Apple-sovellusten julkaisua tehdessä jo TestFlight-vaiheessa tulee eteen kysymyksiä USA vientirajoituksista otsikolla Export Compliance Information. Äkkiseltään kysymys vaikuttaa vähintään ahdistavalta, mutta tässä PHZ Full Stack -lakitiimin ohjeet miten kysymyksiin tulisi vastata suomalaisen sovellus- tai pelikehittäjän näkökulmasta.
Taustaa
USA:ssa on voimassa ns. vientirajoituslainsäädäntö, joka pyrkii estämään mm. ase- ja salakirjoitusteknologian viemisen USA:lle vihamielisiin maihin, kuten Iraniin ja Pohjois-Koreaan. Myös muilla mailla kuten Ranskalla ja Suomellakin on vastaavia vientirajoitussäädöksiä. Julkaistaessa pelejä ja sovelluksia USA ja Kanada:n ulkopuolisille käyttäjille Apple ja Google -alustojen kautta, Apple vaatii että myös ulkomaiset (suomalaiset) kehittäjät noudattavat USA:n lainsäädäntöä. Muita vastaavia ilmoituksia on mm. USA:n W9 -verolomakkeen täyttäminen, jota vaatii sekä Google, Apple että Steam (Valve).
Tekniikka
Applen ohjeen mukaan kysymyksiltä pystyy välttymään jokaisen releasen uploadin yhteydessä, jos tiedot täyttää valmiiksi app:n ”Information Property List” -tiedostoon (Info.plist). Tämän voi säätää mm. XCode:lla Target Properties -taulukkoon.
Esim. React Native:lla ja Expo.io:lla voi nämä tiedot laittaa app.json:iin.
Kysymys 1 – Does your app use encryption?
Tämä tarkoittaa, käyttääkö sovellus salausta. Periaatteessa kaikki sovellukset, jotka käyttävät HTTPS -kutsuja backendiin, käyttävät salausta, mutta USA:n säännösten mukaan perus- HTTPS-kutsut ovat vapautettu vientirajoituksista (vientirajoitusluokka EAR99, jolloin raporttia ei tarvitse lähettää). Tällöin pitäisi tehdä kerran vuodessa raportti kahdelle USA virastolle. Suurimmassa osassa tapauksia tähän kannattaa vastata ”Yes”.
Expo.io:lla app.json:iin voi laittaa ios -> config asetuksen alle:
”ITSAppUsesNonExemptEncryption”: true
Info.plist-tiedostoon voit laittaa:
ITSAppUsesNonExemptEncryption YES
Kysymys 2 – Does your app qualify for any of the exemptions provided in Category 5, Part 2 of the U.S. Export Administration Regulations?
Tietyt sovellusalueet on vapautettu vientirajoituksista, kuten autentikaatio, IPR-suojaukseen, rahaliikenne (esim. Stripe ja Paypal-maksut), tai jos sovellus käyttää ”heikompia” salausavaimia, sovelluksen lähdekoodi on yleisesti saatavilla. Vientiviraston (BIS) päivityksen (Note 4) mukaan jos sovellus käyttää salausta yleisen toimintansa tukemiseen, se on myös vapautettu rekisteröinniltä. Pelit voivat siten vastata kysymykseen YES, mutta muiden sovellusten osalta pitää käydä tarkasti katsomassa täyttyvätkö kaikki Note4 -ehdot.Kysymys 3 – Does your app implement any encryption algorithms that are proprietary or not accepted as standards by international standard bodies (IEEE, IETF, ITU, etc.)?
Useimmiten tähän voi vastata NO.
Kysymys 4 – Does your app implement any standard encryption algorithms instead of, or in addition to, using or accessing the encryption within Apple’s operating system?
Useimmiten tähän voi vastata NO.