Новые правила призваны повысить прозрачность сбора данных и защитить пользователей от кражи конфиденциальных сведений.
В России впервые появится предварительный национальный стандарт для мобильных приложений, который включает в себя 87 требований к качеству программ. Основные положения документа касаются производительности, функциональности, удобства пользования и безопасности программ.
Согласно новым правилам, приложение для мобильных устройств должно запрашивать минимальный набор разрешений, иметь прозрачную политику конфиденциальности, сообщать о том, какие приватные сведения собираются и кто имеет к ним доступ. По мнению составителей документа, эти пункты обезопасят пользователей от кражи личных данных.
Если приложение собирает сведения о пользователе в рекламных целях, оно обязано уведомлять об этом, а само объявление не должно быть навязчивым. Еще одна рекомендация нового стандарта — введение пробного периода для платных программ.
Старший разработчик Node.js Юрий Бушев считает, что на данный момент такую проверку прошли бы 60% мобильных приложений. Большая часть программ действительно собирает слишком много информации о своих пользователях, однако новые требования вряд ли смогут обезопасить потребителей от этого, считает программист.
Недостатком нового документа IT-специалисты считают большое количество общих рекомендаций и отсутствие конкретных технических требований. К тому же соблюдать правила не обязательно — разработчики могут ориентироваться на них, если посчитают нужным.
Планируется, что норма вступит в силу с 1 октября 2018 года. В работе над проектом приняли участие эксперты Минпромторга России, Министерства экономического развития РФ, а также специалисты компаний-разработчиков приложений, в том числе iD EAST и Сбербанк-Технологии.
В процессе разработки специалисты Роскачества опирались на международные стандарты ISO и руководства по разработке информационных продуктов AQAA, Apple, Google, OWASP и других организаций.
Крупные IT-компании и экспертное сообщество регулярно ведут работу по стандартизации подхода к безопасности ПО. В мае этого года организация OWASP выпустила дайджест из 10 пунктов для разработчиков мобильных приложений. Чтобы закрыть возможности взлома и кражи данных, аналитики рекомендуют обеспечивать повсеместную защиту информации, использовать безопасные фреймворки и библиотеки, вести мониторинг и применять другие актуальные меры защиты.
Позднее Apple обновила Положение о проверке приложений в App Store, ограничив доступ к конфиденциальным данным пользователей — контактам, фотографиям и другим API для сбора сведений.