Requisitos de SDKs

Frequentemente, os programadores de apps dependem de código de terceiros (por exemplo, um SDK) para integrar as principais funcionalidades e serviços nas respetivas apps. Quando incluir um SDK na sua app, certifique-se de que consegue manter a segurança dos utilizadores e proteger a app de quaisquer vulnerabilidades. Nesta secção, demonstramos como alguns dos seus requisitos de segurança e privacidade existentes se aplicam no contexto de SDKs e são concebidos para ajudar os programadores a integrar os SDKs nas respetivas apps em segurança.

Se incluir um SDK na sua app, é responsável por garantir que o respetivo código e práticas de terceiros não fazem com que a sua app viole as Políticas do Programa para Programadores do Google Play. É importante estar ciente de como os SDKs na sua app processam os dados do utilizador e garantir que sabe que autorizações usam, que dados recolhem e porquê.  Não se esqueça de que a recolha e o processamento dos dados do utilizador por parte de um SDK têm de estar em linha com a utilização dos referidos dados em conformidade com a política da app.

Para ajudar a garantir que a sua utilização de um SDK não viola os requisitos da política, leia e compreenda as seguintes políticas na íntegra e tenha em consideração alguns dos respetivos requisitos referentes aos SDKs abaixo:

Política de Dados do Utilizador

Tem de ser transparente no modo como processa os dados do utilizador (por exemplo, as informações recolhidas sobre ou de um utilizador, incluindo as informações do dispositivo). Isso significa divulgar o acesso, recolher, usar, processar e partilhar dados do utilizador a partir da sua app e limitar a utilização dos dados às finalidades divulgadas em conformidade com a política.

Se incluir código de terceiros (por exemplo, um SDK) na sua app, tem de assegurar que o código usado na app e as práticas de terceiros referentes aos dados do utilizador a partir da sua app estão em conformidade com as Políticas do Programa para Programadores do Google Play, as quais incluem requisitos de divulgação e utilização. Por exemplo, tem de assegurar que os fornecedores do SDK não vendem dados pessoais e confidenciais do utilizador a partir da sua app. Este requisito aplica-se independentemente de os dados do utilizadores serem transferidos depois de serem enviados para um servidor ou ao incorporar código de terceiros na sua app.

Dados do utilizador pessoais e confidenciais

  • Limitar o acesso, a recolha, a utilização e a partilha de dados pessoais e confidenciais do utilizador adquiridos através da app para a funcionalidade da app e do serviço, bem como para as finalidades em conformidade com a política esperadas de forma razoável pelo utilizador:
    • As apps que expandem a utilização de dados pessoais e confidenciais do utilizador para publicação de anúncios têm de estar em conformidade com a Política de Anúncios do Google Play.
  • Processar todos os dados pessoais e confidenciais do utilizador de forma segura, incluindo a transmissão através de criptografia moderna (por exemplo, por HTTPS).
  • Usar um pedido de autorizações de tempo de execução sempre que estiver disponível, antes de aceder a dados bloqueados por autorizações do Android.

Venda de dados pessoais e confidenciais do utilizador

A venda de dados pessoais e confidenciais do utilizador não é permitida.

  • "Venda" significa a troca ou a transferência de dados pessoais e confidenciais do utilizador para terceiros para consideração monetária.
    • Uma transferência de dados pessoais e confidenciais do utilizador iniciada pelo utilizador (por exemplo, quando o utilizador está a usar uma funcionalidade da app para transferir um ficheiro para terceiros ou quando o utilizador opta por usar uma app de estudo de investigação para uma finalidade dedicada) não é considerada venda.

Requisitos de divulgação destacada e consentimento

Em casos em que o acesso, a recolha, a utilização ou a partilha de dados pessoais e confidenciais do utilizador da app possam não estar dentro da expetativa razoável do utilizador do produto ou da funcionalidade em questão, tem de cumprir os requisitos de divulgação destacada e consentimento da Política de Dados do Utilizador.

Se a sua app integrar código de terceiros (por exemplo, um SDK) concebido para recolher dados pessoais e confidenciais do utilizador por predefinição, tem de, num prazo de duas semanas após a receção de um pedido do Google Play (ou, se o pedido do Google Play tiver um período mais longo, dentro desse período), fornecer provas suficientes que demonstrem que a sua app cumpre os requisitos de divulgação destacada e consentimento desta política, incluindo o acesso, a recolha, a utilização ou a partilha de dados através do código de terceiros.

Não se esqueça de garantir que a sua utilização do código de terceiros (por exemplo, um SDK) não faz com que a sua app viole a Política de Dados do Utilizador.

Consulte este artigo do Centro de Ajuda para obter mais informações sobre o requisito de divulgação destacada e consentimento.

Exemplos de violações causadas por SDKs

  • Uma app com um SDK que recolha dados pessoais e confidenciais do utilizador, e não trate destes dados em conformidade com esta Política de Dados do Utilizador e os requisitos de divulgação destacada e consentimento, acesso e processamento de dados (incluindo venda não permitida).
  • Uma app integra um SDK que recolhe dados pessoais e confidenciais do utilizador por predefinição em violação dos requisitos desta política relativamente à divulgação destacada e ao consentimento do utilizador. 
  • Uma app com um SDK que alega a recolha de dados pessoais e confidenciais do utilizador apenas para oferecer funcionalidades antifraude e antiabuso para a app, mas o SDK também partilha os dados que recolhe com terceiros para fins de publicidade ou estatísticas. 
  • Uma app inclui um SDK que transmite informações dos pacotes instalados pelos utilizadores que não cumprem as diretrizes da divulgação destacada e/ou as diretrizes da Política de Privacidade

Requisitos adicionais para o acesso a dados pessoais e confidenciais

A tabela abaixo descreve os requisitos para atividades específicas.

Atividade  Requisito
A sua app recolhe ou associa identificadores de dispositivos permanentes (por exemplo, IMEI, IMSI, número de série do SIM, etc.)

Os identificadores de dispositivos permanentes não podem estar associados a outros dados pessoais e confidenciais do utilizador nem a identificadores de dispositivos reajustáveis, exceto para finalidades de:

  • Telefonia associadas à identidade do SIM (por exemplo, chamadas Wi-Fi associadas à conta do operador); e
  • Apps de gestão de dispositivos empresariais que utilizem o modo de proprietário do dispositivo.

Estas utilizações têm de ser divulgadas de forma proeminente aos utilizadores, conforme especificado na Política de Dados do Utilizador.

Consulte este recurso para obter identificadores únicos alternativos.

Leia a Política de Anúncios para obter diretrizes adicionais relativas ao ID de publicidade Android.
A sua app segmenta crianças A sua app só pode incluir SDKs que tenham autocertificação para utilização em serviços dirigidos a crianças. Consulte o Programa de SDKs de anúncios autocertificados para famílias para obter os requisitos e a linguagem da política completa. 

 

Exemplos de violações causadas por SDKs

  • Uma app que use um SDK que associa a Localização e o ID Android 
  • Uma app com um SDK que associa o AAID (ID de publicidade Android) a identificadores de dispositivos persistentes para fins de publicidade ou estatísticas. 
  • Uma app que usa um SDK que associa o AAID e o endereço de email para fins de estatísticas.

Secção segurança dos dados

Todos os programadores têm de elaborar uma Secção segurança dos dados clara e precisa para cada app que detalhe a recolha, a utilização e a partilha dos dados do utilizador. Isto inclui dados recolhidos e processados através de quaisquer bibliotecas ou SDKs de terceiros usados nas respetivas apps. O programador é responsável pela exatidão da etiqueta e por manter estas informações atualizadas. Quando tal for relevante, a secção tem de ser consistente com as divulgações na política de privacidade da app.

Consulte este artigo do Centro de Ajuda para obter informações adicionais sobre como elaborar a Secção segurança dos dados.

Consulte a Política de Dados do Utilizador completa.

Política de Autorizações e APIs com Acesso a Informações Confidenciais

Os pedidos de autorização e APIs com acesso a informações confidenciais devem ser compreensíveis pelos utilizadores. Só pode pedir as autorizações e APIs com acesso a informações confidenciais necessárias para implementar as funcionalidades ou os serviços atuais na sua app que sejam promovidos na sua ficha do Google Play. Não pode usar autorizações ou APIs com acesso a informações confidenciais que dão acesso aos dados do utilizador ou dispositivo para funcionalidades ou finalidades não divulgadas, não implementadas ou não autorizadas. Os dados pessoais ou confidenciais acedidos através de autorizações ou APIs com acesso a informações confidenciais nunca podem ser vendidos nem partilhados numa venda facilitada.

Consulte a Política de Autorizações e APIs com Acesso a Informações Confidenciais completa.

Exemplos de violações causadas por SDKs

  • A sua app inclui um SDK que pede a localização em segundo plano para fins não permitidos ou não divulgados. 
  • A sua app inclui um SDK que transmite o IMEI (International Mobile Equipment Identity) derivado da autorização do Android read_phone_state sem o consentimento do utilizador.
Política de Software Malicioso

A nossa Política de Software Malicioso é simples: o ecossistema Android, incluindo a Google Play Store, e os dispositivos do utilizador devem estar livres de comportamentos maliciosos (ou seja, software malicioso). Através deste princípio fundamental, o nosso objetivo é oferecer um ecossistema Android seguro para os nossos utilizadores e respetivos dispositivos Android.

Software malicioso é qualquer código que possa colocar um utilizador, os dados de um utilizador ou um dispositivo em risco. O software malicioso inclui, entre outros, aplicações potencialmente prejudiciais (PHAs), binários ou modificações de framework e é constituído por categorias como cavalos de troia, phishing e apps de spyware. Estamos continuamente a atualizar e adicionar novas categorias.

Consulte a Política de Software Malicioso completa.

Exemplos de violações causadas por SDKs

  • Uma app que viola o modelo de autorizações do Android ou rouba credenciais (tais como tokens OAuth) de outras apps.
  • Apps que abusam das funcionalidades para impedir a respetiva desinstalação ou paragem.
  • Uma app que desativa o SELinux.
  • A sua app inclui um SDK que viola o modelo de autorizações do Android ao obter privilégios elevados através do acesso a dados do dispositivo para uma finalidade não divulgada
  • A sua app inclui um SDK com código que engana os utilizadores ao levá-los a subscrever ou comprar conteúdo através da respetiva fatura do telemóvel.

As apps de escalamento de privilégios que criam acesso máximo nos dispositivos sem a autorização do utilizador são classificadas como apps com acesso máximo.

Política de Software Indesejável para Dispositivos Móveis

Comportamento transparente e divulgações claras

Todo o código deve cumprir as promessas feitas ao utilizador. As apps devem fornecer todas as funcionalidades comunicadas. As apps não devem confundir os utilizadores. 

Exemplos de violações:

  • Fraude ao nível da publicidade
  • Engenharia social

Proteja os dados do utilizador

Divulgue de forma clara e transparente o acesso, a utilização, a recolha e a partilha de dados pessoais e confidenciais do utilizador. A aplicação dos dados do utilizador tem de cumprir todas as Políticas de Dados do Utilizador relevantes, sempre que aplicável, e tomar todas as precauções para proteger os dados.

Exemplos de violações:

  • Recolha de dados (cf. spyware)
  • Abuso de autorizações restritas

Consulte a Política de Software Indesejável para Dispositivos Móveis completa

Política de Abuso na Rede e em Dispositivos

Não são permitidas apps que interfiram, perturbem, danifiquem ou acedam de forma não autorizada ao dispositivo do utilizador, outros dispositivos ou computadores, servidores, redes, interfaces de programação de aplicações (APIs) ou serviços, incluindo, entre outros, outras apps no dispositivo, qualquer serviço Google ou uma rede de operador autorizado.

As apps ou o código de terceiros (por exemplo, SDKs) com idiomas interpretados (JavaScript, Python, Lua, etc.) carregadas no tempo de execução (por exemplo, não fornecidas com a app) não podem permitir potenciais violações das Políticas do Google Play.

Não é permitido código que introduza ou explore vulnerabilidades de segurança. Consulte o Programa de melhoria de segurança de apps para obter mais informações acerca dos problemas de segurança mais recentes denunciados aos programadores.

Consulte a Política de Abuso na Rede e em Dispositivos completa.

Exemplos de violações causadas por SDKs

  • As apps que facilitam serviços de proxy a terceiros só podem fazê-lo em apps em que seja essa a finalidade principal, centrada no utilizador, da app.
  • A sua app inclui um SDK que transfere código executável, como ficheiros dex ou código nativo, de uma fonte que não é o Google Play.
  • A sua app inclui um SDK com um WebView com interface de JavaScript adicionada que carrega conteúdo Web não fidedigno (por exemplo, um URL http://) ou URLs não validados obtidos de fontes não fidedignas (por exemplo, URLs obtidos de intenções não fidedignas).
  • A sua app inclui um SDK que contém código usado para atualizar o respetivo APK
  • A sua app inclui um SDK que expõe os utilizadores a uma vulnerabilidade de segurança ao transferir ficheiros através de uma ligação insegura.
  • A sua app está a usar um SDK que contém código para transferir ou instalar aplicações de fontes desconhecidas fora do Google Play.
Política de Comportamento Enganador

Não permitimos apps que tentem enganar os utilizadores ou permitam comportamentos desonestos, incluindo, entre outras, apps consideradas funcionalmente impossíveis. As apps devem fornecer uma divulgação, uma descrição e imagens/vídeos precisos da respetiva funcionalidade em todas as partes dos metadados. Não devem tentar imitar a funcionalidade ou os avisos do sistema operativo ou de outras apps. Todas as alterações às definições do dispositivo devem ser feitas com o conhecimento e o consentimento do utilizador, bem como ser reversíveis por este.

Consulte a Política de Comportamento Enganador completa.

Transparência do comportamento

A funcionalidade da sua app tem de ser, tanto quanto possível, clara para os utilizadores. Não inclua eventuais funcionalidades ocultas, inativas ou não documentadas na app. As técnicas para evitar as críticas à app não são permitidas. As apps podem ter de facultar detalhes adicionais para garantir a segurança dos utilizadores, a integridade do sistema e a conformidade com as políticas.

Exemplo de uma violação causada por um SDK

  • A sua app inclui um SDK que utiliza técnicas para evitar críticas à app.

Que Políticas para Programadores do Google Play estão normalmente associadas a violações causadas por SDKs?

Para ajudar a garantir que qualquer código de terceiros usado pela sua app está em conformidade com as Políticas do Programa para Programadores do Google Play, consulte as seguintes políticas na íntegra.

Embora estas políticas estejam em causa mais frequentemente, é importante ter em consideração que um mau código de SDK pode fazer com que a sua app viole uma política diferente da mencionada acima. Não se esqueça de rever e estar a par de todas as políticas na íntegra, uma vez que é da sua responsabilidade, enquanto programador de apps, garantir que os seus SDKs processam os dados de apps em conformidade com a política.

Para saber mais, visite o nosso Centro de Ajuda.

A informação foi útil?

Como podemos melhorá-la?
Pesquisa
Limpar pesquisa
Fechar pesquisa
Google Apps
Menu principal