Использование SSL в приложении iPhone - соответствие требованиям экспорта

Ответ 1

Дополнение от 20.09.2016

ERN больше не требуется, поэтому, похоже, многим приложениям больше не нужно регистрироваться в правительстве США. (Хотя, возможно, вам все равно придется подавать двухлетний отчет № 8 к части 742.) http://www.bis.doc.gov/InformationSecurity2016-updates

(Спасибо @EugenioDeHoyos и @user3562927 за это!)

Регистрация французского правительства по-прежнему требуется для продажи во Франции.

Часто задаваемые вопросы по iTunes Connect были обновлены, чтобы охватить это изменение, и они являются наиболее читаемой ссылкой, которую я нашел.

Старый ответ

Процесс изменился, начиная с лета 2010 года, и вам (вероятно) нужен сейчас ERN, а не CCATS, как было необходимо в то время, когда Джон писал свой ответ.

См. Ограничения экспорта приложений Apple iTunes. Часто задаваемые вопросы по iTunes connect также содержат много полезной информации о соответствии экспорту.

В настоящее время существуют также ограничения, которые распространяются на распространение приложений с шифрованием во французском магазине приложений - см. Раздел часто задаваемых вопросов о подключении itunes и ветку французского соответствия экспорту в devforums.

Ответ 2

Я действительно вернулся в Apple, и выяснилось, что любое приложение, использующее SSL , нуждается в одобрении (к сожалению). По-видимому, есть некоторые исключения, например, если приложение использует SSL только для одной транзакции платежа.

В Массовое кодирование рынка CCATS Commodity Classification для приложений iPhone в 8 простых шагов и Сопровождение экспорта iPhone для приложений, создающих соединения HTTPS (TLS).

Ответ 3

Все эти ответы устарели по состоянию на 20 сентября 2016 года. Я только что вышел с телефона с людьми SNAP-R (правительство), и они сказали, что новое законодательство высадилось 20 сентября. Новое правило устраняет требование регистрации вашего приложения просто потому, что оно использует шифрование.

Я описал свое приложение (игру) для них, и они сказали, что это "EAR-99", а это значит, что мне не нужно регистрироваться. Вероятно, Apple собирается обновить свой сайт. Но в то же время, если вы пытаетесь пройти этот процесс, потому что используете SSL/HTTPS, просто остановитесь сейчас. Вам даже не удастся заполнить формы, потому что они значительно изменились.

Ответ 4

Я нашел эту статью у кого-то, кто недавно прошел этот процесс (декабрь 2015 г.) чрезвычайно. Общий консенсус, похоже, заключается в том, что вам действительно нужно пройти этот процесс, даже если вы просто используете вызов REST, который использует SSL. Эта статья поможет вам быстро выполнить этот процесс.

https://carouselapps.com/2015/12/15/legally-submit-app-apples-app-store-uses-encryption-obtain-ern/

Ответ 5

Теперь в ноябре 2017 года...

Это действительно легальные вещи, так что это указатели на то, что я нашел полезным и как я интерпретировал вещи. Не принимайте это как совет (это не так).

Часто задаваемые вопросы по Apple, упомянутые в других ответах, являются отличной отправной точкой: https://itunespartner.apple.com/ru/apps/faq/Managing%20Your%20Apps_Export%20Compliance

Это приводит к следующему: в iTunes Connect перейдите в приложение. Выберите вкладку "Функции" в верхней части и выберите "Шифрование" на стороне. Нажмите "Добавить документацию по соответствию экспорту для iOS" на главной странице. Первый вопрос гласит: "Соответствие требованиям экспорта. Ваше приложение предназначено для использования криптографии..." Выберите "Да". В следующих вопросах говорится (а я копирую и вставляю):

Соответствует ли ваше приложение одному из следующих:
(а) Допускается одно или несколько исключений, предусмотренных в категории 5, часть 2
(b) Использование шифрования ограничено шифрованием в операционной системе (iOS или macOS)
(c) Звонит только по HTTPS
(d) Приложение доступно только в США и/или Канаде.

(c) является ссылкой на стиль SSL (в соответствии с вашим вопросом), поэтому выберите Да для этого вопроса. [Обратите внимание, что в нижней части руководства на этом экране есть ссылка на ссылку выше FAQ]

При выборе "Да" одно из всплывающих окон с подсказками говорит (и я цитирую):

Если вы пользуетесь ATS или звоните в HTTPS, учтите, что вам необходимо представить отчет о самостоятельной классификации на конец года правительству США. Учить больше

И снова в FAQ, ключевая цитата:

Почему мое приложение требует проверки шифрования, если я не живу в Соединенных Штатах? Могу ли я обойти проверку шифрования, если я выпущу свое приложение только в моей стране?

Ваше приложение будет загружено на сервер Apple в США, что означает, что ваше приложение будет экспортировано из США и подпадает под действие законодательства США об экспорте. Это требование применяется, даже если вы планируете распространять в своей стране.

Последний бит, я думаю, отвечает на второй бит вашего вопроса... Вы все равно должны соблюдать, даже если вы не в США, и даже если вы не собираетесь распространять за пределами своей страны...

Итак, что касается того, что я прочитал сегодня (в ноябре 2017 года), если при использовании SSL (HTTPS) в приложении для iOS, даже если за пределами США, флажки должны быть отмечены в iTunes Connect... (Процесс начался в разделе "Функции". вкладка "описано выше). Помимо этого, вам необходимо сделать ежегодный отчет о самостоятельной классификации.

Ссылка в разделе часто задаваемых вопросов Apple, относящаяся к этому, в настоящее время не работает (как я пишу), но эта ссылка полезна: https://www.bis.doc.gov/index.php/policy-guidance/product-guidance/high. -performance-компьютеры/223-новый-шифрования /1238-хау в файл-ан-годовой-самостоятельной классификации, отчет

Эта страница содержит адреса электронной почты для отправки вашего отчета (вы должны отправить его в 2 места), когда он должен быть отправлен, и какой формат и информацию необходимо отправить (тщательно созданный, очень прописанный файл .csv). Мне не удалось найти это было сделано с помощью поисковой системы bis.doc.gov, но было найдено с помощью обычной поисковой системы, которая искала "Отчет о самостоятельной классификации на конец года". Так что, если эта конкретная ссылка умрет в будущем, этот поиск может помочь найти замену :)

Что касается деталей того, как создать этот файл .csv для приложения для iOS с использованием SSL, я еще не уверен - я надеюсь, что у меня все получится, и я отредактирую этот пост с деталями, если это покажется уместным.

Однако в этом связанном документе: https://www.bis.doc.gov/index.php/documents/new-encryption/1651-740-17-enc-table/file (который может потребоваться для увеличения читать) Я полагаю, что соответствующая строка является третьей (b) (1), поскольку требования к представлению совпадают. Это относится к необходимости

отправить Supp. 8, часть 742, по электронной почте

В этом документе также есть столбец ECCN, и я начинаю думать, что соответствующий номер ECCN - 5A002 с точкой

Этот следующий документ содержит более подробную информацию о выборе правильного кода ECCN:

https://www.bis.doc.gov/index.php/documents/new-encryption/1652-cat-5-part-2-quick-reference-guide/file

Читая эту статью, я считаю, что если SSL используется в качестве небольшой части приложения, это относится к коду 5A002.a.4

ОБНОВИТЬ:

Поэтому в нижней части руководства bis.doc.gov описание для создания файла .csv гласит:

• Первая строка годового отчета о самостоятельной классификации должна состоять из следующих 12 записей: НАИМЕНОВАНИЕ ПРОДУКТА, НОМЕР МОДЕЛИ, ПРОИЗВОДИТЕЛЬ, ECCN, ТИП АВТОРИЗАЦИИ, ТИП ПУНКТА, ИМЯ ПОДПИСАТЕЛЯ, НОМЕР ТЕЛЕФОНА, АДРЕС ЭЛЕКТРОННОЙ ПОЧТЫ, АДРЕС ПОЧТЫ, НЕ США КОМПОНЕНТЫ, НЕ США, ПРОИЗВОДСТВЕННЫЕ МЕСТА.
• Ни одна запись не может быть оставлена пустой.
• НАИМЕНОВАНИЕ ПРОДУКТА и ECCN должны быть заполнены.
• Для НОМЕРА МОДЕЛИ и ПРОИЗВОДИТЕЛЯ, если необходимо, введите "НЕТ" или "Н/Д".
• Для ТИПА АВТОРИЗАЦИИ введите ENC или MMKT.
• Для ТИПА ПУНКТА выберите из списка типов предметов, представленных в Supp. 8 до части 742 (а) (6).
• Заголовки столбцов ИМЯ ПОСТАВЩИКА в РАМКАХ ПРОИЗВОДСТВА НЕ-США относятся к компании в целом и, следовательно, должны вводиться одинаково для каждого продукта (т.е. Только одна точка контакта, один "ДА" или "НЕТ" ответа на вопрос о том, сообщен ли какой-либо из продукты включают компоненты шифрования, произведенные за пределами США, и для отчета требуется один список мест производства за пределами США). Дублируйте эту информацию в каждую строку таблицы
• Единственное разрешенное использование запятой - необходимый разделитель между 12 записями для каждой позиции. Допустимы только запятые, которые вставляются автоматически во время преобразования электронной таблицы.

Используя Дополнение № 8 к Части 742 - Отчет о самостоятельной классификации элементов шифрования для получения дальнейших указаний, я получил файл .csv, подобный этому:

PRODUCT NAME, MODEL NUMBER, MANUFACTURER, ECCN, AUTHORIZATION TYPE, ITEM TYPE, SUBMITTER NAME, TELEPHONE NUMBER, E-MAIL ADDRESS, MAILING ADDRESS, NON-U.S. COMPONENTS, NON-U.S. MANUFACTURING LOCATIONS
[my-app-name] iOS App,[my-App-version-number],SELF,5A002,ENC,Link encryption,[My-name],[my-phone-number],[my-email],[my address with no commas],YES,[my-location]

Обратите внимание, что это должен быть правильно сформированный файл .csv, что не совсем так. Я предлагаю создать что-то в электронной таблице и сохранить как .csv

Также отметьте, что это не рекомендуемый результат - это моя лучшая интерпретация как неквалифицированного человека, не имеющего совета. Пример .csv в нижней части руководства bis.doc.gov помог мне в дальнейшем и, казалось, предполагал, что ECCN может быть просто 5A002 без дополнительных подробностей. ТИП ПУНКТА должен быть выбран из списка в Приложении № 8 - что-то еще может лучше соответствовать природе вашего Приложения. Я не был уверен в MODEL NUMBER, но пример выглядел так, как будто он использует описания типов номеров версий. Может быть, приложение Apple ID было бы лучше здесь. Учитывая это необязательно, это может не иметь значения...

ОБНОВЛЕНИЕ (январь 2019 года): Наконец-то сделал мое представление на 2018 год и пошел на:

PRODUCT NAME, MODEL NUMBER, MANUFACTURER, ECCN, AUTHORIZATION TYPE, ITEM TYPE, SUBMITTER NAME, TELEPHONE NUMBER, E-MAIL ADDRESS, MAILING ADDRESS, NON-U.S. COMPONENTS, NON-U.S. MANUFACTURING LOCATIONS
[my-app-name] iOS App,N/A,SELF,5A002,ENC,Link encryption,[My-name],[my-phone-number],[my-email],[my address with no commas],NO,[my-location]

Изменения должны были указать "N/A" в качестве номера модели и "NO" для неамериканских компонентов. "НЕТ", потому что в моем приложении нет купленных компонентов (США или США) - код шифрования - это просто библиотека шифрования iOS.

Ответ 6

Сегодня я столкнулся с этим вопросом и подумал, что вернусь, чтобы сообщить о своем опыте.

Отъезд: http://tigelane.blogspot.com/2011/01/apple-itunes-export-restrictions-on.html для процедуры, которая хорошо работала для меня (обязательно прочитайте все, включая комментарии - там были внесены некоторые изменения со времени первоначального сообщения, в основном к лучшему, и обновленная информация находится в комментариях).

Теперь процесс довольно оптимизирован (за исключением того, что Safari и Chrome не признают собственный SSL-сертификат своего сайта. Немного иронично там.:-); Я получил одобрение через 10-15 минут после отправки информации.

Я бы предположил, что для них это стало обычным делом (по крайней мере, если вы используете только SSL, а не какой-то экзотический крипто).

Ответ 7

Поскольку приложение настраивает и использует безопасные SSL-соединения, он считается продуктом шифрования. Контроль экспорта США зависит от того, используете ли вы шифрование, а не там, где вы его находите. Не имеет значения, что вы используете встроенную функцию вместо того, чтобы писать свои собственные, используя коммерческую библиотеку или используя специализированный процессор - это все еще элемент шифрования.

Зайдите на веб-сайт BIS по адресу www.bis.doc.gov/encryption или позвоните в справочную службу по телефону 202-482-0707, если вы хотите обсудить подробности своего приложения. Если вы узнаете, что вам нужна классификация шифрования, ссылка на SNAPR тоже существует.