Национальный стандарт для мобильных приложений


(Алексей Комаров) #1

Государство утвердило предварительный стандарт для мобильных приложений в России, который содержит 87 требований к их функционалу, включая возможность бесплатного ознакомления для платных программ. Требования будут носить рекомендательный характер, но, по мнению их авторов, должны стать «ориентиром при разработке продуктов». Сами разработчики считают предложенные в стандарте формулировки спорными.
Коммерсант, 10.07.2018 https://www.kommersant.ru/doc/3682015

Стандарт собираются ввести в действие с 1 октября. Пока он считается предварительным, а через три года получит бессрочный статус «ГОСТ Р».
Дождь, 10.07.2018 https://tvrain.ru/news/gost-467416/

В проектный технический комитет […] по разработке стандарта мобильных приложений вошли ведущие компании-разработчики приложений, представители Минпромторга России, Министерства Экономического развития РФ, АКИТ, АНО “Институт Развития Интернета” (ИРИ) и другие.
Роскачество, 03.04.2017 https://roskachestvo.gov.ru/news/roskachestvo-razrabotalo-standart-kachestva-mobilnykh-prilozheniy-/

Текст проекта стандарта (вариант от 2017 года): https://roskachestvo.gov.ru/upload/iblock/da9/STO-46429990_065_2017.pdf

Выписка из раздела 4.4 Безопасность

4.4.1 Процессы использования и хранения персональных данных мобильным приложением должны соответствовать требованиям Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам [1].
4.4.2 При сборе персональных данных разработчики мобильных приложений обязаны обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации согласно Федеральному закону от 21.07.2014 №242 «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях» [2].
4.4.3 Мобильное приложение должно требовать абсолютный минимум разрешений для работы основной функциональности (не требовать однозначно избыточных разрешений) и объяснять пользователям для чего требуются запрашиваемые разрешения. Осуществление доступа мобильного приложения к телефонной книге контактов пользователя возможно при соблюдении принципов и условий обработки персональных данных, т.е. при наличии правовых оснований устанавливающих соответствующую необходимость для достижения конкретных, заранее определенных и законных целей.
4.4.4 Мобильное приложение должно иметь однозначно трактуемую политику конфиденциальности, которую необходимо разместить в приложении или дать на неё прямую ссылку [1, 3, 8, 10].
4.4.5 Политика конфиденциальности мобильного приложения должна извещать пользователей о том, к каким личным сведениям приложение получает доступ, какие данные собираются и передаются, как они используются и хранятся, как обеспечивается их безопасность, а также кто может получить к ним доступ [1].
4.4.6 Пользовательское соглашение, политика конфиденциальности и другие документы, с которыми должен согласиться пользователь, должны иметь сокращенную версию, в которой сформулированы существенные условия простым и доступным языком [3].
4.4.7 Если приложение собирает, сохраняет или передает персональные данные, оно должно обеспечивать безопасность этих операций с использованием современных надежных методов шифрования и обеспечивать передачу данных по защищенному каналу (например, протокол HTTPS) с использованием методов защиты от перехвата данных в канале связи (например, SSL Pinning) [3, 9].
4.4.8 Приложение должно информировать пользователя о сборе его персональных данных, а также предоставлять возможность отказа пользователя от сбора данных. Пользователь мобильного приложения должен иметь возможность видеть и контролировать сбор своих персональных данных компанией-разработчиком. Приложение должно иметь понятное объяснение того, как пользователи могут контролировать сбор и доступ к персональным данным, а также указывать, используется ли их информация для рекламы [3].
4.4.9 Мобильное приложение должно использовать персональные данные пользователей только для оправданных целей, которые необходимы для ключевой функциональности приложения [1, 3, 8].
4.4.10 Компания-разработчик должна ограничить и контролировать доступ своих сотрудников к информации о пользователях и их персональных данных [3].
4.4.11 Пользователь мобильного приложения должен иметь возможность удалить свои персональные данные и учетную запись с серверов компании-разработчика (если приложение предлагает процедуру регистрации) посредством функциональности, реализованной в мобильном приложении [3, 10].
4.4.12 Публиковать персональные данные пользователей во внешней службе или передавать их третьей стороне через приложение или его метаданные можно только после получения явного согласия пользователей [1, 3].
4.4.13 Мобильное приложение должно требовать регистрацию или авторизацию пользователя только, если это необходимо для пользования приложением (например, чтобы войти под существующим аккаунтом).
4.4.14 Мобильное приложение должно откладывать регистрацию или авторизацию пользователя настолько долго, насколько это возможно. При этом следует объяснить пользователю преимущества регистрации. У пользователя должна быть возможность использовать базовую функциональность мобильного приложения без процедуры прохождения регистрации и авторизации.
4.4.15 Мобильное приложение должно иметь опциональную возможность по установке пароля и входа по биометрическим данным, если предполагает запись и хранение каких-либо данных пользователя [3].
4.4.16 Мобильное приложение должно успешно противостоять 10 основным актуальным угрозам безопасности мобильных приложений по версии организации OWASP и не иметь критических уязвимостей [3, 4].
4.4.17 Мобильное приложение не должно содержать или включать вредоносное программное обеспечение, в том числе программы-трояны и шпионы, которые похищают данные, тайно записывают действия пользователя, вымогают деньги или вредят ему иным образом [3, 9, 10].
4.4.18 Мобильное приложение должно использовать API покупки используемой платформы для продажи цифровых элементов или служб, потребляемых или используемых в приложении. Для приобретения физических товаров, услуг или благотворительных взносов мобильное приложение должно использовать безопасный сторонний API покупок. Если приложение собирает данные кредитной карты или использует стороннюю процессинговую компанию, собирающую данные карты, то обработка платежа должна выполняться в соответствии с текущими требованиями стандарта безопасности данных индустрии платежных карт (PCI DSS) [9].
4.4.19 Мобильное приложение должно использовать надежные, подтвержденные платформой криптографические алгоритмы и не реализовывать собственных алгоритмов [4].
4.4.20 Контент мобильного приложения должен соответствовать обозначенному возрастному рейтингу и соответствующим соглашениям, нормам, правилам и положениям законов [9,10].
4.4.21 Приложение должно осуществлять проверку на наличие административного доступа (root / jailbreak) на установленной операционной системе устройства, в случае, если приложение оперирует платёжными данными пользователя. При обнаружение таких прав допускается пользование приложением в условиях ограниченной функциональности (без совершения критических операций или взаимодействия с персональными данными) [3, 4, 8].


(Алексей Комаров) #2

Новость на сайте Росстандарта (10.07.2018):

Приказом Росстандарта утвержден предварительный национальный стандарт 277-2018 «Российская система качества. Сравнительные испытания мобильных приложений для смартфонов». Документ был разработан АНО «Роскачество» и будет введен в действие c 1 октября 2018 г. сроком на 3 года. В 2021 г. после апробации стандарту будет присвоен статус ГОСТ Р.