¿Cuál es el valor de este programa para los desarrolladores?
Realizar pruebas de seguridad con regularidad para tu aplicación puede ayudarte a identificar vulnerabilidades clave en tu aplicación y mitigar la responsabilidad futura. Google Play permitirá que los desarrolladores que aprobaron la validación independiente muestren esto en el formulario de Seguridad de los datos.
¿Cuál es la ventaja para los usuarios?
Los usuarios pueden estar seguros de que los expertos externos aprobaron las apps y tienen una garantía más alta sobre la seguridad de esas ofertas.
¿Qué tipos de apps se aplican a este programa?
OWASP MASVS se puede aplicar a cualquier app para dispositivos móviles, por ejemplo, una variedad de categorías de app, como IoT, fitness/health, social, comunicaciones, VPN, productividad y muchas más.
¿Cuál es el alcance de la evaluación?
El alcance de la evaluación consiste en la seguridad del cliente, la autenticación en el servicio de backend o en la nube y la conectividad al servicio de backend o nube en la que se analiza la seguridad general y algunas prácticas recomendadas de privacidad.
¿Qué tipos de casos de prueba abarcará esta evaluación?
La evaluación revisará un subconjunto de requisitos MASVS de nivel 1 que se pueden probar y están disponibles en GitHub aquí.
¿Cuánto dura el certificado?
1 año. Después de 1 año, el desarrollador es responsable de volver a certificar su app.
¿Cuánto cuesta?
Las tarifas varían según el socio del lab, pero, en promedio, la evaluación puede costar entre $3 y 6,000.
¿Cuánto tarda el proceso?
Una vez que complete los trámites necesarios, recibirá una evaluación del lab en un plazo de 10 días. Los plazos de finalización pueden variar según los comentarios del lab y la capacidad de su equipo para implementar los cambios rápidamente.
¿Quiénes son los socios del lab?
Google incorpora un conjunto de labs autorizados para realizar las evaluaciones de la app. Todos los labs autorizados proporcionan pruebas de seguridad integrales y ofrecen a los desarrolladores los medios para obtener la certificación en función de los estándares publicados.
¿Cómo debo empezar?
Los desarrolladores tienen la oportunidad de trabajar directamente con un lab autorizado para iniciar el proceso de prueba. Cualquier tarifa o documentación requerida se controlará directamente entre el laboratorio y el desarrollador.
¿Puedo enviar mi propia prueba o usar un lab diferente?
Por el momento, solo aceptamos resultados de evaluaciones de socios de labs autorizados de MASA. Si trabaja con un lab interesado en participar en el programa, pídale que complete el formulario aquí.
¿Mis competidores verán los resultados de mi prueba? ¿Se harán públicos los resultados de mi prueba?
Los resultados de la prueba inicial solo se compartirán con tu equipo. Una vez que la app cumpla con todos los requisitos, el lab enviará un resumen de informes a Google, que estará a disposición del público en un directorio MASA que se lanzará en el futuro. El resumen del informe se limita al alcance de las pruebas y no incluye ningún resultado sensible relacionado con tu app. Tienes control total sobre cuándo quieres hacer públicos estos resultados.
¿Hay alguna manera de mostrar esto en nuestra ficha de Google Play?
La forma principal en que se mostrará esto a los usuarios será mediante la sección de Seguridad de los datos mediante una insignia de seguridad. Estamos explorando maneras de mostrar esta información a más usuarios en Play.
¿La certificación será obligatoria para las apps en Google Play Store?
En este momento, no tenemos planes de hacer que la certificación sea obligatoria para los desarrolladores de apps.
¿Cuánto tardan en aparecer los resultados en la etiqueta de Seguridad de los datos?
Una vez que actualices la sección de Seguridad de los datos para indicar que la app se validó de forma independiente, la designación aparecerá en tu etiqueta de Seguridad de los datos en un plazo de una semana.
¿Cómo debo referirme a este programa de manera externa?
Los desarrolladores que completaron la certificación pueden decir que se validaron de forma independiente a través de App Defense Alliance.