naleving van het beleid te waarborgen.
Voorbeeld van een door een SDK veroorzaakte schending
|
Welk beleid voor ontwikkelaars van Google Play wordt vaak in verband gebracht met door SDK veroorzaakte schendingen?
Raadpleeg de volgende beleidsregels in hun geheel om ervoor te zorgen dat alle code van derden die uw app gebruikt, voldoet aan het Programmabeleid voor ontwikkelaars van Google Play:
- Beleid voor gebruikersgegevens
- Rechten en API's met toegang tot gevoelige informatie
- Beleid voor apparaat- en netwerkmisbruik
- Malware
- Ongewenste mobiele software
- Programma voor zelfgecertificeerde advertentie-SDK's voor gezinnen
- Advertentiebeleid
- Misleidend gedrag
- Programmabeleid voor ontwikkelaars van Google Play
Hoewel deze beleidsregels over het algemeen vaker worden geschonden, is het belangrijk om te onthouden dat uw app door slechte SDK-code een beleid kan schenden dat hierboven niet wordt genoemd. Vergeet vooral niet om alle beleidsregels in hun geheel door te nemen en up-to-date te blijven van alle beleidsregels. Het is uw verantwoordelijkheid als app-ontwikkelaar om te zorgen dat uw SDK's beleidsconform met uw app-gegevens omgaan.
Ga voor meer informatie naar ons Helpcentrum.