Questions fréquentes sur le programme MASA

Quel est l'intérêt de ce programme pour les développeurs ?

Effectuer des tests de sécurité réguliers pour votre application peut vous aider à identifier les principales failles de votre application et à réduire les risques de responsabilité à l'avenir. Google Play permettra aux développeurs qui ont été validés de manière indépendante de le faire sur le formulaire sur la sécurité des données.

Quel est l'intérêt pour les utilisateurs ?

Les utilisateurs peuvent avoir l'assurance que les applications ont été validées par des experts externes, et avoir plus d'assurance sur la sécurité que proposent ces offres.

Quels types d'applications s'appliquent à ce programme ?

Le service OWASP MASVS s'applique à toutes les applications mobiles, y compris aux catégories d'applications IoT, de remise en forme/de santé, de réseaux sociaux, de communication, de VPN et de productivité.

Quelle est la portée de l'évaluation ?

L'évaluation comprend la sécurité côté client, l'authentification au service backend/cloud et la connectivité au service backend/cloud, en examinant la sécurité générale et certaines bonnes pratiques en matière de confidentialité.

Quels types de scénarios de test allez-vous couvrir ?

L'évaluation examinera un sous-ensemble d'exigences MASVS de niveau 1 pouvant être testées et disponibles sur GitHub.

Quelle est la durée de validité du certificat ?

1 an Après un an, le développeur est tenu de renouveler la certification de son application.

Quel est le coût ?

Les frais varient en fonction du partenaire de l'atelier, mais en moyenne, vous pouvez vous attendre à un coût compris entre 3 et 6 000 $.

Combien de temps dure la procédure ?

Une fois les documents nécessaires terminés, vous devriez recevoir une évaluation de l'atelier sous 10 jours. Les délais de réalisation peuvent varier en fonction des commentaires des ateliers et de la capacité de votre équipe à implémenter les modifications rapidement.

Qui sont les partenaires de l'atelier ?

Google a intégré un ensemble d'ateliers autorisés pour effectuer des évaluations de vos applications. Tous les ateliers autorisés proposent des tests de sécurité complets et offrent aux développeurs les moyens d'obtenir une certification par rapport aux normes publiées.

Que dois-je faire pour commencer ?

Les développeurs ont la possibilité de travailler directement avec un laboratoire autorisé pour lancer le processus de test. Les frais ou documents nécessaires seront traités directement entre l'atelier et le développeur.

Puis-je envoyer mon propre test ou utiliser un autre atelier ?

Pour le moment, nous n'acceptons que les résultats d'évaluation émis par les partenaires d'ateliers autorisés par le MASA. Si vous travaillez avec un atelier qui souhaite participer au programme, veuillez lui demander de remplir le formulaire disponible ici.

Mes concurrents verront-ils les résultats de mes tests ? Mes résultats de test seront-ils rendus publics ?

Les résultats du test initial ne seront partagés qu'avec votre équipe. Une fois que l'application remplit toutes les conditions requises, un atelier envoie un résumé du rapport à Google, qui est ensuite accessible au public dans un répertoire MASA à venir. Le rapport ne porte que sur le champ d'application du test et n'inclut aucun résultat sensible lié à votre application. Vous contrôlez entièrement la date à laquelle vous souhaitez rendre ces résultats publics.

Est-il possible de le présenter sur notre fiche Google Play ?

La première méthode présentée aux utilisateurs consiste à passer par la section sur la sécurité des données, qui affiche un badge de sécurité. Nous nous efforçons de présenter ces informations à un plus grand nombre d'utilisateurs sur Play.

La certification sera-t-elle obligatoire pour les applications du Google Play Store ?

Pour l'instant, nous n'avons pas l'intention de rendre la certification obligatoire pour les développeurs d'applications.

Combien de temps faut-il pour que les résultats apparaissent sur le libellé "Sécurité des données" ?

Une fois que vous avez mis à jour votre section sur la sécurité des données pour indiquer que votre application a été validée indépendamment, elle apparaît sur votre libellé relatif à la sécurité des données dans un délai d'une semaine.

Comment puis-je mentionner ce programme en externe ?

Les développeurs qui ont obtenu la certification peuvent indiquer qu'ils ont été validés indépendamment par l'Alliance de défense d'applis.