¿Cuál es el valor de este programa para los desarrolladores?
Realizar pruebas de seguridad de la aplicación con frecuencia puede ayudarte a identificar sus vulnerabilidades clave y mitigar responsabilidades futuras. Google Play permitirá que los desarrolladores que hayan pasado por una validación independiente muestren esta información en el formulario de seguridad de los datos.
¿Cuál es el beneficio para los usuarios?
Los usuarios pueden sentirse seguros de que expertos externos revisaron las apps y tienen una mayor garantía sobre la seguridad de esas ofertas.
¿Qué tipos de apps son aptas para este programa?
El MASVS de OWASP se aplica a cualquier app para dispositivos móviles. Esto incluye una variedad de categorías de apps, como IoT, fitness/salud, redes sociales, comunicaciones, VPN, productividad y muchas más.
¿Cuál es el alcance de la evaluación?
El alcance de la evaluación consiste en la seguridad del cliente, la autenticación al servicio de backend o en la nube, y la conectividad al servicio de backend o en la nube, teniendo en cuenta la seguridad general y algunas prácticas recomendadas de privacidad.
¿Qué tipo de casos de prueba abarcará esta evaluación?
En la evaluación, se revisará un subconjunto de requisitos del MASVS de nivel 1 que se pueden probar y que están disponibles en GitHub aquí.
¿Durante cuánto tiempo es válida la certificación?
1 año. Después de 1 año, el desarrollador es responsable de volver a certificar su app.
¿Qué niveles de certeza proporciona la MASA y cuál es la diferencia entre ellos?
MASA ofrece dos niveles de garantía: AL1, una autoevaluación con un análisis de APK y un cuestionario, y AL2, una evaluación de laboratorio integral con análisis estáticos y dinámicos que le otorga a tu app la insignia "Revisión de seguridad independiente" en Play Store.
¿Cuánto cuesta?
Las tarifas varían según el socio de laboratorio, pero, en promedio, puedes esperar que la evaluación cueste entre USD 3,000 y USD 6,000 para AL2 y USD 500 para AL1.
¿Cuánto tarda el proceso?
Una vez que completes los trámites necesarios, el lab suele emitir su evaluación en el término de 10 días. Los plazos de finalización pueden variar según los comentarios del laboratorio y la capacidad de tu equipo para implementar los cambios rápidamente.
¿Quiénes son los socios del lab?
Google incorporó un conjunto de laboratorios autorizados para realizar las evaluaciones de apps. Todos los laboratorios autorizados proporcionan pruebas de seguridad integrales y ofrecen a los desarrolladores los medios para obtener la certificación según los estándares publicados.
¿Cómo empiezo?
Los desarrolladores tienen la oportunidad de trabajar directamente con un lab autorizado para iniciar el proceso de prueba. Las tarifas o la documentación obligatoria se manejarán directamente entre el lab y el desarrollador.
¿Puedo enviar mi propia prueba o usar un laboratorio diferente?
Por el momento, solo aceptamos los resultados de las evaluaciones de los socios de laboratorios autorizados por MASA.
¿Mis competidores verán los resultados de las pruebas? ¿Se darán a conocer los resultados de mi prueba?
Los resultados de la prueba inicial solo se compartirán con tu equipo. Una vez que la app cumpla con todos los requisitos, el lab enviará un informe de resumen a Google, que estará disponible para el público en un directorio de MASA que se lanzará en el futuro. El resumen del informe se limita al alcance de las pruebas y no incluye ningún hallazgo sensible relacionado con tu app. Tienes el control total sobre cuándo deseas hacer públicos estos resultados.
¿Hay alguna forma de mostrar esto en nuestra ficha de Google Play?
La forma principal en que se mostrará a los usuarios es a través de la sección de Seguridad de los datos mediante una insignia de seguridad. Esta opción solo está disponible para las aplicaciones que completaron la evaluación de AL2. Estamos explorando formas de mostrar esta información a más usuarios en Play.
¿Cuánto tiempo tardan en aparecer los resultados en la etiqueta de Seguridad de los datos?
Una vez que actualices la sección de Seguridad de los datos para indicar que tu app “se validó de forma independiente”, la designación aparecerá en la etiqueta de Seguridad de los datos en un plazo de una semana.
¿Cómo debo hacer referencia a este programa de forma externa?
Los desarrolladores que completaron la certificación pueden decir que se validaron de forma independiente a través de la App Defense Alliance.
¿Un desarrollador debe volver a obtener la certificación para cada actualización o lanzamiento de su app?
No, la certificación de MASA es anual y se diseñó como una evaluación puntual. Los desarrolladores deben seguir manteniendo el cumplimiento mediante evaluaciones internas como parte de su ciclo de vida de desarrollo de la seguridad.
¿Quién hará un seguimiento de los requisitos de recertificación anuales para estas apps y quién notificará a los desarrolladores cuando venza su certificación?
Es responsabilidad del desarrollador mantener su certificación válida.
¿Google tendrá acceso a alguno de los resultados o hallazgos del lab?
Google solo recibe un informe de validación de los socios de Authorized Labs que indica si la app cumple con los requisitos o no. No se comparten ni divulgan códigos de aplicaciones, resultados de análisis ni hallazgos de vulnerabilidades a Google como parte de la verificación.
¿Qué sucede si no estoy de acuerdo con los resultados del laboratorio o de la evaluación?
Las evaluaciones de MASA las realizan laboratorios autorizados externos. Si no estás de acuerdo con los resultados de la evaluación o tienes preguntas sobre el estado de tu cumplimiento, puedes apelar directamente al laboratorio que inició las pruebas de tu app.
¿Qué sucede si publico mi aplicación por primera vez?
Los desarrolladores pueden enviar una compilación previa al lanzamiento al laboratorio para realizar pruebas anticipadas, pero la versión final y certificada debe ser el APK oficial publicado en Google Play Store.
¿El lab podrá revisar mi app si está ofuscada?
La ofuscación puede dificultar que las herramientas de pruebas de lab evalúen tu aplicación. En estos casos, es posible que debas enviar recursos adicionales a los labs para facilitar las pruebas y que se apliquen tarifas adicionales.