Tired of outsourcing? Get hired at a top product startup from Silicon Valley 🚀
×Закрыть

Project strobe, или Почему Google может заблокировать вам API

За шутками о закрытии Google+ многие упустили более реальные новости, которые коснутся разработчиков поверх сервисов Google, для Android и пользователей.

По результатам Project Strobe и GDPR грядет много изменений.

TLDR:

  • Будет меньше данных для разработчиков.
  • Больше чекбоксов для пользователей.
  • Грядет пересмотр существующих permissions на доступ к данным.
  • Будет оценка безопасности приложений.

Про GDPR вы, скорее всего, уже слышали. А если вы к нему еще и готовились, то многое здесь будет знакомо.

Что такое Project Strobe

Внутренний проект Google. Проект изучал, как работают контроли приватности, случаи, когда разработчики получали слишком много данных и мнение юзеров насчет защиты персональных данных.

В результате — Google решил ужесточить политики доступа.

Что будет

1) Точечные окошки согласия

Для Google Account запускаются более точные настройки разрешений, которые будут запрашиваться в отдельных диалоговых окнах.

Сейчас

В перспективе

Больше деталей дает Google Developer Blog.

Уже ощущаете как падает конверсия?

Что надо будет сделать разработчикам приложений

  • Пересмотреть Google API Services: User Data Policy и следовать ей.
  • Проверить существующие permissions от пользователя, чтобы не дублировать запросы к API, создавать баги и плохой UX.
    • Documentation for Android
    • Documentation for the web
    • Documentation for iOS
  • Просить разрешения только когда они вам действительно нужны (минимизация данных по GDPR)
  • Вы сможете настроить, на каком этапе запрашиваются данные. Это поможет не перегружать пользователя на экране приветствия и соответствует принципу точечного согласия по GDPR.
  • Объяснить зачем вам данные, что вы будете с ними делать, что получит пользователь (снова привет GDPR).

2) Ограничения на доступ к данным

Google обновит User Data Policy for the consumer Gmail API, чтобы ограничить приложения, которые могут запрашивать доступ к «consumer Gmail data».

Изменения вступят в силу 9 Января 2019.

Только приложения, которые непосредственно улучшают email-сервис получат доступ к этим данным.

Примеры:

  • Email-клиенты
  • Бекап-сервисы
  • CRM и mail merge.

Данные можно будет использовать только для конкретных целей

Приложения, которые используют Gmail API должны использовать данные только чтобы давать доступ к функциям пользователю.

Нельзя передавать или продавать данные для таких целей:

  • Таргетированная реклама
  • Исследования рынка
  • Email-кампании
  • Трекинг
  • Другие несвязанные цели.

Просмотр почты персоналом должен быть строго ограничен.

Создателям этих приложений нужно будет:

  1. Согласиться с новыми правилами обработки данных
  2. До конца 2019 пройти оценку безопасности, которая будет состоять из:
    • application penetration testing,
    • external network penetration testing,
    • account deletion verification,
    • reviews of incident response plans
    • vulnerability disclosure programs,
    • information security policies.

Хранение на устройстве пользователей

Приложениям, которые хранят пользовательские только на устройстве пользователя, не нужно будет проходить полную оценку безопасности.

Нужно будет пройти верификации как не вредоносное приложение (non-malicious software).

Об этом еще будут дополнительные разъяснения.

3) Ограничение доступов к истории звонков и разрешений на SMS

Многие приложения просят доступ к телефону и информации об SMS.

Google ограничит, какие приложения могут получать такой доступ — он останется только у приложений, которые пользователь выберет как основную программу для звонков и SMS.

Что в итоге

Если вы не были готовы к GDPR, но разрабатывали поверх сервисов Google — теперь выбора готовиться/не готовиться у вас будет меньше, но время есть.

  1. Еще раз перечитайте новые политики от Google.
  2. Проверьте, какие данные вы собираете и спросите «зачем?»
    • Не найдете ответа на вопрос «зачем» — удалите.
    • Разбросайте запросы на обработку на разных стадиях user journey
  3. Перечитайте свои политики по информационной безопасности.
  4. Запасайтесь деньгами для оценки безопасности от внешнего подрядчика
LinkedIn
Допустимые теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Допустимые теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter

Грубо говоря, Гугл устраняет конкурентов на рынке цифрового маркетинга. При этом оставляя дыры в поведенческих шаблонах этих самых разрешений.

Вангую: решения о закрытии будет применять робот. Безальтернативно. Саппорт будет, но в таких бюрократических условиях, при которых единственно правильное (и не наказуемое) решение будет оставить в силе решение робота.

Почему так считаю? А сколько было волн бана рекламных гугл-акаунтов, разумеется вместе со средствами на них? И что, сильно кого-то разбанили?

Если вы не были готовы к GDPR, но разрабатывали поверх сервисов Google

..то по возможности используйте альтернативные сервисы

Подписаться на комментарии