Manifesto di privacy per le app iOS

A partire dal 1 maggio 2024, Apple richiede a tutte le app iOS presenti su App Store di includere i manifesti di privacy. Questi file, noti come PrivacyInfo.xcprivacy, descrivono come le app e le loro dipendenze gestiscono i dati degli utenti. La non conformità può portare alla rimozione dell'app o alla sua rifiutazione. Ecco cosa devi sapere:

• Cosa è un manifesto di privacy?
  Un file strutturato che documenta:

  • I dati raccolti dall'app e dai SDK di terze parti.
  • Le API utilizzate per dati sensibili o tracciamento.
  • Domini accessati dall'app.

• Perché conta?

  • Assicura la trasparenza nelle pratiche di dati.
  • Mantieni etichette di privacy di App Store accurate.
  • Evita ritardi o rifiuti di revisione dell'app.

• Passaggi di conformità chiave:

  1. Usa Xcode 15 o successivo per creare e configurare il PrivacyInfo.xcprivacy file.
  2. Documenta tutte le API, i tipi di dati e i domini di tracciamento.
  3. Ottieni manifesti di privacy da fornitori di terze parti SDK.
  4. Verifica usando il rapporto sulla privacy di Xcode.

• Scadenze:

  • 1 maggio 2024: La normativa è entrata in vigore.
  • Gli app devono includere ora i manifesti sulla privacy per essere approvate.

Le violazioni possono comportare il rifiuto dell'App Store, problemi legali e la perdita della fiducia degli utenti. Gli strumenti come gli scanner automatizzati e i generatori di privacy possono semplificare il processo. Resta proattivo per assicurarti che la tua app soddisfi i requisiti sulla privacy di Apple.

WWDC23: Inizia con i manifesti sulla privacy | Apple

Regole dei manifesti sulla privacy di Apple

Il manifesto sulla privacy di Apple introduce un requisito di trasparenza per la raccolta di dati e l'uso di API in tutti i componenti delle app iOS.

Per adempiere, gli sviluppatori devono includere un PrivacyInfo.xcprivacy documento che elenca tre elementi critici:

• Motivo obbligatorio dichiarazioni API: Stabilisci chiaramente perché vengono utilizzati specifici API.
• Categorie di utilizzo dei dati: Specifica i tipi di dati raccolti e come vengono utilizzati.
• Documentazione dell'utilizzo del dominio: Dettaglia i domini accessibili dall'app [3].

Scadenze di conformità

Apple ha stabilito scadenze ferree per soddisfare questi requisiti:

Queste date evidenziano l'urgenza per i sviluppatori di allineare le loro app con le nuove regole per evitare interruzioni.

Rischi di non conformità

Il mancato rispetto di queste linee guida può portare a gravi conseguenze, tra cui:

• Rifiuto immediato della Store App: Le app non conformi non saranno approvate per la distribuzione.
• Esposizione legale: La mancata divulgazione delle pratiche di dati potrebbe portare a azioni regolatorie.
• Danno reputazionale: Gli utenti potrebbero perdere fiducia nelle app che non rispettano gli standard di trasparenza. [2].

“Le app che utilizzano specifiche API devono dichiarare l'intenzione di utilizzo nel file di manifesto di privacy, a partire dal 1° maggio 2024.” – Apple [6]

Per i sviluppatori che utilizzano soluzioni di aggiornamento in rete (OTA) come Capgo, la conformità è particolarmente importante. Questi meccanismi di aggiornamento, insieme alle pratiche di gestione dei dati, devono essere documentati in modo esplicito.

Inoltre, ogni SDK e framework integrato nell'app deve includere il proprio manifesto di privacy, che descrive la raccolta di dati e l'uso di API. [3].

Durante il processo di sottoscrizione dell'applicazione su App Store, Xcode compilerà questi manifesti individuali in un Rapporto di Privacy unificato

Strumenti e Configurazione Richiesti Per implementare i manifesti di privacy nelle tue app iOS, dovrai configurare l'ambiente di sviluppo con gli strumenti e le credenziali necessarie. Questi passaggi ti aiuteranno a prepararti per creare un'app conforme PrivacyInfo.xcprivacy

file.

Requisiti del Sistema

• Assicurati di avere installato e configurato i seguenti elementi:: Questa è la versione minima che supporta i manifesti di privacy [1].
  • Disponibile sulla Mac App Store (rilevazione stabile).
  • Le versioni beta possono essere scaricate dal portale dello sviluppatore Apple [16].
• macOS: Utilizzare una versione stabile per garantire la compatibilità con Xcode.

Credenziali dello sviluppatore

Per lavorare con i manifesti di privacy e presentare la tua app alla App Store, avrai bisogno delle seguenti credenziali:

Per creare il tuo PrivacyInfo.xcprivacy file, apri Xcode e vai a Nuovo > File > iOS > Risorse > App Privacy [1]Collo questo file nella directory radice dei risorse del pacchetto del tuo app per assicurarti che venga riconosciuto durante il processo di compilazione.

A partire da primavera 2024, Apple richiederà a tutti gli sviluppatori di includere le ragioni approvate per qualsiasi utilizzo elencato API. [7].

Una volta pronti gli strumenti e le credenziali, puoi passare alla creazione del file di manifestazione della privacy direttamente in Xcode.

Creazione del File di Manifestazione della Privacy

La creazione di un file di manifestazione della privacy in Xcode può essere semplice con i passaggi e gli strumenti giusti. Ecco come puoi impostarlo e semplificare il processo utilizzando l'automazione.

Xcode Passaggi di configurazione

1. Crea il File di Manifestazione della Privacy

   Apri Xcode, naviga a File > Nuovo > Filee seleziona "File di privacy dell'app" nella sezione Risorse. Assicurati di aver selezionato il target dell'app durante questo processo [8].

2. Configura le chiavi richieste

   Aggiungi le seguenti chiavi al tuo file appena creato PrivacyInfo.xcprivacy file:

   Chiave	Descrizione	Valore richiesto
   NSPrivacyTracking	Indica se l'app utilizza i dati per il tracking	Booleano (vero/falso)
   NSPrivacyTrackingDomains	Elenco di domini utilizzati per il tracciamento	Array di domini
   NSPrivacyCollectedDataTypes	Tipi di dati raccolti	Array di dizionari
   NSPrivacyAccessedAPITypes	API dettagli di accesso	Array di dizionari

3. Verifica la configurazione

   Dopo aver configurato il file, verificare il tuo setup generando un rapporto sulla privacy in Xcode. Per farlo:

   • Crea un archivio andando a Product > Archivia.
   • Fare clic con il pulsante destro sull'archivio generato.
   • Seleziona Genera Rapporto sulla Privacy [8].

L'uso di strumenti di automazione può aiutare a ridurre le ripetizioni di compiti e garantire la coerenza.

Metodi di Automazione

Privado.ai Integrazione
Il generatore di manifesto di privacy di Privado, introdotto nel giugno 2024, semplifica il processo automatizzando lo code e la generazione del rapporto. Questo strumento:

• Scansiona il tuo code e le tue dipendenze SDK.
• Mappa le pratiche di raccolta dei dati.
• Riempie automaticamente i rapporti sulla privacy.
• Collega le risposte direttamente alle sezioni corrispondenti del tuo codice sorgente code [10].

App Privacy Manifest Fixer
Lanciato in aprile 2025, questo strumento utilizza script shell per:

• Analizza il tuo manifesto e risolve automaticamente le questioni di conformità.
• Integra facilmente con i tuoi processi di build esistenti.
• Supporta modelli personalizzati per diversi tipi di progetto [11].

Per risultati coerenti, includi questi strumenti nel tuo directory di progetto. Ciò garantisce una generazione del manifesto fluida all'interno del tuo team e delle pipeline CI/CD.

Quando si utilizza aggiornamenti in rete attraverso piattaforme come Capgo, assicurati che il tuo Manifesto della Privacy rifletta qualsiasi raccolta di dati o API legata alla funzionalità di aggiornamento. La trasparenza è fondamentale per mantenere la conformità con le richieste della App Store e trarre vantaggio dalle funzionalità di aggiornamento moderne.

Raccolta di dati e documentazione su API

Once you’ve built your manifest file in Xcode, the next step is documenting your app’s API usage and data collection practices. This is essential not only to meet Apple’s compliance requirements but also to establish trust with your users.

API Documentazione sull'uso

Il tuo PrivacyInfo.xcprivacy Il tuo file deve elencare tutte le API che accedono a informazioni sensibili. Quando documenti l'uso di API nel manifesto di privacy, includi sia le categorie API che le ragioni approvate per il loro utilizzo.

Ecco un breve riassunto di ciò che deve essere documentato:

Questa livello di dettaglio garantisce una connessione senza intoppi tra il tuo file di manifesto e le tue pratiche di raccolta dei dati.

‘Sei tu responsabile di tutti code inclusi nei tuoi app, ai sensi delle linee guida di revisione dell'App Store. Ciò include tutte le pratiche di raccolta e tracciamento dei dati.’ - Tony, Ingegneria della privacy, Apple [5]

Quando si implementano gli aggiornamenti in rete, prestare particolare attenzione a dichiarazioni dello spazio disco APIPer esempio, la versione 10.24.0 di Firebase Analytics ha risolto gli errori ITMS-91053 nel mese di aprile 2024 risolvendo problemi relativi a NSPrivacyAccessedAPICategoryDiskSpace e NSPrivacyAccessedAPICategoryUserDefaults [12].

Tipi di dati e categorie

Il tuo manifesto sulla privacy deve descrivere chiaramente tutti i tipi di dati raccolti e classificarli in modo appropriato. In particolare, devi documentare i seguenti aspetti:

• Se i dati sono collegati all'identità dell'utente.
• Se i dati sono utilizzati a scopo di tracciamento.
• Se entrambi si applicano, specifica lo scopo approvato dalla lista predefinita di Apple.

Per le app che utilizzano SDK di terze parti, assicurati che ogni SDK includa il proprio manifesto sulla privacy. Ad esempio, Persona SDK v2.18.0+ dichiara automaticamente i seguenti tipi di dati:

• Posizione di precisione bassa (ad esempio, indirizzo IP)
• ID dispositivo (identificazione a livello di dispositivo)
• ID dell'utente (identificazione a livello di account)
• Dati di diagnostica (es., registri degli errori)
• Interazione del prodotto (es., eventi di flusso)

Per rimanere conformi, esegui regolarmente un audit del tuo codice per identificare le API che richiedono inclusione nel tuo Manifesto sulla privacy [13]Questa tipica revisione proattiva può aiutare a evitare ritardi di sottoscrizione e mantenere la tua app allineata con gli standard di privacy in evoluzione di Apple.

Gestione di Terze Parti SDK

Il software di terze parti deve essere allineato con i standard di manifestazione di privacy di Apple per conformarsi alle normative e mantenere la fiducia degli utenti. Questi standard, discussi in precedenza, sono altrettanto importanti per i software di terze parti. Di seguito, troverai informazioni su come gestire gli aggiornamenti OTA nei Capacitor e assicurare la conformità SDK.

Aggiornamenti OTA e Capacitor

Quando si utilizzano gli aggiornamenti in tempo reale (OTA) nei Capacitor app, è fondamentale configurare correttamente il manifesto di privacy. Per gli app che utilizzano soluzioni di aggiornamento in tempo reale, è necessario dichiarare l'utilizzo specifico di API nel manifesto di privacy:

Capgo semplifica questo processo integrando la conformità al manifesto di privacy nel suo sistema di aggiornamento OTA. Declara automaticamente le API e l'accesso ai dati necessari, assicurando che la tua app rimanga conforme mentre beneficia di aggiornamenti in tempo reale.

Ecco, esploriamo i passaggi chiave per verificare la conformità di SDK.

Conformità di SDK

Dopo aver affrontato le dichiarazioni di aggiornamento OTA, è essenziale assicurarsi che tutti gli SDK integrati soddisfino gli standard necessari. Con l'88% delle organizzazioni che utilizzano migliaia di app cloud [16]robuste verifiche di conformità di SDK sono necessarie.

• Scanning automatizzato
  Utilizza strumenti come Ostorlab.co per esaminare il file IPA del tuo app [1]. Questo completa le informazioni fornite dal tuo Rapporto di privacy di Xcode, offrendo un'analisi approfondita della conformità della tua app.

• Gestione delle versioni
  Se un SDK non dispone di un manifesto di privacy, dovrai dichiarare manualmente l'uso dei dati nella tua app PrivacyInfo.xcprivacy file [14]Questa operazione garantisce la trasparenza e l'adeguamento alle linee guida di Apple.

• Implementazione della sicurezza
  Gli SDK non gestiti possono avere conseguenze significative. Ad esempio, Tilting Point Media ha ricevuto un risarcimento di 500.000 dollari il 18 giugno 2024, a causa di violazioni di CCPA e COPPA a causa di SDK configurati in modo improprio [15]. Per evitare simili insidie:

  • Crittografa i dati sensibili prima che vengano gestiti dagli SDK.
  • Applica i principi di accesso con privilegi minimi per limitare le autorizzazioni non necessarie.
  • Monitora regolarmente l'uso di SDK all'interno dell'applicazione.
  • Esegui regolarmente l'audit delle politiche di SDK per assicurarti che rimangano conformi.

Procedura di Test e Sottomissione

Prima di sottoporre il tuo'app, dovrai testare l'implementazione del tuo Manifesto sulla Privacy seguendo le procedure richieste da Apple, valide a partire dal 1° maggio 2024 [9].

Rapporto sulla Privacy di Xcode

Una volta configurato il tuo Manifesto sulla Privacy, il passo successivo è testarne l'accuratezza. Utilizzando Xcode 15, archivia il tuo progetto e genera un Rapporto sulla Privacy [8]. Questo rapporto fornisce un quadro generale dei tipi di dati dichiarati, delle pratiche SDK e dell'uso API dei dati, nonché dei domini di tracciamento.

'Xcode 15 può aggregare tutti i manifesti sulla privacy presenti nel progetto della tua app e produrre un rapporto sulla privacy che riassume le dichiarazioni di utilizzo dei dati… Ciò ti aiuta a revisionare, comprendere e descrivere le pratiche sulla privacy della tua app e delle sue dipendenze.' - Tony, Ingegneria della Privacy, Apple [5]

Per una validazione ulteriore, puoi utilizzare lo strumento dei Punti di Interesse in Xcode 15 per rilevare eventuali connessioni ai domini di tracciamento [5].

Requisiti di Sottomissione

Dopo aver revisionato il Rapporto sulla Privacy, assicurati che i seguenti componenti chiave siano pronti per la sottomissione:

Passaggi importanti per la verifica:

• Collega il manifesto di privacy al tuo target di app [17].
• Assicurati che gli SDK di terze parti includano i loro pacchetti di privacy [17].
• Documenta e dichiara correttamente tutti i domini di tracciamento [5].

“Check that the privacy manifest matches your understanding of the third-party SDK’s functionality.” - Tony, Privacy Engineering at Apple [5]

Per un esempio pratico, prendere l'equipe di CodeWithChris. Nel mese di ottobre 2023, hanno implementato con successo le richieste di privacy di Apple mentre costruivano la loro app di tracciamento dell'umore. Hanno fatto affidamento sul rapporto di privacy di Xcode per assicurarsi che ogni aspetto della loro app soddisfacesse i nuovi standard di Apple prima della sottoscrizione [18].

Aggiornamenti e manutenzione

Tenere aggiornato il tuo manifesto di privacy è altrettanto importante quanto mantenere il tuo codice di base. Poiché le politiche di privacy evolvono, gli aggiornamenti regolari assicurano la conformità e semplificano il processo di approvazione. Tracciamento degli aggiornamenti delle politiche

Verifica che il manifesto di privacy corrisponda alla tua comprensione della funzionalità dei terzi __CAPGO_KEEP_0__.

Mantenere l'allineamento con le politiche sulla privacy di Apple è cruciale per mantenere la conformità con l'App Store. Dalla scadenza del 1° maggio 2024, gli sviluppatori sono stati tenuti a tenere d'occhio le modifiche alle norme sulla privacy e le API specifiche.

Per esempio, InMobi‘I sviluppatori sono responsabili di tutti i SDK inclusi negli app’ - Apple [4].

“Developers are responsible for all code included in their apps” - Apple [4]

Oltre al monitoraggio degli aggiornamenti delle politiche, il controllo di versione sistematico è essenziale per garantire la conformità a lungo termine con le richieste evolutive di Apple. Questo passo costruisce sulle misure precedenti, aiutando gli sviluppatori a mantenere la consistenza e la responsabilità.

Verifica Automatica

• Le verifiche automatiche possono migliorare i tassi di successo di distribuzione aumentando la velocità di identificazione delle questioni di conformità in tempo reale. Inoltre, consentono il rollback rapido se si verificano problemi, riducendo il downtime.
  __CAPGO_KEEP_0__ Tracciamento dell'Integrazione

• Mantieni un registro dettagliato delle versioni di SDK e dei relativi manifesti di privacy. Ad esempio, il team mobile di Spotify ha ridotto le crash delle app del 15% nei 30 giorni di agosto 2024 attraverso il tracciamento preciso di __CAPGO_KEEP_1__ e interventi mirati
  Keep a detailed log of SDK versions and their associated privacy manifests. For example, Spotify’s mobile team reduced app crashes by 15% over 30 days through precise SDK tracking and targeted fixes in August 2024 [20].

• Verifica delle API di ragione richiesta
  Documenta ogni modifica con cura:

  • Ricorda le ragioni degli aggiornamenti
  • Nota gli API e i tipi di dati interessati
  • Mantieni un registro di audit per semplificare le revisioni di conformità

L'utilizzo di strumenti di controllo delle versioni con capacità di build automatico e gestione delle versioni può rendere questo processo più fluido. Ad esempio, L'applicazione di Appcircle consente ai developer di gestire i numeri di build e di tracciare le versioni attraverso le variabili di ambiente o l'integrazione con XcodeRiepilogo e Risorse [20].

La conformità con gli standard di privacy di Apple richiede attenzione continua e gli strumenti giusti. La gestione di un Manifesto di Privacy non è un compito da svolgere una volta per tutte - richiede accuratezza e aggiornamenti regolari. Le recenti scoperte rivelano che molti sviluppatori ancora cadono in difetto di conformità

Ecco alcuni strumenti e risorse essenziali per aiutare a semplificare l'implementazione: [1].

Tipo di Risorsa

Questi strumenti semplificano il processo di mantenimento della conformità, soprattutto quando si tratta di validazione e documentazione. I sviluppatori possono anche esplorare soluzioni automatizzate per la gestione dei manifesti di privacy. Ad esempio, Capgo fornisce un feature di aggiornamento in tempo reale per Capacitor app, consentendo aggiornamenti veloci mentre si aderisce ai requisiti della Store App.

A partire da primavera 2024, Apple richiederà che le app risolvano tutte le questioni relative ai manifesti di privacy e ai API richiesti prima di poterle sottoporre o aggiornare nella Store App [5]. Per restare in anticipo, gli sviluppatori dovrebbero:

• Raccogliere manifesti di privacy dai fornitori di SDK terzi.
• Documentare tutti i domini di tracciamento e l'uso dei API richiesti.
• Validare regolarmente i manifesti utilizzando il rapporto di privacy di Xcode.
• Tenere registri dettagliati delle pratiche di raccolta dei dati.

Per ulteriori informazioni, questi risorse sono inestimabili:

• Sito web dello sviluppatore AppleAccedi per aggiornamenti sui requisiti di riservatezza e le modifiche alla politica [19].
• App Store ConnectRivedi le linee guida e i requisiti di presentazione [19].
• WWDC VideosGuarda le sessioni tecniche per acquisire informazioni sulla riservatezza [21].

Domande frequenti

::: faq

Cosa succede se gli sviluppatori di app iOS non rispettano i requisiti del Manifesto di riservatezza di Apple entro il 1° maggio 2024?

Il mancato rispetto dei requisiti del Manifesto di riservatezza di Apple entro il 1° maggio 2024 potrebbe avere conseguenze gravi per gli sviluppatori di app iOS. La tua app potrebbe essere respinta durante il processo di revisione dell'App Store, perdere certe funzionalità o essere rimossa dallo store del tutto.

Al di là di ciò, la non conformità potrebbe sottoporre le future presentazioni di app a maggiore attenzione, potenzialmente ritardando i tempi di approvazione. Questi ritardi non colpiscono solo la disponibilità dell'app - possono anche erodere la fiducia degli utenti e ridurre la presenza dell'app nel mercato. Mantenere la priorità rispetto alla scadenza aiuta a garantire che l'app sia conforme e accessibile al proprio pubblico. :::

::: faq

Come possono i sviluppatori assicurarsi che i SDK di terze parti nelle loro app iOS soddisfino i requisiti del Manifesto di Privacy di Apple?

Per soddisfare i requisiti di Apple del Manifesto di Privacy i sviluppatori devono includere un PrivacyInfo.xcprivacy file nella loro app o SDK. Questo file deve fornire dettagli chiari sui tipi di dati raccolti e spiegare lo scopo di utilizzo di specifiche API. Inoltre, gli sviluppatori dovrebbero verificare se i SDK di terze parti su cui si basano rientrano nelle linee guida di Apple per richiedere un manifesto e una firma di privacy.

A partire dal 1° maggio 2024, ogni app inviata alla Store App deve essere conforme a queste regole. È importante che gli sviluppatori lavorino strettamente con i loro provider SDK per garantire la corretta registrazione delle pratiche di dati, rendendo più facile allinearsi al manifesto di privacy dell'app. Seguire questi passaggi non solo aiuta a evitare le rifiute della Store App, ma anche a promuovere la fiducia degli utenti attraverso la trasparenza nell'elaborazione dei dati. :::

::: faq

Come possono i sviluppatori creare e mantenere un Manifesto di Privacy per le loro app iOS per conformarsi alle politiche di Apple?

I sviluppatori che lavorano su app iOS possono creare e gestire un manifesto di privacy aderendo alle linee guida di Apple e utilizzando gli strumenti disponibili. La documentazione ufficiale di Apple fornisce istruzioni dettagliate per la configurazione di un file PrivacyInfo.xcprivacy che specifica i dati che la tua app raccoglie e qualsiasi SDK di terze parti in uso. Per assistenza passo dopo passo, il video di WWDC23 di Apple sui manifesti di privacy è un eccellente risorsa, che copre come identificare le pratiche di privacy e generare rapporti di privacy utilizzando Xcode 15 o versioni successive.

Per semplificare la conformità, gli strumenti come il software di consenso per app mobili possono aiutare a gestire gli SDK e assicurarsi che il consenso degli utenti sia ottenuto correttamente. Gli strumenti rendono più facile rimanere allineati alle politiche di condivisione dei dati di Apple mentre promuovono la trasparenza con gli utenti. Per gli sviluppatori che utilizzano Capacitor app, piattaforme come Capgo offrono funzionalità di aggiornamento in tempo reale mentre mantengono la conformità ai requisiti di privacy.