Udostępnij

W tym artykule postaram się odpowiedzieć na najczęściej pojawiające się pytania odnośnie bezpieczeństwa aplikacji AppSheet.

Możecie traktować ten artykuł również jako dobre źródło informacji, aby rozwiać wszelkie wątpliwości działu IT, które obawia się wdrożenia nowych rozwiązań.

Każdy istotny podpunkt będzie zapewniał odpowiedni link ze źródłem.

Czy aplikacje AppSheet i moje dane są bezpieczne?

TAK. Więcej szczegółów tutaj.

Aplikacje tworzone za pomocą AppSheet są bezpieczne z powodu:

architektury AppSheet i infrastruktury bezpieczeństwa leżącą u podstaw technologii chmurowych i mobilnych (AppSheet jest platformą w 100% SaaS. AppSheet działa w oparciu o usługi Google Cloud Computing)
ustawień bezpieczeństwa, które masz pod kontrolą.

Gdzie i w jaki sposób tworzone są aplikacje AppSheet?

Aplikacje tworzy się na platformie AppSheet.com.

Aplikacja oparte są na „tabelach”. Można używać arkuszy kalkulacyjnych (Google Sheets), ale dostępne są również inne źródła danych.

Pozostałe elementy aplikacji (wygląd, akcje, automatyzacje, uprawnienia) są definiowane za pomocą opcji dostępnych na platformie. Nie wymaga to użycia kodu, więc aplikacje można tworzyć bardzo szybko.

Jak dystrybuowane są aplikacje AppSheet?

Aplikacje są dytrybuowane poprzez przesłanie linku do:

instalacji aplikacji AppSheet z Google Play, AppStore (tam logujemy się na swoje konto i widzimy wszelkie aplikacje, do których mamy dostęp)
otworzenia aplikacji w przeglądarce internetowej

Czy każdy użytkownik musi się uwierzytelnić?

Są dostępne dwa plany: secure i public.

W secure trzeba zawsze się uwierzytelnić przy pomocy OAth korzystając z jednej z najpopularniejszych dostawców SSO.

W public aplikacja jest dostępna dla każdego. Istnieją jednak znaczne ograniczenia wynikające z tego tytułu.

Czy mogę opublikować swoją aplikację w sklepie Google Play lub AppStore?

Jest taka możliwość, ale wiążę się z wieloma ustępstwami.

Jak dane są procesowane?

Kiedy użytkownicy synchronizują swoją aplikację, dokonywane przez nich zmiany są przesyłane do serwisu internetowego AppSheet za pośrednictwem szyfrowanego protokołu (HTTPS). Następnie AppSheet wprowadza zmiany do arkusza kalkulacyjnego znajdującego się na zapleczu. Najnowsza wersja arkusza kalkulacyjnego jest odczytywana i przesyłana z powrotem do aplikacji mobilnej.

Więcej szczegółów tutaj.

Certyfikacje i dokumenty AppSheet

Polityka prywatności oraz Data Processing and Security Terms for AppSheet Services

AppSheet jest częścią Google Cloud. Polityka prywatności znajduje się tutaj. Google jest członkiem Privacy Shield Framework.

Data Processing and Security Terms for AppSheet Services jest dostępne tutaj.

GDPR/CCPA

Aktualny stan spełnienia wszystkich wymogów GDPR/CCPA znajduje się na stronach dostępnych tutaj.

Dane wrażliwe (PII – Personally Identifiable Information)

Możesz oznaczyć wszystkie (lub część) swoich danych w aplikacji jako dane wrażliwe. Dane nie będą się wtedy pojawiać w logach systemowych.

HIPAA

Jest osiągalne, aby spełnić wszystkie wymagania HIPAA. Należy dopilnować kilku szczegółów. Szczegóły znajdziesz tutaj.

SOC

AppSheet jest audytowany przez SOC2 Type 2. Raport SOC jest dostępny dla klientów na żądanie.

Zarządzanie przez dział IT

Jeśli jesteś administratorem Google Workspace i AppSheet i martwisz się o bezpieczeństwo to koniecznie sprawdź te źródła.

Governance policies

AppSheet dysponuje środkami, aby wdrożyć ograniczenia i wytyczne organizacji.

Polityka to zasada, która limituje jak aplikacje są tworzone, zarządzane oraz dystrybuowane.

Mamy do dyspozycji predefiniowane polityki oraz możliwość tworzenia własnych, niestandardowych.

Przykładowe to:

Predefined policy template	Description
Require sign-in	Apps must require user sign-in
Run-as app creator	Apps cannot be run by the app user
Prevent row delete	Apps cannot delete data
Restrict data source attachable to apps	Apps can access only specific data sources
Restrict providers attachable to apps	Apps can access only specific providers
Acceptable image resolution	Apps require a minimum resolution for captured images
Must sync-on-start	Apps must refresh their data each time they start
Enable offline use	Apps must be configured to run offline
Restrict Prototype Authentication	Apps must: Require user sign-in Prevent all signed-in users from accessing the app (disable Allow all signed-in users) Disable Require domain authentication By default, this policy applies to prototype apps; you can change the targeted apps. Note: It is required that you use this policy with Restrict Prototype Sharing to fully limit prototype access.
Restrict who can deploy apps	Apps can be deployed only by specific app creators
Apps must have documentation	Apps must include documentation; see App documentation on the About page
Only users from specific domain	Only users from a specific domain can access the app
Enforce FedRAMP compliance	Apps are FedRAMP compliant
Restrict Prototype Sharing	Apps must: Prevent the sharing of apps with an entire domain in the Share dialog Limits the number of users that the app can be shared with in the Share dialog (defaults to 5) By default, this policy applies to prototype apps; you can change the targeted apps. See: Share: The Essentials Note: It is required that you use this policy with Restrict Prototype Authentication to fully limit prototype access.