2015-11-186 min read
Status: #blog
Tags: #android #apple-app-store #appstore #bis #encryption #ern #export-control #google-play-store #ios #mobile-apps #ssl
Categories: mobile-development

ERN-registratie voor het gebruik van SSL in mobiele applicaties

Apps die zijn ontwikkeld met MobileTogether bieden de mogelijkheid om SSL-encryptie te gebruiken tussen de mobiele app en de backend-server. Dit brengt echter beperkingen met zich mee bij het importeren en exporteren van de app in de Verenigde Staten en mogelijk in andere landen. Als u van plan bent de AppStore-app in te dienen bij de App Store van Apple of de App Store van Microsoft (en mogelijk andere), dan zullen hun indieningsprocedures vragen of de app encryptie bevat. Aangezien alle AppStore-apps die zijn ontwikkeld met MobileTogether de mogelijkheid bieden om de door het besturingssysteem aangeboden bibliotheken te gebruiken voor SSL in mobiele apps, en in het bijzonder voor de encryptie van de communicatie tussen de mobiele app en de server met behulp van het HTTPS-protocol, is het antwoord op deze vraag "JA." Op een bepaald moment in het proces zal dit antwoord een melding genereren waarin u wordt gevraagd uw Encryptie Registratienummer (ERN) te uploaden. Hoe verkrijgt men dan een ERN?

You obtain an ERN from the [Bureau of Industry and Security](https://www.bis.doc.gov/) (BIS), which is part of the U.S. Department of Commerce. They suggest that this process will only take 30 minutes, but this is overly optimistic for all but the most experienced.

De eerste stap in het registratieproces is het identificeren van uw classificatienummer voor exportcontrole van uw AppStore-app (ECCN). Deze classificatie bepaalt of u de software zelf kunt classificeren en exporteren, met of zonder een registratie voor encryptie, of of u een aparte exportvergunning nodig heeft. De generieke MobileTogether-app is geclassificeerd als 5D992.c, wat betekent dat deze kan worden geëxporteerd naar alle bestemmingen, behalve bestemmingen die onder sancties vallen en partijen die zorgwekkend zijn. Het is waarschijnlijk dat uw AppStore-app, gebouwd met MobileTogether, ook geclassificeerd is als 5D992.c.

De website van het Bureau of Industry and Security (BIS) biedt een schat aan informatie om u te helpen bij het classificeren van uw AppStore-app. Een goed startpunt is deze link. Het BIS heeft ook twee stroomdiagrammen ontwikkeld die u helpen bij het nemen van beslissingen. Dit eerste stroomdiagram is hier:

leidt snel tot het tweede stroomdiagram:

BIS biedt de mogelijkheid om u te helpen bij het bepalen van uw ECCN-code. Het proces is echter grotendeels hetzelfde als het indienen van een daadwerkelijke registratieaanvraag, wat hierna verder wordt besproken.

Gedurende de jaren heeft BIS het registratieproces aanzienlijk vereenvoudigd door de vereenvoudigde procedure voor netwerkaanvragen – herontwerp te ontwikkelen, beter bekend als SNAP-R. Om te beginnen, moet u hier een account aanmaken. Tijdens dit proces vult u een online formulier in, dat naar BIS wordt verzonden. Vervolgens ontvangt u uw inloggegevens, wachtwoord en uw CIN (Company Identification Number). Mogelijk moet u contact opnemen met BIS per telefoon om het CIN-proces te voltooien. Als u al een SNAP-R-account heeft, heeft u uw inloggegevens, wachtwoord en CIN nodig.

Vervolgens moet u de aanvraag en de bijbehorende documentatie voorbereiden. Voorbeelden van het proces zijn te vinden op: https://snapr.bis.doc.gov/snapr/docs/loginHelp.html#AppendC. Mogelijk moet u specificaties en marketingmateriaal indienen die het product beschrijven, evenals het type encryptie dat wordt gebruikt. Standaard zal de AppStore-app SSL gebruiken om de communicatie tussen de AppStore-app en de MobileTogether Server te authenticeren. Bovendien zal de AppStore-app SSL gebruiken om de gegevens die tussen de twee worden verzonden te versleutelen. De AppStore-app gebruikt dus de encryptie niet alleen voor authenticatie, maar ook voor gegevensbeveiliging, vandaar de noodzaak van een ERN. De SSL-encryptie die door de AppStore-app wordt gebruikt, is de standaard SSL-functionaliteit die wordt geleverd door de API/SDK op het betreffende mobiele besturingssysteem.

U moet ook het aanvullende formulier nummer 5 indienen, dat bij onderdeel 742 hoort: registratie van encryptie. Hier is een link naar de vragen in dit aanvullende formulier U kunt dit hier vinden. Nogmaals, bijna alle vragen over classificatie, registratie en de benodigde documentatie kunnen beantwoord worden door verwijzing naar [verwijzing naar document/bron] BIS-registratiepagina. Zodra u uw registratie voor zelfcertificering hebt ingediend, ontvangt u automatisch uw ERN, tenzij er een fout of vraag is van BIS. Houd er rekening mee dat uw zelfcertificering elk jaar moet worden vernieuwd, uiterlijk eind februari, ongeacht wanneer u uw ERN heeft verkregen.

Met het ERN (European Regulatory Number) in uw bezit, kunt u nu uw app indienen bij de App Store. Een van de stappen in het proces van het indienen van uw app bij de app store wordt doorgaans "Export Compliance" genoemd. In die fase moet u een PDF-bestand uploaden met uw ERN, die u van Snap-R heeft verkregen.

Het verkrijgen van een registratienummer voor encryptie en het aanbieden van een app aan een appwinkel kan technisch zijn en ernstige juridische gevolgen hebben als het niet correct wordt uitgevoerd. Als u niet bekend bent met dit proces, wordt het ten zeerste aanbevolen om juridisch advies in te winnen. De beschrijvingen hieronder zijn bedoeld om een beknopt overzicht van het proces te geven en kunnen niet alle vragen beantwoorden die betrekking hebben op uw specifieke situatie. Indien u nog vragen heeft, raadpleeg dan een jurist.