پایگاه دانش مایکت

پایگاه دانش مایکت

View Categories

اطلاعات محرمانه، امنیت، حریم شخصی و دسترسی‌ها

ما و توسعه‌دهندگان به امنیت، حریم شخصی و ایجاد محیطی امن برای کاربران متعهد هستیم. فراهم‌کردن فضای امن از اولویت‌های اصلی ما در مایکت است تا کاربران با اطمینان خاطر برنامه‌ها را دانلود کنند. به همین دلیل، برنامه‌هایی که امنیت اطلاعات کاربران را به خطر بیندازند یا اطلاعات شخصی کاربران را به‌طور نادرست استفاده کنند، اجازه انتشار نخواهند داشت.
حفظ حریم خصوصی و امنیت اطلاعات کاربران باید از اولویت‌های برنامه شما باشد. برنامه‌ها باید با استفاده از سطح مجوزهای مناسب، داده‌ها و اطلاعات شخصی کاربران را مدیریت کنند و از سیاست‌های حریم خصوصی پیروی کنند.
برنامه‌هایی که قصد انتشار در مایکت را دارند باید در زمینه اطلاعات محرمانه، حریم شخصی و امنیت کاربران، قوانین مشخصی را رعایت کنند و در زمینه حفظ حریم‌شخصی کاربران ایمن باشند.

در زمان بررسی برنامه یا بازی توسط کارشناس تیم مایکت، نسخه برنامه با استفاده از چندین ابزار امنیتی و نرم‌افزارهای آنتی ویروس بررسی شده و در صورتی که توسط این ابزار‌ها، به عنوان برنامه مخرب یا دارای تهدید برای دستگاه کاربران شناخته شود، امکان انتشار آن در مایکت وجود نخواهد داشت.
لازم است توجه داشته باشید که در برخی مواقع، تکه کدهایی در سورس کد پروژه اپلیکیشن شما قرار گرفته است که موجب شناسایی نسخه برنامه به عنوان تهدید امنیتی و مخرب می‌شود. در نتیجه لازم است که کدهای پروژه خود را به دقت بررسی نمایید تا از بروز این موارد جلوگیری شود.

 

نکات مهم در مدیریت داده‌های کاربران

 

  • کتابخانه‌ها و SDK‌ها: توسعه‌دهندگان باید در انتخاب کتابخانه‌ها و SDK‌هایی که استفاده می‌کنند، دقت کنند تا امنیت اطلاعات کاربران حفظ شود.
  • وب‌‎ویو Webview: در صورتی که برنامه شما از وب‌ویو برای باز کردن سایت‌های دیگر استفاده می‌کند، باید از امنیت سایت مربوطه اطمینان حاصل کنید یا کاربران را به مرورگر خارجی هدایت کنید.

 

انواع اطلاعات کاربران

 

  • موقعیت کاربر: شامل موقعیت تقریبی (مثلاً شهر کاربر) یا موقعیت دقیق (محدوده کمتر از ۳ کیلومتر مربع)
  • اطلاعات شخصی: مانند نام، ایمیل، شماره تلفن همراه و شناسه‌های کاربردی
  • اطلاعات مالی: شامل شماره کارت بانکی و اطلاعات تراکنش‌ها
  • سلامتی و تندرستی: اطلاعاتی مانند سوابق پزشکی یا فعالیت‌های ورزشی
  • پیام‌ها: پیام‌های متنی و ایمیل‌ها
  • مخاطبین: اطلاعات مربوط به مخاطبین کاربر
  • فایل‌ها و اسناد: عکس‌ها، فیلم‌ها، و سایر فایل‌ها و اسناد کاربر
  • فعالیت برنامه: اطلاعات مربوط به نحوه تعامل کاربر با برنامه و تاریخچه جستجوها
  • اطلاعات برنامه و عملکرد: اطلاعات فنی مربوط به عملکرد برنامه
  • شناسه‌های دستگاه: شناسه‌هایی مانند IMEI و آدرس MAC

 

دریافت اطلاعات شخصی کاربران

 

در صورتی که برنامه‌ای اطلاعات حساس یا غیرحساس کاربران خود را جمع‌آوری می‌کند،‌ این امر باید در کمال رازداری باشد و تا زمانی ادامه یابد که مورد نیاز است.
داده‌های شخصی و حساس شامل اطلاعات شناسایی (کد ملی، تاریخ تولد و …)، اطلاعات مالی و پرداخت، اطلاعات احراز هویت، مخاطبین، ایمیل، موقعیت مکانی، پیامک و داده‌های مربوط به تماس، میکروفون، دوربین و موارد مشابه است.

برنامه‌هایی که نسبت به دریافت اطلاعات شخصی کاربران و مواردی مانند شماره حساب و کد ملی اشخاص اقدام می‌کنند، در صورتی که مجوز رسمی چنین اقدامی را نداشته باشند، در مایکت منتشر نخواهند شد.

اگر برنامه شما از این داده‌ها استفاده می‌کند، لازم است که در این رابطه به صورت شفاف به کاربران اطلاع‌رسانی نمایید.
نحوه مدیریت داده‌های کاربران باید کاملاً شفاف باشد. برای مثال، باید به کاربران اطلاع دهید که اطلاعات جمع‌آوری‌شده از آن‌ها برای چه مقاصدی استفاده می‌شود و از اشتراک‌گذاری آن‌ها با دیگران خودداری کنید.

اگر از شماره همراه کاربر فقط برای ثبت‌نام استفاده می‌کنید، باید این استفاده را محدود به همین هدف کنید و آن را در اختیار دیگران قرار ندهید.

در صورت لزوم، متن سیاست حریم خصوصی کاربران، باید درون محیط برنامه یا بازی ارائه شده باشد.
متن حریم خصوصی باید به‌راحتی درون برنامه قابل دسترسی باشد. اگر کاربران می‌توانند بدون نیاز به ثبت‌نام از برنامه استفاده کنند، متن حریم خصوصی باید در جایی قرار گیرد که به راحتی قابل مشاهده باشد. در صورتی که ورود به برنامه نیازمند ثبت‌نام باشد، کاربران باید در مرحله اول ثبت‌نام از نحوه جمع‌آوری، نگهداری و هدف از دریافت اطلاعات به‌طور شفاف مطلع شوند. اطلاعات باید به‌طور کامل و واضح در اختیار کاربران قرار گیرد و برنامه‌ها نباید از اطلاعات کاربران به‌طور مبهم یا نادرست استفاده کنند.

 

دسترسی‌ها و حریم شخصی کاربران

 

تمامی دسترسی‌هایی که توسط اپلیکیشن دریافت می‌شود، باید در راستای عملکرد برنامه یا بازی باشند و اپلیکیشن برای ارائه محتوا یا سرویس، باید به آن دسترسی‌ها نیاز داشته باشد.
در صورت نیاز به دسترسی‌های حساس یا نیاز به دسترسی به اطلاعات دستگاه یا اطلاعات شخصی کاربر، باید این مورد به اطلاع کاربر برسد.

در صورتی که برنامه‌ای به اطلاعات شخصی کاربر و مواردی اعم از:

  • پسوردها
  • آدرس ایمیل
  • دفتر تلفن
  • گالری تصاویر

دسترسی دارد یا از آن‌ها استفاده می‌کند،‌ باید این مورد را به کاربران خود اطلاع دهد.

استفاده از اطلاعات حساس کاربران باید با رضایت قبلی آن‌ها صورت گیرد. برنامه‌هایی که به داده‌های دفترچه تلفن یا تماس‌های کاربران دسترسی پیدا کرده و این اطلاعات را بدون رعایت سیاست‌های حفظ حریم خصوصی افشا می‌کنند، در مایکت منتشر نخواهند شد.

  • برنامه‌هایی که به فهرست برنامه‌های نصب‌شده دسترسی دارند، باید اجازه کاربر را برای این دسترسی کسب کرده و این موضوع را در بخش حریم خصوصی ذکر کنند.
  • دسترسی‌های برنامه باید به‌صورت زمان‌اجرا (Runtime) از کاربران درخواست شود.
  • فروش اطلاعات حساس و شخصی کاربران مجاز نیست.

نمونه‌های نقض حریم خصوصی که در مایکت مجاز نیستند

 

  • برنامه‌هایی که به داده‌های دفترچه تلفن یا تماس‌های کاربران دسترسی پیدا کرده و این داده‌ها را افشا می‌کنند.
  • برنامه‌هایی که اطلاعات مالی کاربران را افشا می‌کنند.
  • برنامه‌هایی که موقعیت مکانی کاربران را جمع‌آوری و بدون اطلاع و اجازه آن‌ها افشا می‌کنند.
  • برنامه‌هایی که اطلاعات حساس و محرمانه دیگران را دریافت یا منتشر می‌کنند.
  • برنامه‌هایی که امکان جعل پیام‌ها و تماس‌ها را فراهم می‌کنند.
  • برنامه‌هایی که بدون اجازه کاربران به فهرست برنامه‌های نصب‌شده آن‌ها دسترسی دارند.

 

درخواست و تأیید رضایت کاربران

 

در مواقعی که ممکن است کاربران به‌طور منطقی انتظار نداشته باشند که داده‌های شخصی یا حساس آن‌ها برای بهبود ویژگی‌ها یا عملکرد برنامه استفاده شود، باید اقدامات زیر انجام شود:

  • هشدار درون‌برنامه‌ای: باید هشداری شامل استفاده از دسترسی‌ها، جمع‌آوری و اشتراک‌گذاری داده‌ها درون برنامه به کاربر ارائه دهید. این توضیحات باید در محلی قرار گیرد که کاربر به‌راحتی ببیند و نیازی به جستجو نداشته باشد.
  • درون برنامه: توضیحات باید درون برنامه باشد و نه تنها در وب‌سایت.
  • توافق‌نامه: می‌توانید توضیحات را به‌صورت توافق‌نامه در اولین اجرای برنامه به کاربر نمایش دهید.
  • رضایت کاربر: تا زمانی که کاربر رضایت ندهد، نمی‌توانید به داده‌های شخصی یا حساس او دسترسی داشته باشید.

 

مواردی که در پیاده‌سازی تأیید رضایت کاربر باید در نظر گرفته شوند:

  • اخطار باید به‌طور واضح و بدون ابهام ارائه شود.
  • تأیید رضایت باید از طریق اقدام مستقیم کاربر (مانند ضربه زدن یا علامت زدن کادر تأیید) صورت گیرد.
  • نباید از سایر اقدامات مانند ضربه زدن به دکمه برگشت یا خانه به عنوان رضایت استفاده کنید و از پیام‌های خودکار یا منقضی شده برای کسب رضایت کاربر بهره نگیرید.

 

برنامه‌ها به هیچ وجه نباید بدون اجازه کاربر، در خارج از محیط برنامه و بر روی دستگاه کاربر تغییری ایجاد کنند. از جمله این تغییرات می‌توان به موارد زیر اشاره کرد:

  • دانلود یا نصب برنامه‌ای دیگر
  • اضافه کردن آیکون‌های مختلف
  • تغییر قالب (Theme) یا تصویر پس‌زمینه (Wallpaper)

اعمال چنین تغییراتی بر روی دستگاه کاربر، تنها با اطلاع کامل و کسب اجازه از او باید انجام شود. همچنین کاربر باید بتواند تغییرات به وجود آمده توسط برنامه را به راحتی به حالت اولیه بازگرداند.

 

برنامه نباید بدون اطلاع کاربر از شبکه و انتقال داده استفاده و کاربر را متحمل هزینه‌های ناخواسته کند. به عنوان مثال:

  • برنامه‌هایی که بدون اطلاع کاربر پیامک ارسال می‌کنند
  • برنامه‌هایی که بدون اطلاع کاربر تماس برقرار می‌کنند

 

دسترسی‌های برنامه‌ها (Permissions)

 

دسترسی‌ها و API‌هایی که برنامه شما به آن‌ها نیاز دارد باید واضح و ضروری باشند. استفاده از دسترسی‌های غیرضروری به هیچ عنوان مجاز نیست و کاربران باید دلایل منطقی و شفافی برای هر دسترسی دریافت کنند. توسعه‌دهندگان باید به درخواست‌های کاربران برای رد دسترسی احترام بگذارند و راهکارهای جایگزین برای کاربران ارائه کنند.
دسترسی‌هایی که برنامه از کاربر می‌خواهد باید با توجه به عملکرد برنامه تعیین شده باشد. به عبارت دیگر برنامه نباید شامل دسترسی‌هایی باشد که عدم وجود آن‌ها نقصی در عملکرد برنامه به وجود نمی‌آورد. برنامه‌هایی با دسترسی‌های غیرمجاز مورد تایید مایکت نیستند.

مثال‌هایی از دسترسی‌های حساس:

  • دسترسی به SMS و Call Log: این دسترسی‌ها باید به‌طور فعال به‌عنوان کنترل‌کننده پیامک یا تماس پیش‌فرض دستگاه ثبت شده باشند.
  • دسترسی به موقعیت مکانی: این دسترسی‌ها فقط باید برای ارائه ویژگی‌های مرتبط با برنامه استفاده شوند و به هیچ‌وجه نباید برای تبلیغات یا تجزیه‌ و تحلیل استفاده شوند.
  • دسترسی به دوربین و میکروفون: این دسترسی‌ها صرفا در مواقعی که کاربر نیاز به ثبت تصویر یا ضبط صدا درون محیط برنامه داشته باشد، مجاز است.

 

در زمان بررسی اپلیکیشن ارسال شده توسط کارشناس تیم مایکت، دسترسی‌های نسخه برنامه یا بازی مورد بررسی شده و در صورتی که هرگونه دسترسی حساسی که با عملکرد و محتوای اپلیکیشن در تضاد و تناقض است، وجود داشته باشد، امکان تایید نسخه و انتشار برنامه یا بازی مورد نظر وجود نخواهد داشت و اپلیکیشن ارسال شده، توسط کارشناس رد خواهد شد..
جهت بررسی مجدد و انتشار، توسعه‌دهنده باید دسترسی یا دسترسی‌های مورد نظر را از نسخه برنامه خود حذف نمایید.
همچنین در صورتی که عملکرد برنامه به دسترسی مورد نظر نیاز دارد، توسعه‌دهنده می‌تواند با شفاف‌سازی این مورد برای کاربران در محیط برنامه (از طریق نمایش کادر مربوط به دریافت و تایید دسترسی) و همچنین ارائه توضیحات به تیم مایکت از طریق بخش «تیکت‌ها»، برنامه خود را در مایکت منتشر نماید.
توضیحات توسعه‌دهندگان محترم به تیم مایکت، باید مشخص نماید که دلیل استفاده از دسترسی حساس مورد نظر در نسخه اپلیکیشن چیست. توضیحات ارسال شده توسط کارشناسان تیم مایکت بررسی شده و در صورت تایید، مراتب به اطلاع توسعه‌دهنده خواهد رسید.

 

حفظ امنیت کاربران

 

برای حفظ امنیت کاربران و ایجاد حس اعتماد و اطمینان، به حداقل رساندن استفاده از دسترسی‌ها و API‌هایی که به اطلاعات حساس کاربر دسترسی دارند توصیه می‌شود. همچنین تمامی لینک‌های موجود در برنامه و توضیحات باید کاربر را به مایکت ارجاع دهند.

برای استفاده از اینتنت‌های مایکت به مستند اینتنت‌ها مراجعه نمایید.

 

برخی نکات امنیتی

 

  • پرداخت‌ها باید صرفا از طریق درگاه‌ امن درون برنامه‌ای یا درگاه‌های امن خارج از محیط برنامه انجام شوند.
  • برنامه‌ها نباید به فروشگاه‌ها یا سایت‌های دیگر اشاره کنند.
  • توسعه‌دهندگان باید آخرین نسخه برنامه خود را در مایکت قرار دهند.
  • اگر برنامه نیاز به اطلاعات خاصی از کاربر ندارد، باید امکان استفاده از آن بدون نیاز به ورود اطلاعات شخصی فراهم شود.

 

با رعایت این نکات، می‌توانید امنیت داده‌های کاربران را تضمین کنید و تجربه کاربری بهتری فراهم کنید.