在iPhone应用程序中使用SSL-出口合规性


75

我正在寻找一个将与REST Web服务通信的iPhone应用程序。由于将传输一些用户敏感数据(名称,地址,年龄等),因此我正在考虑使用SSL保护连接。

但是,在上次进入App Store提交时,我看到被问到的第一个问题是“您的应用程序是否使用加密?” 并根据对这个问题和其他后续问题的答案,可能要求美国出口合规。

我的公司不设在美国,也没有美国办事处。

是否有其他人为此目的使用SSL提交了应用程序?如果是这样,您是否需要做任何事情来获得苹果或美国政府的使用许可?


您最终使用了ERN还是CCATS?
Dan P.

3
注意: BIS EAR 2016年9月20日进行了重大更改,请参阅@ user3562927的答案。不再需要大多数注册。
zaph

Answers:


51

2016年9月20日更新

不再需要ERN,因此似乎许多应用都不再需要在美国政府注册。(尽管您可能仍然需要提交第742部分的半年度自分类报告附录8。)http://www.bis.doc.gov/InformationSecurity2016-updates

(感谢@EugenioDeHoyos和@ user3562927指出了这一点!)

该第三方网站可能会帮助您准备报告:自我分类报告生成器(另一个用户添加了指向它的链接,我自己没有尝试过。)

仍需要法国政府注册才能在法国销售。

iTunes Connect的常见问题已更新来弥补这一变化,是最可读的参考,我发现。

旧答案

截至2010年夏季,该过程已经更改,您(可能)现在需要ERN,而不是John撰写答案时所需的CCATS。

请参阅Apple iTunes对应用程序的出口限制。iTunes connect常见问题解答还包含许多有关出口合规性的有用信息。

现在,在法国应用程序商店上分发带有加密的应用程序也有一些限制-请参阅devforums上的itunes connect FAQ和“法国出口合规性”主题


2
截至2016年9月20日,这不再准确。您不再需要通过US BIS进行注册,但是您仍然需要将应用分类为通过Apple使用加密。请参阅下面的@ user3562927的答案,并请参阅本文档,尤其是“不再需要加密注册-现在,来自注册的某些信息已纳入742部分的增补号8”。bis.doc.gov/InformationSecurity2016-updates
Eugenio De Hoyos

1
@EugenioDeHoyos太好了,谢谢你指出这一点!我已经更新了答案。
JosephH

2
@BrianKnoblauch参见 bis.doc.gov/index.php/documents/regulation-docs/…部分“补充资料”。8至742部分-加密项目的自分类报告',了解应通过电子邮件发送的CSV文件的详细信息。当您需要/不需要提交此类报告时,对我来说还不是很清楚。我怀疑很多应该这样做的人可能不会这样做。
JosephH

1
@izzyMachado我在help.apple.com/app-store-connect/#/devc3f64248f上提供的指向Apple文档的链接 是最好的阅读方法。显然,我建议您仅在您的应用程序确实符合豁免条件的情况下,对“您的应用程序质量是否符合任何豁免要求”回答“是”。看起来,如果您的应用程序符合豁免标准,则不需要法国文书工作。
JosephH

1
@sceee是的,这是一个导入要求,无论是免费还是付费应用程序都没有任何区别。上次检查时,iTunes Connect常见问题解答非常全面。
约瑟夫·H

13

现在在2017年11月...

这确实是合法的东西,所以这是我发现有用的东西以及我如何解释事物的指针。不要把它当作建议(不是)。

此处其他答案中提到的Apple常见问题解答是一个很好的起点:https : //itunespartner.apple.com/en/apps/faq/Managing%20your%20apps_export%20Compliance

这导致执行以下操作:在iTunes Connect中,转到您的App。选择顶部的“功能”标签,然后在侧面选择“加密”。单击主页上的“添加iOS的出口合规性文档”。第一个问题是:“出口合规性:您的应用是否设计为使用加密...”,选择“是”。下面的问题说(我复制并粘贴):

您的应用程序是否满足以下任何条件:
(a)符合类别5第2部分中提供的一项或多项豁免
(b)加密的使用仅限于操作系统(iOS或macOS)内的加密
(c)仅可拨打电话( s)通过HTTPS
(d)仅在美国和/或加拿大提供应用程序

(c)是SSL样式参考(根据您的问题),因此请对此问题选择“是”。[请注意,此屏幕上的指南底部具有指向上述常见问题解答链接的链接]

在选择“是”时,弹出指导框之一会说(我引用):

如果您使用ATS或拨打HTTPS,请注意,您需要向美国政府提交年终自我分类报告。学到更多

回到常见问题解答中,关键语录是:

如果我不居住在美国,为什么我的应用程序需要进行加密审查?如果我仅在自己的国家/地区发布应用,可以绕过加密审查吗?

您的应用程序将被上传到美国的Apple服务器,这意味着您的应用程序将从美国出口,并受美国出口法律的约束。即使仅计划在您自己的国家/地区内分发,此要求也适用。

我想最后一点回答了您的问题的第二点...即使您不在美国,甚至不打算在自己的国家/地区之外分发,您仍然必须遵守...

因此,从我今天(2017年11月)阅读的内容来看,如果在iOS App中使用SSL(HTTPS),即使在美国以外的地区,也需要在iTunes Connect中打勾...(该过程从“功能”下开始标签”)。除此之外,您还需要制作年度自我分类报告。

Apple FAQ中与此相关的链接目前已断开(在我撰写本文时),但是此链接很有用:https : //www.bis.doc.gov/index.php/policy-guidance/product-guidance/high性能计算机/ 223新加密/ 1238如何提交年度自我分类报告

此页面包括将报告发送到的电子邮件地址(您必须将其发送到2个地方),何时发送报告以及需要发送什么格式和信息(精心创建的非常明确的.csv文件),我找不到使用bis.doc.gov搜索引擎进行搜索,但使用通用搜索引擎搜索“年终自我分类报告”来找到它。因此,如果此特定链接将来消失,则此搜索可能有助于找到任何替代方法:)

至于如何使用SSL为iOS应用程序制作此.csv文件的详细信息,我尚不确定-我希望能取得成功,如果合适的话,将详细介绍此帖子。

为此,请在此链接文档中:https : //www.bis.doc.gov/index.php/documents/new-encryption/1651-740-17-enc-table/file (您可能需要放大阅读)我认为相关行是提交要求匹配的第三行(b)(1)。它指必须

提交补充。8,第742部分,通过电子邮件发送

该文档也有一个ECCN列,我正在考虑相关的ECCN编号是5A002点

下一个文档提供了有关选择正确的ECCN代码的更多详细信息:

https://www.bis.doc.gov/index.php/documents/new-encryption/1652-cat-5-part-2-quick-reference-guide/file

阅读我目前的最佳猜测是,如果SSL被用作应用程序的一小部分,则它与代码5A002.a.4相关。

更新:

因此,在bis.doc.gov指南的底部,用于创建.csv文件的描述如下:

  • 年度自我分类报告的第一行必须包含以下12个条目:产品名称,型号,制造商,ECCN,授权类型,项目类型,提交者名称,电话号码,电子邮件地址,邮件地址,非美国组件,非美国制造地点。
  • 不能将任何条目留空。
  • 产品名称和ECCN必须填写。
  • 对于型号和制造商,如有必要,输入“ NONE”或“ N / A”。
  • 对于“授权类型”,输入ENC或MMKT。
  • 对于“项目类型”,从补充中提供的项目类型列表中进行选择。8至742(a)(6)部分。
  • 列标题SUBMITTER NAME(通过非美国生产地点的名称)与整个公司有关,因此,对于每种产品,都应输入相同的标题(即,只有一个联系点,对于是否存在以下任何一项,回答为“是”或“否”)报告的产品包含非美国来源的加密组件,并且该报告需要一个非美国制造地点的列表。将此信息复制到电子表格的每一行中
  • 唯一允许使用的逗号是每个订单项的12个条目之间的必要分隔符。唯一允许的逗号是在电子表格转换过程中自动插入的逗号。

使用第742部分的补编第8号-加密项目的自分类报告作为进一步指导,我得到了一个.csv文件,如下所示:

PRODUCT NAME, MODEL NUMBER, MANUFACTURER, ECCN, AUTHORIZATION TYPE, ITEM TYPE, SUBMITTER NAME, TELEPHONE NUMBER, E-MAIL ADDRESS, MAILING ADDRESS, NON-U.S. COMPONENTS, NON-U.S. MANUFACTURING LOCATIONS
[my-app-name] iOS App,[my-App-version-number],SELF,5A002,ENC,Link encryption,[My-name],[my-phone-number],[my-email],[my address with no commas],YES,[my-location]

请注意,这应该是格式正确的.csv文件,但事实并非如此。我建议在电子表格中创建一些内容并另存为.csv

还要注意,这不是建议的结果-这是我最好的解释,因为没有建议的不合格个人。bis.doc.gov指南底部的示例.csv进一步帮助了我,似乎暗示ECCN可能只是5A002,而没有进一步的细节。必须从补编第8号中的列表中选择项目类型-其他可能更适合您应用程序性质的内容。我对MODEL NUMBER不太确定,但是示例看起来像是在使用版本号类型描述。也许App Apple ID在这里会更好。鉴于它是可选的,可能没有关系...

更新(2019年1月):最后提交了2018年的论文,并提交了:

PRODUCT NAME, MODEL NUMBER, MANUFACTURER, ECCN, AUTHORIZATION TYPE, ITEM TYPE, SUBMITTER NAME, TELEPHONE NUMBER, E-MAIL ADDRESS, MAILING ADDRESS, NON-U.S. COMPONENTS, NON-U.S. MANUFACTURING LOCATIONS
[my-app-name] iOS App,N/A,SELF,5A002,ENC,Link encryption,[My-name],[my-phone-number],[my-email],[my address with no commas],NO,[my-location]

所做的更改是将“ N / A”作为型号,将“非美国”组件设为“ NO”。“否”,因为我的应用程序没有购买组件(美国或美国)-加密代码只是iOS加密库。


3
感谢您的更新:我现在 <App name>, <App Sku>, SELF, 5D002, MMKT, Other (iOS App), <Your name>, <Your phone number>, <Your email>, <Your home address>, no, n/a按照建议的方式进行操作simonfairbairn.com/bis-year-end-self-classification-report ECCN = 5D002,因为SSL是开放源授权类型= MMKT,因为我希望“大众市场” ^^ ITEM TYPE =(xlix)其他(请指定)。
Ronny Elflein r11lein

4
5D992对于大多数仅使用SSL之类的加密组件的大众市场应用程序似乎是合适的5D002(请参阅“类别5,第2部分的注3”)。
西奥

是否有人知道如果我们使用inMobi广告SDK(公司位于新加坡,但在美国设有办事处)是否对非美国组件选择“是”?
isJulian00

1
@izzyMachado我认为我的整个应用程序是非美国的,因为它是在英国开发和编译的,这就是为什么我在“非美国组件”列中认为是的原因。不过我可能错了……
Marcus

1
@izzyMachado实际上,感谢您对此进行举报。我认为我需要输入“否”,因为这是我应用程序的全部内容-而不是外部购买的组件。
Marcus

11

我实际上回到了苹果公司,事实证明,任何使用SSL的应用程序都可以需要得到批准(不幸的是)。显然有一些例外,例如,如果应用程序仅对一次付款交易使用SSL。

iPhone应用程序的大众市场加密CCATS商品分类的8个简单步骤中有更多信息,以及 进行HTTPS(TLS)连接的应用程序的iPhone加密出口合规性中有更多信息。


它还取决于加密的使用。如果您仅使用加密技术进行身份验证,则不需要商务部的出口许可证。因此,eNULL密码套件还可以(但是我不确定它们的用处)。
jww

2
现在第二个链接已死。
DevC 2014年

1
第一条链接也已失效
andrewb'1

2
链接都死了,两个都死了
Mike

10

截止到2016年9月20日,所有这些答案都已过时。我刚刚与SNAP-R(政府)人员通电话,他们说新法规于9月20日生效。新法规取消了注册您的应用程序的要求,仅因为它使用了加密。

我向他们介绍了我的应用(游戏),他们说这是“ EAR-99”,这意味着我不必注册。苹果很有可能即将更新其网站。但是与此同时,如果您因为使用SSL / HTTPS而尝试执行此过程,请立即停止。您甚至不会成功填写表格,因为它们已经发生了很大的变化。


1
与9/20变更相关的一些链接:BIS信息安全控件的更改带来了宽松的控件,取消了对Dentons的注册要求,美国对加密产品实施了法规更改,对软件和技术进行了隐藏,出口管理法规(EAR)BIS
zaph

1
我也刚刚经历了这个。SNAP-R在线应用程序不允许您再创建“加密注册”工作项。我还通过电话与他们交谈,他们告诉我,从9月20日起,不再需要注册。您仍然需要通过Apple将您的应用分类为使用加密,但是您无需再填写其他“加密注册”。
Eugenio De Hoyos

1
请注意以下行:“不再需要加密注册-现在,来自注册的某些信息将输入到742部分的附录8。在以下BIS更新摘要中:bis.doc.gov/InformationSecurity2016-updates
Eugenio De Hoyos,

3
是的,但是我们是否需要(每年)提交扩展的“自我分类报告”或要求BIS分类?(argh ...)
Giorgio Daino

1
从我目前正在阅读的内容来看,即使不需要注册(通过例外),如果您使用TLS,也需要每年进行一次自分类报告... bis.doc.gov/index.php/policy -指导/加密/ ...- “根据许可证例外ENC-740.17(b)(1)出口的物品,必须提供年度自分类报告,除非已为该物品提交商品分类(CCATS)。”
Brian Knoblauch


4

我今天早些时候遇到了这个问题,以为我会回来报告我的经验。

检出:http : //tigelane.blogspot.com/2011/01/apple-itunes-export-restrictions-on.html了解对我来说效果很好的过程(请务必完整阅读其中的内容,包括评论)自原始帖子以来发生了一些变化,主要是为了更好,更新的信息在评论中)。

现在,整个过程非常简化(除了Safari和Chrome无法识别自己网站的SSL证书。在这里有点讽刺意味。提交信息后大约10到15分钟,我得到了批准。

我猜想这已经成为他们的日常工作(至少如果您仅使用SSL而不是某种形式的外来加密)。


3

由于该应用正在设置并使用安全的SSL连接,因此该应用被视为加密产品。美国的出口管制取决于您是否使用加密,而不是在哪里找到。您使用内置函数而不是编写自己的函数,使用商业库或使用专用处理器都没关系-它仍然是加密项。

如果您想讨论应用程序的详细信息,请访问BIS网站www.bis.doc.gov/encryption或致电帮助台202-482-0707。如果发现需要加密分类,那么SNAPR的链接也在那里。

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.