Câu hỏi Sử dụng SSL trong ứng dụng iPhone - Tuân thủ xuất


Tôi đang xem xét việc tạo một ứng dụng iPhone sẽ giao tiếp với một dịch vụ Web REST. Bởi vì một số dữ liệu nhạy cảm với người dùng (tên, địa chỉ, tuổi, v.v.) sẽ được truyền đi, tôi đang xem xét việc bảo mật các kết nối với SSL.

Tuy nhiên, trên những lần trốn thoát trước đây của tôi vào việc gửi App Store, tôi thấy rằng câu hỏi đầu tiên tôi được hỏi là "Ứng dụng của bạn có sử dụng mã hóa không?" và tùy thuộc vào câu trả lời cho câu hỏi này và các câu hỏi tiếp theo khác, có thể yêu cầu tuân thủ xuất khẩu của Hoa Kỳ.

Công ty của tôi không có trụ sở tại Hoa Kỳ, cũng như chúng tôi không có văn phòng ở Hoa Kỳ.

Có ai khác đã gửi ứng dụng bằng SSL cho loại mục đích này không? Nếu vậy, bạn có cần phải làm bất cứ điều gì để được phép sử dụng nó, hoặc từ Apple hay từ chính phủ Hoa Kỳ?


66
2018-01-24 21:25


gốc


Bạn đã sử dụng ERN hay CCATS? - Dan P.
Chú thích: Đã có những thay đổi đáng kể đối với BIS EAR Septrmber 20, 2016, xem câu trả lời của @ user3562927. Hầu hết các đăng ký không còn cần thiết nữa. - zaph


Các câu trả lời:


Cập nhật kể từ ngày 20 tháng 9 năm 2016

ERN không còn cần thiết, vì vậy có vẻ như nhiều ứng dụng sẽ không còn cần phải đăng ký với chính phủ Hoa Kỳ nữa. (Mặc dù bạn vẫn có thể cần phải nộp một phần bổ sung hai năm một lần cho Báo cáo số 8 đến Phần 742.) http://www.bis.doc.gov/InformationSecurity2016-updates

(Cảm ơn @EugenioDeHoyos và @ user3562927 đã chỉ ra điều này!)

Chính phủ Pháp vẫn phải đăng ký bán ở Pháp.

Các Câu hỏi thường gặp về iTunes Connect đã được cập nhật để bao gồm thay đổi này và là tài liệu tham khảo dễ đọc nhất mà tôi đã tìm thấy.

Câu trả lời cũ

Quá trình này đã thay đổi, kể từ Mùa hè năm 2010, và bạn (có thể) cần một ERN ngay bây giờ, không phải là CCATS khi cần thiết vào thời điểm John viết câu trả lời của mình.

Xem Apple iTunes hạn chế xuất khẩu trên các ứng dụng. Các kết nối iTunes faq cũng chứa rất nhiều thông tin hữu ích về tuân thủ xuất khẩu.

Hiện cũng có những hạn chế áp dụng cho việc phân phối ứng dụng có mã hóa trên cửa hàng ứng dụng của Pháp - xem câu hỏi thường gặp về kết nối itunes và Chuỗi tuân thủ xuất khẩu của Pháp trên devforums.


46
2018-01-20 18:29



Cảm ơn bạn đã cập nhật - rất tốt để biết. - John
Bạn cũng có thể thấy liên kết này hữu ích: iphonedevsdk.com/forum/business-legal-app-store/… - Jay Dinse
Kể từ ngày 20 tháng 9 năm 2016, đây KHÔNG PHẢI chính xác hơn. Bạn không cần phải đăng ký qua US BIS nữa, nhưng bạn vẫn cần phân loại ứng dụng của mình như sử dụng mã hóa thông qua Apple. Xem câu trả lời của @ user3562927 bên dưới và xem tài liệu này, đặc biệt là "Đăng ký mã hóa không còn cần thiết nữa - một số thông tin từ đăng ký hiện được đưa vào báo cáo Phụ lục số 8 đến Phần 742". bis.doc.gov/InformationSecurity2016-updates - Eugenio De Hoyos
@EugenioDeHoyos Tuyệt vời, cảm ơn vì đã chỉ ra điều này! Tôi đã cập nhật câu trả lời của mình. - JosephH
@BrianKnoblauch See bis.doc.gov/index.php/documents/regulation-docs/… phần 'H SUP TRỢ KHÔNG. 8 ĐẾN PHẦN 742 - BÁO CÁO TỰ CHỨNG NHẬN CHO MẶT HÀNG ENCRYPTION 'để biết chi tiết về tệp CSV cần được gửi qua email. Nó vẫn không hoàn toàn rõ ràng với tôi khi bạn làm / không cần phải gửi một báo cáo như vậy. Tôi nghi ngờ có khả năng rất nhiều người nên làm như vậy không làm như vậy. - JosephH


Tôi thực sự đã quay lại Apple và nó chỉ ra rằng bất kỳ ứng dụng nào sử dụng SSL làm cần phê duyệt (không may). Có vẻ như một số trường hợp ngoại lệ, chẳng hạn như nếu ứng dụng chỉ sử dụng SSL cho một giao dịch thanh toán duy nhất.

Có nhiều thông tin hơn trong Mã hóa thị trường hàng loạt CCATS Phân loại hàng hóa cho các ứng dụng iPhone trong 8 bước dễ dàng và Tuân thủ xuất khẩu mã hóa iPhone cho các ứng dụng tạo kết nối HTTPS (TLS).


10
2018-02-07 23:17



Nó cũng phụ thuộc vào việc sử dụng mật mã. Nếu bạn chỉ sử dụng mật mã để xác thực, thì bạn không cần giấy phép xuất khẩu của Bộ Thương mại. Vì thế eNULL bộ mã hóa là OK (nhưng tôi không chắc chắn chúng hữu ích như thế nào). - jww
Liên kết thứ hai đã chết. - DevC
Liên kết đầu tiên cũng đã chết - andrewb
liên kết đã chết, cả hai đều - Mike


Tất cả những câu trả lời này đều lỗi thời kể từ ngày 20 tháng 9 năm 2016. Tôi vừa tắt điện thoại với những người SNAP-R (chính phủ), và họ nói rằng luật mới đã hạ cánh vào ngày 20 tháng Chín. Quy định mới loại bỏ yêu cầu đăng ký ứng dụng của bạn đơn giản chỉ vì nó sử dụng mã hóa.

Tôi mô tả ứng dụng của tôi (một trò chơi) cho họ, và họ nói đó là một "EAR-99", có nghĩa là tôi không phải đăng ký. Có khả năng Apple sắp sửa cập nhật trang web của họ. Nhưng trong thời gian chờ đợi, nếu bạn đang cố gắng trải qua quá trình này bởi vì bạn sử dụng SSL / HTTPS, hãy dừng ngay bây giờ. Bạn thậm chí sẽ không thành công trong việc điền vào các biểu mẫu, bởi vì chúng đã thay đổi đáng kể.


10
2017-09-30 20:30



Một số liên kết đến thay đổi 9/20: Các thay đổi đối với các điều khiển bảo mật thông tin của BIS mang lại các điều khiển thoải mái, loại bỏ yêu cầu đăng ký Dentons, Hoa Kỳ triển khai các thay đổi về quy định đối với các sản phẩm mã hóa, phần mềm và công nghệ Shadden, Quy chế quản lý xuất khẩu (EAR) BIS. - zaph
Tôi cũng đã trải qua điều này. Ứng dụng trực tuyến SNAP-R không cho phép bạn tạo Mục công việc "Đăng ký mã hóa" nữa. Tôi cũng nói chuyện với họ trên điện thoại và họ nói với tôi rằng tính đến ngày 20 tháng 9, việc đăng ký không còn cần thiết nữa. Bạn vẫn cần phải phân loại ứng dụng của mình thông qua Apple như sử dụng mã hóa, nhưng bạn không cần điền "Đăng ký mã hóa" bổ sung nữa. - Eugenio De Hoyos
Lưu ý dòng, "Đăng ký mã hóa không còn cần thiết - một số thông tin từ đăng ký bây giờ đi vào báo cáo Phụ lục số 8 đến Phần 742". trong bản tóm tắt cập nhật BIS sau: bis.doc.gov/InformationSecurity2016-updates - Eugenio De Hoyos
có, nhưng chúng tôi sẽ cần phải gửi một "báo cáo tự phân loại" mở rộng (trên cơ sở hàng năm) hoặc yêu cầu phân loại từ BIS? (argh ...) - fledge
Từ những gì tôi đọc vào thời gian này nó xuất hiện mà ngay cả khi không cần đăng ký (thông qua ngoại lệ), nếu bạn sử dụng TLS bạn cần phải làm điều đó tự phân loại báo cáo hàng năm ... bis.doc.gov/index.php/policy-guidance/encryption/…  - "Báo cáo tự phân loại hàng năm là yêu cầu đối với các mặt hàng được xuất khẩu theo Giấy phép Ngoại lệ ENC - 740.17 (b) (1), KHÔNG ĐƯỢC PHÉP Phân loại hàng hóa (CCATS) cho mặt hàng đó". - Brian Knoblauch


Tôi tìm thấy bài viết này từ một người đã trải qua quá trình gần đây (tháng 12 năm 2015) vô cùng Hữu ích. Sự đồng thuận tổng thể dường như là bạn thực sự cần phải trải qua quá trình này ngay cả khi bạn chỉ đang sử dụng một cuộc gọi REST sử dụng SSL. Bài viết này sẽ giúp bạn chạy qua quy trình một cách nhanh chóng.

https://carouselapps.com/2015/12/15/legally-submit-app-apples-app-store-uses-encryption-obtain-ern/


7
2017-12-30 17:46





Bây giờ vào tháng 11 năm 2017 ...

Đây là công cụ pháp lý thực sự, vì vậy đây là gợi ý cho những gì tôi thấy hữu ích và cách tôi đã giải thích mọi thứ. Đừng coi đó là lời khuyên (không phải).

Câu hỏi thường gặp của Apple như được đề cập trong các câu trả lời khác ở đây là một nơi khởi đầu tuyệt vời: https://itunespartner.apple.com/en/apps/faq/Managing%20Your%20Apps_Export%20Compliance

Điều này dẫn đến việc làm như sau: Trong iTunes Connect, truy cập Ứng dụng của bạn. Chọn tab 'các tính năng' ở trên cùng và chọn 'Mã hóa' ở bên cạnh. Nhấp vào 'Thêm tài liệu tuân thủ xuất khẩu cho iOS' trong trang chính. Câu hỏi đầu tiên cho biết: 'Tuân thủ xuất khẩu: Ứng dụng của bạn được thiết kế để sử dụng mật mã ...' Chọn 'Có'. Các câu hỏi sau đây nói (và tôi sao chép và dán):

Ứng dụng của bạn có đáp ứng bất kỳ điều nào sau đây không:
  (a) Đủ điều kiện cho một hoặc nhiều miễn trừ được cung cấp theo loại 5 phần 2
  (b) Sử dụng mã hóa được giới hạn trong việc mã hóa bên trong hệ điều hành (iOS hoặc macOS)
  (c) Chỉ thực hiện cuộc gọi qua HTTPS
  (d) Ứng dụng chỉ được cung cấp ở Hoa Kỳ và / hoặc Canada

(c) là tham chiếu kiểu SSL (theo câu hỏi của bạn), vì vậy hãy chọn Có cho câu hỏi này. [Lưu ý phần dưới cùng của hướng dẫn trên màn hình này có liên kết đến liên kết Câu hỏi thường gặp ở trên]

Khi chọn 'Có' một trong các hộp hướng dẫn bật lên nói (và tôi trích dẫn):

Nếu bạn đang sử dụng ATS hoặc thực hiện cuộc gọi đến HTTPS, xin lưu ý rằng bạn được yêu cầu gửi báo cáo phân loại tự kết thúc vào cuối năm cho chính phủ Hoa Kỳ. Tìm hiểu thêm

Và trở lại trong Câu hỏi thường gặp, một trích dẫn chính là:

Tại sao ứng dụng của tôi yêu cầu xem xét mã hóa nếu tôi không sống ở Hoa Kỳ? Tôi có thể bỏ qua việc xem xét mã hóa nếu tôi chỉ phát hành ứng dụng của mình ở quốc gia của tôi không?

Ứng dụng của bạn sẽ được tải lên máy chủ Apple ở Hoa Kỳ, có nghĩa là ứng dụng của bạn sẽ được xuất từ ​​Hoa Kỳ và tuân thủ luật xuất khẩu của Hoa Kỳ. Yêu cầu này áp dụng ngay cả khi bạn chỉ định phân phối trong quốc gia của mình.

Cái cuối cùng tôi nghĩ là trả lời câu hỏi thứ hai của bạn ... Bạn vẫn phải tuân thủ ngay cả khi bạn không ở Mỹ và thậm chí nếu bạn không có ý định phân phối bên ngoài đất nước của bạn ...

Vì vậy, như những gì tôi đọc ngày hôm nay (trong tháng 11 năm 2017), nếu sử dụng SSL (HTTPS) trong ứng dụng iOS, ngay cả khi bên ngoài Hoa Kỳ, các hộp cần được đánh dấu trong iTunes Connect ... (Quá trình bắt đầu theo 'tính năng tab 'được mô tả ở trên). Ngoài ra, bạn cần phải lập báo cáo phân loại hàng năm.

Liên kết trong Câu hỏi thường gặp về Apple liên quan đến vấn đề này hiện đang bị hỏng (khi tôi viết bài này), nhưng liên kết này hữu ích: https://www.bis.doc.gov/index.php/policy-guidance/product-guidance/high-performance-computers/223-new-encryption/1238-how-to-file-an-annual-self- phân loại báo cáo

Trang này bao gồm các địa chỉ email để gửi báo cáo của bạn đến (bạn phải gửi báo cáo đến 2 địa điểm), khi gửi thư và định dạng và thông tin cần gửi (tệp .csv được tạo rất cẩn thận) Tôi không thể tìm thấy điều này với công cụ tìm kiếm bis.doc.gov, nhưng đã tìm thấy nó bằng cách sử dụng một công cụ tìm kiếm chung tìm kiếm 'Báo cáo phân loại tự kết thúc năm'. Vì vậy, nếu liên kết cụ thể này chết trong tương lai, tìm kiếm này có thể giúp tìm bất kỳ thay thế nào :)

Để biết chi tiết về cách tạo tệp .csv này cho Ứng dụng iOS bằng SSL Tôi chưa chắc chắn - Tôi hy vọng sẽ thành công và sẽ chỉnh sửa bài đăng này với chi tiết nếu có vẻ phù hợp.

Mặc dù vậy, trong tài liệu được liên kết này: https://www.bis.doc.gov/index.php/documents/new-encryption/1651-740-17-enc-table/file (bạn có thể cần phóng to để đọc) Tôi tìm ra dòng tương ứng là dòng thứ 3 (b) (1) khi các yêu cầu gửi phù hợp. Nó đề cập đến việc phải

gửi Supp. 8, phần 742, qua email

Tài liệu này cũng có cột ECCN và tôi đang nghĩ đến số ECCN có liên quan là 5A002 dot

Tài liệu tiếp theo này có thêm chi tiết về việc chọn mã ECCN chính xác:

https://www.bis.doc.gov/index.php/documents/new-encryption/1652-cat-5-part-2-quick-reference-guide/file

Đọc này dự đoán tốt nhất hiện tại của tôi là nếu SSL đang được sử dụng như là một phần nhỏ của một ứng dụng này liên quan đến mã 5A002.a.4

CẬP NHẬT:

Vì vậy, ở dưới cùng của bis.doc.gov hướng dẫn mô tả để tạo tệp .csv cho biết:

  • Dòng đầu tiên của báo cáo tự phân loại hàng năm phải bao gồm 12 mục sau: PRODUCT NAME, MODEL NUMBER, MANUFACTURER, ECCN, LOẠI ỦY QUYỀN, LOẠI MẶT HÀNG, SUBMITTER NAME, SỐ ĐIỆN THOẠI, ĐỊA CHỈ E-MAIL, ĐỊA CHỈ DUY TRÌ, NON-USA. LINH, NON-USA ĐỊA ĐIỂM SẢN XUẤT.
  • Không có mục nào được để trống.
  • TÊN SẢN PHẨM và ECCN phải được hoàn thành.
  • Đối với MODEL NUMBER và MANUFACTURER, nếu cần, hãy nhập "NONE" hoặc "N / A".
  • Đối với LOẠI ỦY QUYỀN, nhập ENC hoặc MMKT.
  • Đối với ITEM TYPE, hãy chọn từ danh sách các loại mục được cung cấp trong phần Supp. 8 đến Phần 742 (a) (6).
  • Tiêu đề cột SUBMITTER NAME qua NON-USA. ĐỊA CHỈ SẢN XUẤT liên quan đến toàn bộ công ty, và do đó nên được nhập giống nhau cho mỗi sản phẩm (ví dụ, chỉ một điểm tiếp xúc, một câu trả lời 'CÓ' hoặc 'KHÔNG' cho dù bất kỳ sản phẩm nào được báo cáo kết hợp với nguồn gốc không phải của Hoa Kỳ các thành phần mã hóa và một danh sách các địa điểm sản xuất không phải của Hoa Kỳ, được yêu cầu cho báo cáo). Nhân đôi thông tin này vào mỗi hàng của bảng tính
  • Việc sử dụng dấu phẩy chỉ được phép là dấu phân tách cần thiết giữa 12 mục nhập cho mỗi mục hàng. Chỉ các dấu phẩy được phép là các dấu phẩy được tự động chèn vào trong quá trình chuyển đổi bảng tính.

Sử dụng Bổ sung từ 8 đến Phần 742 — Báo cáo tự phân loại cho các mục mã hóa để được hướng dẫn thêm, tôi đã nhận được tệp .csv như sau:

PRODUCT NAME, MODEL NUMBER, MANUFACTURER, ECCN, AUTHORIZATION TYPE, ITEM TYPE, SUBMITTER NAME, TELEPHONE NUMBER, E-MAIL ADDRESS, MAILING ADDRESS, NON-U.S. COMPONENTS, NON-U.S. MANUFACTURING LOCATIONS
[my-app-name] iOS App,[my-App-version-number],SELF,5A002,ENC,Link encryption,[My-name],[my-phone-number],[my-email],[my address with no commas],YES,[my-location]

Lưu ý rằng đây cũng phải là một tệp .csv được định dạng tốt mà điều này không hoàn toàn. Tôi khuyên bạn nên tạo nội dung nào đó trong bảng tính và lưu dưới dạng tệp .csv

Cũng lưu ý rằng đây không phải là một kết quả được tư vấn - đó là giải thích tốt nhất của tôi là một cá nhân không đủ điều kiện không có lời khuyên. Ví dụ .csv ở dưới cùng của hướng dẫn bis.doc.gov đã giúp tôi tiếp tục và dường như đề xuất rằng ECCN chỉ có thể là 5A002 mà không cần thêm chi tiết. LOẠI ITEM phải được chọn từ danh sách trong Phụ lục số 8 - một thứ khác có thể phù hợp với bản chất của Ứng dụng của bạn tốt hơn. Tôi không chắc chắn về MODEL NUMBER, nhưng ví dụ có vẻ như nó đang sử dụng mô tả loại số phiên bản. Có lẽ App Apple ID sẽ tốt hơn ở đây. Cho nó là tùy chọn, nó có thể không quan trọng ...


6
2017-11-10 21:56



Cảm ơn bạn đã cập nhật: Tôi sẽ tiếp tục với <App name>, <App Sku>, SELF, 5D002, MMKT, Other (iOS App), <Your name>, <Your phone number>, <Your email>, <Your home address>, no, n/a như được đề xuất ở đây simonfairbairn.com/bis-year-end-self-classification-report  ECCN = 5D002 bởi vì SSL là OpenSource AUTHORIZATION TYPE = MMKT bởi vì tôi hy vọng cho "thị trường đại chúng" ^^ ITEM TYPE = (xlix) Khác (vui lòng ghi rõ). - Ronny Elflein r11lein
Nó có vẻ như 5D992 thích hợp cho hầu hết các ứng dụng thị trường đại chúng chỉ sử dụng các thành phần mã hóa như SSL và không 5D002 (xem "Chú giải 3 đến Loại 5, Phần 2"). - Theo


Tôi đã lướt qua câu hỏi này sớm hơn hôm nay và nghĩ rằng tôi sẽ trở lại để báo cáo kinh nghiệm của tôi.

Kiểm tra: http://tigelane.blogspot.com/2011/01/apple-itunes-export-restrictions-on.html cho một quy trình làm việc tốt cho tôi (hãy nhớ đọc toàn bộ nội dung bao gồm các nhận xét - đã có một số thay đổi kể từ bài đăng gốc, chủ yếu là để tốt hơn và thông tin cập nhật nằm trong các nhận xét).

Quá trình này được sắp xếp hợp lý ngay bây giờ (ngoại trừ Safari và Chrome không nhận ra chứng chỉ SSL của trang web của riêng họ. Một chút mỉa mai ở đó. :-); Tôi đã được phê duyệt khoảng 10-15 phút sau khi gửi thông tin.

Tôi đoán rằng điều này đã trở thành một điều thường xuyên cho họ (ít nhất là nếu bạn chỉ sử dụng SSL thay vì một số loại mật mã kỳ lạ).


4
2018-02-01 00:30





Vì ứng dụng đang thiết lập và sử dụng kết nối SSL bảo mật, ứng dụng này được coi là sản phẩm mã hóa. Các điều khiển xuất của Hoa Kỳ phụ thuộc vào việc bạn có sử dụng mã hóa hay không, không phải nơi bạn tìm thấy nó. Việc bạn đang sử dụng chức năng tích hợp thay vì tự viết, sử dụng thư viện thương mại hoặc sử dụng bộ xử lý chuyên dụng thì không thành vấn đề - nó vẫn là một mục mã hóa.

Kiểm tra trang web của BIS tại www.bis.doc.gov/encryption hoặc gọi tới bàn trợ giúp theo số 202-482-0707 nếu bạn muốn thảo luận về các chi tiết cụ thể của ứng dụng của bạn. Nếu bạn tìm ra bạn cần phân loại mã hóa thì liên kết cho SNAPR cũng có.


3
2017-11-09 16:43