Paquete de metadatos de app para la seguridad de los datos

Los paquetes de metadatos de apps brindan a los desarrolladores una forma transparente de incluir información sobre ellos (el desarrollador), la app y, si los recopilan, compartir y proteger los datos de los usuarios. Google Play Store requiere que los desarrolladores proporcionan esta información a las apps que distribuye y a los fabricantes de Android dispositivos con Servicios de Google Play exigen lo mismo de los desarrolladores de las apps que el fabricante precarga, con excepciones limitadas para los servicios del sistema.

Otras tiendas de aplicaciones y otros instaladores pueden optar por requerir un paquete de metadatos de la aplicación para de las aplicaciones que distribuyen. El método de distribución de apps determina los desarrolladores pueden crear e integrar un paquete de metadatos de la app. Pantallas Android Información sobre seguridad de los datos del paquete de metadatos de la app para los usuarios por ejemplo, si una aplicación declara que comparte su ubicación con un tercero, esa información se mostrar en la solicitud de permiso de ubicación en dispositivos con Android 14 o mayores.

Descripción general

Un paquete de metadatos de la aplicación te permite compartir información sobre ti (el desarrollador) y su aplicación, incluidos los datos del usuario que esta recopila o comparte, y mostrar las prácticas clave de privacidad y seguridad de tu app. Esta información ayuda a los usuarios a tomar para tomar decisiones más informadas cuando, por ejemplo, otorga acceso a los permisos.

Los paquetes de metadatos de aplicaciones son independientes y se agregan a cualquier transparencia legal y las obligaciones de divulgación a las que usted, como desarrollador, países en los que opera.

Se recomienda a todos los desarrolladores que declaren cómo recopilan y manejan los datos de los usuarios para sus apps y proporcionan detalles sobre su propósito, el desarrollador información y cómo la app protege los datos del usuario a través de prácticas de seguridad, como encriptación. Esto incluye los datos recopilados y manejados a través de cualquier o SDKs que se usan en las apps. Es posible que los desarrolladores quieran consultar y la información de seguridad de los datos publicada para obtener más detalles. Los desarrolladores pueden consultar el sitio web del Índice SDK de Play para ver si un proveedor proporcionó un vínculo a su orientación.

Los paquetes de metadatos de aplicaciones llegan al dispositivo de manera diferente, según cómo se utilice la app distribuido:

  • Apps precargadas en la imagen del sistema: El fabricante del dispositivo es responsable de incluir el paquete de metadatos de la app en un archivo en formato XML de seguridad de los datos en la imagen del sistema.
  • Apps distribuidas por instaladores: El instalador es responsable de enviar el paquete de metadatos de la app en el dispositivo. Si desarrollas una app distribuida a través de Google Play, consulta las instrucciones del Ayuda de Console. Los instaladores pueden consultar el esquema de metadatos de la app Conjuntos de datos.

Los desarrolladores de apps precargadas pueden crear un archivo en formato XML de seguridad de los datos usando uno de los siguientes métodos:

  • Si desarrollas una app publicada en Play Store, usa el Formulario de seguridad de los datos de la consola en la página Contenido de la app. Para ello, navega a Política > Contenido de la app. Si ya completaste este formulario, no tal vez debas tomar medidas adicionales.
  • Descarga y edita el archivo en formato XML de plantilla que está disponible en esta página. proporcionar a los fabricantes o instaladores.

Preparando la información

Antes de que los desarrolladores comiencen a crear un paquete de metadatos de la app, completa lo siguiente: pasos:

  • Asegúrate de haber agregado una política de privacidad.

  • Revisa cómo la app recopila y comparte datos de los usuarios y la seguridad de la app prácticas recomendadas. En particular, verifica los permisos declarados de la app y las APIs. que usa la app.

    Además de revisar cómo la app recopila y comparte datos los desarrolladores también deben revisar cómo el código de terceros (como bibliotecas o SDKs) de la aplicación recopilan y comparten esos datos. La app paquete de metadatos debe reflejar la recopilación o el uso compartido de datos que realiza dicho código de terceros.

Qué deben divulgar los desarrolladores en las secciones de información para desarrolladores y apps

En esta sección, se explica qué información deben divulgar los desarrolladores en el Secciones información de la app e información del desarrollador del paquete de metadatos de la app Si Si la app se distribuye en Google Play Store, usa Play Console para ingresa esta información.

Qué deben compartir los desarrolladores sobre la app

Cuando se crea un paquete de metadatos de la app, los desarrolladores deben divulgar la app que se describe en las siguientes secciones:

Propósito de la app

Describir el propósito de la app en un BLOB de texto legible en inglés (límite de 4,000 caracteres).

Categoría de app

Selecciona la categoría que mejor se adapte al propósito de la aplicación entre las siguientes opciones: lista.

Las siguientes categorías están pensadas para apps precargadas:

  • OTA: paquetes responsables de recepción e instalación inalámbrica (OTA) actualizaciones
  • AOSP: Paquetes disponibles en el Proyecto de código abierto de Android
  • Seguridad
  • Tienda

Google Play también usa las categorías que se describen en la siguiente tabla:

Categoría Ejemplos

Arte y diseño

Cuaderno de bocetos, herramientas para pintores, herramientas de arte y diseño, libros para colorear

Autos y vehículos

Tiendas para autos, seguros para autos, comparación de precios de autos, seguridad vial, opiniones y noticias sobre autos

Belleza

Tutoriales de maquillaje, herramientas de maquillaje, peinados, tiendas de productos de belleza, simuladores de maquillaje

Libros y referencias

Lectores de libros, libros de referencia, libros de texto, diccionarios, tesauros, wikis

Empresa

Editor o lector de documentos, seguimiento de paquetes, escritorio remoto, administración de correo electrónico, búsqueda de empleo

Cómics

Personajes de cómics, títulos de cómics

Comunicaciones

Mensajería, chat o IM, marcadores, libretas de direcciones, navegadores, administración de llamadas

Citas

Formación de parejas, noviazgo, creación de relaciones, encuentros con gente nueva, búsqueda del amor

Educación

Preparación de exámenes, ayudas para el estudio, vocabulario, juegos educativos, aprendizaje de idiomas

Entretenimiento

Video en streaming, películas, programas de TV y entretenimiento interactivo

Eventos

Entradas para conciertos, eventos deportivos y cines, y reventa de entradas

Finanzas

Banca, pagos, buscadores de cajeros automáticos, noticias financieras, seguros, impuestos, administración de carteras y comercio, calculadoras de propinas

Comida y bebida

Recetas, restaurantes, guías gastronómicas, descubrimiento y degustación de vinos, recetas de tragos

Salud y fitness

Bienestar personal, seguimiento de ejercicios, sugerencias sobre dietas y nutrición, salud y seguridad

Casa y hogar

Búsqueda de casas y apartamentos, mejoras para el hogar, decoración de interiores, hipotecas, bienes raíces

Bibliotecas y demostración

Bibliotecas de software y demostraciones técnicas

Estilo de vida

Instructivos, planificación de bodas y eventos, y guías prácticas

Mapas y navegación

Herramientas de navegación, GPS, cartografía, herramientas de tránsito y transporte público

Medicina

Referencias clínicas y de medicamentos, calculadoras, manuales para proveedores de atención médica, noticias y revistas médicas

Música y audio

Servicios musicales, radios y reproductores de música

Noticias y revistas

Periódicos, agregadores de noticias, revistas y blogs

Paternidad y maternidad

Embarazo, cuidado y vigilancia de bebés, cuidado de niños

Personalización

Fondos de pantalla, fondos de pantalla animados, pantalla principal, pantalla bloqueada, tonos

Fotografía

Cámaras, herramientas de edición de fotografías, apps para administrar y compartir fotos

Productividad

Blocs de notas, listas de tareas, teclados, impresión, calendarios, copias de seguridad, calculadoras, herramientas de conversión

Compras

Compras en línea, subastas, cupones, comparaciones de precios, listas de compras, reseñas de productos

Sociales

Redes sociales y registro

Deportes

Comentarios y noticias deportivas, seguimiento de resultados, administración de equipos virtuales y cobertura de partidos

Herramientas

Herramientas para dispositivos Android

Viajes y local

Herramientas para hacer reservas, viajes compartidos, taxis, guías de ciudades, información sobre empresas locales, herramientas de administración de viajes y reserva de recorridos

Reproductores y editores de video

Reproductores de video, editores de video, almacenamiento de medios

Clima

Informes meteorológicos.

Publicidad y marketing de apps

Indica si la app incluye publicidad o marketing, incluso anuncios integrados en la aplicación promociones.

Política de Privacidad

Incluir un vínculo a la política de privacidad, en el que se detalle cómo se manejan los datos del usuario el desarrollador. Si la app no contiene este vínculo, se asumirá que la app no maneja datos del usuario.

Qué deben compartir los desarrolladores sobre sí mismos

Cuando se crea un paquete de metadatos de la app, los desarrolladores deben divulgar al desarrollador que se describe en las siguientes secciones:

Nombre del programador

Es el nombre del desarrollador, la persona o la empresa que creó la app. Puede haber con varios nombres de desarrollador.

Registro de aplicaciones

Si la app aparece en algún registro de apps, como tiendas y otros instaladores indica en este campo. Se permiten varias entradas para múltiples tiendas.

  • Para registros de apps que son instaladores de Android: El valor debe ser el Es el nombre del paquete de Android de la tienda. Por ejemplo, usa com.android.vending. para Google Play Store.
  • Para otros registros de apps: El valor debe ser la URL del registro.

Omite este campo por alguna de las siguientes razones:

  • El desarrollador es un SDK que figura en el Índice SDK de Google Play.
  • El desarrollador no está registrado en ninguna tienda de aplicaciones ni registro.

ID del registro de aplicaciones

Para las aplicaciones que aparecen en cualquier registro de aplicaciones, incluidos los instaladores y las tiendas, este valor debe ser la identidad de registro, instalación o tienda del desarrollador. Múltiples para varios almacenes.

  • Para desarrolladores registrados en Google Play: Este valor debe ser la URL de la página del desarrollador (por ejemplo, https://play.google.com/store/apps/dev?id=5700313618786177705 es la URL para el desarrollador Google LLC).
  • Si el desarrollador es un desarrollador de SDKs que aparece en el SDK de Google Play Índice: Usa la URL del SDK (por ejemplo, https://play.google.com/sdks/details/com-google-android-gms-play-services-ads es la URL del SDK de anuncios de Google para dispositivos móviles (GMA).
  • Si el desarrollador está registrado en otra tienda o registro: Se refiere a una app. la URL de la tienda u otro identificador.

Si un desarrollador no está registrado en ninguna tienda de aplicaciones, se puede omitir este atributo.

Información de contacto del desarrollador

Proporciona la siguiente información:

  • Correo electrónico
  • Sitio web
  • País o región
  • Dirección de correo postal física

Qué deben divulgar los desarrolladores en la sección de Seguridad de los datos

En esta sección se explica qué información deben divulgar los desarrolladores en los datos sección de seguridad del paquete de metadatos de la app y enumera los tipos de datos de los usuarios que los desarrolladores pueden seleccionar. Si una app se distribuye a través de Google Play usa Play Console para ingresar esa información.

Qué deben declarar los desarrolladores en los distintos tipos de datos

Cuando se crea un paquete de metadatos de aplicación, los desarrolladores deben divulgar información sobre los tipos de datos que recopilan y comparten, como se describe a continuación secciones:

Recopilación de datos

En este caso, Recopilar significa transmitir datos desde una app hacia fuera del dispositivo del usuario. Ten en cuenta los siguientes lineamientos:

  • Bibliotecas y SDKs: Incluye los datos del usuario que se transmiten fuera del dispositivo desde el una aplicación según las bibliotecas o los SDK utilizados en una aplicación, independientemente de que se trate de datos transmitirse al desarrollador de la app o a un servidor de terceros.

  • WebView: Incluye datos del usuario recopilados de una WebView que se usó. que se abren desde la app, si esta controla el código y el comportamiento entregado a través de esa WebView.

    No es necesario que los desarrolladores declaren la recopilación de datos desde una WebView en la que los usuarios navegan en la Web abierta.

  • Procesamiento efímero: Son datos del usuario que se transmiten fuera del dispositivo que se procesan. de forma efímera no necesita estar incluida en el paquete de metadatos de la aplicación si cumple con el siguiente estándar:

    El procesamiento efímero de datos implica acceder a ellos y usarlos mientras están solo se almacenan en la memoria y se retienen no más del tiempo necesario para la solicitud específica en tiempo real.

    Por ejemplo, una aplicación meteorológica que transmite la ubicación del usuario fuera del dispositivo a Recupera el clima actual en la ubicación del usuario, pero solo usa datos de ubicación en la memoria y no almacena esos datos una vez que se completa la solicitud puede tratar su uso transitorio de la ubicación como efímero. Sin embargo, usar datos para Los perfiles publicitarios creados ni otros perfiles de usuario no se pueden tratar como efímera y debe declararse como recopilación o uso compartido para el comerciales.

  • Datos seudónimos: Los datos del usuario recopilados de forma seudónima deben divulgarse. Por ejemplo, los datos que pueden volver a asociarse razonablemente con un usuario deben que se revele.

Fuera del alcance de la divulgación de recopilación de datos

No es necesario divulgar los siguientes casos de uso como recopilación:

  • Acceso o procesamiento en el dispositivo: Datos del usuario a los que accede una app que que solo se procesan de forma local en el dispositivo del usuario y no se envían fuera del dispositivo no es necesario que se divulguen.

  • Encriptación de extremo a extremo: Son datos del usuario que se envían fuera del dispositivo, pero que ilegible para usted o cualquier persona que no sea el remitente y el destinatario, como resultado de la encriptación de extremo a extremo no es necesario divulgarla.

    Ninguna entidad intermediaria debe leer los datos encriptados. incluido el desarrollador, y solo el remitente y el destinatario pueden acceder las claves necesarias.

Datos compartidos

En este caso, compartir hace referencia a la transferencia de datos del usuario recopilados desde una app a un tercero. Esto incluye los datos del usuario transferidos de las siguientes maneras:

  • Fuera del dispositivo, como transferencias de servidor a servidor: Por ejemplo, si un el desarrollador transfiere los datos del usuario que se recopilaron de una app desde la de un servidor web a un servidor de terceros.

  • Transferencia integrada en el dispositivo a otra app: Se refiere a la transferencia de datos del usuario de una app a otra app directamente en el dispositivo. En este caso, el desarrollador debe divulgar el uso compartido de datos en la sección de Seguridad de los datos, incluso si la app no transmitir los datos hacia fuera del dispositivo del usuario.

  • Desde las bibliotecas y los SDKs de tu app: Transfiere los datos recopilados desde un del dispositivo de un usuario directamente a un tercero mediante bibliotecas o SDKs que se incluyen en la app.

  • Desde WebView que se abrió a través de la app: Se está transfiriendo el usuario. datos a un tercero usando WebView que se abrió desde la app, si la aplicación controla el código y el comportamiento que se proporciona a través de esa WebView.

    No es necesario que los desarrolladores declaren el uso compartido de datos desde una WebView en la que los usuarios navegan por la Web abierta.

No es necesario divulgar los siguientes tipos de transferencia de datos como uso compartido:

  • Proveedores de servicios: Transferencia de datos del usuario a un proveedor de servicios que lo procesa en nombre del desarrollador. Un proveedor de servicios significa un que procesa datos del usuario en nombre del desarrollador y según el instrucciones para desarrolladores.

  • Propósitos legales: Transferencia de datos del usuario para fines legales específicos, como como en respuesta a una obligación legal o solicitud gubernamental.

  • Acción iniciada por el usuario o divulgación destacada y consentimiento del usuario: Transferencia de datos del usuario a un tercero en función de una decisión iniciada por el usuario acción, cuando el usuario espera razonablemente que los datos se compartan o en función de el consentimiento y una divulgación destacada en la app.

  • Datos anónimos. Transferencia de datos del usuario que se anonimizaron completamente que ya no se puede asociar con un usuario individual.

  • Propios y de terceros: Propios se refiere al desarrollador, quien organización responsable de procesar los datos que recopila la app. En el caso de las apps distribuida a través de tiendas, suele ser la organización que publica la aplicación en la tienda.

    Tiene la obligación de aclararles de forma razonable a los usuarios qué organización es la principal responsable del procesamiento de los datos que recopila el .

    Terceros se refiere a cualquier organización que no sea la de origen o su proveedores de servicios.

Manejo de datos

Los desarrolladores también pueden divulgar si cada tipo de datos que recopila la app opcional u obligatoria. Opcional incluye la capacidad de habilitar o habilitar de la recopilación de datos. Por ejemplo, los desarrolladores pueden declarar un tipo de datos como Opcional, en el que un usuario tiene el control de su recopilación y puede usar la app sin proporcionarla; o cuando un usuario elige proporcionar manualmente esa el tipo de datos. Si las capacidades principales de una app requieren el tipo de datos, los desarrolladores debería declarar esos datos como necesarios.

Los desarrolladores pueden declarar que una app recopila ciertos datos de forma opcional solo si todos de forma opcional, sin importar el dispositivo o la región, los usuarios rechazar o rechazar la recopilación de datos.

Estos son algunos ejemplos de recopilación de datos opcional:

  • Una app de redes sociales que solicita la fecha de nacimiento de un usuario para fines de marketing de comunicación, pero esa información no es obligatoria, el usuario puede registrarse de todos modos sin proporcionar esa información.

  • Datos del usuario que solo se recopilan cuando un usuario accede a su cuenta en lugares donde haya capacidad de interactuar con la aplicación sin acceder a la cuenta.

Otras divulgaciones de datos y apps

La sección de Seguridad de los datos también es una oportunidad para que los desarrolladores muestren un prácticas de privacidad y seguridad de tu app. Por ejemplo, los desarrolladores pueden destacar la siguiente información:

  • Encriptación en tránsito: Indica si los datos recopilados o compartidos por una app usan encriptación en tránsito para proteger el flujo de datos del usuario final el dispositivo al servidor.

    Algunas aplicaciones están diseñadas para permitir que los usuarios transfieran datos a otro sitio o servicio. Por ejemplo, una aplicación de mensajería podría ofrecer a los usuarios la opción de enviar un SMS a través de su proveedor de servicios móviles, que mantiene prácticas de encriptación diferentes. Estas apps pueden declararlo en la sección de Seguridad de los datos. que los datos se transfieran a través de una conexión segura, siempre y cuando usan los mejores estándares de la industria para encriptar los datos de forma segura mientras viajan entre el dispositivo de un usuario y los servidores de la app.

  • Mecanismo de solicitud de eliminación: Indica si una app proporciona a los usuarios una forma de solicitar la eliminación de sus datos.

Revisión de seguridad independiente (disponible para todas las apps)

Los desarrolladores pueden declarar en la sección de Seguridad de los datos que la app se validaron de forma independiente frente a un estándar de seguridad global. Este es un revisión opcional que realizan y pagan los desarrolladores. Por ejemplo, el uso de un Mobile Application Security Assessment (MASA), los desarrolladores pueden trabajar directamente con un lab para que se evalúen sus apps con respecto al programa Estándar de verificación de seguridad para aplicaciones móviles del proyecto de seguridad (OWASP) (MASVS). Las organizaciones de terceros que realizan las revisiones lo hacen en en nombre del desarrollador.

Tipos y propósitos de datos

Se les pide a los desarrolladores que proporcionen información sobre la recopilación, el uso compartido y otras prácticas para un diferentes tipos de datos del usuario, así como los propósitos para los que el desarrollador utiliza esos datos, como se describe en las siguientes tablas:

Categoría Tipo de datos Descripción

Ubicación

Ubicación aproximada

Ubicación física del usuario o dispositivo en un área igual a 3 kilómetros cuadrados o mayor, como la ciudad en la que se encuentra un usuario o la ubicación proporcionada en el permiso ACCESS_COARSE_LOCATION de Android.

Ubicación precisa

Ubicación física del usuario o dispositivo en un área menor a 3 kilómetros cuadrados, como la ubicación proporcionada por el permiso ACCESS_FINE_LOCATION de Android.

Información personal

Nombre

Corresponde a la forma en que un usuario se refiere a sí mismo, como su nombre, apellido o sobrenombre.

Dirección de correo electrónico

Es la dirección de correo electrónico de un usuario.

IDs de usuario

Son identificadores relacionados con una persona identificable. Por ejemplo, un ID, número o nombre de cuenta.

Dirección

La dirección de un usuario, como una dirección particular o de correo postal.

Número de teléfono

El número de teléfono de un usuario.

Origen étnico

Incluye información sobre el origen étnico del usuario.

Creencias políticas o religiosas

Incluye información sobre las creencias políticas o religiosas del usuario.

Orientación sexual

Incluye información sobre la orientación sexual del usuario.

Otra información

Cualquier otra información personal, como la fecha de nacimiento, la identidad de género o la condición de veterano de guerra

Información financiera

Información de pago del usuario

Incluye información sobre las cuentas financieras del usuario, como el número de la tarjeta de crédito.

Historial de compras

Es la información sobre compras o transacciones que realizó el usuario.

Calificación crediticia

Es la información sobre la calificación crediticia del usuario.

Otra información financiera

Incluye cualquier otra información financiera, como deudas o salarios del usuario.

Salud y fitness

Información sanitaria

Incluye información sobre la salud del usuario, como su historia clínica o síntomas.

Información de estado físico

Incluye información sobre el estado físico del usuario, como el ejercicio que realiza y otras actividades físicas.

Mensajes

Correos electrónicos

Son los correos electrónicos del usuario, incluidos los asuntos, los remitentes, los destinatarios y el contenido de los mensajes.

SMS o MMS

Son los mensajes de texto del usuario, incluidos los remitentes, los destinatarios y el contenido de los mensajes.

Otros mensajes desde apps

Se trata de otros tipos de mensajes. Por ejemplo, mensajes instantáneos o contenido de chat.

Fotos y videos

Fotos

Son las fotos del usuario.

Videos

Son los videos del usuario.

Archivos de audio

Grabaciones de voz o sonido

La voz del usuario, como un mensaje de voz o una grabación de sonido.

Archivos de música

Los archivos de música del usuario.

Otros archivos de audio

Corresponde a cualquier otro archivo de audio creado por el usuario o proporcionado por él.

Archivos y documentos

Archivos y documentos

Son los archivos o documentos del usuario, o la información sobre sus archivos o documentos, como los nombres de archivos.

Calendario

Eventos de calendario

Incluye información del calendario del usuario, como eventos, notas de eventos y asistentes.

Contactos

Contactos

Incluye información sobre los contactos del usuario, como nombres, historial de mensajes y datos de gráficos sociales, como nombres de usuario, antigüedad y frecuencia, duración de las interacciones y el historial de llamadas.

Actividad en apps

Interacciones en la app

Es información acerca de cómo un usuario interactúa con la app (por ejemplo, la cantidad de veces que visita una página o qué secciones presiona).

Historial de búsqueda en la app

Información sobre lo que el usuario buscó en la app.

Apps instaladas

Incluye información sobre las apps que están instaladas en el dispositivo del usuario.

Otro contenido generado por usuarios

Es otro contenido generado por usuarios que no se incluye en esta lista ni en ninguna otra sección, como biografías de usuarios, notas o respuestas abiertas.

Otras acciones

Es cualquier otra actividad del usuario o acciones llevadas a cabo en la app que no aparezcan aquí, como el uso de juegos, "me gusta" y opciones de diálogos.

Navegación web

Historial de navegación web

Es la información sobre los sitios web que un usuario visitó.

Información y rendimiento de la app

Registros de fallas

Datos del registro de fallas de la app Por ejemplo, la cantidad de veces que la app falló, los seguimientos de pila o cualquier otra información directamente relacionada con una falla.

Diagnóstico

Información sobre el rendimiento de la app. Por ejemplo, duración de la batería, tiempo de carga, latencia, velocidad de fotogramas o cualquier diagnóstico técnico.

Otros datos de rendimiento de apps

Son otros datos de rendimiento de la app que no se incluyen en esta lista.

Dispositivo u otros ID

Dispositivo u otros ID

Identificadores relacionados con un dispositivo, un navegador o una aplicación en particular. Por ejemplo, un número IMEI, una dirección MAC, un ID de dispositivo Widevine, un ID de instalación de Firebase o un identificador de publicidad

Propósitos

Propósito de los datos Descripción Ejemplo

Funciones de la app

Se usa para funciones que están disponibles en la app.

Por ejemplo, para habilitar funciones de la app o autenticar usuarios.

Análisis

Sirve para recopilar datos sobre cómo los usuarios utilizan tu app y cuál es el rendimiento.

Por ejemplo, a fin de saber cuántos usuarios utilizan una función específica, para supervisar el estado de la app, detectar y corregir errores o fallas y, además, mejorar el rendimiento.

Comunicaciones del desarrollador

Se usan para comunicar noticias o notificaciones relacionadas con la app o el desarrollador.

Por ejemplo, una notificación push para informar a los usuarios sobre una actualización de seguridad importante o nuevas funciones de la app.

Publicidad o marketing

Se usan para mostrar u orientar anuncios y medir su rendimiento o enviar comunicaciones de marketing.

Por ejemplo, para mostrar anuncios en la app, enviar notificaciones push para promocionar otros productos o servicios, o compartir datos con socios publicitarios.

Seguridad, cumplimiento y prevención de fraudes

Se usan para la prevención de fraudes, la seguridad o el cumplimiento de las leyes.

Por ejemplo, supervisar intentos de acceso fallidos a fin de detectar actividad potencialmente fraudulenta.

Personalización

Se usan para personalizar la app, por ejemplo, para mostrar contenido recomendado o sugerencias.

Por ejemplo, para sugerir listas de reproducción según los hábitos de escucha del usuario o enviar noticias locales según su ubicación.

Administración de la cuenta

Se usan para la configuración o la administración de la cuenta de un usuario con el desarrollador.

Por ejemplo, para permitir que los usuarios creen cuentas o agreguen información a una cuenta que el desarrollador proporcione para usar en sus servicios, acceder a la app o verificar sus credenciales.

Crea manualmente un archivo en formato XML de seguridad de los datos

En el siguiente ejemplo de archivo en formato XML de seguridad de los datos, se muestra la estructura de archivos para un app precargada que comparte datos relacionados con la ubicación del usuario. Editar esta estructura agregando, editando o quitando elementos según el tipo de información que debes divulgar para tu app.

Ten en cuenta que el archivo de muestra no está necesariamente completo. Consulta el esquema de Paquete de metadatos de la app para obtener más información sobre la estructura XML requerida para las secciones de apps, desarrolladores y seguridad de los datos del paquete de metadatos de la app que que tu app deba incluir.

<?xml version='1.0' encoding='UTF-8' standalone='yes' ?>
<bundle>
<long name="version" value="2" />

  <pbundle_as_map name="safety_labels">
    <long name="version" value="1" />

      <pbundle_as_map name="data_labels">
        <pbundle_as_map name="data_shared">
          <pbundle_as_map name="location">
            <pbundle_as_map name="approx_location">
              <int-array name="purposes" num="4">
                  <item value="1" />
                  <item value="2" />
                  <item value="5" />
                  <item value="6" />
              </int-array>
            </pbundle_as_map>
            <pbundle_as_map name="precise_location">
              <int-array name="purposes" num="2">
                  <item value="1" />
                  <item value="6" />
              </int-array>
            </pbundle_as_map>
          </pbundle_as_map>
        </pbundle_as_map>

    </pbundle_as_map>
</pbundle_as_map>
</bundle>

Preguntas frecuentes

Consulta las siguientes secciones para obtener respuestas a preguntas comunes de los desarrolladores preguntó.

Preguntas generales

Las siguientes secciones tienen respuestas a preguntas generales sobre los metadatos de la app paquetes.

Un desarrollador envió información similar para iOS. ¿Cuánto de ese trabajo puede reutilizar el desarrollador para el paquete de metadatos de la app para Android?

Es excelente que el desarrollador tenga un buen control de las prácticas de datos de la app. Para completar correctamente un paquete de metadatos de aplicación, es posible que el desarrollador necesite información que quizás no hayan usado, por lo que deberían realizar trabajo adicional. Taxonomía y framework de los metadatos de la app para Android puede diferir sustancialmente de los que se usan en otras tiendas de aplicaciones.

¿Cómo se asegura Google de que los desarrolladores compartan información precisa? Sabemos que esta información no siempre es precisa en la industria.

De forma similar a una política de privacidad, los desarrolladores son responsables de la información que se divulgan en el paquete de metadatos de la app.

¿Con qué frecuencia un desarrollador debe actualizar un paquete de metadatos de una app?

Los desarrolladores deben actualizar el paquete de metadatos de la app cuando haya cambios relevantes. a las prácticas de datos de la app.

Preguntas sobre cómo completar la sección de Seguridad de los datos

En las siguientes secciones, se responden preguntas sobre cómo completar los datos sección de seguridad de un paquete de metadatos de la app.

¿Qué sucede si la app se comporta de forma diferente en las distintas versiones de Android compatibles?

El paquete de metadatos de la app debe ser preciso para que sea independiente de el uso, la versión de la app, la región y la edad del usuario. En la sección de Seguridad de los datos, se describen los la suma de los datos de recopilación y uso compartido de la app en todas las ubicaciones geográficas y de tipos de datos.

¿Cómo puede demostrar el desarrollador que trabaja con diferentes prácticas en distintas regiones? Por ejemplo, un desarrollador no usa ciertas bibliotecas en Europa, pero podría usarlas en otras.

El paquete de metadatos de la app refleja la representación global de las prácticas de datos por . La sección de Seguridad de los datos describe la suma de los datos de recopilación de datos de la app y que se pueden compartir entre todas las ubicaciones geográficas y tipos de usuarios.

¿Las secciones de Seguridad de los datos están protegidas por un mecanismo de consentimiento para los usuarios? ¿El desarrollador debe seguir pasos adicionales para crear una divulgación destacada en la app?

No. No hay una divulgación nueva en el proceso de instalación de la app del usuario. consentimiento del usuario nuevo relacionado con esta función. Desarrolladores de apps y Aplicaciones integradas para dispositivos móviles en dispositivos Android con Servicios de Google Play que recopilan Los datos sensibles y personales de los usuarios deben implementar divulgaciones en la app y el consentimiento cuando lo requiera la política.

¿El desarrollador debe declarar datos si la app incluye un permiso, pero en realidad no los recopila ni los comparte?

El desarrollador no necesita declarar la recopilación ni el uso compartido, a menos que los datos se hagan recopilan o comparten. Aplicaciones de Google Play y paquetes de aplicaciones para dispositivos móviles en Los dispositivos Android con Servicios de Google Play deben cumplir con todas las y políticas de seguridad.

Si se recopila un tipo de datos como parte de otro, ¿el desarrollador debe declarar ambos? Por ejemplo, si el desarrollador recopila Contactos que incluyen el correo electrónico del usuario, ¿el desarrollador declara ambos tipos de contactos? y "Dirección de correo electrónico" tipos de datos?

Si el desarrollador recopila intencionalmente un tipo de datos durante la recopilación de otro tipo de datos, el desarrollador debería divulgar ambos. Por ejemplo, si el el desarrollador recopila fotos de los usuarios y las usa para determinar características (como el origen étnico), el desarrollador también debe divulgar la recopilación de la etnia y la raza.

¿El desarrollador debe proporcionar un mecanismo de eliminación? ¿Debe estar disponible para todos los datos del usuario?

La sección de Seguridad de los datos proporciona una plataforma para que el desarrollador comparta si se cumplen desarrollador proporciona un mecanismo para recibir solicitudes de eliminación de datos de los usuarios. Como parte de completar la sección de Seguridad de los datos, el desarrollador debe indicar si proporcionan dicho mecanismo.

¿Existe un tipo específico de mecanismo que el desarrollador deba proporcionar para indicar que la app admite solicitudes de eliminación de datos del usuario?

No existe un mecanismo prescrito; sin embargo, como práctica recomendada, la solicitud de respuesta debe ser detectable y accesible para los usuarios. Ejemplos comunes de mecanismos que indiquen claramente una ruta por la cual los usuarios pueden solicitar la eliminación de datos pueden incluir, entre otros, funciones en la aplicación, formularios de contacto o alias de correo electrónico exclusivo.

¿Cómo debe indicar un desarrollador en la sección de Seguridad de los datos que proporciona un mecanismo de solicitud de eliminación de datos que se borran o anonimizan automáticamente?

El desarrollador puede declarar que los usuarios pueden solicitar que se borren sus datos si los desarrollador ofrece una o más de las siguientes opciones:

  • Un mecanismo para solicitar la eliminación de datos.
  • Proceso automático para iniciar la eliminación o anonimización de los datos recopilados dentro de los 90 días posteriores a la recopilación.

    El desarrollador puede declarar que los usuarios pueden solicitar borrar sus datos incluso si el desarrollador necesita retener ciertos datos por motivos legítimos, como el cumplimiento legal o la prevención de abusos.

¿Qué sucede si el mecanismo de eliminación que proporciona el desarrollador no está disponible a nivel global para todos los usuarios? ¿El desarrollador aún puede indicar que proporciono un mecanismo de solicitud de eliminación?

Solo hay una sección global de Seguridad de los datos disponible por paquete de metadatos de app. Esta deben abarcar las prácticas de datos en función de cualquier uso, región y edad del usuario. En otro palabras, si alguna de las prácticas de datos está presente en alguna versión de la aplicación, en cualquier parte del mundo, el desarrollador debe indicar estas prácticas. Por lo tanto, La sección de Seguridad de los datos describe la suma de los procesos de recopilación de datos de la app y que se comparten con todos los usuarios y ubicaciones geográficas.

¿Qué tipos de técnicas se pueden usar para hacer que los datos sean anónimos?

Existen varios métodos posibles para anonimizar datos de modo que no se puedan asociados con un usuario individual. El desarrollador debe consultar sobre temas de privacidad. y expertos en seguridad para identificar los métodos aplicables a su caso de uso. Como ejemplo, esta página analiza algunos de los métodos de anonimización de datos que usan los como la privacidad diferencial.

¿Cómo debería abordar el desarrollador la recopilación y el uso de direcciones IP?

Al igual que con otros tipos de datos, el desarrollador debe divulgar la recopilación, el uso y el uso compartido de direcciones IP según sus prácticas y usos particulares. Para ejemplo, donde los desarrolladores usan direcciones IP para determinar la ubicación, entonces se debe declarar el tipo de datos (ubicación).

¿Cómo debería divulgar el desarrollador la recopilación y el uso compartido de otros tipos de identificadores?

Al igual que con otros tipos de datos, el desarrollador debe divulgar la recopilación, el uso y intercambio de diferentes tipos de identificadores según la dirección particular y prácticas recomendadas. Por ejemplo, la colección de un nombre de cuenta asociado con una persona identificable se deben declarar como un "Identificador personal". y la recopilación del ID de publicidad de Android de un usuario debe declararse como "Dispositivo o algún otro identificador". Como otro ejemplo, un identificador relacionado con una aplicación evento en la app, pero que no esté relacionado razonablemente con un dispositivo individual navegador o la aplicación, no sería necesario divulgarla como "Dispositivo u otros identificadores".

Como se indicó anteriormente, la recopilación de datos de forma seudónima debe divulgarse. en la sección de Seguridad de los datos del paquete de metadatos de la app, en los datos relevantes el tipo de letra. Por ejemplo, si el desarrollador recopila información de diagnóstico con una identificador de dispositivo, el desarrollador aún debe divulgar la recopilación de “Diagnóstico” en la sección de Seguridad de los datos.

¿Qué tipos de actividades pueden “proveedores de servicios” realizar?

Un proveedor de servicios solo puede procesar datos del usuario en nombre del desarrollador. Para ejemplo, un proveedor de herramientas de análisis que procesa datos del usuario desde la aplicación solo en en nombre del desarrollador o un proveedor de servicios en la nube que aloja datos de usuario de la app para el uso por parte del desarrollador, generalmente se consideran "proveedores de servicios". Del otro si un proveedor de SDK crea perfiles publicitarios en varios clientes en función de los datos de la aplicación, que no se considerarían "proveedor de servicios" de actividad para fines de la sección de Seguridad de los datos y deben divulgarse como "compartir" en la sección de Seguridad de los datos del paquete de metadatos de la app.

Una app usa un servicio de pago externo para habilitar transacciones financieras. ¿La app debe divulgar información financiera, como datos de tarjetas de crédito, en el paquete de metadatos de la app?

Depende de la naturaleza de la integración con el servicio de pago. Si la aplicación use un servicio de pago como PayPal, Google Pay, el sistema de facturación de Google Play, o servicios similares para completar transacciones de pago, el desarrollador no necesita para declarar la recopilación de los datos que recopila el servicio de pago en relacionada con el procesamiento de transacciones financieras, como una tarjeta de crédito si se cumplen todas las siguientes condiciones:

  • La app nunca accede a esa información.

  • El servicio de pago recopila esta información directamente del usuario. recopilación se rige por las condiciones de ese servicio.

El desarrollador debe revisar la integración con el servicio de pago de cerca para asegúrate de que la sección de Seguridad de los datos del paquete de metadatos de la app declare la recopilación y el uso compartido de datos relevantes que no cumplan con estas condiciones. El el desarrollador también debe considerar si la app recopila información relevante, como el historial de compras, y si la app recibe datos del servicio de pagos, por ejemplo, con fines de riesgo y antifraude.

Una app permite que los usuarios suban sus datos directamente a Google Drive o Dropbox para almacenarlos o crear copias de seguridad. La app no accede a ninguno de estos datos. ¿Debería divulgarse como "recopilación"?

Depende de la implementación en particular. Si el usuario elige subir su datos directamente a su propia unidad externa o cuenta de almacenamiento en la nube (como Google Drive, Dropbox o servicios similares), y esta carga se rige por el las condiciones del servicio y la política de privacidad de la unidad externa o del proveedor de almacenamiento en la nube, y nunca recopila los datos en cuestión ni accede a ellos, no es necesario declarar la recopilación de estos datos.

¿Cómo debe encriptar el desarrollador los datos en tránsito?

El desarrollador debe seguir los mejores estándares de la industria para encriptar de forma segura los datos de la app en tránsito. Los protocolos de encriptación comunes incluyen la seguridad de la capa de transporte (TLS). y el protocolo de transferencia de hipertexto seguro (HTTPS).

Una app le permite al usuario crear una cuenta o agregar información a su cuenta, como su fecha de nacimiento o género. ¿Cómo debe declarar el desarrollador los datos que el usuario agrega a su cuenta?

El desarrollador debe declarar la recopilación de estos datos para la administración de la cuenta. indicar (si corresponde) cuando la recopilación es opcional para el usuario

Además, al igual que con cualquier tipo de datos que recopila la app, el desarrollador debe divulgar estos datos y el propósito o los propósitos para los cuales la aplicación los utiliza. Para por ejemplo, si la app permite que un usuario agregue una fecha de nacimiento a su cuenta y también usa esos datos para enviar notificaciones push oportunas, la app también debe declarar este propósito, además de la administración de la cuenta.

La administración de la cuenta puede usarse para abarcar usos generales de los datos de la cuenta que son no son específicas de una app. Por ejemplo, si el desarrollador usa una cuenta información para la prevención de fraudes, publicidad, marketing o desarrolladores comunicaciones entre servicios y este uso no es específico de la app actividades en la aplicación, mediante la declaración "administración de cuentas" que el propósito de recopilar estos datos de la cuenta es suficiente para cubrir los usos generales del sección de seguridad de los datos del paquete de metadatos de la app. Sin embargo, la app siempre debe declarar todos los propósitos para los que la app usa los datos Como práctica recomendada, Google recomienda divulgar la forma en que la app maneja los datos del usuario para los servicios de la cuenta como parte de la documentación a nivel de la cuenta y del proceso de registro de la cuenta.

¿Qué son los servicios del sistema?

Los servicios del sistema son software preinstalado que admite las funciones principales del sistema. Los servicios del sistema deben incluir transparency_info y system_app_safety_label paquetes (este último se proporciona en lugar de un safety_labels). Servicios del sistema distribuidos a través de Google Play pueden solicitar una exención para no completar el formulario de seguridad de los datos de Google Play.

¿Cómo puede un desarrollador declarar la recopilación de datos que se usan de manera transitoria para cargar páginas y atender otras solicitudes del cliente en tiempo real antes de que esos datos se registren en los servidores del desarrollador y se usen para otros fines?

Si este uso es efímero, no es necesario que el desarrollador lo incluya en la sección de seguridad de los datos del paquete de metadatos de la app. Sin embargo, el desarrollador debe declarar cualquier uso de los datos del usuario más allá del procesamiento efímero, lo que incluye para los que el desarrollador usa los datos del usuario registrados.