Соответствие PhoneGap Cordova HIPAA
Учитывая, что приложение Cordova может быть подключено и проверено, являются ли приложения по своей природе менее безопасными, чем собственный скомпилированный код? Или применяются те же правила в отношении того, что хранится, и обычного UIWebView?
1 ответ
После некоторых дальнейших исследований: в текущих версиях Cordova приложение, скомпилированное с лицензией на распространение, предотвращает веб-проверку.
Тем не менее, ваш файл IPA можно просмотреть, поэтому ваш исходный код не должен содержать конфиденциальную информацию. Не сохраняйте личную информацию в изолированную программную среду приложения (документы://, localstorage, веб-каталог), поскольку любые методы шифрования могут быть легко обнаружены и воспроизведены. Сохраните всю конфиденциальную информацию в API, защищенный паролем.
Вы также можете использовать собственный плагин Cordova для получения / установки конфиденциальной информации. Лучше всего использовать пользовательский плагин для получения / установки информации с защищенного сервера API (скрывая ваши параметры API).
Кроме того, относитесь к любому HTML или JS с чувствительными значениями как к токсичным. Удалите / удалите их как можно быстрее (включая кеш jquery). Приложите особые усилия, чтобы удалить любую и всю конфиденциальную информацию из DOM, когда приложение переходит в фоновый режим.
TLDR; Созданное для работы, активное состояние вашего приложения можно считать таким же безопасным, как и все в ОЗУ, но вы должны сохранить любую и всю конфиденциальную информацию с устройства или использовать плагин для шифрования / дешифрования.