Antes de comenzar
Sigue las instrucciones que se enviaron por correo electrónico para crear una cuenta (si esta es tu primera CASA) y acceder.
Qué debe hacer para enviar su CASA:
-
Correo electrónico de notificación de nivel 2 de CASA
-
Certificaciones del sector (si las hubiera)
-
Archivos de configuración de AST; esto puede ser una exportación de la política de análisis, capturas de pantalla de las CWE escaneadas o cualquier evidencia que muestre qué se analizó.
-
Resultados de escaneo de AST en formato de texto sin formato (.txt)
Si usó herramientas personalizadas:
-
Resultados de comparativas de OWASP (más información)
Introducción al portal de CASA
Para los usuarios que acceden por primera vez al portal, se generará automáticamente una CASA de nivel 2.Se pueden crear evaluaciones nuevas en cualquier momento desde la página principal del portal.
Cuando se abre un caso, se abre la página Primeros pasos que solicita lo siguiente:
-
Nombre de contacto del proyecto (nombre y apellido)
-
Correo electrónico de contacto del proyecto
-
Teléfono del contacto del proyecto
-
Nombre de la entidad legal
-
Sitio web
-
Tipo de evaluación ("Nuevo" o "Reevaluación")
-
Alcance de la aplicación
-
ID del proyecto de Google
Esta información se usa con el fin de identificar qué requisitos CASA están dentro del alcance de tu aplicación y recopilar los metadatos necesarios de la app para emitir una carta de verificación.
NOTA: Se debe enviar una CASA para su revisión de verificación dentro de los 30 días posteriores a su inicio. Las solicitudes de extensión del plazo se evalúan según cada caso.
Cargas del nivel 2 del portal de CASA
Suba toda la evidencia recopilada en los pasos 1 y 2. Esto incluye lo siguiente:
-
Marcos de trabajo de seguridad existentes aceptados por CASA
-
Archivos de configuración de AST
-
Resultados del análisis AST en formato xlsx, csv, xml o pdf
-
Resultados de comparativas de OWASP (*solo para análisis de AST personalizados o alternativos)
NOTA: Los marcos de trabajo de seguridad son opcionales a fin de acelerar tu CASA y no son necesarios para la verificación. Revisa el paso 1 para obtener más detalles.
¿Necesita ayuda? Usa la función integrada "Mensajes" del portal para comunicarte directamente con un especialista en CASA. Las notificaciones por correo electrónico de las respuestas se envían a la dirección de correo electrónico que se usa para acceder al portal.
RECORDATORIO: El escaneo de código es obligatorio para la verificación de nivel 2. No se comparte ni divulgará a Google ningún código de aplicación, resultados de análisis ni hallazgos de vulnerabilidad como parte de la verificación.
Encuesta sobre la autocertificación del portal de CASA
El portal validará las entradas proporcionadas y proporcionará un conjunto de requisitos restantes para la autocertificación, organizados por capítulos de CASA. Para los usuarios que aceleran CASA con una gran cantidad de marcos de trabajo de seguridad, es posible que no se requiera la autocertificación. En estos casos, la parte de la encuesta de autocertificación del portal no aparecerá.
En la mayoría de los casos, habrá una pequeña cantidad de requisitos que requieren autocertificación. Para estos requisitos, el desarrollador externo que responda deberá dar un testimonio a una serie de preguntas de "Sí, No, No corresponde" relacionadas con los requisitos de CASA.
Hay un campo de comentarios disponible para que el desarrollador justifique cada respuesta con respecto a cómo la aplicación satisface o no un requisito determinado. Los criterios de aceptación de CASA proporcionan un conjunto no exhaustivo de ejemplos como referencia.
NOTA: No modifiques las preguntas propagadas automáticamente como completadas por requisitos previos. El portal CASA selecciona estas opciones de forma automática según las respuestas en la sección Cargas de nivel 2.
Para poder obtener la verificación de nivel 2, debes hacer lo siguiente:
-
Solucione todos los errores de CWE que se hayan asignado a los requisitos de CASA
-
Autocertifica los requisitos de CASA no escaneables
Una vez que se completen todos los requisitos previos de la evaluación de manera suficiente, el Portal de CASA solicitará a un desarrollador que envíe una solicitud de verificación.
Finalizar