Utilisation de SSL dans une application iPhone - Conformité à l'exportation

Question

J'envisage de créer une application iPhone qui communiquera avec un service Web REST. Comme certaines données sensibles de l'utilisateur (nom, adresse, âge, etc.) seront transmises, j'envisage de sécuriser les connexions avec SSL.

Toutefois, lors de mes précédentes escapades sur l'App Store, j'ai constaté que la première question que l'on me pose est la suivante : "Votre application utilise-t-elle le cryptage ?" et, en fonction de la réponse à cette question et à d'autres questions complémentaires, elle peut nécessiter une mise en conformité avec les règles d'exportation américaines.

Ma société n'est pas basée aux États-Unis et n'a pas de bureau aux États-Unis.

Quelqu'un d'autre a-t-il soumis une application utilisant SSL pour ce type d'utilisation ? Si oui, avez-vous dû faire quelque chose pour obtenir l'autorisation de l'utiliser, que ce soit de la part d'Apple ou du gouvernement américain ?

Answer 1

Mise à jour du 20 septembre 2016

Les ERN ne sont plus nécessaires, il semble donc que de nombreuses applications n'auront plus besoin de s'enregistrer auprès du gouvernement américain. (Bien que vous puissiez encore avoir besoin de déposer un rapport semestriel d'auto-classification Supp. n° 8 à la partie 742). http://www.bis.doc.gov/InformationSecurity2016-updates

(Merci à @EugenioDeHoyos et @user3562927 de nous l'avoir signalé).

Ce site web tiers peut vous aider à préparer votre rapport : Générateur de rapports d'auto-classification (Un autre utilisateur a ajouté un lien vers celui-ci, je ne l'ai pas essayé moi-même).

L'enregistrement auprès du gouvernement français est toujours nécessaire pour vendre en France.

El FAQ sur iTunes Connect ont été mis à jour pour couvrir ce changement et constituent la référence la plus lisible que j'ai trouvée.

Ancienne réponse

La procédure a changé, depuis l'été 2010, et vous avez (probablement) besoin d'un ERN maintenant, et non d'un CCATS comme cela était nécessaire au moment où John a écrit sa réponse.

Voir Restrictions d'exportation d'Apple iTunes sur les applications . La FAQ d'iTunes Connect contient également de nombreuses informations utiles sur la conformité des exportations.

Des restrictions s'appliquent désormais à la distribution d'applications chiffrées sur le magasin d'applications français - voir la FAQ d'itunes connect et le site Web de la Commission européenne. Fil de discussion sur la conformité des exportations françaises sur les devforums .

Answer 2

Aujourd'hui, en novembre 2017...

Il s'agit d'une question d'ordre juridique, c'est pourquoi je vous indique ce que j'ai trouvé utile et comment j'ai interprété les choses. Ne le prenez pas comme un conseil (ce n'en est pas un).

La FAQ d'Apple, mentionnée dans d'autres réponses ici, est un excellent point de départ : https://itunespartner.apple.com/en/apps/faq/Managing%20Your%20Apps_Export%20Compliance

Cela conduit à faire ce qui suit : Dans iTunes Connect, allez dans votre App. Cliquez sur l'onglet "Caractéristiques" en haut et sélectionnez "Cryptage" sur le côté. Cliquez sur "Ajouter une documentation sur la conformité des exportations pour iOS" sur la page principale. La première question dit : "Conformité à l'exportation : Votre application est-elle conçue pour utiliser la cryptographie... Choisissez 'Oui'. La question suivante dit (et je copie et colle) :

Votre application répond-elle à l'un des critères suivants ?
(a) remplit les conditions requises pour bénéficier d'une ou plusieurs exemptions prévues par la catégorie 5, partie 2
(b) L'utilisation du cryptage est limitée au cryptage dans le système d'exploitation (iOS ou macOS).
(c) Effectue uniquement des appels sur HTTPS
(d) L'application est disponible uniquement aux États-Unis et/ou au Canada.

(c) est la référence de style SSL (selon votre question), sélectionnez donc Oui à cette question. [Notez que le bas du guide sur cet écran contient un lien vers le lien FAQ ci-dessus].

En sélectionnant "Oui", l'une des boîtes d'aide contextuelle dit (et je cite) :

Si vous utilisez l'ATS ou faites un appel à HTTPS, veuillez noter que vous êtes tenu de soumettre un rapport d'auto-classification de fin d'année au gouvernement américain. En savoir plus

Et de retour dans la FAQ, une citation clé est :

Pourquoi mon application nécessite-t-elle un examen du cryptage si je ne vis pas aux États-Unis ? Puis-je contourner l'examen du cryptage si je ne diffuse mon application que dans mon pays d'origine ?

Votre application sera téléchargée sur un serveur Apple aux États-Unis, ce qui signifie qu'elle sera exportée depuis les États-Unis et qu'elle est soumise aux lois américaines sur l'exportation. Cette exigence s'applique même si vous ne prévoyez de distribuer votre application que dans votre propre pays.

La dernière partie répond, je pense, à la deuxième partie de votre question... Vous devez vous conformer même si vous n'êtes pas aux États-Unis et même si vous n'avez pas l'intention de distribuer en dehors de votre propre pays...

Donc, d'après ce que j'ai lu aujourd'hui (en novembre 2017), si vous utilisez SSL (HTTPS) dans une application iOS, même en dehors des États-Unis, des cases doivent être cochées dans iTunes Connect.... (Le processus a commencé sous l'onglet 'fonctionnalités' décrit ci-dessus). Au-delà, vous devez ensuite faire un rapport annuel d'auto-classification.

Le lien dans la FAQ d'Apple à ce sujet est actuellement cassé (au moment où j'écris ces lignes), mais ce lien est utile : https://www.bis.doc.gov/index.php/policy-guidance/product-guidance/high-performance-computers/223-new-encryption/1238-how-to-file-an-annual-self-classification-report

Cette page indique les adresses électroniques auxquelles envoyer votre rapport (vous devez l'envoyer à deux endroits), la date à laquelle il doit être envoyé et le format et les informations à envoyer (un fichier .csv très prescrit et soigneusement créé). Je n'ai pas réussi à trouver ce lien avec le moteur de recherche bis.doc.gov, mais je l'ai trouvé en utilisant un moteur de recherche général qui cherche "rapport d'auto-classification de fin d'année". Donc si ce lien particulier disparaît à l'avenir, cette recherche pourrait aider à trouver un remplacement :)

Quant aux détails sur la façon de créer ce fichier .csv pour une application iOS en utilisant SSL, je ne suis pas encore sûr - j'espère réussir et je modifierai ce message avec les détails si cela semble approprié.

Vers ceci cependant, dans ce document lié : https://www.bis.doc.gov/index.php/documents/new-encryption/1651-740-17-enc-table/file (que vous devrez peut-être zoomer pour lire) Je pense que la ligne pertinente est la 3ème (b)(1) car les conditions de soumission correspondent. Elle fait référence au fait de devoir

soumettre le Supp. 8, partie 742, par courriel

Ce document comporte également une colonne ECCN, et je commence à penser que le numéro ECCN pertinent est 5A002 dot something.

Le document suivant contient plus de détails sur le choix du code ECCN correct :

https://www.bis.doc.gov/index.php/documents/new-encryption/1652-cat-5-part-2-quick-reference-guide/file

En lisant ceci, je pense que si SSL est utilisé comme une petite partie d'une application, cela correspond au code 5A002.a.4.

UPDATE :

Ainsi, au bas de l'orientation bis.doc.gov, la description de la création du fichier .csv dit :

• La première ligne du rapport annuel d'auto-classification doit comporter les 12 entrées suivantes : NOM DU PRODUIT, NUMÉRO DE MODÈLE, FABRICANT, ECCN, TYPE D'AUTORISATION, TYPE D'ARTICLE, NOM DU SOUMISSIONNAIRE, NUMÉRO DE TÉLÉPHONE, ADRESSE ÉLECTRONIQUE, ADRESSE POSTALE, COMPOSANTS NON AMÉRICAINS, LIEUX DE FABRICATION NON AMÉRICAINS.
• Aucune rubrique ne peut être laissée en blanc.
• Le NOM DU PRODUIT et l'ECCN doivent être complétés.
• Pour le NUMÉRO DE MODÈLE et le FABRICANT, si nécessaire, entrez "NONE" ou "N/A".
• Pour AUTHORIZATION TYPE, entrez ENC ou MMKT.
• Pour TYPE D'ARTICLE, choisissez dans la liste des types d'articles fournie dans le Supplément 8 à la Partie 742 (a)(6).
• Les en-têtes de colonne NOM DU SOUMETTEUR et LIEUX DE FABRICATION NON AMÉRICAINS se rapportent à l'entreprise dans son ensemble et doivent donc être saisis de la même manière pour chaque produit (c'est-à-dire qu'il n'y a qu'un seul point de contact, une seule réponse "OUI" ou "NON" à la question de savoir si l'un des produits déclarés contient des composants de cryptage d'origine non américaine et une seule liste des lieux de fabrication non américains pour le rapport). Reproduisez ces informations dans chaque ligne de la feuille de calcul.
• La seule utilisation autorisée d'une virgule est le séparateur nécessaire entre les 12 entrées de chaque poste. Les seules virgules autorisées sont celles qui sont insérées automatiquement lors de la conversion de la feuille de calcul.

Utilisation de Supplément n° 8 à la Partie 742 - Rapport d'auto-classification pour les éléments de chiffrement pour plus d'informations, je suis arrivé à un fichier .csv comme ceci :

PRODUCT NAME, MODEL NUMBER, MANUFACTURER, ECCN, AUTHORIZATION TYPE, ITEM TYPE, SUBMITTER NAME, TELEPHONE NUMBER, E-MAIL ADDRESS, MAILING ADDRESS, NON-U.S. COMPONENTS, NON-U.S. MANUFACTURING LOCATIONS
[my-app-name] iOS App,[my-App-version-number],SELF,5A002,ENC,Link encryption,[My-name],[my-phone-number],[my-email],[my address with no commas],YES,[my-location]

Notez que cela devrait être un fichier .csv bien formé, ce qui n'est pas le cas. Je vous suggère de créer quelque chose dans un tableur et de l'enregistrer au format .csv.

Notez également qu'il ne s'agit pas d'un résultat conseillé - c'est ma meilleure interprétation en tant que personne non qualifiée n'ayant reçu aucun conseil. L'exemple .csv au bas du guide bis.doc.gov m'a aidé davantage et semblait suggérer que l'ECCN pouvait être simplement 5A002 sans autre détail. Le TYPE D'ÉLÉMENT doit être choisi dans la liste du supplément numéro 8 - un autre élément pourrait mieux correspondre à la nature de votre application. Je n'étais pas très sûr du NUMÉRO DE MODÈLE, mais l'exemple semblait utiliser des descriptions de type numéro de version. Peut-être que l'App Apple ID serait mieux ici. Étant donné que c'est optionnel, cela n'a peut-être pas d'importance...

MISE À JOUR (janvier 2019) : J'ai finalement fait ma soumission pour 2018 et j'ai opté pour :

PRODUCT NAME, MODEL NUMBER, MANUFACTURER, ECCN, AUTHORIZATION TYPE, ITEM TYPE, SUBMITTER NAME, TELEPHONE NUMBER, E-MAIL ADDRESS, MAILING ADDRESS, NON-U.S. COMPONENTS, NON-U.S. MANUFACTURING LOCATIONS
[my-app-name] iOS App,N/A,SELF,5A002,ENC,Link encryption,[My-name],[my-phone-number],[my-email],[my address with no commas],NO,[my-location]

Les changements ont consisté à mettre "N/A" comme numéro de modèle et "NO" pour les composants non américains. NON" parce qu'il n'y a pas de composants achetés dans mon application (US ou NON-US) - le code de cryptage est juste la bibliothèque de cryptage iOS.

Answer 3

En fait, je suis retourné chez Apple et il s'avère que toute application utilisant SSL fait doivent être approuvés (malheureusement). Il existe apparemment quelques exceptions, par exemple si l'application utilise SSL uniquement pour une seule transaction de paiement.

Vous trouverez plus d'informations dans Cryptage des marchés de masse Classification des marchandises CCATS pour les applications iPhone en 8 étapes faciles et Conformité à l'exportation du chiffrement de l'iPhone pour les applications établissant des connexions HTTPS (TLS) .

Answer 4

Toutes ces réponses sont obsolètes depuis le 20 septembre 2016. Je viens de raccrocher avec les gens du SNAP-R (gouvernement), et ils ont dit qu'une nouvelle législation a atterri le 20 septembre. La nouvelle réglementation supprime l'obligation d'enregistrer votre appli simplement parce qu'elle utilise le chiffrement.

Je leur ai décrit mon application (un jeu) et ils m'ont dit qu'il s'agissait d'une "EAR-99", ce qui signifie que je n'ai pas besoin de m'enregistrer. Il est probable qu'Apple soit sur le point de mettre à jour son site web. Mais en attendant, si vous essayez de passer par ce processus parce que vous utilisez SSL/HTTPS, arrêtez-vous maintenant. Vous ne parviendrez même pas à remplir les formulaires, car ils ont considérablement changé.

Answer 5

J'ai trouvé cet article de quelqu'un qui est passé par le processus récemment (déc 2015). extrêmement utile. Le consensus général semble être que vous devez vraiment passer par ce processus, même si vous utilisez simplement un appel REST qui utilise SSL. Cet article vous aidera à exécuter le processus rapidement.

https://carouselapps.com/2015/12/15/legally-submit-app-apples-app-store-uses-encryption-obtain-ern/