web-dev-qa-db-ja.com

iPhoneアプリでのSSLの使用-コンプライアンスのエクスポート

REST Webサービスと通信するiPhoneアプリの作成を検討しています。一部のユーザー依存データ(名前、住所、年齢など)が送信されるため、接続をSSLで保護する。

ただし、以前のApp Storeへの応募の際、最初に尋ねられる質問は「アプリケーションで暗号化を使用していますか?」また、この質問やその他のフォローアップの質問への回答によっては、米国の輸出コンプライアンスが必要になる場合があります。

私の会社は米国に拠点を置いておらず、米国に事務所もありません。

このような目的でSSLを使用してアプリを提出した人はいますか?その場合、Appleまたは米国政府から)使用許可を得るために何かする必要がありましたか?

72
John

2016年9月20日現在の更新

ERNは不要になったため、多くのアプリは米国政府に登録する必要がなくなったようです。 (ただし、パート742レポートの半年ごとの補足No. 8を提出する必要がある場合もあります。) http://www.bis.doc.gov/InformationSecurity2016-updates

(これを指摘してくれた@EugenioDeHoyosと@ user3562927に感謝します!)

フランスで販売するには、フランス政府の登録がまだ必要です。

iTunes Connect FAQs はこの変更をカバーするように更新されており、私が見つけた最も読みやすいリファレンスです。

古い回答

2010年夏の時点でプロセスは変更されており、ジョンは答えを書いたときに必要だったCCATSではなく、おそらく(おそらく)ERNが必要になりました。

Apple iTunesのアプリのエクスポート制限 をご覧ください。 iTunesの接続に関するFAQには、輸出規制に関する有用な情報も多数含まれています。

また、フランスのアプリストアで暗号化されたアプリの配布に適用される制限もあります。devforumsのiTunes connect FAQおよび French Export Complianceスレッドを参照してください

50
JosephH

実際にAppleに戻りましたが、SSLを使用するアプリケーションdoesは、残念ながら承認が必要であることがわかりました。アプリケーションがSSLを単一の支払いトランザクションにのみ使用する場合など、明らかにいくつかの例外があります。

8つの簡単な手順でのiPhoneアプリケーションの大規模市場暗号化CCATS商品分類 および HTTPS(TLS)接続を行うアプリのiPhone暗号化輸出コンプライアンス に詳細があります。

10
John

これらの回答はすべて2016年9月20日をもって廃止されました。私はSNAP-Rの人々(政府)と電話を切ったところ、新しい法律が9月20日に上陸したと言いました。新しい規制では、暗号化を使用しているという理由だけでアプリを登録する必要がなくなりました。

私は自分のアプリ(ゲーム)を彼らに説明しましたが、彼らはそれが「EAR-99」だと言いました。つまり、登録する必要はありません。 AppleはWebサイトを更新しようとしています。しかし、当面SSL/HTTPSを使用しているためにこのプロセスを実行しようとしている場合は、今すぐ停止してください。フォームに大幅に変更が加えられているため、フォームへの入力にも成功します。

10
user3562927

2017年11月に...

これは本当に合法的なものなので、これは私が有用だと感じたものと、私が物事を解釈した方法へのポインタです。アドバイスとして受け取らないでください(そうではありません)。

Apple FAQここで他の回答で述べたように、素晴らしい出発点です: https://itunespartner.Apple.com/en/apps/faq/Managing%20Your%20Apps_Export%20Compliance

これにより、次のことが行われます。iTunes Connectで、アプリに移動します。上部の[機能]タブを選択し、横の[暗号化]を選択します。メインページの[iOS用のエクスポートコンプライアンスドキュメントの追加]をクリックします。最初の質問は、「輸出コンプライアンス:アプリは暗号化を使用するように設計されていますか...」「はい」を選択します。次の質問に答えます(コピーして貼り付けます)。

アプリは次のいずれかに適合していますか?
(a)カテゴリー5パート2に基づいて提供される1つ以上の免除の対象
(b)暗号化の使用は、オペレーティングシステム(iOSまたはmacOS)内の暗号化に制限されています
(c)HTTPS経由でのみ呼び出しを行います
(d)アプリは、米国および/またはカナダでのみ利用可能になります

(c)は(あなたの質問による)SSLスタイルの参照なので、この質問に対して[はい]を選択します。 [この画面のガイダンスの下部には、上記へのリンクがありますFAQ link]

「はい」を選択すると、ポップアップガイダンスボックスの1つに次のように表示されます(引用します)。

ATSを利用する場合、またはHTTPSを呼び出す場合は、年末の自己分類レポートを米国政府に提出する必要があることに注意してください。もっと詳しく知る

FAQに戻ると、重要な引用は次のとおりです。

米国に住んでいない場合、アプリで暗号化のレビューが必要なのはなぜですか?母国でのみアプリをリリースする場合、暗号化レビューをバイパスできますか?

アプリはAppleサーバーにアップロードされます。つまり、アプリは米国から輸出され、米国の輸出法の対象となります。この要件は、自国内で配布する。

最後の質問はあなたの質問の2番目のビットに答えます...あなたが米国にいなくても、そしてあなたがあなたの国の外に配布するつもりでなくても、あなたはまだ従わなければなりません...

だから、今日読んだ(2017年11月)時点で、iOSアプリでSSL(HTTPS)を使用している場合、米国外であっても、iTunes Connect内でボックスにチェックマークを付ける必要があります...(プロセスは「機能上記のタブ」)。さらに、年次自己分類レポートを作成する必要があります。

Apple FAQこれに関連するFAQ $ ===は現在壊れています(これを書いているように)、このリンクは便利です: https:/ /www.bis.doc.gov/index.php/policy-guidance/product-guidance/high-performance-computers/223-new-encryption/1238-how-to-file-an-annual-self-classification-report

このページには、レポートを送信するメールアドレス(2か所に送信する必要があります)、送信する必要があるタイミング、送信する必要がある形式と情報(慎重に作成された非常に規定された.csvファイル)が含まれていますこれはbis.doc.gov検索エンジンを使用していますが、「年末の自己分類レポート」を検索する一般的な検索エンジンを使用して検出しました。したがって、この特定のリンクが将来停止した場合、この検索は代替を見つけるのに役立つ可能性があります:)

SSLを使用してiOSアプリ用にこの.csvファイルを作成する方法の詳細については、まだわかりません。成功することを望み、適切と思われる場合は詳細でこの投稿を編集します。

しかし、これに向けて、このリンクされたドキュメントでは: https://www.bis.doc.gov/index.php/documents/new-encryption/1651-740-17-enc-table/file (読むためにズームインする必要があるかもしれません)提出要件が一致するため、関連する行は3行目(b)(1)であると思います。それはすることを指します

提出する8、パート742、メール

このドキュメントにはECCN列もあり、関連するECCN番号は5A002ドットであると考えています

この次のドキュメントには、正しいECCNコードの選択に関する詳細が記載されています。

https://www.bis.doc.gov/index.php/documents/new-encryption/1652-cat-5-part-2-quick-reference-guide/file

これを読むと、私の現在の最善の推測は、SSLがアプリの一部として使用されている場合、これはコード5A002.a.4に関連しているということです。

UPDATE:

そのため、bis.doc.govガイダンスの下部に、.csvファイルを作成するための説明があります。

  • 年次自己分類レポートの最初の行は、製品名、モデル番号、製造業者、ECCN、承認タイプ、アイテムタイプ、送信者名、電話番号、電子メールアドレス、メールアドレス、非米国の12のエントリで構成する必要があります。コンポーネント、非米国製造場所。
  • エントリを空白のままにすることはできません。
  • 製品名とECCNを入力する必要があります。
  • MODEL NUMBERおよびMANUFACTURERについては、必要に応じて「NONE」または「N/A」と入力します。
  • AUTHORIZATION TYPEには、ENCまたはMMKTを入力します。
  • ITEM TYPEについては、Suppで提供されるアイテムタイプのリストから選択します。パート742(a)(6)の8。
  • 列ヘッダーSUBMITTER NAME through NON-U.S。製造場所は会社全体に関連するため、各製品に同じように入力する必要があります(つまり、連絡先は1つのみ、報告された製品に米国以外のソースを組み込むかどうかの「はい」または「いいえ」の回答1つのみ)暗号化コンポーネント、および米国以外の製造場所のリストがレポートに必要です)。この情報をスプレッドシートの各行に複製します
  • コンマの使用が許可されているのは、各項目の12エントリ間の必要な区切り文字のみです。許可されるコンマは、スプレッドシートの変換中に自動的に挿入されるコンマのみです。

を使用して パート742の補足番号8 —暗号化アイテムの自己分類レポート 詳細なガイダンスについては、次のような.csvファイルにアクセスしました。

PRODUCT NAME, MODEL NUMBER, MANUFACTURER, ECCN, AUTHORIZATION TYPE, ITEM TYPE, SUBMITTER NAME, TELEPHONE NUMBER, E-MAIL ADDRESS, MAILING ADDRESS, NON-U.S. COMPONENTS, NON-U.S. MANUFACTURING LOCATIONS
[my-app-name] iOS App,[my-App-version-number],SELF,5A002,ENC,Link encryption,[My-name],[my-phone-number],[my-email],[my address with no commas],YES,[my-location]

これは整形式の.csvファイルである必要がありますが、これは完全ではありません。スプレッドシートに何かを作成し、.csvとして保存することをお勧めします

また、これは推奨される結果ではないことに注意してください。これは、アドバイスを受けていない、資格のない個人としての私の最良の解釈です。 bis.doc.govガイダンスの下部にある.csvの例は、さらに助けになり、ECCNが詳細なしで5A002になり得ることを示唆しているように見えました。 ITEM TYPEは、サプリメント番号8のリストから選択する必要があります。他の何かがアプリの性質によりよく適合する場合があります。 MODEL NUMBERについては確信がありませんでしたが、例はバージョン番号タイプの説明を使用しているように見えました。多分App Apple IDはここでより良いでしょう。それがオプションであるならば、それは重要ではないかもしれません...

更新(2019年1月):最終的に2018年の提出を行い、

PRODUCT NAME, MODEL NUMBER, MANUFACTURER, ECCN, AUTHORIZATION TYPE, ITEM TYPE, SUBMITTER NAME, TELEPHONE NUMBER, E-MAIL ADDRESS, MAILING ADDRESS, NON-U.S. COMPONENTS, NON-U.S. MANUFACTURING LOCATIONS
[my-app-name] iOS App,N/A,SELF,5A002,ENC,Link encryption,[My-name],[my-phone-number],[my-email],[my address with no commas],NO,[my-location]

変更により、モデル番号として「N/A」、米国以外では「NO」が追加されました。コンポーネント。アプリにバイイン済みのコンポーネント(米国または米国以外)がないため、「いいえ」-暗号化コードはiOS暗号化ライブラリにすぎません。

8
Marcus

最近このプロセスを経験した人(2015年12月)extremelyのこの記事が役に立ちました。全体的なコンセンサスは、単にSSLを利用するREST呼び出しを使用している場合でも、このプロセスを実行する必要があるということです。この記事は、プロセスをすばやく実行するのに役立ちます。

https://carouselapps.com/2015/12/15/legally-submit-app-apples-app-store-uses-encryption-obtain-ern/

7
John F

今日この質問に出くわし、自分の経験を報告するために戻ってくると思いました。

チェックアウト: http://tigelane.blogspot.com/2011/01/Apple-iTunes-export-restrictions-on.html 私にとってうまくいった手順について(必ず全体を読んでくださいコメントを含むもの-元の投稿以降、いくつかの変更がありますが、ほとんどの場合は改善されており、更新された情報はコメントに記載されています)。

現在、プロセスはかなり合理化されています(SafariおよびChrome自分のサイトのSSL証明書を認識していません。少し皮肉なことです。:-);を除く。) 。

これは彼らにとって日常的なものになったと思います(少なくとも、ある種のエキゾチックな暗号ではなくSSLのみを使用している場合)。

4
Tony Hursh

アプリは安全なSSL接続を設定して使用しているため、暗号化製品と見なされます。米国の輸出規制は、どこで暗号化を使用するかではなく、どこで暗号化を使用するかによって異なります。独自の関数を作成したり、商用ライブラリを使用したり、専用のプロセッサを使用したりする代わりに、組み込み関数を使用することは重要ではありません。これは暗号化アイテムです。

アプリの詳細について議論する場合は、www.bis.doc.gov/encryptionのBIS Webサイトを確認するか、202-482-0707のヘルプデスクに電話してください。暗号化の分類が必要な場合は、SNAPRのリンクもあります。

3
Michael