我打算创建一个iPhone应用程序,该程序将与REST Web服务通信。因为将传输一些用户敏感数据(如姓名、地址、年龄等),所以我计划使用SSL保护连接。
然而,在我之前提交应用到App Store时,我看到的第一个问题是“您的应用程序是否使用加密技术?”根据对这个问题和其他后续问题的回答,可能需要符合美国出口合规要求。
我们的公司不在美国,也没有美国办事处。
有其他人使用SSL提交应用程序吗?如果是这样,您是否需要从苹果或美国政府获得使用它的许可?
在iPhone应用程序中使用SSL - 出口合规性
76
- John
2
你最终使用了ERN还是CCATS? - Dan P.
3注意:BIS EAR的2016年9月20日出现了重大变化,请参考@user3562927的回答。大部分注册现在不再必要。 - zaph
7个回答
53
2016年9月20日更新:
不再需要ERN,因此似乎许多应用程序将不再需要在美国政府注册。(尽管您可能仍然需要提交半年报告自我分类报告Supp。No.8到Part742报告)。http://www.bis.doc.gov/InformationSecurity2016-updates
(感谢@EugenioDeHoyos和@user3562927指出这一点!)
这个第三方网站可以帮助您准备您的报告:自我分类报告生成器(另一个用户添加了一个链接,我自己没有尝试过)
在法国销售仍需要向法国政府注册。
iTunes Connect FAQs已更新以涵盖此更改,并且是我找到的最易读的参考资料。
旧回答:
截至2010年夏季,该流程已更改,您现在(可能)需要ERN,而不是当John写他的答案时所必需的CCATS。
请参阅Apple iTunes应用程序出口限制。 iTunes Connect FAQ还包含有关出口合规性的许多有用信息。
现在,分发带有加密的应用程序也受到适用于法国应用商店的限制-请参阅iTunes Connect FAQ和开发论坛上的法国出口合规性帖子。
- JosephH
17
2截至2016年9月20日,这已经不再准确。 您不再需要通过美国商务部工业安全局进行注册,但您仍然需要通过苹果将您的应用程序分类为使用加密。请参见@user3562927下面的答案,并查看此文档,特别是“不再需要加密注册 - 一些来自注册的信息现在进入第742部分报告的补充8号。”
http://www.bis.doc.gov/InformationSecurity2016-updates - Eugenio De Hoyos
1@EugenioDeHoyos 非常好,感谢指出!我已经更新了我的答案。 - JosephH
2@BrianKnoblauch 请查看 https://www.bis.doc.gov/index.php/documents/regulation-docs/416-part-742-control-policy-ccl-based-controls/file 中的“SUPPLEMENT NO. 8 TO PART 742 -- SELF-CLASSIFICATION REPORT FOR ENCRYPTION ITEMS”部分,了解应该发送的CSV文件的详细信息。我仍然不完全清楚何时需要/不需要提交此类报告。我怀疑很多人应该这样做,但他们没有这样做。 - JosephH
1@izzyMachado 我提供的链接指向苹果文档 https://help.apple.com/app-store-connect/#/devc3f64248f 是最好的阅读材料。显然,如果您的应用程序确实符合豁免条件,我建议您只回答“是”对于“您的应用程序是否符合任何豁免”,如果您的应用程序符合豁免条件,则不需要法国文件。 - JosephH
1@sceee 是的,这是一个重要的要求,无论是免费还是付费应用程序都没有区别。上次我查看iTunes Connect FAQ时,它非常全面。 - JosephH
显示剩余12条评论
15
现在是2017年11月...
这是关于法律方面的内容,以下是我发现有用的指引以及我对事情的解释。请不要把它当做建议(因为它并不是)。
苹果的FAQ是一个很好的起点:https://itunespartner.apple.com/en/apps/faq/Managing%20Your%20Apps_Export%20Compliance
按照以下步骤进行:
- 在iTunes Connect中,进入您的应用程序。选择顶部的“功能”选项卡,然后选择侧面的“加密”选项。点击主页面上的“添加iOS出口合规性文件”。第一个问题是:“出口合规性:您的应用程序是否设计使用密码学...”,选择“是”。下一个问题是(我复制并粘贴):
您的应用程序满足以下哪些条件:
(a) 符合第5部分第2类提供的一个或多个豁免条款
(b) 加密使用仅限于操作系统内(iOS或macOS)
(c) 仅进行HTTPS调用
(d) 应用程序仅在美国和/或加拿大提供
(c)是SSL样式引用(与您的问题一致),因此选择此问题的“是”选项。[请注意,此屏幕的指南底部有一个链接指向上面的FAQ链接]
在选择“是”的过程中,弹出窗口的其中一个提示框会显示(我引用):
如果您正在使用ATS或进行HTTPS调用,请注意您需要向美国政府提交年度自我分类报告。了解更多
而回到常见问题解答,一个关键性的引文是:
即使我不住在美国,为什么我的应用程序要求加密审查?如果我只在本国发布应用程序,是否可以绕过加密审核?
您的应用程序将上传到美国的苹果服务器上,这意味着您的应用程序将从美国出口,并受到美国出口法的约束。即使您只计划在本国内分发,此要求也适用。
我认为最后一句话回答了你问题的第二部分...即使你不在美国,甚至没有打算在本国之外分发,你仍然需要遵守规定...
所以,截至今天(2017年11月),如果在iOS应用程序中使用SSL(HTTPS),即使在美国之外,都需要在iTunes Connect中勾选选框...(在上面描述的“功能选项卡”下启动流程)。此外,您还需要提交年度自我分类报告。
目前,与此相关的苹果常见问题解答中的链接已经无法使用(在我写这篇文章时),但是此链接很有用:https://www.bis.doc.gov/index.php/policy-guidance/product-guidance/high-performance-computers/223-new-encryption/1238-how-to-file-an-annual-self-classification-report。
该页面包括发送报告的电子邮件地址(您必须将其发送到2个地方),发送时间、需发送的格式和信息(一个精心创建的规定的 .csv 文件)。
我使用 bis.doc.gov 的搜索引擎没有找到,但使用通用搜索引擎搜索“年终自我分类报告”后找到了它。因此,如果这个特定的链接将来失效,此搜索可能有助于找到任何替代品 :)
至于如何为使用 SSL 的 iOS 应用程序制作此 .csv 文件的详细信息,我还不确定-我希望能够成功,并在需要时编辑此帖子以获取详细信息。
然而,在此链接的文档中:https://www.bis.doc.gov/index.php/documents/new-encryption/1651-740-17-enc-table/file(您可能需要放大以阅读),我认为第三行(b)(1)是相关的,因为提交要求相匹配。它指的是必须通过电子邮件提交“附件8,742部分”。
此文档还有一个 ECCN 列,我开始认为相关的 ECCN 号码是 5A002 点什么。
此下一篇文档更详细地介绍了如何选择正确的 ECCN 代码:
阅读此文后,我目前的最佳猜测是,如果 SSL 作为应用程序的一小部分使用,则与代码 5A002.a.4 相关。
更新:
因此,在 bis.doc.gov 指南的底部,创建 .csv 文件的描述如下:
- 年度自我分类报告的第一行必须包含以下12个条目:产品名称,型号,制造商,ECCN编号,授权类型,物品类型,提交人姓名,电话号码,电子邮件地址,邮寄地址,非美国组件,非美国制造地点。
- 不得留空任何条目。
- 必须填写产品名称和ECCN编号。
- 对于型号和制造商,如果需要,输入“NONE”或“N/A”。
- 对于授权类型,请输入ENC或MMKT。
- 对于物品类型,请从Supp. 8 to Part 742 (a)(6)提供的物品类型列表中选择。
- 列标题SUBMITTER NAME到NON-U.S. MANUFACTURING LOCATIONS与整个公司有关,因此每个产品的相应信息应为相同的(即只需要一个联系点,一个是否在所报告的产品中使用非美国源加密组件的“是”或“否”的回答,以及一个非美国制造地点的列表)。将这些信息复制到电子表格的每一行中
- 唯一允许使用逗号的情况是每个条目的12个输入之间必须用逗号分隔。仅允许使用电子表格转换过程中自动插入的逗号。
使用《第742部分补充8——加密物品自我分类报告》进行进一步指导,我得到了以下.csv文件:
PRODUCT NAME, MODEL NUMBER, MANUFACTURER, ECCN, AUTHORIZATION TYPE, ITEM TYPE, SUBMITTER NAME, TELEPHONE NUMBER, E-MAIL ADDRESS, MAILING ADDRESS, NON-U.S. COMPONENTS, NON-U.S. MANUFACTURING LOCATIONS
[my-app-name] iOS App,[my-App-version-number],SELF,5A002,ENC,Link encryption,[My-name],[my-phone-number],[my-email],[my address with no commas],YES,[my-location]
另请注意,这不是一种建议的结果——这是我作为一个没有得到建议的非专业人士的最佳解释。 bis.doc.gov指南底部的示例.csv帮助了我,并似乎表明ECCN可以仅为5A002,无需进一步说明。 ITEM TYPE必须从补充号8中的列表中选择,其他可能更适合您的应用程序的性质。 我对MODEL NUMBER不太确定,但是示例看起来像是使用版本号类型描述。 在这里也许App Apple ID更合适。 鉴于它是可选的,可能并不重要...
更新(2019年1月):最终提交了2018年的申请,选择了:
PRODUCT NAME, MODEL NUMBER, MANUFACTURER, ECCN, AUTHORIZATION TYPE, ITEM TYPE, SUBMITTER NAME, TELEPHONE NUMBER, E-MAIL ADDRESS, MAILING ADDRESS, NON-U.S. COMPONENTS, NON-U.S. MANUFACTURING LOCATIONS
[my-app-name] iOS App,N/A,SELF,5A002,ENC,Link encryption,[My-name],[my-phone-number],[my-email],[my address with no commas],NO,[my-location]
- Marcus
15
3感谢更新: 我会按照这里(http://simonfairbairn.com/bis-year-end-self-classification-report/)建议的方式填写以下信息:
<App名称>, <App Sku>, SELF, 5D002, MMKT, Other (iOS 应用), <你的名字>, <你的电话号码>, <你的电子邮件>, <你的住址>, no, n/a ECCN = 5D002,因为SSL是开放源代码的。
授权类型 = MMKT,因为我希望适用于"大众市场"^^
物品类型 = (xlix) 其他(请注明)。 - Ronny Elflein r11lein4似乎对于大多数只使用加密组件(如SSL)的大众市场应用程序,
5D992是合适的,而不是5D002(请参见“第5类第2部分注释3”)。 - Theo有人知道如果我们选择非美国组件,是否可以使用InMobi广告SDK吗(该公司总部位于新加坡但在美国设有办事处)? - isJulian00
1@izzyMachado 我发现我整个应用程序都是非美国的,因为它是在英国开发和编译的,这就是为什么我认为“非美国组件”那一栏应该选YES。不过我可能是错的... - Marcus
1@izzyMachado 实际上,感谢你指出这个问题。我认为我需要加入“不是”这个词,因为它都是我的应用程序的一部分,而不是外部购买的组件。 - Marcus
显示剩余10条评论
11
我实际上回到了苹果公司,结果发现任何使用SSL的应用程序都需要获得批准(非常遗憾)。显然有一些例外情况,例如如果应用程序仅将SSL用于单个支付交易。
更多信息请参见iPhone应用的大众市场加密商品分类,包括8个简单步骤和iPhone应用进行HTTPS(TLS)连接时的加密出口合规性。
- John
4
这也取决于加密的使用。如果您仅将加密用于身份验证,则无需从商务部获得出口许可证。因此,
eNULL密码套件是可以接受的(但我不确定它们有多少用处)。 - jww2第二个链接现在已经失效了。 - DevC
1第一个链接也失效了。 - andrewb
2链接失效,两个都是。 - Mike
11
所有这些答案在2016年9月20日之后都已过时。我刚刚与 SNAP-R 的人员(政府机构)通了电话,他们说新的立法于9月20日发布。新规定取消了因应用程序使用加密而要求注册应用程序的要求。
我向他们描述了我的应用程序(一个游戏),他们说它是“EAR-99”,这意味着我不必注册。苹果公司很可能即将更新其网站。但同时,如果你正在尝试通过此过程,因为你使用 SSL/HTTPS,请停止现在。你甚至无法成功填写表格,因为它们已经发生了重大变化。
我向他们描述了我的应用程序(一个游戏),他们说它是“EAR-99”,这意味着我不必注册。苹果公司很可能即将更新其网站。但同时,如果你正在尝试通过此过程,因为你使用 SSL/HTTPS,请停止现在。你甚至无法成功填写表格,因为它们已经发生了重大变化。
- Stevey
5
1以下是有关9/20更改的一些链接:BIS的信息安全控制变更带来了放松的控制,取消了注册要求Dentons。美国实施了有关加密产品、软件和技术的法规变更Shadden。出口管理条例(EAR)BIS。 - zaph
1我也刚刚经历了这种情况。 SNAP-R在线申请现在不再允许您创建“加密注册”工作项。 我也曾在电话中与他们交谈,他们告诉我,从9月20日起,不再需要进行注册。 您仍然需要通过Apple对您的应用程序进行加密分类,但您不再需要填写额外的“加密注册”表格。 - Eugenio De Hoyos
1请注意以下BIS更新摘要中的这一行:“不再需要加密注册 - 注册信息中的一些信息现在会进入742部分的补充说明8中。”:http://www.bis.doc.gov/InformationSecurity2016-updates - Eugenio De Hoyos
3是的,但我们需要每年提交一份扩展的“自我分类报告”,还是需要向美国商务部请求分类?(唉...) - Giorgio Daino
1根据我目前所阅读的内容,似乎即使不需要注册(通过例外),如果您使用TLS,则需要每年进行自我分类报告... https://bis.doc.gov/index.php/policy-guidance/encryption/reports-and-reviews/annual-self-classification -“根据ENC-740.17(b)(1)许可证例外出口的物品,需要提交年度自我分类报告,除非已为该物品提交了商品分类(CCATS)。” - Brian Knoblauch
7
我在最近(2015年12月)有人经历了这个过程后,非常有帮助地发现了这篇文章。总体来说,即使你只是使用利用SSL的REST调用,似乎确实需要经过这个过程。这篇文章将帮助您快速完成流程。
https://carouselapps.com/2015/12/15/legally-submit-app-apples-app-store-uses-encryption-obtain-ern/
- John F
4
我今天早些时候看到了这个问题,想回来报告一下我的经验。
请查看:http://tigelane.blogspot.com/2011/01/apple-itunes-export-restrictions-on.html,其中有一个适合我使用的程序(请务必阅读整篇文章,包括评论——自原始发布以来已经发生了一些变化,大多数是为了更好,更新的信息在评论中)。
现在该流程非常简化(除了Safari和Chrome无法识别自己网站的SSL证书。有点讽刺。:-); 我提交信息后大约10-15分钟就获得了批准。
我猜这对他们来说已经成为例行公事了(至少如果您只使用SSL而不是某种奇特的加密技术)。
请查看:http://tigelane.blogspot.com/2011/01/apple-itunes-export-restrictions-on.html,其中有一个适合我使用的程序(请务必阅读整篇文章,包括评论——自原始发布以来已经发生了一些变化,大多数是为了更好,更新的信息在评论中)。
现在该流程非常简化(除了Safari和Chrome无法识别自己网站的SSL证书。有点讽刺。:-); 我提交信息后大约10-15分钟就获得了批准。
我猜这对他们来说已经成为例行公事了(至少如果您只使用SSL而不是某种奇特的加密技术)。
- Tony Hursh
3
因为该应用正在设置和使用安全的SSL连接,所以被视为加密产品。美国出口控制取决于您是否使用加密,而不是您在哪里找到它。使用内置函数而不是编写自己的代码、使用商业库或专用处理器都无关紧要——它仍然是一种加密物品。
如果您想讨论应用程序的具体内容,请查看BIS网站www.bis.doc.gov/encryption或致电帮助台202-482-0707。如果您发现需要加密分类,则那里也有SNAPR的链接。
如果您想讨论应用程序的具体内容,请查看BIS网站www.bis.doc.gov/encryption或致电帮助台202-482-0707。如果您发现需要加密分类,则那里也有SNAPR的链接。
- Michael
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接