【iShout】谁在背后保护 Apple Pay 的安全，让你安心买买买？
编者注：本文作者吴智宁，是小米支付的产品经理，对信用卡领域有深入研究。在 Apple Pay 与我们渐行渐近之时，也是时候了解一些 Apple Pay 背后的安全机制 Tokenization。在看这篇专业解析之前，也不妨再温习一下之前“小米生活”产品经理带来的《》。
随着 Apple Watch 的正式发布，Apple Pay 最近在网上也越来越如火如荼的被提起。也多有传闻称：iOS 8.3 发布时，Apple Pay 在国内会同时上线。
而在 Apple Pay 中，用来保护用户隐私的技术中，最为引人注目的技术便是 Tokenization。这项技术是信用卡在介质上进行的一次革命，可谓“为无卡支付而生”。因为在用户的用卡过程中，最担心的是卡的支付信息被盗；而 Tokenization 着重解决的便是用户的信用卡卡号等支付要素被盗的问题。
那么，Tokenization 和现有的线上支付系统有什么区别呢？在讨论这个问题之前，我们不妨先回顾一下历史：
传统无卡交易及安全
我们先来说明一下无卡交易：在信用卡组织的定义中，持卡人不需要将物理卡片出示给商家的交易，就算无卡交易。
在常见的无卡交易发生时，用户需要输入卡号、姓名、有效期和三位验证码（CVV2）。
如果商家记录下您的这些信息，那么就可以通过这些信息去其他的商家进行无卡消费。为了避免这样的惨剧发生，在支付卡安全标准（PCI-DSS）中明确规定，商家不得储存用户的验证码。
从上表中可看出：验证码（CAV2/CVC2/CVV2/CID/CVN2）属于用户敏感数据，商户不可保存。
但是许多商家为了用户下次可以更方便的支付，会悄悄保存用户的验证码。而如果此类商家的服务器被攻破，信用卡信息被窃，盗刷惨剧就从此发生。去年某商旅网站爆出漏洞之后，许多银行的客服电话被要求换卡的用户打爆了，这从侧面说明传统无卡交易的安全隐患已如危巢之卵，风险随时可能爆发。
Tokenization 之外的解决方案
正是因为传统无卡支付易于出现持卡人信息泄露的风险，因此各发卡组织为了避免出现大规模盗刷，一直都在努力尝试各种解决方案。
在 Tokenization 出现之前，目前常见的解决方案包括：3-D Secure（Verify By Visa / Master SecureCode 等）、短信动态口令和协议支付。这三种方式都从一定程度上解决了盗刷问题，在这里让我们先回顾一下这些方案：
3-D Secure
3-D Secure（以下简称 3DS）是 Arcot Systems（不是任天堂哟）推出的一套安全解决方案，它通过用户设置的独立支付密码来增强帐户安全。
在 Visa，3DS 还有一个名字：Verify By Visa；而在 MasterCard，3DS 则被称为 Master SecureCode。
当用户开启 3DS 验证之前，需要额外设置一个 3DS 支付密码；而之后在支持 3DS 验证交易的网上商家交易时，都需要输入这个 3DS 支付密码，发卡行通过验证 3DS 密码来确认是否为客户本人交易。
而在验证密码的过程中，密码通过持卡人本人与发卡银行之间建立的加密通道传输，因为网上商户/第三方支付机构无法获得持卡人的 3DS 密码，因此银行相信这样可以增强用户网上交易的安全性。
当然，这项技术需要银行额外开发，因此不是所有银行都支持 3DS 验证。国内支持银行如下：
中国农业银行
中国工商银行
中银信用卡（国际）有限公司（注：中银国际卡有，中国银行信用卡无此服务）
中国建设银行
中国民生银行
中国光大银行
中国工商银行
中国农业银行
中国建设银行
中国交通银行
中国民生银行
3DS 验证除了需要银行支持之外，它最大的敌人是木马程序。因为 3DS 支付密码是在用户的电脑上输入的，而当用户输入了这个密码的时候，依据《欺诈责任转移政策》FLS，用户/发卡行无法提出欺诈拒付。而在用户输入密码的过程中，如果电脑上被安装如屏幕监控程序之类的木马，那么密码将很容易丢失。而如果用户丢失密码，这张卡就成为盗卡组织眼中的肥羊。
既然 3DS 验证存在这些问题，但是这是一种国际通用的支付解决方案。让我们把视线回到国内，看看国内如何解决支付安全问题：
短信动态口令
短信动态口令与 3DS 不同，它并不需要用户额外设置支付密码，而是在验证用户的支付要素之外，通过向用户的手机下行一条验证码短信来验证用户目前持有这张银行卡。银行认为：若用户正确输入短信中的验证码，则银行认为用户已授权支付这笔款项。
在国内第三方支付所提供的快捷支付功能中，通过用验证短信动态口令的方式来验证用户身份已经成为一个公认的行业标准。
看到这里，大家会问：为神马不输入银行卡取款密码呢？因为第三方支付机构无权验证用户的支付密码，而银行也不允许第三方支付机构验证支付密码。
因此，没有短信验证支付，就没有快捷支付。没有快捷支付，大家就不能快乐的在手机上买买买了。
但是，在短信验证支付的实际支付流程中，商户/第三方支付机构依然需要留存用户的支付要素以发起支付请求，因此如果商户/第三方支付机构的服务器被黑客攻破，用户的支付要素依然会被丢失。
为了避免第三方支付机构的服务器被黑客攻破后丢失支付要素，国内许多家银行目前都在快捷支付的过程中使用“协议支付”来增强安全性。因此，接下来我们开始聊聊协议支付。
协议支付顾名思义，是用户和银行之间签订快捷支付协议，用户在协议签订之后，凭借协议号来进行后续的扣款支付。
比起传统的快捷支付，由于扣款协议是依据商户/第三方支付机构来签订的，其他商户/机构无法使用这封扣款协议；因此即使商户/第三方支付机构的服务器被攻破，即使扣款协议被盗取，用户依然可以正常支付。
在具体实践中，协议支付可以从银行端发起签订（如支付宝卡通），也可以由商户/第三方支付机构发起签订（如部分银行的快捷支付签约）。
但是协议支付并不能取代短信动态口令，因为银行依然认为保存在商户/第三方支付机构的协议是不安全的。银行坚定的认为：通过同时通过验证支付密码/短信验证码的方式来进行风控才是安全滴。
将线上支付带到线下：Tokenization
虽说无卡支付已经有了许多可用的产品，但是这些产品依然无法替代信用卡本身，无卡支付的适用范围依然仅限于线上。
因为：无论是 3D Secure 新增的在线支付密码、还是短信动态口令的短信验证码、甚至是协议支付中限定仅供两方使用的协议，都无法满足卡组织对线下交易的风控需求。
银行主要担心的是：而如果卡片可以随便被复制，那么就可能被不法组织利用。
因此，Apple Pay 选择了一个从技术上“无法复制”的介质来存储用户的支付信息，同时通过 Tokenization，将“复制”行为演变为向原有信用卡增加一个关联帐户，如此曲线救国，让卡组织放心接纳这项技术。而在 iPhone 5s 之后加入的生物识别技术也已经足够成熟到银行和卡组织愿意去相信。
于是，Apple Pay 就从线上走到了线下。而在这项技术中用以保护用户关键信息的技术，便是 Tokenization。但是它的使用并不限于 Apple Pay，还可以在其他线上/线下使用场景中被使用。
在线下支付中使用 Tokenization
在 Apple Pay 的支付流程中，iPhone 的安全模块中并不存储用户的卡号（PAN）及其余支付信息，取而代之的是苹果公司称之为 DAN（设备帐号 / Device Account Number）的支付 Token。用户输入卡号、姓名、有效期与验证码，银行验证信息之后向手机下发 DAN。
DAN 存放于手机上的安全芯片（Security Element）内，仅本机可读，苹果公司不会将 DAN 上传/备份至服务器，甚至苹果公司在云端都无法访问到 DAN。
在这个过程中，Tokenization 为用户的信用卡新增了一个与卡片唯一关联的设备帐号，而且这个设备帐号仅在这台设备上可用。在用户关联了卡之后，可以通过 DAN 与 Touch ID/锁屏密码来完成支付交易的确认。为了保护用户支付信息的安全，在用户验证 Touch ID/输入支付密码之前，所有的支付要素都不会被发送到收款终端上。少年们，只要将你的手指从 Home 键上移开，你的钞票就不会随便离你而去。
为了保护用户的设备帐户安全，如果用户关闭锁屏密码/注销帐户/擦除设备上的内容，这台设备中绑定的所有卡片都会被自动删除。而在你挂失这台设备的时候，苹果也会主动联系卡组织注销设备中的卡片，这样即使手机被破解，卡片也无法使用。
在无卡支付中使用 Tokenization
Tokenization 的线上使用模式与协议支付类似，区别点在于协议支付存储的是商家/第三方支付机构所生成的协议号；而 Tokenization 方案则存储由卡组织/银行生成的支付 Token。
由于支付 Token 是专用的，因此即使 Token 失窃，其他商家也无法使用它来支付。而卡组织还可以主动挂失 Token，因而 Token 相比其余支付方式有着更高的安全性。
下图是 Tokenization 的流程，它并没有大幅改变传统支付流程，而是在必经流程中改造。这也是目前卡组织愿意接受它的原因。
人类手中的交易介质总是不断的随着技术的演进而改进，在银行卡这件事情上，从存折/压卡机到磁条卡，从磁条卡到芯片卡，从芯片卡到手机支付都是交易介质的一次又一次更迭。
或许它们的出现不像钱币那么有跨时代意义，但这些技术都正在一点一点改变我们的生活。
也许，在数年后会有新的技术出现，但是放眼当下，以 Apple Pay 为代表的手机支付无疑正站在浪潮的巅峰。在尝试了包括 NFC SIM 之内的各种方向之后，手机支付终于找到了一条逐渐变得宽广的道路。对于手机支付而言，一个更好的时代，也许正在到来。
有好的产品或者项目希望我们报道，猛戳这里
863文章总数
使用微信扫码关注爱范儿微信公众号
关注爱范儿微信号，连接热爱，关注这个时代最好的产品。
想让你的手机好用到哭？关注这个号就够了。
关注玩物志微信号，就是让你乱花钱。>> ：苹果App Store审核指南之变记录
：苹果App Store审核指南之变记录
&|&标签：&&&&&&
点击分享本文：&
文/游戏陀螺 Echo
本文包含两部分内容：
第一部分：苹果App Store审核规则：开发者容易踩的10个雷区
第二部分：2014年-2015年，苹果App Store审核指南之变记录
以下为正文：
第1部分：苹果App Store审核规则：开发者容易踩的10个雷区
苹果审核一向严格，2016年伊始，游戏陀螺总结出开发商容易踩的10个雷区。鉴于各家情况不一样，建议大家仔细研究最新版苹果审核指南《App Store Review Guidelines》，避免被拒或被下架的情况（网上的中文版通常不是最新版本，加上翻译的出入，所以建议阅读英文版本）。
1.崩溃、存在错误、快速耗电、发热厉害、跟开发者宣传不符的应用将会被拒绝。（条款2.1-2.3，条款13.2）
2.Demo版、trial版和test版的程序将会被拒绝。Beta版应用程序可通过TestFlight提交，并且必须遵守相关指南。（条款2.9）
3.没有显著用途、不独特的应用程序或者与网站简单捆绑的应用有可能被拒;不提供任何持久娱乐价值的程序可能会被拒绝，比如只是简单的网页剪切、内容整合或者收集链接的应用程序或者是内容主要是营销材料或广告程序的应用将被拒。 (条款2.13，2.12， 12.3）
4.应用内不能带应用推荐的功能，比如积分墙应用，即类似App Store的应用是不允许的。（条款2.25-2.26）
5.提及竞争对手平台（比如Android等）的应用将会被拒。（条款3.1）
6.应用程序的名称、描述、截图或者预览与应用的内容和功能不相关将会被拒绝。（条款3.3）
7.刷评论、刷排名的开发者将会从苹果开发者中除名,也不能以其它不正当的方式获得用户好评（如利益诱导用户进行好评）（条款3.10）
8.在安装或打开应用之前，推荐用户重启iOS设备的应用可能会被拒。（条款3.11）
9.提交审核的App内的URL是能正常运行的，比如支持服务URL和隐私政策URL,这两个URL在提交审核时是必须有的。（条款3.12）
10.只能使用苹果提供的支付方式付费，不允许跳转到App外面进行付费。（条款11.13）
第2部分：2014年-2015年，苹果App Store审核指南之变记录
（备注：以下绿色代表新增规则，红色代表删除）
随着iOS 9.1, watchOS 2.0.1 和tvOS GM的发布，苹果也随之更改了App Store的审核规则。本次的更改主要是跟Apple TV相关，Apple Pencil也有涉及。
主要功能不能与Siri remote相匹配的应用将会被拒绝。应用应该提高其功能与游戏手柄或其它外部设备相匹配。（因为跟Siri remote相关，猜测该条款只是适用于tvOS的应用）。
3. 元数据（名称、描述、评级、排名等）
图标、截图以及、预览以及Apple TV主页的应用图片不符合4+年龄评级的程序将会被拒绝。
3.17 App预览以及截图包含未经授权的通过app播放的内容(比如iTunes playlist和YouTube流媒体 音乐、视频或相关的封面)的应用将会被拒绝。
10.用户界面
10.1应用程序必须遵守Apple Human Interface Guidelines中所有的条款: iOS Human Interface Guidelines 、OS X Human Interface Guidelines、 Apple TV Human Interface Guidelines、 Apple Watch Human Interface Guidelines。
11.购买与货币流通
11.8 使用IAP购买iOS、WatchOS以及tvOS内置功能(比如照相机、陀螺仪、或者是苹果辅助设备如Apple Pencil、Apple Keyboard)的应用程序将会被拒绝。
iOS9上线后，苹果只是更名了Passbook，其它并未更改。
23. PassbookWallet
23.1 Passbook PassesWallet Passes可被用来支付或者接收支付，传递商业信息或者提供验证(比如电影票、飞机票、优惠券以及其他)，但把Passbook PassesWallet Passes用于其他用途的应用程序可能会遭到拒绝，并且会被撤销PassbookWallet证书。
23.2 Passes必须包含有效的pass发行人有效的联系资料，否则app将会被拒绝，并且PassbookWallet证书也会被取消。
23.3 Passes必须经过实体签名，并基于其名字、商标或者品牌进行分发，否则应用程序将会被拒绝，而PassbookWallet证书也可能会被撤销。
随着Apple Watch的上线，Apple Watch将拥有超过3500个应用,苹果对App Store审核指南也做了相应细微的更改。
10.用户界面
10.2外观与iPhoneiOS或者Watch OS设备自带应用(比如App Store、iTunes Store和iBookstore)相似的应用程序将会被拒绝。
10.7 主要功能是告知时间的Watch应用将会被拒绝。
27. HealthKit与人体生物学研究
27.10 实行人体生物学研究的应用必须获得相关独立伦理审查委员会的同意，且该同意书如果要求提供时需提供。
苹果春季发布会过后，更新了App Store审核指南，涉及到HealthKit等内容。
8.内容与知识产权
8.6若无明确授权许可，从第三方来源处(比如YouTube、SoundCloud以及Vimeo等)下载音乐或者视频内容的应用程序将会被拒绝。
9.媒体内容
9.4通过蜂窝网络传输超过10分钟的视频流内容必须使用HTTP Live Streaming协议，并且要包含一个基线为64192kbps或者更低的HTTP实时流。
27.HealthKit和人体生物学研究
27.1使用HealthKit或者出于健康目的用于进行人体生物学研究的框架如Researchkit的应用程序，必须遵守其所有适用区域的法律，以及iOS Developer Program License Agreement中的3.3.28和3.39条款。
27.4应用程序不允许将通过HealthKit API或者是人体生物学研究收集到的用户数据透漏给第三方或用作广告宣传或者基于使用的数据挖掘目的，除了改善健康医疗、健康管理、医学或以健康研究目的。
27.7使用HealthKit框架或者是人体生物学研究的应用程序必须提供隐私政策，否则将会被拒绝。
27.9收集人体生物学研究相关数据的应用程序必须要获得参与者的许可，对于未成年人，应用程序要得到其父母或者监护人的许可。许可内容必须包括：(a)研究的性质、目的以及持续性;(b)参与流程、风险以及受益(福利);(c)信息的机密性和数据处理(包括与任何与第三方的共享);(d)参与者问题切入点;(e)取消方法
29.Apple Pay
29.1使用Apple Pay的应用程序必须在出售任何商品或者服务之前为用户提供所有材料的购买信息，否则将会被拒绝。使用Apple Pay进行定期付款的应用程序必须提供最低限度续费期限，付费将持续直至被取消，每个阶段所付款额，费用付款归属，以及如何取消等。
29.2使用Apple Pay的应用程序必须正确使用Apple Pay Human InterfaceIdentity Guidelines中的Apple Pay标识和用户界面元素，否则将会被拒绝。
本次更新，苹果主要是加入了关于Apple Pay全新的条款。
29.Apple Pay
29.1使用Apple Pay的应用程序必须在出售任何商品或者服务之前为用户提供所有材料的购买信息，否则将会被拒绝。（非最新版本）
（备注：日版本为：使用Apple Pay的应用程序必须在出售任何商品或者服务之前为用户提供所有材料的购买信息，否则将会被拒绝。使用Apple Pay进行定期付款的应用程序必须提供最低限度续费期限，付费将持续直至被取消，每个阶段所付款额，费用付款归属，以及如何取消等。）
29.2使用Apple Pay的应用程序必须正确使用Apple Pay Human Interface Guidelines中的Apple Pay标识和用户界面元素，否则将会被拒绝。（非最新版）
（备注：日版本为：使用Apple Pay的应用程序必须正确使用Apple Pay Identity Guidelines中的Apple Pay标识和用户界面元素，否则将会被拒绝。)
29.3使用Apple Pay作为购买机制的应用程序所提供的商品或服务不能触犯任何交付地范围内的法律，也不能用作任何非法目的。
29.4使用Apple Pay的应用程序必须提供隐私政策，否则将会被拒绝。
29.5只有为了促进或提高商品和服务的交付，或者依照法律要件，使用Apple Pay的应用程序才能与第三方分享通过Apple Pay获得的数据。
随着iOS 8的发布，苹果更新了App Store审核指南。
2.9 Deta 版本、Demo版、trial版和test版的应用程序将会被拒绝。Beta版应用程序可以通过TestFlight提交，并且必须遵守相关指南。
2.25 类似App store，基于购买或者促销的目的而展示其他应用的应用将会被拒绝。，除非是经过特殊审核批准(比如健康管理、航空以及其他无障碍需求等)，或者为特殊群体用户提供具有重大意义的附加值的应用
3.元数据(名称、描述、评级、排名等)
3.3应用程序的名称、描述、截图或者预览与应用的内容和功能不相关将会被拒绝。
3.6图标、截图以及预览不符合4+年龄评级的程序将会被拒绝。（非最新版本）
（备注：日版本为：图标、截图、预览以及Apple TV主页的应用图片不符合4+年龄评级的程序将会被拒绝。）
3.13应用程序的截图、预览或者营销文本没有清晰地指出附加内容或项目需要额外单独购买(比如使用IAP)将会被拒绝。
3.14 App预览仅能使用从应用程序捕获的视频屏幕、旁白、文本以及design overlays，否则应用程序将会被拒绝。
3.15添加App预览的应用程序，未经许可展示真人个人信息将会被拒绝。
3.16 App预览仅能使用在所有选定地区内经过授权许可、用于此目的的音乐。
3.17 App预览包含未经授权的通过app播放的内容(比如iTunes playlist和YouTube流媒体)的应用将会被拒绝。（非最新版本）
（备注：日版本为： App预览以及截图包含未经授权的通过app播放的内容(比如音乐、视频或相关的封面)的应用将会被拒绝。)
14. 人身攻击
14.3 展示用户创作内容(UGC)的应用程序必须提供一个过滤不良资讯的方法，一个用户可以标记侵犯性内容的机制，以及可以阻止辱骂用户的能力。
17.5包含账号注册或者访问用户现有账号的应用程序必须包含隐私策略，否则将会被拒绝。
22.法律要件
22.10在未授权的情况下使用iTunes音乐预览的应用程序将会被拒绝。
25.1包含扩展的应用程序必须遵照App Extension Programming Guide要求。
25.2包含扩展的应用程序必须提供某些功能(辅助屏幕，附加设置)，否则将会被拒绝。
25.3如果扩展的视图中包含营销推广、广告或者IAP内容，那么包含该扩展的应用将会被拒绝。
25.4键盘扩展必须提供一个切换至下个键盘的方法。
25.5键盘扩展必须具有离线访问功能，否则将会被拒绝。
25.6键盘扩展必须提供和App Extension Programming Guide描述一致的数字和十进键盘类型，否则将会被拒绝。
25.7提供键盘扩展的应用必须拥有基本的功能分类和隐私政策，否则将会被拒绝。
25.8提供键盘扩展的应用程序只允许收集用户活动以增强键盘扩展在iOS设备上的功能，否则将会被拒绝。
26.HomeKit
26.1使用HomeKit框架的应用程序必须有提供家庭自动化服务的主要目的。
26.2使用HomeKit框架的应用程序必须在营销文本中说明用途，同时必须提供隐私政策，否则将会被拒绝。
26.3应用程序不允许将从HomeKit API收集的数据用于广告宣传或者其他基于使用的数据挖掘。
26.4出于其他目的使用从HomeKit API收集的数据，而不是用于提高用户体验或者家庭自动化功能中硬件/软件性能，这类应用将会被拒绝。
27.HealthKit
27.1使用HealthKit必须遵守其所有适用区域的法律，以及iOS Developer Program License Agreement中的3.3.28和3.39条款。（非最新版本）
（备注：日版本：使用HealthKit或者出于健康目的用于进行人体生物学研究的框架如Researchkit的应用程序，必须遵守其所有适用区域的法律，以及iOS Developer Program License Agreement中的3.3.28和3.39条款。）
27.2将虚假或者错误的数据写入HealthKit的应用程序将会被拒绝。
27.3使用HealthKit框架的应用程序在iCloud中储存用户健康信息将会被拒绝。
27.4应用程序不允许将通过HealthKit API收集的用户数据用作广告宣传或者基于使用的数据挖掘目的，除了改善健康、医疗、健康管理以及医学研究目的。（非最新版本）
（备注：日版本为：27.4应用程序不允许将通过HealthKit API或者是人体生物学研究收集到的用户数据透漏给第三方或用作广告宣传或者基于使用的数据挖掘目的，除了改善健康或以健康研究目的。）
27.5未经用户许可与第三方分享通过HealthKit API获得的用户数据的应用程序将会被拒绝。
27.6使用HealthKit框架的应用程序必须在营销文本中说明集成了Health app，同时必须在app用户界面清楚阐释HealthKit的功能。
27.7使用HealthKit框架的应用程序必须提供隐私政策，否则将会被拒绝。
27.8提供诊断、治疗建议，或者控制诊断疾病的硬件，或者治疗疾病的应用程序，若没有根据要求提供书面的监管审批，将会被拒绝。
28.TestFlight
28.1应用程序仅能使用TestFlight对以公开发布为目的的应用进行beta版测试，且必须遵守完整的App Review Guidelines。
28.2当版本中包含的内容或功能有重大变化时，使用TestFlight的应用程序必须提交审核。
28.3使用TestFlight的应用程序不允许分发给测试者，以作为任何形式的补偿。
苹果允许应用程序推荐非自身以外的其它应用等。
2.26只有当app是出于特殊审核需要(比如健康管理、航空以及无障碍需求等)或为特殊群体用户提供具有重大意义的附加值时，才可以展示和推荐自身以外的其他应用程序，否则应用程序将会被拒绝。
3.元数据 (名称、描述、评级、排名等)
3.13应用程序的截图或者营销文本没有清晰地指出附加内容或项目需要额外单独购买(比如使用IAP)将会被拒绝。（非最新版本）
（备注：日最新版本：应用程序的截图、预览或者营销文本没有清晰地指出附加内容或项目需要额外单独购买(比如使用IAP)将会被拒绝。）
8.商标与商品外观内容与知识产权
8.3与目前已有苹果产品、界面或者广告主题相似或混淆的应用程序将会被拒绝。
11.购买与货币流通
11.9含有超过限定时间的内容或服务的应用程序将会被拒绝，除经特定批准的内容(比如电影、电视节目、音乐以及书籍)。
11.17如果应用功能遵照各州和联邦法律，那么应用可以用来促进被认可的虚拟货币的流通。
20. 竞赛、赌博、彩票以及抽奖
20.4允许用户在应用中直接购买彩票或彩券的应用将会被拒。
20.5提供真钱游戏(比如体育博彩、扑克牌、赌场游戏、赛马以及彩票)的应用程序必须有应用程序适用地区当地必要的许可和允许，必须限制在这些区域，必须可以从App Store免费下载。
24.儿童类别
24.1主要以儿童为目标的应用儿童类别中的应用程序必须包含隐私政策，必须遵守适用的儿童隐私法规。
24.2 主要以儿童为目标的应用儿童类别中的应用程序不允许包括行为广告(比如app内部基于用户行动的服务广告)，任何在应用程序中展示的上下文广告必须适合儿童。
24.3 主要以儿童为目标的应用儿童类别中的应用程序必须得到家长许可或使用parental gate才能链接至应用程序外部或进行交易。
这次更改主要关于蜂窝网络下载和儿童应用条款
2.15大于50MB100MB无法通过蜂窝网络下载的应用(App Store会自动禁止)。
2.21简单一首歌曲或者一部影片应用要提交到iTunes store，书籍类应用应该提交到iBookstoreiBooks Store。
2.25 类似App store，基于购买或者促销的目的而展示其他应用的应用将会被拒绝，除非是经过特殊审核批准(比如健康管理、航空以及其他无障碍需求等)，或者为特殊群体用户提供具有重大意义的附加值的应用。（非最新版本）
（备注：版本：类似App store，基于购买或者促销的目的而展示其他应用的应用将会被拒绝。）
3.元数据(名称、描述、评级、排名等)
3.3应用程序的名称、描述、或者截图与应用的内容和功能不相关将会被拒绝。（非最新版）
(备注：日版本：应用程序的名称、描述、截图或者预览与应用的内容和功能不相关将会被拒绝。)
4.3使用基于位置的API用于调度、车队管理或应急服务的应用程序将会被拒。
5.推送通知
5.3在强制推送消息才能运行的应用或者要求运行推送通知之前未获得用户许可的应用将会被拒绝。
9.媒体内容
9.4通过蜂窝网络传输超过10分钟的视频流内容必须使用HTTP Live Streaming协议，并且要包含一个基线为64kbps audio-onlyHTTP实时流。（非最新版）
（备注：版本：通过蜂窝网络传输超过10分钟的视频流内容必须使用HTTP Live Streaming协议，并且要包含一个基线为192kbps或者更低的HTTP实时流。）
10.用户界面
10.2外观与iPhone自带应用(比如App Store、iTunes Store和iBookstoreiBoosks Store)相似的应用程序将会被拒绝。
11.购买与货币流通
11.9含有超过限定时间的内容或服务的应用程序将会被拒绝，除经特定批准的内容(比如电影、电视节目音乐以及书籍)。
17.4收集、传输以及分享未成年用户个人信息(比如名字、地址、邮件、位置、照片、视频、绘画、聊天信息以及其他个人数据，或者与以上所述相关的永久性标示符)的应用程序必须遵守应用儿童隐私法规，并且必须包含隐私条款。
21.慈善与援助
21.2慈善捐赠款项的募集必须通过Safari浏览器访问web页面或是手机短消息完成。
24.儿童应用类别
24.1主要以13岁以下儿童为目标的应用程序必须包含隐私政策，必须包含隐私条款，同时遵守适用的儿童隐私法规。（非最新版）
24.2主要以13岁以下儿童为目标的应用程序不允许包括行为广告(比如app内部基于用户行动的服务广告)，任何在应用程序中展示的上下文广告必须适合儿童。（非最新版）
24.3主要以13岁以下儿童为目标的应用程序必须得到家长许可或使用parental gate才能链接至应用程序外部或进行交易。（非最新版）
（备注：日版本：以上三条，“主要以儿童为目标的应用程序”更改为“儿童类别中的应用程序”即可）
【扫描游戏陀螺微信二维码，获取更多干货爆料】