我是第一次上传二进制文件。iTunes Connect问我:
出口法律要求包含加密的产品具有适当的出口授权。
不遵守可能会导致严厉的处罚。
更多信息,请点击这里。
您的产品是否包含加密?
我使用https://
,但只能通过NSURLConnection
和使用UIWebView
。
我的理解是,我的应用程序不“包含加密”,但是我想知道它是否在任何地方都已阐明。“严厉处罚”听起来一点都不愉快,因此“我认为是正确的”有点粗略……权威的回答会更好。
谢谢。
我是第一次上传二进制文件。iTunes Connect问我:
出口法律要求包含加密的产品具有适当的出口授权。
不遵守可能会导致严厉的处罚。
更多信息,请点击这里。
您的产品是否包含加密?
我使用https://
,但只能通过NSURLConnection
和使用UIWebView
。
我的理解是,我的应用程序不“包含加密”,但是我想知道它是否在任何地方都已阐明。“严厉处罚”听起来一点都不愉快,因此“我认为是正确的”有点粗略……权威的回答会更好。
谢谢。
Answers:
[ 更新:自2016年9月下旬起,ERN无需使用HTTPS] https://stackoverflow.com/a/40919650/4976373
不幸的是,我相信即使您仅使用HTTPS(如果您的应用程序不是问题2所包含的例外),您的应用程序也就美国BIS而言“包含加密”。
“ 如何知道我是否可以遵循出口商注册和报告(ERN)程序?
如果您的应用出于问题2所列的豁免目的以外的目的使用,访问,实现或并入了行业标准加密算法,则需要提交ERN授权。标准加密的示例包括:AES,SSL,https。此授权要求您每年1月向两个美国政府机构提交年度报告,其中包含有关您的应用程序的信息。”
” 第二个问题:您的产品是否有资格获得类别5第2部分提供的任何豁免?
在美国出口法规中,第5类第2部分(信息安全和加密法规)对使用,访问,实施或合并加密的应用程序和软件有几项豁免。
与误解出口法规或要求豁免不正确相关的所有责任均由应用程序的所有者和开发人员承担。
如果满足以下任一条件,则可以对问题回答“是”:
(i)根据BIS在加密问题上提供的指导,确定您的应用程序未归类为EAR的第2部分第5类。可以在《联邦法规电子法规》站点上查阅EAR第774部分补编第3号中关于医疗设备的理解声明。请访问加密页面“常见问题”部分中的问题15,以获取BIS列出的示例项目,这些示例可以要求注释4豁免。
(ii)您的应用仅使用,访问,实现或合并加密以进行身份验证
(iii)您的应用使用,访问,实现或合并了密钥长度不超过56位对称,512位非对称和/或112位椭圆曲线的加密
(iv)您的应用是大众市场产品,密钥长度不超过64位对称,或者如果没有对称算法,则不超过768位非对称和/或128位椭圆曲线。
请查看类别5第2部分中的注释3,以了解大众市场定义的标准。
(v)您的应用程序是专门为银行用途或“货币交易”设计的,并且受到限制。术语“金钱交易”包括票价或信用功能的收集和结算。
(vi)您的应用程序的源代码是“公开可用的”,您的应用程序免费分发给了公众,并且您已满足740.13。(e)规定的通知要求。
如果您需要进一步的帮助来确定您的应用是否符合任何豁免条件,请访问加密网页。
如果您认为自己的应用有资格获得豁免,请对问题回答“是”。
以适当的方式获得批准您的应用并不难。SSL(HTTPS / TLS)仍然是加密,除非您仅将其用于身份验证,否则您应该获得适当的批准。我刚刚获得批准,并且我的应用程序现在已经在商店中出售,可以使用SSL加密数据流量(而不仅仅是身份验证)。
这是我写的博客条目,以便其他人可以以正确的方式进行。
我问苹果公司同样的问题,并得到了答案(来自高级出口合规专家),“通过https发送信息会迫使数据通过SSL的安全通道,因此,这符合美国政府的要求, CCATS审核和批准。” 请注意,苹果已经为SSL实施了此操作并不重要,但对于政府而言,如果您使用的加密与他们自己进行的加密相同(对他们而言)。我还更新了我们的博客(http://blog.theanimail.com),因为Tim链接了该博客,并提供了更新和有关流程的详细信息。希望能有所帮助。
如果您使用Apple提供的安全性框架或CommonCrypto库,则您的应用程序中确实包含了加密,并且您必须回答yes-仅仅是因为Apple提供的库并没有使您摆脱困境。
关于原始问题,Apple开发论坛上的最新帖子使我相信,即使您只使用SSL,也需要回答是。
简短的回答:是的,但是您不必做任何事情
我在网上搜索了几个小时。其实这很简单,您可以在iTunes连接中验证这一点:
1.您要做的一切
如果您的应用仅使用HTTPS或仅将加密用于身份验证,令牌等,则无需执行任何操作,只需添加
<key>ITSAppUsesNonExemptEncryption</key><false/>
在您的Info.plist中,您就完成了。
2.验证
您可以在iTunes连接中对此进行验证。
无论如何,您当然应该仔细阅读对话框。
可以在这里找到非常有用的文章:
https://www.cocoanetics.com/2017/02/itunes-connect-encryption-info/
对于仅使用TLS连接到其自己的Web服务器的应用程序开发人员而言,所有这些都可能会造成混乱。由于ATS(应用程序传输安全性)变得越来越重要,我们鼓励将所有内容都转换为https-我认为更多的开发人员将遇到此问题。
我的应用程序仅使用https协议在服务器和用户之间交换数据。在免责声明中看到“ USES ENCRYPTION”一词有点吓人,因此我给美国政府办公室打了个电话,并与工业和安全局(BIS)的代表进行了交谈http://www.bis.doc .gov / index.php / about-bis / contact-bis。
该代表向我询问了我的应用程序,因为它通过了“主要功能测试”,因为它与安全性/通信无关,而只是使用https作为将我的客户数据连接到我们的服务器的渠道-属于EAR99类别这意味着它无需获得政府许可(请参阅https://www.bis.doc.gov/index.php/licensing/commerce-control-list-classification/export-control-classification-number-eccn)
我希望这对其他应用程序开发人员有所帮助。
自2016年9月20日起,使用https(或其他加密形式)的应用不再需要注册:https://web.archive.org/web/20170312060607/https://www.bis.doc。 gov / index.php / informationsecurity2016-更新
具体来说,他们指出:
不再需要加密注册-来自注册的某些信息现在进入Supp。第742部分第8号报告。
这意味着您可能需要向BIS发送年度报告,但是您无需注册,并且可以在提交应用程序时注明其是免税的。
是的,根据iTunes Connect出口合规性信息屏幕,如果您使用内置的iOS或MacOS加密(钥匙串,https),则表示出于美国政府出口法规的目的使用了加密。您是否有资格获得出口合规豁免,取决于您的应用程序执行的操作以及如何使用此加密。所附图像显示iTunes Connect出口合规性屏幕,可帮助您确定出口报告义务。它特别指出:
如果您使用的是ATS或拨打HTTPS,请注意,您需要向美国政府提交年终自我分类报告。学到更多
@hisnameisjimmy是正确的:您会注意到(至少从今天(2016年12月1日)开始)提交应用程序进行审核并到达“出口合规性”演练,您会注意到菜单现在指出HTTPS是该版本的免税版本加密(如果您在每次通话时都使用它):
我发现美国工业和安全局的常见问题解答很有帮助。
问题15(注4是什么)是重点:
...
注释4从类别5,第2部分中排除的项目示例包括但不限于以下各项:
消费者应用程序。一些例子:
防止软件或音乐的盗版和盗窃;音乐,电影,曲调/音乐,数码照片-播放器,记录器和组织者游戏/游戏-设备,运行时软件,HDMI和其他组件接口,开发工具LCD TV,蓝光/ DVD,视频点播(VoD),电影院,数字录像机(DVR)/个人录像机(PVR)–设备,在线媒体指南,商业内容的完整性和保护,HDMI和其他组件接口(非视频会议);打印机,复印机,扫描仪,数码相机,互联网相机-包括零件和子组件,家用公用事业和家用电器
发现这些答案中的一些非常有用,但由于此网址会带您逐步解决以下问题,因此希望添加此网址以确保完整性:
https://itunespartner.apple.com/zh_CN/apps/faq/Managing%20Your%20Apps_Export%20Compliance#21109148
可以在此链接上找到填写2020 SNAP-R表格的说明。此外,《年度自我分类报告》中的说明在2020年进行了更新。
简单的答案是是(应用程序已加密)和是(应用程序使用免除加密)。在我的应用程序中,我只是在WKWebView中打开公司的网站,但是由于它使用“ https”,因此将被视为免除加密。Apple文档以获取更多信息: https //developer.apple.com/documentation/security/complying_with_encryption_export_regulations?language=objc
或者,您可以仅在应用程序的info.plist文件中添加键“ ITSAppUsesNonExemptEncryption”和值“ NO”。这样,iTunes connect就不会再问您这个问题了。更多信息: https //developer.apple.com/documentation/bundleresources/information_property_list/itsappusesnonexemptencryption?language=objc
您可以按照以下3个简单步骤来验证您的应用程序是否被豁免: https //help.apple.com/app-store-connect/#/dev63c95e436
您可能需要将此年度自我分类提交给美国政府。有关更多信息:https : //www.bis.doc.gov/index.php/policy-guidance/encryption/4-reports-and-reviews/a-annual-self-classification
如果您不是显式使用加密库或滚动自己的加密代码,那么我认为答案是“否”。