מידע על בטיחות המשתמשים ועל ערכות SDK

כמפתחי אפליקציות, אתם רוצים לוודא שאתם יכולים לשמור על בטיחות המשתמשים שלכם, ולשמור על האפליקציות שלכם מאובטחות ויציבות מפני נקודות חולשה, כולל נקודות חולשה שעלולות להיגרם כתוצאה משימוש בערכות כלים לפיתוח תוכנה (SDK) שבהן אתם משתמשים.

כספק SDK, אתם לא רוצים שערכת ה-SDK שלכם תגרום למפתח אפליקציה או משחק להפר את כללי המדיניות למפתחים של Google Play. הפרה כזו עלולה לשבש את העסק שלהם ולהוביל לפעולות אכיפה מצד Google Play.

מפתחי אפליקציות שמשתמשים ב-SDK ומפתחי SDK יכולים לקרוא מידע נוסף על שיטות מומלצות לשמירה על בטיחות המשתמשים.

למפתחי אפליקציות

• לפני שמשלבים ערכת SDK באפליקציה, חשוב לדעת באילו הרשאות היא משתמשת, אילו נתונים היא אוספת ומדוע. יש לכלול את המידע הזה בטופס אבטחת הנתונים. חשוב לזכור שאתם, מפתחי האפליקציה, אחראים להתנהגות של ה-SDK באיסוף הנתונים, גם אם אתם לא משתמשים בפונקציה מסוימת של ה-SDK.
• כדאי לעיין בכל המדיניות למפתחים של Google Play בנוגע למקרים שבהם אפשר להרחיב את השימוש בנתוני המשתמשים שאספתם, ומקרים שבהם אי אפשר לעשות זאת. לדוגמה, אם אתם משתמשים במיקום המכשיר, אתם צריכים לשתף את הנתונים האלה עם צד שלישי או ערכת SDK שידועים למשתמשי הקצה באמצעות הדרישות לגבי גילוי נאות בולט והסכמה.
• חשוב להתעדכן בעדכונים של מדיניות Google Play כדי לוודא שערכת ה-SDK שכללתם באפליקציה לא גורמת להפרה של מדיניות Play, למשל עדכונים במדיניות בנושא שימוש לרעה במכשירים וברשתות, במדיניות בנושא מודעות ובמדיניות בנושא נתוני משתמשים בנוגע למזהים קבועים.
• אסור למכור מידע אישי ורגיש של משתמשים.
• אם קיבלתם הודעה על אכיפה בעקבות הפרה באפליקציה שנגרמה על ידי SDK, עליכם לפעול לפי ההוראות שלנו לשליחה מחדש של האפליקציה בעקבות הפרת מדיניות.
• ב-Google Play SDK Index תוכלו לראות אילו ערכות SDK רשומות ב-Google Play Console, אילו הרשאות Android הן משתמשות בהן ועוד.

לספקי SDK

• המדיניות למפתחים ב-Google Play

• חשוב להתעדכן בעדכונים במדיניות של Google Play כדי לוודא שערכת ה-SDK לא גורמת לאפליקציות להפר את כללי המדיניות של Play, למשל עדכונים במדיניות בנושא ניצול לרעה של מכשירים ורשתות, במדיניות בנושא מודעות ובמדיניות בנושא נתוני משתמשים בנוגע למזהים עקביים. יכול להיות שאפליקציות שמשתמשות ב-SDK שלכם מפירות את כללי המדיניות האלה, ולכן הן עשויות להיחשף לפעולות אכיפה מצד Google Play. לדוגמה:

  • אם ה-SDK שלכם משתמש בנתונים אישיים ורגישים של משתמשים, עליכם לוודא שהבהרתם זאת במסמכים הציבוריים שלכם לאפליקציות שמשתמשות ב-SDK.
  • אסור שערכות SDK עם שפות מפורשות (interpreted) (למשל JavaScript, ‏Python, ‏Lua וכו') שנטענות בזמן הריצה (למשל, לא נכללות בחבילה של האפליקציה) יאפשרו הפרות פוטנציאליות של המדיניות של Google Play (למשל, איסוף חבילות מותקנות ללא מטרה, גילוי נאות והסכמה מתאימים).
  • אסור למכור מידע אישי ורגיש של משתמשים.

• תמיכה בתכונות האבטחה והתכונות האחרונות לצמצום השימוש בנתונים של ממשקי API ב-SDKs. מידע נוסף זמין בפוסט בבלוג מחודש אפריל 2022.

• כדאי לעזור ללקוחות להבין אילו נתוני משתמשים יכולים להיאסף באמצעות ה-SDK שלכם, ואת הסיבה לשימוש בהם. כך מפתחי האפליקציות יוכלו לכלול את המידע הזה בגילוי הנאות ובבקשת ההסכמה במיקום בולט למשתמשים הקצה, ובמדיניות הפרטיות שלהם במקרים הרלוונטיים.

• עליכם להטמיע לוגיקה שקוראת את העדפות המשתמשים שנאספו על ידי מפתח האפליקציה ופועלת בהתאם להן, או לוודא שיש מנגנון שמאפשר למפתח האפליקציה לאתחל את ה-SDK בצורה מדויקת בהתאם לאירוע ההסכמה הזה שמוצג למשתמשים.

• לספק מידע על השימוש בנתונים בפורמט שקל לגשת אליו ולצרוך אותו באופן ציבורי. הנה פורמט אופציונלי שיכול להתאים לפרסום המידע שלכם, כי מפתחים רבים מכירים את הפורמט הזה. דוגמאות לכך מפורטות בחשיפת הנתונים של Google Firebase SDK ובחשיפת הנתונים של Google AdMob SDK.