我正在寻找一个将与REST Web服务通信的iPhone应用程序。由于将传输一些用户敏感数据(名称,地址,年龄等),因此我正在考虑使用SSL保护连接。
但是,在上次进入App Store提交时,我看到被问到的第一个问题是“您的应用程序是否使用加密?” 并根据对这个问题和其他后续问题的答案,可能要求美国出口合规。
我的公司不设在美国,也没有美国办事处。
是否有其他人为此目的使用SSL提交了应用程序?如果是这样,您是否需要做任何事情来获得苹果或美国政府的使用许可?
我正在寻找一个将与REST Web服务通信的iPhone应用程序。由于将传输一些用户敏感数据(名称,地址,年龄等),因此我正在考虑使用SSL保护连接。
但是,在上次进入App Store提交时,我看到被问到的第一个问题是“您的应用程序是否使用加密?” 并根据对这个问题和其他后续问题的答案,可能要求美国出口合规。
我的公司不设在美国,也没有美国办事处。
是否有其他人为此目的使用SSL提交了应用程序?如果是这样,您是否需要做任何事情来获得苹果或美国政府的使用许可?
Answers:
2016年9月20日更新
不再需要ERN,因此似乎许多应用都不再需要在美国政府注册。(尽管您可能仍然需要提交第742部分的半年度自分类报告附录8。)http://www.bis.doc.gov/InformationSecurity2016-updates
(感谢@EugenioDeHoyos和@ user3562927指出了这一点!)
该第三方网站可能会帮助您准备报告:自我分类报告生成器(另一个用户添加了指向它的链接,我自己没有尝试过。)
仍需要法国政府注册才能在法国销售。
在iTunes Connect的常见问题已更新来弥补这一变化,是最可读的参考,我发现。
旧答案
截至2010年夏季,该过程已经更改,您(可能)现在需要ERN,而不是John撰写答案时所需的CCATS。
请参阅Apple iTunes对应用程序的出口限制。iTunes connect常见问题解答还包含许多有关出口合规性的有用信息。
现在,在法国应用程序商店上分发带有加密的应用程序也有一些限制-请参阅devforums上的itunes connect FAQ和“法国出口合规性”主题。
现在在2017年11月...
这确实是合法的东西,所以这是我发现有用的东西以及我如何解释事物的指针。不要把它当作建议(不是)。
此处其他答案中提到的Apple常见问题解答是一个很好的起点:https : //itunespartner.apple.com/en/apps/faq/Managing%20your%20apps_export%20Compliance
这导致执行以下操作:在iTunes Connect中,转到您的App。选择顶部的“功能”标签,然后在侧面选择“加密”。单击主页上的“添加iOS的出口合规性文档”。第一个问题是:“出口合规性:您的应用是否设计为使用加密...”,选择“是”。下面的问题说(我复制并粘贴):
您的应用程序是否满足以下任何条件:
(a)符合类别5第2部分中提供的一项或多项豁免
(b)加密的使用仅限于操作系统(iOS或macOS)内的加密
(c)仅可拨打电话( s)通过HTTPS
(d)仅在美国和/或加拿大提供应用程序
(c)是SSL样式参考(根据您的问题),因此请对此问题选择“是”。[请注意,此屏幕上的指南底部具有指向上述常见问题解答链接的链接]
在选择“是”时,弹出指导框之一会说(我引用):
如果您使用ATS或拨打HTTPS,请注意,您需要向美国政府提交年终自我分类报告。学到更多
回到常见问题解答中,关键语录是:
如果我不居住在美国,为什么我的应用程序需要进行加密审查?如果我仅在自己的国家/地区发布应用,可以绕过加密审查吗?
您的应用程序将被上传到美国的Apple服务器,这意味着您的应用程序将从美国出口,并受美国出口法律的约束。即使仅计划在您自己的国家/地区内分发,此要求也适用。
我想最后一点回答了您的问题的第二点...即使您不在美国,甚至不打算在自己的国家/地区之外分发,您仍然必须遵守...
因此,从我今天(2017年11月)阅读的内容来看,如果在iOS App中使用SSL(HTTPS),即使在美国以外的地区,也需要在iTunes Connect中打勾...(该过程从“功能”下开始标签”)。除此之外,您还需要制作年度自我分类报告。
Apple FAQ中与此相关的链接目前已断开(在我撰写本文时),但是此链接很有用:https : //www.bis.doc.gov/index.php/policy-guidance/product-guidance/high性能计算机/ 223新加密/ 1238如何提交年度自我分类报告
此页面包括将报告发送到的电子邮件地址(您必须将其发送到2个地方),何时发送报告以及需要发送什么格式和信息(精心创建的非常明确的.csv文件),我找不到使用bis.doc.gov搜索引擎进行搜索,但使用通用搜索引擎搜索“年终自我分类报告”来找到它。因此,如果此特定链接将来消失,则此搜索可能有助于找到任何替代方法:)
至于如何使用SSL为iOS应用程序制作此.csv文件的详细信息,我尚不确定-我希望能取得成功,如果合适的话,将详细介绍此帖子。
为此,请在此链接文档中:https : //www.bis.doc.gov/index.php/documents/new-encryption/1651-740-17-enc-table/file (您可能需要放大阅读)我认为相关行是提交要求匹配的第三行(b)(1)。它指必须
提交补充。8,第742部分,通过电子邮件发送
该文档也有一个ECCN列,我正在考虑相关的ECCN编号是5A002点
下一个文档提供了有关选择正确的ECCN代码的更多详细信息:
阅读我目前的最佳猜测是,如果SSL被用作应用程序的一小部分,则它与代码5A002.a.4相关。
更新:
因此,在bis.doc.gov指南的底部,用于创建.csv文件的描述如下:
- 年度自我分类报告的第一行必须包含以下12个条目:产品名称,型号,制造商,ECCN,授权类型,项目类型,提交者名称,电话号码,电子邮件地址,邮件地址,非美国组件,非美国制造地点。
- 不能将任何条目留空。
- 产品名称和ECCN必须填写。
- 对于型号和制造商,如有必要,输入“ NONE”或“ N / A”。
- 对于“授权类型”,输入ENC或MMKT。
- 对于“项目类型”,从补充中提供的项目类型列表中进行选择。8至742(a)(6)部分。
- 列标题SUBMITTER NAME(通过非美国生产地点的名称)与整个公司有关,因此,对于每种产品,都应输入相同的标题(即,只有一个联系点,对于是否存在以下任何一项,回答为“是”或“否”)报告的产品包含非美国来源的加密组件,并且该报告需要一个非美国制造地点的列表。将此信息复制到电子表格的每一行中
- 唯一允许使用的逗号是每个订单项的12个条目之间的必要分隔符。唯一允许的逗号是在电子表格转换过程中自动插入的逗号。
使用第742部分的补编第8号-加密项目的自分类报告作为进一步指导,我得到了一个.csv文件,如下所示:
PRODUCT NAME, MODEL NUMBER, MANUFACTURER, ECCN, AUTHORIZATION TYPE, ITEM TYPE, SUBMITTER NAME, TELEPHONE NUMBER, E-MAIL ADDRESS, MAILING ADDRESS, NON-U.S. COMPONENTS, NON-U.S. MANUFACTURING LOCATIONS
[my-app-name] iOS App,[my-App-version-number],SELF,5A002,ENC,Link encryption,[My-name],[my-phone-number],[my-email],[my address with no commas],YES,[my-location]
请注意,这应该是格式正确的.csv文件,但事实并非如此。我建议在电子表格中创建一些内容并另存为.csv
还要注意,这不是建议的结果-这是我最好的解释,因为没有建议的不合格个人。bis.doc.gov指南底部的示例.csv进一步帮助了我,似乎暗示ECCN可能只是5A002,而没有进一步的细节。必须从补编第8号中的列表中选择项目类型-其他可能更适合您应用程序性质的内容。我对MODEL NUMBER不太确定,但是示例看起来像是在使用版本号类型描述。也许App Apple ID在这里会更好。鉴于它是可选的,可能没有关系...
更新(2019年1月):最后提交了2018年的论文,并提交了:
PRODUCT NAME, MODEL NUMBER, MANUFACTURER, ECCN, AUTHORIZATION TYPE, ITEM TYPE, SUBMITTER NAME, TELEPHONE NUMBER, E-MAIL ADDRESS, MAILING ADDRESS, NON-U.S. COMPONENTS, NON-U.S. MANUFACTURING LOCATIONS
[my-app-name] iOS App,N/A,SELF,5A002,ENC,Link encryption,[My-name],[my-phone-number],[my-email],[my address with no commas],NO,[my-location]
所做的更改是将“ N / A”作为型号,将“非美国”组件设为“ NO”。“否”,因为我的应用程序没有购买组件(美国或美国)-加密代码只是iOS加密库。
<App name>, <App Sku>, SELF, 5D002, MMKT, Other (iOS App), <Your name>, <Your phone number>, <Your email>, <Your home address>, no, n/a
按照建议的方式进行操作simonfairbairn.com/bis-year-end-self-classification-report ECCN = 5D002,因为SSL是开放源授权类型= MMKT,因为我希望“大众市场” ^^ ITEM TYPE =(xlix)其他(请指定)。
5D992
对于大多数仅使用SSL之类的加密组件的大众市场应用程序似乎是合适的5D002
(请参阅“类别5,第2部分的注3”)。
我实际上回到了苹果公司,事实证明,任何使用SSL的应用程序都可以需要得到批准(不幸的是)。显然有一些例外,例如,如果应用程序仅对一次付款交易使用SSL。
iPhone应用程序的大众市场加密CCATS商品分类的8个简单步骤中有更多信息,以及 进行HTTPS(TLS)连接的应用程序的iPhone加密出口合规性中有更多信息。
eNULL
密码套件还可以(但是我不确定它们的用处)。
截止到2016年9月20日,所有这些答案都已过时。我刚刚与SNAP-R(政府)人员通电话,他们说新法规于9月20日生效。新法规取消了注册您的应用程序的要求,仅因为它使用了加密。
我向他们介绍了我的应用(游戏),他们说这是“ EAR-99”,这意味着我不必注册。苹果很有可能即将更新其网站。但是与此同时,如果您因为使用SSL / HTTPS而尝试执行此过程,请立即停止。您甚至不会成功填写表格,因为它们已经发生了很大的变化。
我发现最近(2015年12月)经历此过程的某人的这篇文章非常有帮助。总体共识似乎是,即使您只是在使用利用SSL的REST调用,您确实确实需要完成此过程。本文将帮助您快速完成该过程。
https://carouselapps.com/2015/12/15/legally-submit-app-apples-app-store-uses-encryption-obtain-ern/
我今天早些时候遇到了这个问题,以为我会回来报告我的经验。
检出:http : //tigelane.blogspot.com/2011/01/apple-itunes-export-restrictions-on.html了解对我来说效果很好的过程(请务必完整阅读其中的内容,包括评论)自原始帖子以来发生了一些变化,主要是为了更好,更新的信息在评论中)。
现在,整个过程非常简化(除了Safari和Chrome无法识别自己网站的SSL证书。在这里有点讽刺意味。提交信息后大约10到15分钟,我得到了批准。
我猜想这已经成为他们的日常工作(至少如果您仅使用SSL而不是某种形式的外来加密)。