¿Cuál es el valor de este programa para los desarrolladores?
Realizar pruebas de seguridad de la aplicación con frecuencia puede ayudarte a identificar sus vulnerabilidades clave y mitigar responsabilidades futuras. Google Play permitirá que los desarrolladores que hayan pasado por una validación independiente muestren esta información en el formulario de seguridad de los datos.
¿Cuál es el beneficio para los usuarios?
Los usuarios pueden confiar en que las apps fueron revisadas por expertos externos y tener una mayor seguridad sobre la seguridad de esas ofertas.
¿Qué tipos de apps son aptas para este programa?
El MASVS de OWASP se aplica a cualquier app para dispositivos móviles. Esto incluye una variedad de categorías de apps, como IoT, fitness/salud, redes sociales, comunicación, VPN, productividad y muchas más.
¿Cuál es el alcance de la evaluación?
El alcance de la evaluación consiste en la seguridad del cliente, la autenticación al servicio de backend o en la nube, y la conectividad al servicio de backend o en la nube, teniendo en cuenta la seguridad general y algunas prácticas recomendadas de privacidad.
¿Qué tipo de casos de prueba abarcará esta evaluación?
En la evaluación, se revisará un subconjunto de requisitos del MASVS de nivel 1 que se pueden probar y que están disponibles en GitHub aquí.
¿Por cuánto tiempo es válida la certificación?
1 año Después de 1 año, el desarrollador es responsable de volver a certificar su app.
¿Qué niveles de certeza proporciona la MASA y cuál es la diferencia entre ellos?
La MASA ofrece dos niveles de garantía: AL1, una autoevaluación con un análisis de APK y un cuestionario, y AL2, una evaluación de laboratorio integral con análisis estáticos y dinámicos que le otorga a tu app la insignia "Revisión de seguridad independiente" en Play Store.
¿Cuánto cuesta?
Las tarifas varían según el socio del lab, pero, en promedio, puedes esperar que la evaluación cueste entre USD 3,000 y USD 6,000 para AL2 y USD 500 para AL1.
¿Cuánto tarda el proceso?
Una vez que completes los trámites necesarios, puedes esperar una evaluación del lab en un plazo de 10 días. Los plazos para completar estas pruebas pueden variar en función de los comentarios del lab y la capacidad de tu equipo para implementar los cambios rápidamente.
¿Quiénes son los socios del lab?
Google incorporó un conjunto de labs autorizados para realizar las evaluaciones de apps. Todos los labs autorizados brindan pruebas de seguridad integrales y ofrecen a los desarrolladores los medios para obtener la certificación según los estándares publicados.
¿Cómo empiezo?
Los desarrolladores tienen la oportunidad de trabajar directamente con un lab autorizado para iniciar el proceso de prueba. El lab y el desarrollador se encargarán directamente de las tarifas o trámites necesarios.
¿Puedo enviar mi propia prueba o usar otro lab?
Por el momento, solo aceptamos los resultados de la evaluación de los socios de laboratorios autorizados por MASA. Si trabajas con un lab que le interesa participar en el programa, pídele que complete el formulario aquí.
¿Mis competidores verán los resultados de mis pruebas? ¿Se darán a conocer los resultados de mi prueba?
Los resultados de la prueba inicial solo se compartirán con tu equipo. Una vez que la app cumpla con todos los requisitos, el lab enviará un informe de resumen a Google, que estará disponible para el público en un directorio de MASA que se lanzará en el futuro. El resumen del informe se limita al alcance de las pruebas y no incluye ningún hallazgo sensible relacionado con tu app. Tienes el control total sobre cuándo deseas hacer públicos estos resultados.
¿Hay alguna forma de mostrar esto en nuestra ficha de Google Play?
La forma principal en que se mostrará a los usuarios es a través de la sección de Seguridad de los datos con una insignia de seguridad. Esta opción solo está disponible para las aplicaciones que completaron la evaluación de AL2. Estamos explorando formas de mostrar esta información a más usuarios en Play.
¿Cuánto tiempo tardan en aparecer los resultados en la etiqueta de seguridad de los datos?
La clasificación aparecerá en la etiqueta de Seguridad de los datos una semana después de que actualices la sección para indicar que tu app obtuvo la "validación independiente".
¿Cómo debo hacer referencia a este programa de forma externa?
Los desarrolladores que completaron la certificación pueden afirmar que se validaron de forma independiente a través de la Alianza de defensa de aplicaciones.
¿Los desarrolladores deben volver a obtener la certificación para cada actualización o lanzamiento de su app?
No, la certificación de MASA es anual y se diseñó como una evaluación puntual. Los desarrolladores deben seguir manteniendo el cumplimiento mediante evaluaciones internas como parte de su ciclo de vida de desarrollo de la seguridad.
¿Quién hará un seguimiento de los requisitos de recertificación anuales para estas apps y quién notificará a los desarrolladores cuando venza su certificación?
Es responsabilidad del desarrollador mantener la validez de su certificación.
¿Google tendrá acceso a alguno de los resultados o hallazgos del laboratorio?
Google solo recibe un informe de validación de los socios de Authorized Labs que indica si la app cumple con los requisitos o no. No se comparten ni divulgan códigos de aplicaciones, resultados de análisis ni hallazgos de vulnerabilidades a Google como parte de la verificación.
¿Qué sucede si no estoy de acuerdo con los resultados del lab o de la evaluación?
Las evaluaciones de MASA las realizan laboratorios autorizados de terceros. Si no estás de acuerdo con los resultados de la evaluación o tienes preguntas sobre el estado de tu cumplimiento, puedes apelar directamente al laboratorio que inició las pruebas de tu app.
¿Qué sucede si publico mi aplicación por primera vez?
Los desarrolladores pueden enviar una compilación previa al lanzamiento al lab para realizar pruebas anticipadas, pero la versión final y certificada debe ser el APK oficial publicado en Google Play Store.
¿El lab podrá revisar mi app si está ofuscada?
La ofuscación puede dificultar que las herramientas de prueba de lab evalúen tu aplicación. En estos casos, es posible que debas enviar recursos adicionales a los labs para facilitar las pruebas, y es posible que se apliquen tarifas adicionales.