Conclua sua CASA

nível 2 personalizado
sinal de início

Antes de começar

Siga as instruções enviadas por e-mail para criar uma conta (se essa for sua primeira CASA) e faça login.

O que você precisa para enviar sua CASA:

  • E-mail de notificação de CASA de nível 2

  • Certificações do setor (se houver)

  • Arquivos de configuração AST, que podem ser uma exportação da política de verificação, capturas de tela dos CWEs verificados ou qualquer evidência que mostre o que você verificou. 

  • Resultados da verificação AST no formato de texto simples (.txt).

Se você usou ferramentas personalizadas:

sinal de início

Introdução ao Portal do CASA

Para novos usuários do portal, um CASA de nível 2 é gerado automaticamente.Novas avaliações podem ser criadas a qualquer momento na página inicial do portal.

Abrir um caso leva a uma página Primeiros passos que solicita o seguinte: 

  • Nome do contato do projeto (nome e sobrenome)

  • E-mail de contato do projeto

  • Telefone de contato do projeto

  • Nome da pessoa jurídica

  • Site

  • Tipo de avaliação ("Nova" ou "Reavaliação")

  • Escopo do aplicativo

  • ID do projeto do Google

Essas informações são usadas para identificar quais requisitos de CASA estão no escopo do seu aplicativo e coletar os metadados necessários para emitir uma carta de verificação.

OBSERVAÇÃO : uma CASA precisa ser enviada para análise de verificação em até 30 dias após o início. As solicitações de extensão de prazo são avaliadas caso a caso.

sinal de início

Uploads do nível 2 do portal do CASA

Faça upload de todas as evidências coletadas nas etapas 1 e 2. Isso inclui o seguinte:

  • Estruturas de segurança aceitas pelo CASA

  • Arquivos de configuração AST

  • Resultados da verificação AST no formato xlsx, csv, xml ou pdf

  • Resultados da comparação do OWASP (*somente para verificações AST personalizadas ou alternativas)

OBSERVAÇÃO: os frameworks de segurança são opcionais para acelerar o CASA e não são obrigatórios para a verificação. Volte à Etapa 1 para mais detalhes.

Precisa de ajuda? Use o recurso integrado "Mensagens" no portal para se comunicar diretamente com um especialista em CASA. As notificações por e-mail para respostas são enviadas para o endereço de e-mail usado para fazer login no portal. 

LEMBRETE: a leitura de código é necessária para a verificação do nível 2. Nenhum código de aplicativo, resultados de verificação ou descobertas de vulnerabilidade são compartilhados ou divulgados ao Google como parte da verificação.

sinal de início

Pesquisa de autodeclaração para o Portal do CASA

O portal validará as entradas fornecidas e apresentará o conjunto de requisitos restantes para autocertificação, organizado por capítulos do CASA. Para usuários que aceleram o CASA com um grande número de frameworks de segurança, a autocertificação pode não ser necessária. Nesses casos, a parte da pesquisa de autoatendimento do portal não será exibida.

Na maioria dos casos, haverá um pequeno número de requisitos que exigem a autocertificação. Para esses requisitos, o desenvolvedor de terceiros precisará responder a uma série de perguntas "Sim, Não, N/A" relacionadas aos requisitos do CASA. 

Há um campo de comentário disponível para o desenvolvedor justificar cada resposta com o modo como o aplicativo atende ou não a um determinado requisito. Os critérios de aceitação do CASA são um conjunto de exemplos não exaustivos de referência.

OBSERVAÇÃO : não modifique perguntas preenchidas automaticamente como "Cumpridas pelo pré-requisito". Essas escolhas são selecionadas automaticamente pelo portal do CASA com base nas respostas da seção "Uploads de nível 2".


Para se qualificar para a verificação de nível 2, você precisa:

  • Corrija os CWEs com falha que estejam mapeados para os requisitos do CASA

  • Autoatestado para requisitos de CASA não verificáveis

Depois que todos os pré-requisitos de avaliação forem atendidos o Portal do CASA pedirá que um desenvolvedor envie a verificação.

Finalizar