我打算创建一个iPhone应用程序,该程序将与REST Web服务通信。因为将传输一些用户敏感数据(如姓名、地址、年龄等),所以我计划使用SSL保护连接。
然而,在我之前提交应用到App Store时,我看到的第一个问题是“您的应用程序是否使用加密技术?”根据对这个问题和其他后续问题的回答,可能需要符合美国出口合规要求。
我们的公司不在美国,也没有美国办事处。
有其他人使用SSL提交应用程序吗?如果是这样,您是否需要从苹果或美国政府获得使用它的许可?
我打算创建一个iPhone应用程序,该程序将与REST Web服务通信。因为将传输一些用户敏感数据(如姓名、地址、年龄等),所以我计划使用SSL保护连接。
然而,在我之前提交应用到App Store时,我看到的第一个问题是“您的应用程序是否使用加密技术?”根据对这个问题和其他后续问题的回答,可能需要符合美国出口合规要求。
我们的公司不在美国,也没有美国办事处。
有其他人使用SSL提交应用程序吗?如果是这样,您是否需要从苹果或美国政府获得使用它的许可?
2016年9月20日更新:
不再需要ERN,因此似乎许多应用程序将不再需要在美国政府注册。(尽管您可能仍然需要提交半年报告自我分类报告Supp。No.8到Part742报告)。http://www.bis.doc.gov/InformationSecurity2016-updates
(感谢@EugenioDeHoyos和@user3562927指出这一点!)
这个第三方网站可以帮助您准备您的报告:自我分类报告生成器(另一个用户添加了一个链接,我自己没有尝试过)
在法国销售仍需要向法国政府注册。
iTunes Connect FAQs已更新以涵盖此更改,并且是我找到的最易读的参考资料。
旧回答:
截至2010年夏季,该流程已更改,您现在(可能)需要ERN,而不是当John写他的答案时所必需的CCATS。
请参阅Apple iTunes应用程序出口限制。 iTunes Connect FAQ还包含有关出口合规性的许多有用信息。
现在,分发带有加密的应用程序也受到适用于法国应用商店的限制-请参阅iTunes Connect FAQ和开发论坛上的法国出口合规性帖子。
现在是2017年11月...
这是关于法律方面的内容,以下是我发现有用的指引以及我对事情的解释。请不要把它当做建议(因为它并不是)。
苹果的FAQ是一个很好的起点:https://itunespartner.apple.com/en/apps/faq/Managing%20Your%20Apps_Export%20Compliance
按照以下步骤进行:
您的应用程序满足以下哪些条件:
(a) 符合第5部分第2类提供的一个或多个豁免条款
(b) 加密使用仅限于操作系统内(iOS或macOS)
(c) 仅进行HTTPS调用
(d) 应用程序仅在美国和/或加拿大提供
(c)是SSL样式引用(与您的问题一致),因此选择此问题的“是”选项。[请注意,此屏幕的指南底部有一个链接指向上面的FAQ链接]
在选择“是”的过程中,弹出窗口的其中一个提示框会显示(我引用):
如果您正在使用ATS或进行HTTPS调用,请注意您需要向美国政府提交年度自我分类报告。了解更多
而回到常见问题解答,一个关键性的引文是:
即使我不住在美国,为什么我的应用程序要求加密审查?如果我只在本国发布应用程序,是否可以绕过加密审核?
您的应用程序将上传到美国的苹果服务器上,这意味着您的应用程序将从美国出口,并受到美国出口法的约束。即使您只计划在本国内分发,此要求也适用。
我认为最后一句话回答了你问题的第二部分...即使你不在美国,甚至没有打算在本国之外分发,你仍然需要遵守规定...
所以,截至今天(2017年11月),如果在iOS应用程序中使用SSL(HTTPS),即使在美国之外,都需要在iTunes Connect中勾选选框...(在上面描述的“功能选项卡”下启动流程)。此外,您还需要提交年度自我分类报告。
目前,与此相关的苹果常见问题解答中的链接已经无法使用(在我写这篇文章时),但是此链接很有用:https://www.bis.doc.gov/index.php/policy-guidance/product-guidance/high-performance-computers/223-new-encryption/1238-how-to-file-an-annual-self-classification-report。
该页面包括发送报告的电子邮件地址(您必须将其发送到2个地方),发送时间、需发送的格式和信息(一个精心创建的规定的 .csv 文件)。
我使用 bis.doc.gov 的搜索引擎没有找到,但使用通用搜索引擎搜索“年终自我分类报告”后找到了它。因此,如果这个特定的链接将来失效,此搜索可能有助于找到任何替代品 :)
至于如何为使用 SSL 的 iOS 应用程序制作此 .csv 文件的详细信息,我还不确定-我希望能够成功,并在需要时编辑此帖子以获取详细信息。
然而,在此链接的文档中:https://www.bis.doc.gov/index.php/documents/new-encryption/1651-740-17-enc-table/file(您可能需要放大以阅读),我认为第三行(b)(1)是相关的,因为提交要求相匹配。它指的是必须通过电子邮件提交“附件8,742部分”。
此文档还有一个 ECCN 列,我开始认为相关的 ECCN 号码是 5A002 点什么。
此下一篇文档更详细地介绍了如何选择正确的 ECCN 代码:
阅读此文后,我目前的最佳猜测是,如果 SSL 作为应用程序的一小部分使用,则与代码 5A002.a.4 相关。
更新:
因此,在 bis.doc.gov 指南的底部,创建 .csv 文件的描述如下:
- 年度自我分类报告的第一行必须包含以下12个条目:产品名称,型号,制造商,ECCN编号,授权类型,物品类型,提交人姓名,电话号码,电子邮件地址,邮寄地址,非美国组件,非美国制造地点。
- 不得留空任何条目。
- 必须填写产品名称和ECCN编号。
- 对于型号和制造商,如果需要,输入“NONE”或“N/A”。
- 对于授权类型,请输入ENC或MMKT。
- 对于物品类型,请从Supp. 8 to Part 742 (a)(6)提供的物品类型列表中选择。
- 列标题SUBMITTER NAME到NON-U.S. MANUFACTURING LOCATIONS与整个公司有关,因此每个产品的相应信息应为相同的(即只需要一个联系点,一个是否在所报告的产品中使用非美国源加密组件的“是”或“否”的回答,以及一个非美国制造地点的列表)。将这些信息复制到电子表格的每一行中
- 唯一允许使用逗号的情况是每个条目的12个输入之间必须用逗号分隔。仅允许使用电子表格转换过程中自动插入的逗号。
使用《第742部分补充8——加密物品自我分类报告》进行进一步指导,我得到了以下.csv文件:
PRODUCT NAME, MODEL NUMBER, MANUFACTURER, ECCN, AUTHORIZATION TYPE, ITEM TYPE, SUBMITTER NAME, TELEPHONE NUMBER, E-MAIL ADDRESS, MAILING ADDRESS, NON-U.S. COMPONENTS, NON-U.S. MANUFACTURING LOCATIONS
[my-app-name] iOS App,[my-App-version-number],SELF,5A002,ENC,Link encryption,[My-name],[my-phone-number],[my-email],[my address with no commas],YES,[my-location]
注意,这应该是一个良好格式的.csv文件,而这个文件不太符合要求。我建议在电子表格中创建并保存为.csv文件。PRODUCT NAME, MODEL NUMBER, MANUFACTURER, ECCN, AUTHORIZATION TYPE, ITEM TYPE, SUBMITTER NAME, TELEPHONE NUMBER, E-MAIL ADDRESS, MAILING ADDRESS, NON-U.S. COMPONENTS, NON-U.S. MANUFACTURING LOCATIONS
[my-app-name] iOS App,N/A,SELF,5A002,ENC,Link encryption,[My-name],[my-phone-number],[my-email],[my address with no commas],NO,[my-location]
更改是将“N/A”作为型号编号,并将“NO”用于非美国组件。“NO”是因为我的应用程序没有购买任何组件(美国或非美国)- 加密代码只是iOS加密库。<App名称>, <App Sku>, SELF, 5D002, MMKT, Other (iOS 应用), <你的名字>, <你的电话号码>, <你的电子邮件>, <你的住址>, no, n/a
ECCN = 5D002,因为SSL是开放源代码的。
授权类型 = MMKT,因为我希望适用于"大众市场"^^
物品类型 = (xlix) 其他(请注明)。 - Ronny Elflein r11lein5D992
是合适的,而不是5D002
(请参见“第5类第2部分注释3”)。 - Theo我实际上回到了苹果公司,结果发现任何使用SSL的应用程序都需要获得批准(非常遗憾)。显然有一些例外情况,例如如果应用程序仅将SSL用于单个支付交易。
更多信息请参见iPhone应用的大众市场加密商品分类,包括8个简单步骤和iPhone应用进行HTTPS(TLS)连接时的加密出口合规性。
eNULL
密码套件是可以接受的(但我不确定它们有多少用处)。 - jww