我正在寻找创建一个与REST Web服务进行通信的iPhone应用程序。由于将传输一些用户敏感数据(名称,地址,年龄等),我正在考虑保护与SSL的连接。
然而,在我之前对App Store提交的大肆宣传中,我看到第一个问题是“你的应用程序是否使用加密?”根据对此问题和其他后续问题的回答,可能需要美国出口合规。
我的公司不在美国,我们也没有美国办事处。
是否还有其他人使用SSL提交过这种用途的应用?如果是这样,您是否需要做任何事情才能获得使用它的许可,无论是来自Apple还是来自美国政府?
答案 0 :(得分:50)
截至2016年9月20日更新
不再需要ERN,因此似乎许多应用程序将不再需要向美国政府注册。 (尽管您可能仍需要在第742部分报告中提交两年一次的补编第8号。)http://www.bis.doc.gov/InformationSecurity2016-updates
(感谢@EugenioDeHoyos和@ user3562927指出这一点!)
法国政府注册仍然需要在法国出售。
iTunes Connect FAQs已更新以涵盖此更改,并且是我发现的最易读的参考。
旧答案
截至2010年夏季,这个过程发生了变化,你现在可能需要一个ERN,而不是John在写答案时所需要的CCATS。
见Apple iTunes export restrictions on apps。 iTunes connect faq还包含许多有关导出合规性的有用信息。
现在还有一些限制适用于在法国应用商店中分发带加密的应用 - 请参阅itunes connect常见问题解答和French Export Compliance thread on the devforums。
答案 1 :(得分:10)
我实际上回到了Apple,结果发现任何使用SSL 的应用需要批准(不幸的是)。显然存在一些例外情况,例如,如果应用程序仅将SSL用于单个支付交易。
Mass Market Encryption CCATS Commodity Classification for iPhone Applications in 8 Easy Steps和{{}}中有更多信息 iPhone Encryption Export Compliance for Apps making HTTPS (TLS) Connections
答案 2 :(得分:10)
截至2016年9月20日,所有这些答案都已过时。我刚刚与SNAP-R人员(政府)取得联系,他们表示新立法将于9月20日落实。新法规删除了仅仅因为它使用加密而注册您的应用程序的要求。
我向他们描述了我的应用程序(游戏),他们说这是一个" EAR-99",这意味着我不必注册。 Apple可能会更新他们的网站。但与此同时,如果您因为使用SSL / HTTPS而尝试完成此过程,请立即停止。你甚至不能成功地填写表格,因为它们已经发生了重大变化。
答案 3 :(得分:7)
我发现这篇文章来自最近(2015年12月)完成整个过程的人非常有帮助。总体共识似乎是,即使您只是使用利用SSL的REST调用,您确实需要完成此过程。本文将帮助您快速完成整个过程。
https://carouselapps.com/2015/12/15/legally-submit-app-apples-app-store-uses-encryption-obtain-ern/
答案 4 :(得分:7)
现在是2017年11月......
这是合法的东西,所以这是我发现有用的东西以及我如何解释事物的指针。不要把它作为建议(它不是)。
此处其他答案中提到的Apple常见问题解答是一个很好的起点:https://itunespartner.apple.com/en/apps/faq/Managing%20Your%20Apps_Export%20Compliance
这导致执行以下操作: 在iTunes Connect中,转到您的应用程序。选择'功能'顶部的标签,然后选择加密'在一边。点击“添加适用于iOS的导出合规性文档”#39;在主页面中。第一个问题是:'出口合规性:您的应用是否设计为使用加密技术......'选择“是”'。以下问题说(我复制并粘贴):
您的应用是否符合以下任何条件:
(a)符合第5类第2部分规定的一项或多项豁免的资格 (b)加密的使用仅限于操作系统(iOS或macOS)中的加密 (c)仅通过HTTPS拨打电话 (d)应用程序仅在美国和/或加拿大提供
(c)是SSL样式引用(根据您的问题),因此对此问题选择“是”。 [注意此屏幕上的指南底部有一个指向上述常见问题链接的链接]
选择'是'其中一个弹出指导框说(我引用):
如果您正在使用ATS或拨打HTTPS,请注意您需要向美国政府提交年终自我分类报告。了解更多
回到FAQ中,一个关键的引用是:
如果我不住在美国,为什么我的应用需要加密审核?如果我只在我的国家/地区发布我的应用程序,我可以绕过加密审核吗?
您的应用将上传到美国的Apple服务器,这意味着您的应用将从美国出口,并受美国出口法律的约束。即使您只打算在自己的国家/地区分发,此要求也适用。
我认为最后一点回答你问题的第二点......即使你不在美国,即使你不打算在你自己的国家之外分发,你仍然必须遵守...
因此,就我今天(2017年11月)所读到的,如果在iOS应用程序中使用SSL(HTTPS),即使在美国境外,也需要在iTunes Connect中勾选框...(此过程始于上面描述的“功能标签”。除此之外,您还需要制作年度自我分类报告。
与此相关的Apple常见问题解答中的链接目前已被破坏(正如我所写),但此链接很有用: https://www.bis.doc.gov/index.php/policy-guidance/product-guidance/high-performance-computers/223-new-encryption/1238-how-to-file-an-annual-self-classification-report
此页面包含发送报告的电子邮件地址(您必须将其发送到2个地方),何时必须发送以及需要发送的格式和信息(精心创建的非常规定的.csv文件) 我没有在bis.doc.gov搜索引擎中找到它,但发现它使用搜索“年终自我分类报告”的一般搜索引擎。因此,如果此特定链接在将来消失,此搜索可能有助于找到任何替代品:)
关于如何使用SSL为iOS应用程序制作此.csv文件的详细信息我还不确定 - 我希望能够取得成功,并且如果合适的话,将编辑此帖子的详细信息。
为此,在此链接文档中: https://www.bis.doc.gov/index.php/documents/new-encryption/1651-740-17-enc-table/file (您可能需要放大才能阅读) 我认为相关的行是第3个(b)(1),因为提交要求匹配。它指的是必须
提交Supp。 8,第742部分,通过电子邮件
本文件还有一个ECCN专栏,我开始认为相关的ECCN编号是5A002点
下一个文档提供了有关选择正确的ECCN代码的更多详细信息:
阅读本文我目前的最佳猜测是,如果SSL被用作应用程序的一小部分,则与代码5A002.a.4相关
<强>更新
因此,在bis.doc.gov指南的底部,创建.csv文件的说明如下:
- 年度自我分类报告的第一行必须包含以下12个条目:产品名称,型号,制造商,ECCN,授权类型,项目类型,提交者姓名,电话号码,电子邮件地址,邮寄地址,非美组件,非美国。制造地点。
- 不能将任何条目留空。
- 必须填写产品名称和ECCN。
- 对于MODEL NUMBER和MANUFACTURER,如有必要,请输入&#34; NONE&#34;或&#34; N / A&#34;。
- 对于AUTHORIZATION TYPE,请输入ENC或MMKT。
- 对于ITEM TYPE,从Supp中提供的项目类型列表中选择。 8至742(a)(6)。
- 列标题通过非美国提交名称制造地点与公司整体相关,因此每个产品应该输入相同的内容(即,只有一个联系点,一个'是'或'否'回答是否有任何报告的产品包含非美国来源报告需要加密组件和一个非美国制造地点列表。将此信息复制到电子表格的每一行
- 唯一允许使用逗号是每个订单项的12个条目之间的必要分隔符。允许的唯一逗号是在电子表格转换期间自动插入的逗号。
使用补充编号8到第742部分 - 加密项目的自我分类报告以获得进一步的指导,我得到了一个.csv文件,如下所示:
PRODUCT NAME, MODEL NUMBER, MANUFACTURER, ECCN, AUTHORIZATION TYPE, ITEM TYPE, SUBMITTER NAME, TELEPHONE NUMBER, E-MAIL ADDRESS, MAILING ADDRESS, NON-U.S. COMPONENTS, NON-U.S. MANUFACTURING LOCATIONS
[my-app-name] iOS App,[my-App-version-number],SELF,5A002,ENC,Link encryption,[My-name],[my-phone-number],[my-email],[my address with no commas],YES,[my-location]
请注意,这应该是一个格式良好的.csv文件,这不是很好。我建议在电子表格中创建一些内容并保存为.csv
另请注意,这不是建议的结果 - 作为一个没有建议的不合格个人,这是我最好的解释。 bis.doc.gov指南底部的示例.csv帮助我进一步,似乎暗示ECCN可能只是5A002而没有进一步的细节。必须从补充号码8的列表中选择项目类型 - 其他东西可能更适合您的应用程序的性质。我对MODEL NUMBER不太确定,但示例看起来像是使用版本号类型描述。也许App Apple ID在这里会更好。鉴于它是可选的,它可能无关紧要......
更新(2019年1月):最后提交了2018年的提交,然后去了:
PRODUCT NAME, MODEL NUMBER, MANUFACTURER, ECCN, AUTHORIZATION TYPE, ITEM TYPE, SUBMITTER NAME, TELEPHONE NUMBER, E-MAIL ADDRESS, MAILING ADDRESS, NON-U.S. COMPONENTS, NON-U.S. MANUFACTURING LOCATIONS
[my-app-name] iOS App,N/A,SELF,5A002,ENC,Link encryption,[My-name],[my-phone-number],[my-email],[my address with no commas],NO,[my-location]
这些变化是为了让N / A&#39;作为型号和&#39; NO&#39;对于非美国组件。 &#39; NO&#39;因为我的应用程序(美国或非美国)没有买入的组件 - 加密代码只是iOS加密库。
答案 5 :(得分:4)
我今天早些时候遇到过这个问题并且认为我会回来报告我的经历。
查看:http://tigelane.blogspot.com/2011/01/apple-itunes-export-restrictions-on.html了解适合我的程序(请务必阅读包括评论在内的所有内容 - 自原始帖子以来已有一些更改,主要是为了更好,并且已更新信息在评论中。)
现在这个过程非常精简(除了Safari和Chrome没有识别他们自己网站的SSL证书。那里有点讽刺。:-);提交信息后大约10-15分钟我获得了批准。
我猜这已成为他们的常规事情(至少如果你只使用SSL而不是某种异国情调的加密)。
答案 6 :(得分:3)
由于应用程序正在设置并使用安全SSL连接,因此它被视为加密产品。美国的出口管制取决于您是否使用加密,而不是您找到它。使用内置函数而不是编写自己的函数,使用商业库或使用专用处理器并不重要 - 它仍然是加密项。
如果您想讨论应用程序的详细信息,请访问BIS网站www.bis.doc.gov/encryption或致电202-482-0707联系服务台。如果您发现需要加密分类,那么SNAPR的链接也在那里。