在iPhone应用程序中使用SSL – 导出合规性

我正在创build一个iPhone应用程序,将与REST Web服务进行通信。 因为一些用户敏感的数据(姓名,地址,年龄等)将被传输,我正在寻求保护与SSL的连接。

但是,在我之前的作品中,我发现我得到的第一个问题是“您的应用程序使用encryption吗?” 根据这个问题和其他后续问题的答案,可能需要美国的出口合规。

我的公司不在美国,也没有美国办事处。

有没有其他人提交使用SSL的应用程序用于这种目的? 如果是这样,你是否需要做任何事情来获得苹果或美国政府的使用许可?

截至2016年9月20日更新

ERN不再需要,所以看起来很多应用程序将不再需要在美国政府进行注册。 (虽然您可能仍然需要每年向第742部分报告提交一份双年度报告。) http://www.bis.doc.gov/InformationSecurity2016-updates

(感谢@EugenioDeHoyos和@ user3562927指出这一点!)

法国政府的注册仍然需要在法国销售。

iTunes Connect常见问题解答已更新,以涵盖此更改,并且是我find的最具可读性的参考。

老答案

从2010年夏季开始,这个过程已经发生了变化,你(可能)现在需要一个ERN,而不是在John写回答的时候需要的CCATS。

请参阅Apple应用程序的iTunes导出限制 。 iTunes连接常见问题解答还包含许多有关出口合规性的有用信息。

现在还有一些限制,适用于在法国应用程序商店中分发encryption应用程序 – 请参阅devforums上的 itunes connect FAQ和French Export Compliance线程 。

事实上,我回到了苹果,事实certificate,任何使用SSL的应用程序需要批准(不幸的是)。 显然有一些例外情况,例如应用程序仅对一次支付交易使用SSL。

大众市场encryption中有更多的信息CCATS iPhone应用程序的商品分类8个简单的步骤和iPhoneencryption出口合规性的应用程序进行HTTPS(TLS)连接 。

截至2016年9月20日,所有这些答案都已经过时。我刚刚和SNAP-R人(政府)通了电话,他们说9月20日有新的立法登陆。 新的规定删除了注册您的应用程序的要求,因为它使用encryption。

我向他们描述了我的应用程序(游戏),他们说这是一个“EAR-99”,这意味着我不必注册。 苹果很可能会更新他们的网站。 但与此同时,如果您正在尝试通过此过程,因为您使用SSL / HTTPS,现在就停止。 填写表格你甚至不会成功,因为它们已经发生了很大的变化。

我发现这篇文章最近经历了一个过程(2015年12月) 非常有帮助的人。 总体上的共识似乎是,即使您只是使用利用SSL的REST调用,您确实也需要经历这个过程。 本文将帮助您快速完成整个过程。

https://carouselapps.com/2015/12/15/legally-submit-app-apples-app-store-uses-encryption-obtain-ern/

我今天早些时候遇到了这个问题,并且认为我会回来报告我的经验。

查看: http : //tigelane.blogspot.com/2011/01/apple-itunes-export-restrictions-on.html ,对于我来说运行良好的程序(一定要阅读整个事情,包括评论 – 那里自原帖以后发生了一些变化,主要是为了更好,更新的信息在评论中)。

现在这个过程非常stream畅(除了Safari和Chrome没有识别他们自己的站点的SSL证书之外,有点讽刺意味:-); 提交信息后10-15分钟获得批准。

我想这已经成为他们的常规事情(至less如果你只使用SSL而不是某种奇特的encryption)。

由于该应用程序正在设置并使用安全的SSL连接,因此它被视为encryption产品。 美国的出口pipe制取决于你是否使用encryption,而不是你在哪里find它。 不要紧,你正在使用一个内置的函数,而不是写自己的,使用商业库,或使用专门的处理器 – 它仍然是一个encryption项目。

如果您想讨论您的应用程序的详细信息,请查看BIS网站www.bis.doc.gov/encryption或致电202-482-0707咨询台。 如果你发现你需要一个encryption分类,那么SNAPR的链接也在那里。

现在在2017年11月…

这真的是合法的东西,所以这是我发现有用的东西以及我如何解释东西的指针。 不要把它作为build议(不是)。

在其他答案中提到的苹果常见问题是一个很好的起点: https : //itunespartner.apple.com/en/apps/faq/Managing%20Your%20Apps_Export%20Compliance

这导致执行以下操作:在iTunes Connect中,转到您的应用程序。 select顶部的“function”选项卡,并select侧面的“encryption”。 点击主页面上的“为iOS添加导出合规性文档”。 第一个问题是:“出口合规性:您的应用是否devise为使用encryption技术…”select“是”。 下面的问题说(我复制和粘贴):

您的应用是否符合以下任一条件:
(a)有资格获得第5类第2部分规定的一项或多项豁免
(b)encryption的使用仅限于操作系统内的encryption(iOS或MacOS)
(c)仅通过HTTPS拨打电话
(d)仅在美国和/或加拿大提供应用程序

(c)是SSL风格的引用(根据你的问题),所以select是这个问题。 [请注意,此屏幕上的指导底部有链接到上述FAQ链接]

在select“是”时,其中一个popup式窗口指示框(和我引用):

如果您正在使用ATS或致电HTTPS,请注意您需要向美国政府提交年终自我分类报告。 学到更多

回到常见问题中,一个重要的报价是:

为什么我的应用程序需要encryption审查,如果我不住在美国? 如果我只在我的国家发布我的应用程序,我可以绕过encryption审查吗?

您的应用程序将被上传到美国的苹果服务器,这意味着您的应用程序将从美国出口,并受美国出口法律的约束。 即使您只打算在您自己的国家/地区进行分销,此要求也适用。

最后一点,我想回答你的问题的第二位…即使你不在美国,即使你不打算在你自己的国家之外发行,你仍然必须遵守。

所以,就我今天(2017年11月)所阅读的内容而言,如果在iOS应用程序中使用SSL(HTTPS),即使在美国以外的地方,也需要在iTunes Connect中打勾框(此过程在“function如上所述)。 除此之外,你需要每年做一次自我分类报告。

苹果常见问题中的链接目前已经被破坏(正如我写的),但这个链接是有用的: https : //www.bis.doc.gov/index.php/policy-guidance/product-guidance/high -性能的计算机/ 223-新的encryption/ 1238-如何对文件的年度自分类报告

这个页面包括发送你的报告的电子邮件地址(你必须把它发送到2个地方),什么时候发送报告,需要发送什么格式和信息(一个精心创build的非常规定的.csv文件),我找不到这与bis.doc.govsearch引擎,但发现它使用search“年终自我分类报告”的一般search引擎。 所以如果这个特定的链接将来死亡,这个search可能有助于find任何替代品:)

至于如何使用SSL为iOS应用程序制作.csv文件的详细信息,我还不确定 – 我希望能够取得成功,并且如果看起来合适的话,将会详细编辑此post。

尽pipe如此,在这个链接的文档: https : //www.bis.doc.gov/index.php/documents/new-encryption/1651-740-17-enc-table/file (你可能需要放大阅读)我认为相关行是第三个(b)(1)作为提交要求匹配。 它是指不得不

提交Supp。 8,部分742,通过电子邮件

这个文件还有一个ECCN专栏,我正在考虑相关的ECCN号码是5A002点的东西

这个下一个文件有更多关于select正确的ECCN代码的细节:

https://www.bis.doc.gov/index.php/documents/new-encryption/1652-cat-5-part-2-quick-reference-guide/file

阅读这个我目前最好的猜测是,如果SSL被用作应用程序的一小部分,这涉及到代码5A002.a.4

更新:

因此,在bis.doc.gov指南的底部,关于创build.csv文件的描述如下:

  • 年度自行分类报告的第一行必须包含以下12个条目:产品名称,型号,制造商,ECCN,授权types,项目types,提交者姓名,电话号码,电子邮件地址,通讯地址,非美国组件,非美制造场所。
  • 没有条目可以留空。
  • 产品名称和ECCN必须完成。
  • 对于型号和制造商,如有必要,请input“NONE”或“N / A”。
  • 对于AUTHORIZATION TYPE,inputENC或MMKT。
  • 对于ITEMtypes,请从Supp。中提供的项目types列表中select。 8到742(a)(6)。
  • 列标题通过非美制造地点的提交者名称与整个公司有关,因此对于每个产品应该input相同(即,只有一个联系点,一个是“是”还是“否”所报告的产品包含非美国来源的encryption组件,并且报告需要一个非美国制造地点列表)。 将这些信息复制到电子表格的每一行
  • 唯一允许使用的逗号是每个订单项的12个条目之间的必要分隔符。 允许的唯一逗号是在电子表格转换过程中自动插入的逗号。

使用补充号为8的第742部分 – 自我分类报告的encryption项目进一步指导,我得到了一个.csv文件是这样的:

 PRODUCT NAME, MODEL NUMBER, MANUFACTURER, ECCN, AUTHORIZATION TYPE, ITEM TYPE, SUBMITTER NAME, TELEPHONE NUMBER, E-MAIL ADDRESS, MAILING ADDRESS, NON-US COMPONENTS, NON-US MANUFACTURING LOCATIONS [my-app-name] iOS App,[my-App-version-number],SELF,5A002,ENC,Link encryption,[My-name],[my-phone-number],[my-email],[my address with no commas],YES,[my-location] 

请注意,这应该是一个格式良好的.csv文件,这是不完全的。 我build议在电子表格中创build一些内容并保存为.csv

另外请注意,这不是一个build议的结果 – 这是我最好的解释,作为一个没有build议的无条件的个人。 在bis.doc.gov指南底部的例子.csv帮助我进一步,似乎表明ECCN可能只是5A002而没有进一步的细节。 ITEM TYPE必须从第8号补充列表中挑选 – 其他的东西可能更适合您的应用程序的性质。 我对MODEL NUMBER不是很确定,但是这个例子看起来像是使用版本号types描述。 也许应用程序Apple ID在这里会更好。 鉴于它是可选的,它可能并不重要…