Requisitos de SDK

Os desenvolvedores geralmente dependem de código de terceiros (por exemplo, SDKs) para integrar funcionalidades e serviços importantes aos apps. Ao incluir um SDK no seu app, é importante manter os usuários seguros e o app protegido contra vulnerabilidades. Nesta seção, demonstramos como alguns dos nossos requisitos de privacidade e segurança se aplicam ao contexto do SDK e são projetados para ajudar os desenvolvedores a integrar SDKs aos apps com segurança.

Ao incluir um SDK no seu app, você é responsável por garantir que o código e as práticas de terceiros não façam o app violar as Políticas do programa para desenvolvedores do Google Play. É importante entender como os SDKs no app lidam com os dados do usuário e saber quais permissões eles usam, quais dados eles coletam e por quê.  Lembre-se de que a coleta e o manuseio de dados do usuário por um SDK precisam estar alinhados com o uso desses dados em conformidade com a política do app.

Para garantir que o uso de um SDK não viole os requisitos da política, leia e entenda as seguintes políticas na íntegra e observe os requisitos relativos a SDKs abaixo:

Política de dados do usuário

Você precisa ser transparente sobre como lida com os dados do usuário (por exemplo, dados coletados do usuário ou sobre ele, incluindo informações do dispositivo). Isso significa divulgar o acesso, a coleta, o uso, o tratamento e o compartilhamento dos dados do usuário do seu app e limitar o uso dos dados às finalidades divulgadas em conformidade com a política.

Se você inclui código de terceiros, como um SDK, no seu app, é necessário garantir que o código usado e as práticas do terceiro em relação aos dados do usuário do app obedeçam às Políticas do programa para desenvolvedores do Google Play, incluindo os requisitos de uso e divulgação. Por exemplo, você precisa garantir que os fornecedores de SDK não vendam os dados pessoais e sensíveis dos usuários do app. Esse requisito se aplica mesmo se a transferência dos dados do usuário for após o envio ao servidor ou ao incorporar código de terceiros no app.

Dados pessoais e sensíveis do usuário

  • Limite o acesso, a coleta, o uso e o compartilhamento de dados pessoais e sensíveis coletados pelo app à funcionalidade do app e do serviço e às finalidades que estão em conformidade com a política e atendem às expectativas do usuário.
    • Os apps que estendem o uso de dados pessoais e sensíveis do usuário para veiculação de anúncios precisam obedecer à política de anúncios do Google Play.
  • Lide com todos os dados pessoais ou sensíveis de usuários de maneira segura, incluindo a transmissão desses dados por criptografia moderna, como HTTPS.
  • Use uma solicitação de permissões de execução sempre que disponível, antes de acessar os dados controlados por permissões do Android.

Venda de dados pessoais e sensíveis do usuário

Não venda dados pessoais e sensíveis do usuário.

  • "Venda" significa a troca ou transferência de dados sensíveis e pessoais do usuário para um terceiro por compensação monetária.
    • A transferência de dados pessoais e sensíveis iniciada pelo usuário (por exemplo, quando o usuário está usando um recurso do app para transferir um arquivo a um terceiro ou quando o usuário escolhe usar um app de pesquisa de finalidade dedicada) não é considerada como venda.

Requisitos de consentimento e declaração em destaque

Quando o app acessar, coletar, usar ou compartilhar dados pessoais e sensíveis do usuário de maneira que não corresponda às expectativas do usuário do produto ou recurso em questão, é necessário obedecer à solicitação de consentimento e declaração em destaque da política de dados do usuário.

Se o app integrar código de terceiro, como um SDK, feito para coletar dados pessoais e sensíveis do usuário por padrão, você precisa, até duas semanas após receber uma solicitação do Google Play (ou, se o pedido do Google Play oferecer um prazo mais longo, dentro desse período), oferecer evidência suficiente mostrando que o app obedece à solicitação de consentimento e declaração em destaque da política, incluindo em relação ao acesso, à coleta, ao uso ou ao compartilhamento de dados por código de terceiro.

Verifique se o uso de código de terceiros (por exemplo, um SDK) não faz seu app violar a política de dados do usuário.

Consulte este artigo da Central de Ajuda para mais informações sobre à solicitação de consentimento e declaração em destaque.

Exemplos de violações causadas pelo SDK

  • Um app com um SDK que coleta informações pessoais e sensíveis do usuário e não as trata como sujeitas aos requisitos da política de dados do usuário, de acesso, de tratamento de dados (incluindo a proibição de venda) e de solicitação de consentimento e declaração em destaque
  • Um app integra um SDK que coleta dados pessoais e sensíveis do usuário por padrão, violando os requisitos desta política em relação ao consentimento do usuário e à declaração em destaque. 
  • Um app com um SDK que declara coletar dados pessoais e sensíveis do usuário apenas para oferecer funcionalidade antifraude e antiabuso, mas também compartilha essas informações com terceiros para publicidade ou análise. 
  • Um app inclui um SDK que transmite informações de pacotes instalados pelos usuários sem atender às diretrizes da declaração em destaque e/ou às diretrizes da política de privacidade

Requisitos adicionais para acesso a dados pessoais e sensíveis

A tabela abaixo descreve os requisitos para atividades específicas.

Atividade  Requisito
Seu app coleta ou vincula identificadores de dispositivo persistentes (por exemplo, IMEI, IMSI, número de série do chip etc.).

Identificadores de dispositivo persistentes não podem ser vinculados a outros dados pessoais e sensíveis de usuários ou identificadores de dispositivo redefiníveis, exceto em casos de:

  • telefonia vinculada a uma identidade do chip (por exemplo, chamada de Wi-Fi vinculada à conta da operadora);
  • apps de gerenciamento de dispositivos corporativos que usam o modo proprietário do dispositivo.

Esses usos precisam ser divulgados com destaque aos usuários, conforme especificado na política de Dados do usuário.

Consulte este recurso para identificadores únicos alternativos.

Acesse a política de Anúncios para ver diretrizes adicionais sobre o ID de publicidade do Android.
O público-alvo do seu app inclui crianças. Seu app só pode incluir SDKs autocertificados para uso em serviços feitos para crianças. Consulte o Programa de SDKs de anúncio autocertificados para famílias para ver a linguagem e os requisitos completos da política. 

 

Exemplos de violações causadas pelo SDK

  • Um app usando um SDK que vincula o ID do Android ao local 
  • Um app com um SDK que conecta o AAID a identificadores de dispositivos permanentes para qualquer finalidade de publicidade ou análise. 
  • Um app usando um SDK que conecta o AAID e o endereço de e-mail para fins de análise.

Seção "Segurança dos dados"

Todos os desenvolvedores precisam ter uma seção "Segurança dos dados" clara e precisa em cada app, detalhando a coleta, o uso e o compartilhamento de dados do usuário. Isso inclui dados coletados e processados por bibliotecas ou SDKs de terceiros usados nos apps. O desenvolvedor é responsável pela precisão do marcador e por manter as informações atualizadas. Quando relevante, essa seção precisa ser consistente com as divulgações feitas na Política de Privacidade do app.

Consulte este artigo da Central de Ajuda para saber como preencher a seção "Segurança dos dados".

Consulte a política de dados do usuário.
Política de permissões e APIs que acessam informações sensíveis

As solicitações de permissões e de APIs que acessam informações sensíveis precisam fazer sentido para os usuários. O app só pode solicitar permissões e APIs que acessam informações sensíveis necessárias para implementar recursos ou serviços atuais promovidos na página "Detalhes do app". Não use permissões ou APIs que acessam informações sensíveis com acesso a dados do usuário ou do dispositivo para finalidades ou recursos não revelados, não implementados ou não permitidos. Dados pessoais ou sensíveis acessados por permissões ou APIs que acessam informações sensíveis não podem ser vendidos nem compartilhados com a finalidade de facilitar uma venda.

Consulte a Política de permissões e APIs que acessam informações sensíveis.

Exemplos de violações causadas pelo SDK

  • O app inclui um SDK que solicita a localização em segundo plano para uma finalidade não permitida ou não divulgada. 
  • O app inclui um SDK que transmite IMEI derivado da permissão read_phone_state do Android sem o consentimento do usuário.
Política de malware
Nossa política contra malware é simples: o ecossistema Android, inclusive a Google Play Store, e os dispositivos do usuário não podem apresentar comportamentos maliciosos (por exemplo, malware). Com base nesse princípio fundamental, buscamos fornecer um ecossistema Android seguro para os usuários e os dispositivos Android deles.

 Malware é qualquer código capaz de colocar um usuário, os dados dele ou um dispositivo em risco. O malware inclui aplicativos potencialmente nocivos (PHAs), binários ou modificações do framework que consistem em apps de trojans, phishing e spyware, entre outros. Além dessas, estamos continuamente atualizando e adicionando novas categorias.

Os requisitos da política também se aplicam a todo código de terceiros (por exemplo, SDKs) que você inclua no seu app.

Consulte a política de malware.

Exemplos de violações causadas pelo SDK

  • Um app que inclui bibliotecas de SDK de provedores que distribuem software malicioso.
  • Um app que viola o modelo de permissões do Android ou rouba credenciais (como tokens OAuth) de outros apps
  • Apps que abusam de recursos para impedir que sejam desinstalados ou interrompidos
  • Um app que desativa o SELinux
  • Um app que inclui um SDK que viola o modelo de permissões do Android ao receber privilégios elevados com acesso aos dados do dispositivo para uma finalidade não divulgada
  • Um app que inclui um SDK com código que induz os usuários a assinar ou comprar conteúdo com faturamento via operadora

Apps com escalonamento de privilégios que dão acesso root a dispositivos sem a permissão do usuário são considerados apps de acesso root.

Spyware

O spyware é um comportamento, código ou aplicativo malicioso que coleta, extrai ou compartilha dados do dispositivo ou do usuário que não têm relação com as funcionalidades que obedecem à política.

Um código ou comportamento malicioso que pode ser considerado espionagem ou extrai dados do usuário sem o devido consentimento ou aviso também é identificado como spyware.

Leia a política contra spyware na íntegra.

Confira alguns exemplos de violações de spyware causadas por SDK:

  • Um app que usa um SDK que transmite dados de gravações de áudio ou chamada em algum caso não relacionado à funcionalidade do app que obedece à política
  • Um app com código malicioso de terceiros (por exemplo, um SDK) que transmite dados para fora do dispositivo de maneira inesperada ao usuário e/ou sem o devido consentimento ou aviso
Política de software indesejado para dispositivos móveis

Comportamento transparente e divulgações claras

Todos os códigos precisam cumprir as promessas feitas ao usuário. Os apps precisam fornecer todas as funcionalidades informadas. Os apps não podem confundir os usuários.

Exemplos de violação:

  • Fraude de anúncio
  • Engenharia social

Proteção dos dados do usuário

Divulgue com clareza e transparência o acesso, o uso, a coleta e o compartilhamento de dados pessoais e sensíveis do usuário. As aplicações dos dados do usuário precisam estar de acordo com todas as políticas relevantes sobre o assunto, quando aplicáveis, e é necessário tomar todas as precauções para proteger os dados.

Exemplos de violação:

  • Coleta de dados (confira a seção sobre spyware)
  • Abuso de permissões restritas

Consulte a política de software indesejado para dispositivos móveis
Política de abuso de dispositivos e de rede

Não são permitidos apps que causem danos, interferências ou interrupções ou acessem de maneira não autorizada o dispositivo do usuário, assim como outros dispositivos ou computadores, servidores, redes, interfaces de programação do aplicativo (APIs) ou serviços. Isso inclui, sem limitação, outros apps no dispositivo, qualquer serviço do Google ou uma rede de operadora de telefonia autorizada.

Apps ou código de terceiros (por exemplo, SDKs) com linguagens interpretadas (JavaScript, Python, Lua etc.) carregadas em tempo de execução (por exemplo, não empacotadas com o app) não podem permitir possíveis violações das políticas do Google Play.

Não são permitidos códigos que introduzam ou explorem vulnerabilidades de segurança. Confira o Programa de melhoria da segurança dos aplicativos para saber mais sobre os problemas de segurança mais recentes sinalizados para os desenvolvedores.

Confira a política de abuso de dispositivos e de rede.

Exemplos de violações causadas pelo SDK

  • Apps que facilitam serviços de proxy para terceiros, o que só pode ser feito se essa for a finalidade principal do app.
  • O app inclui um SDK que faz download de código executável, como arquivos DEX ou código nativo, de uma fonte diferente do Google Play.
  • O app inclui um SDK contendo um WebView com interface JavaScript adicionada que carrega conteúdo da Web não confiável (por exemplo, URL http://) ou URLs não verificados obtidos de fontes não confiáveis (por exemplo, URLs obtidos com intents não confiáveis).
  • O app inclui um SDK que tem código usado para atualizar o próprio APK.
  • O app inclui um SDK que expõe os usuários a uma vulnerabilidade de segurança ao fazer o download de arquivos com uma conexão sem segurança.
  • O app usa um SDK que tem código para fazer download ou instalar apps de fontes desconhecidas fora do Google Play.
  • O app inclui um SDK que usa serviços em primeiro plano sem um caso de uso adequado.
  • O app inclui um SDK que usa serviços em primeiro plano para um motivo que obedece às políticas, mas não declara isso no manifesto.
Política contra comportamento enganoso

Não são permitidos apps que tentam enganar os usuários ou permitem comportamento desonesto, incluindo, mas não se limitando a, apps com uma funcionalidade impossível. Os apps precisam incluir divulgação, descrição e imagens/vídeos precisos das funções em todos os metadados. Os apps não podem tentar imitar a funcionalidade ou os avisos do sistema operacional ou de outros apps. As mudanças nas configurações do dispositivo precisam ser facilmente reversíveis pelo usuário e ter o conhecimento e consentimento dele.

Confira a política contra comportamento enganoso na íntegra.

Transparência em relação ao comportamento

A funcionalidade do app precisa ficar clara para os usuários. Ele não pode incluir recursos ocultos, inativos ou não documentados. É proibido usar técnicas para burlar as avaliações do app. Talvez seja preciso dar mais detalhes sobre o app para garantir a segurança dos usuários, a integridade do sistema e a conformidade com as políticas.

Exemplo de violação causada por um SDK

  • Seu app tem um SDK que usa técnicas para escapar das revisões.

Que políticas para desenvolvedores do Google Play geralmente são associadas a violações causadas por SDKs?

Para ajudar você a garantir que todos os códigos de terceiros que seu app use estejam em conformidade com as políticas do programa para desenvolvedores do Google Play, consulte as seguintes políticas na íntegra:

Embora essas políticas sejam as mais relevantes, é importante lembrar que um código de SDK inválido pode fazer o app violar uma política diferente não mencionada acima. Leia e fique por dentro de todas as políticas. É sua responsabilidade como desenvolvedor de apps garantir que os SDKs manipulem os dados do app sem violar as políticas.

Para saber mais, visite nossa Central de Ajuda.

Isso foi útil?

Como podemos melhorá-lo?

Precisa de mais ajuda?

Siga as próximas etapas:

Fale conosco Conte mais sobre o problema para podermos ajudar você
true
Pesquisa
Limpar pesquisa
Fechar pesquisa
Google Apps
Menu principal
5137025428967047773
true
Pesquisar na Central de Ajuda
true
true
true
true
true
92637
false
false