2015-11-186 min read
Status: #blog
Tags: #android #apple-app-store #appstore #bis #encryption #ern #export-control #google-play-store #ios #mobile-apps #ssl
Categories: mobile-development

Registrazione ERN per l'utilizzo di SSL nelle applicazioni mobile

Le applicazioni sviluppate con MobileTogether includono la possibilità di utilizzare la crittografia SSL tra l'applicazione mobile e il server di backend, ma ciò comporta delle restrizioni sull'importazione e l'esportazione dell'applicazione negli Stati Uniti e potenzialmente in altri paesi. Se intendete sottoporre l'applicazione all'App Store di Apple o all'App Store di Microsoft (e potenzialmente ad altri), i rispettivi processi di invio vi chiederanno se l'applicazione include la crittografia. Poiché tutte le applicazioni sviluppate con MobileTogether includono la possibilità di utilizzare le librerie fornite dal sistema operativo per l'utilizzo di SSL nelle applicazioni mobile, in particolare per la crittografia della comunicazione tra l'applicazione mobile e il server utilizzando il protocollo https, la risposta a questa domanda è "SÌ". In un certo punto del processo, questa risposta attiverà una richiesta di caricare il vostro Numero di Registrazione della Crittografia (ERN). Quindi, come si ottiene un ERN?

You obtain an ERN from the [Bureau of Industry and Security](https://www.bis.doc.gov/) (BIS), which is part of the U.S. Department of Commerce. They suggest that this process will only take 30 minutes, but this is overly optimistic for all but the most experienced.

Il primo passo nel processo di registrazione è identificare il codice di classificazione per il controllo delle esportazioni della vostra applicazione per l'App Store (ECCN). Questa classificazione determinerà se potete classificare autonomamente il software e esportarlo, con o senza registrazione per la crittografia, oppure se è necessaria una licenza di esportazione separata. L'applicazione MobileTogether generica è classificata come 5D992.c, il che significa che può essere esportata in tutti i paesi, ad eccezione di destinazioni approvate e parti interessate. È probabile che l'applicazione che avete sviluppato per l'App Store utilizzando MobileTogether abbia anche il codice identificativo 5D992.c.

Il sito web del Bureau of Industry and Security (BIS) offre una vasta gamma di informazioni utili per classificare la vostra applicazione per l'App Store. Un buon punto di partenza è questo link. Il BIS ha inoltre sviluppato due diagrammi di flusso che aiutano a guidare il processo decisionale. Questo primo diagramma di flusso è disponibile qui:

porta rapidamente a secondo schema a blocchi:

BIS offre la possibilità di ricevere assistenza per determinare il codice ECCN corretto. Tuttavia, la procedura è in gran parte simile a quella per presentare una richiesta di registrazione vera e propria, che verrà descritta di seguito.

Nel corso degli anni, BIS ha notevolmente semplificato il processo di registrazione sviluppando il sistema Simplified Network Application Process – Redesign, meglio conosciuto come SNAP-R. Per iniziare, è necessario creare un account qui. Durante questa procedura, si dovrà compilare un modulo online, che verrà inviato a BIS. Successivamente, si riceveranno le credenziali di accesso, la password e il numero di identificazione aziendale (CIN). Potrebbe essere necessario contattare BIS telefonicamente per completare la procedura di ottenimento del CIN. Se si dispone già di un account SNAP-R, sarà necessario avere le credenziali di accesso, la password e il CIN.

Successivamente, è necessario preparare la domanda e la documentazione di supporto. Esempi del processo sono disponibili qui: https://snapr.bis.doc.gov/snapr/docs/loginHelp.html#AppendC. Potrebbe essere necessario presentare schede tecniche e materiale di marketing che descrivano il prodotto, nonché il tipo di crittografia utilizzata. Per impostazione predefinita, l'applicazione AppStore includerà SSL per autenticare le comunicazioni tra l'applicazione AppStore e il server MobileTogether. Inoltre, l'applicazione AppStore utilizzerà SSL per crittografare i dati trasmessi tra i due. Pertanto, l'applicazione AppStore utilizza la crittografia non solo per scopi di autenticazione, ma anche per altri, motivo per cui è necessaria una ERN. La crittografia SSL utilizzata dall'applicazione AppStore è la funzionalità standard della libreria SSL fornita dall'API/SDK sul rispettivo sistema operativo mobile.

Dovrete inoltre presentare l'Allegato n. 5 della Parte 742, relativo alla registrazione della crittografia. Di seguito, un link alle domande contenute nell'allegato Si possono trovare informazioni qui. Ancora una volta, quasi tutte le domande relative alla classificazione, alla registrazione e alla documentazione necessaria possono essere risolte consultando [il riferimento specifico] Pagina di registrazione BIS. Una volta inviata la registrazione con l'autocertificazione, riceverete automaticamente il vostro ERN, a meno che non si verifichi un errore o una domanda da parte di BIS. Ricordate che la vostra autocertificazione dovrà essere rinnovata annualmente entro la fine di febbraio di ogni anno, indipendentemente da quando avrete ottenuto il vostro ERN.

Una volta ottenuto il numero di identificazione (ERN), sarete in grado di inviare la vostra applicazione all'App Store. Una delle fasi del processo di invio all'App Store è solitamente denominata "Conformità alle normative sull'esportazione". In questa fase, dovrete caricare un file PDF contenente il vostro ERN, che avete ottenuto da Snap-R.

Ottenere un numero di registrazione per la crittografia e sottoporre un'applicazione all'App Store può essere un processo complesso e comportare gravi conseguenze legali se non eseguito correttamente. Se non si ha familiarità con questa procedura, è fortemente consigliabile richiedere una consulenza legale. Le informazioni fornite qui hanno lo scopo di fornire un breve riepilogo del processo e non possono rispondere a tutte le domande relative alla vostra situazione specifica. Se avete ulteriori domande, vi preghiamo di consultare un legale.