Otimizar o seu SDK iOS para ITP e Prevenção de Rastreamento do Safari (PT-PT)
A Prevenção Inteligente de Rastreamento (ITP) do Safari e outras funcionalidades de privacidade estão em constante evolução, criando desafios para SDKs iOS que dependem de métodos de rastreamento tradicionais.
Adote o Contexto PrimárioO ITP do Safari restringe fortemente os cookies de terceiros. Desenhe o seu SDK iOS para operar num contexto primário sempre que possível, alavancando soluções do lado do servidor ou integração direta.
Priorize Identificadores que Preservam a PrivacidadeAfaste-se de identificadores persistentes e entre sites. Concentre-se em identificadores efémeros ou com consentimento do utilizador, respeitando as definições de privacidade do utilizador e a estrutura de Transparência de Rastreamento de Aplicações da Apple.
Implemente Alternativas RobustasAntecipe que alguns pontos de dados ou mecanismos de rastreamento podem ser bloqueados. Construa o seu SDK com degradação graciosa e estratégias de fallback para manter a funcionalidade principal mesmo quando o ITP está ativo.
Mantenha-se Atualizado com as Políticas da AppleO ITP e as políticas de privacidade são dinâmicos. Revise regularmente a documentação do desenvolvedor da Apple e as atualizações de privacidade para garantir que o seu SDK permaneça compatível e eficaz.
A Prevenção Inteligente de Rastreamento (ITP) do Safari remodelou fundamentalmente o cenário do rastreamento web, particularmente para desenvolvedores que dependem de cookies de terceiros e identificadores persistentes. Para os SDKs iOS, isso apresenta um conjunto único de desafios, especialmente ao integrar com web views ou ao lidar com comunicação entre domínios. O compromisso contínuo da Apple com a privacidade do utilizador, reforçado por funcionalidades como a Transparência de Rastreamento de Aplicações (ATT) e políticas mais rigorosas sobre a recolha de dados, significa que os desenvolvedores de SDKs devem adaptar proativamente as suas estratégias para garantir a funcionalidade, manter a integridade dos dados e respeitar o consentimento do utilizador.
Esta publicação no blogue aprofunda as complexidades do ITP e mecanismos de privacidade semelhantes dentro do Safari no iOS, oferecendo insights acionáveis e exemplos práticos para otimizar o seu SDK. O nosso objetivo é ajudá-lo a construir SDKs resilientes e que preservam a privacidade, que não só funcionam de forma confiável, mas também promovem a confiança do utilizador num mundo digital cada vez mais consciente da privacidade.
Compreender o ITP do Safari e o seu Impacto nos SDKs iOS
A Prevenção Inteligente de Rastreamento (ITP) é um conjunto de tecnologias de melhoria da privacidade incorporadas no Safari (e WebKit). A sua função principal é limitar o rastreamento entre sites, restringindo o uso de cookies e outras formas de dados de sites por terceiros. Ao longo dos anos, o ITP evoluiu através de várias iterações, cada uma introduzindo controlos mais rigorosos:
- Bloqueio de Cookies de Terceiros: O aspeto mais significativo. O ITP particiona ou bloqueia agressivamente os cookies de terceiros, dificultando que anunciantes e fornecedores de análises rastreiem os utilizadores em diferentes websites.
- API de Acesso ao Armazenamento: Introduzida como uma forma de preservação da privacidade para que o conteúdo incorporado solicite acesso ao seu armazenamento primário quando um utilizador interage com ele.
- Proteções de Decoração de Links: O ITP também pode remover parâmetros de rastreamento de URLs para evitar o rastreamento através da decoração de links.
- Política de Referência: O Safari geralmente envia uma política de referência mais restritiva (por exemplo,
strict-origin-when-cross-origin), limitando a quantidade de informação passada para sites de terceiros. - Prevenção de Rastreamento de Saltos Efémeros: Identifica e mitiga técnicas onde os rastreadores redirecionam os utilizadores através do seu site para definir cookies primários.
Para os SDKs iOS, especialmente aqueles que interagem com conteúdo web (por exemplo, browsers na aplicação, fluxos de autenticação, gateways de pagamento ou análises incorporadas), o impacto do ITP pode ser profundo. Se o seu SDK depende de definir ou ler cookies de um domínio de terceiros dentro de uma WKWebView, ou se espera que certas informações de referência sejam passadas, o ITP pode quebrar esses mecanismos, levando a:
- Falha nos processos de autenticação ou pagamento.
- Dados de atribuição ou análise imprecisos.
- Experiências de utilizador quebradas devido à falta de informações de estado ou sessão.
Estratégias para o Desenvolvimento de SDKs iOS à Prova de ITP
A adaptação ao ITP requer uma mudança de mentalidade, do rastreamento tradicional para o tratamento de dados centrado na privacidade. Aqui estão as principais estratégias:
1. Priorizar o Contexto Primário e as Soluções do Lado do Servidor
A forma mais eficaz de contornar as restrições do ITP em cookies de terceiros é operar dentro de um contexto primário. Isto significa que o domínio que define o cookie ou acede ao armazenamento é o mesmo que o domínio que o utilizador está a visitar atualmente.
Exemplo Prático: Rastreamento do Lado do Servidor para Análises
Em vez de depender de um script de análise de terceiros incorporado na sua WKWebView que tenta definir os seus próprios cookies, considere uma abordagem do lado do servidor:
- O SDK Recolhe Dados: A sua aplicação iOS (ou o conteúdo web dentro da sua
WKWebView) recolhe dados de interação do utilizador relevantes (por exemplo, produto visualizado, botão clicado). - Enviar Dados para o seu Backend: Estes dados são enviados diretamente para o seu próprio servidor backend.
- O Backend Envia para o Fornecedor de Análises: O seu backend encaminha então estes dados para a API do seu fornecedor de análises. Uma vez que esta comunicação acontece de servidor para servidor, contorna as restrições do ITP em cookies do lado do cliente.
Esta abordagem dá-lhe controlo total sobre os dados, garante que são enviados de forma confiável e não está sujeita à prevenção de rastreamento do lado do navegador.
2. Alavancar a API de Acesso ao Armazenamento para Necessidades Entre Sites
Quando precisa absolutamente de aceder a cookies entre sites dentro de uma WKWebView incorporada (por exemplo, para single sign-on com um fornecedor de identidade), a API de Acesso ao Armazenamento é o método aprovado e que preserva a privacidade. Esta API permite que conteúdo de terceiros solicite permissão explícita do utilizador para aceder ao seu armazenamento primário.
Exemplo Prático: SSO Contínuo em WKWebView
Imagine que o seu SDK incorpora uma WKWebView para um fluxo de autenticação que precisa de aceder a cookies do seu fornecedor de identidade (IDP) para conseguir o SSO. Sem a API de Acesso ao Armazenamento, o Safari bloquearia estes cookies.
Do lado do cliente (dentro do seu conteúdo web incorporado):
document.requestStorageAccess().then(function() {
// Acesso ao armazenamento concedido, agora pode fazer pedidos que usam cookies
// por exemplo, carregar o iframe SSO ou fazer um pedido XHR ao IDP
}).catch(function() {
// Acesso ao armazenamento negado ou interação do utilizador necessária
// Lidar graciosamente, talvez voltar a um login de redirecionamento completo
});
SDK iOS (WKUIDelegate e WKNavigationDelegate):
Terá de lidar com a solicitação do utilizador que o Safari apresenta. O método WKUIDelegate webView:requestMediaCapturePermissionFor:initiatedBy:decisionHandler: (ou pedidos de permissão semelhantes) pode ser invocado, mas para o acesso ao armazenamento, a solicitação é geralmente tratada pelo próprio Safari. Certifique-se de que a sua WKWebViewConfiguration está configurada corretamente, particularmente websiteDataStore.
3. Adotar Identificadores que Preservam a Privacidade e o Consentimento do Utilizador
Com a Transparência de Rastreamento de Aplicações (ATT), a Apple exige o consentimento explícito do utilizador para rastreamento entre aplicações e websites pertencentes a outras empresas. O seu SDK deve respeitar isto. Afaste-se de depender de identificadores de dispositivo persistentes para fins de rastreamento sem consentimento.
Exemplo Prático: Lidar com ATT e IDFA
Se o seu SDK anteriormente dependia do Identificador para Anunciantes (IDFA) para atribuição ou segmentação:
- Solicitar Autorização ATT: Use
AppTrackingTransparency.frameworkpara solicitar autorização do utilizador antes de aceder ao IDFA. - Uso Condicional do IDFA: Apenas recupere e use o IDFA se o utilizador conceder permissão.
- Identificadores Alternativos: Se negado, dependa de identificadores efémeros e específicos do contexto (por exemplo, um ID de sessão) ou IDs não persistentes gerados pelo servidor que não são usados para rastreamento entre sites.
Exemplo Swift:
import AppTrackingTransparency
import AdSupport
func requestTrackingAuthorization() {
if #available(iOS 14, *) {
ATTrackingManager.requestTrackingAuthorization { status in
switch status {
case .authorized:
let idfa = ASIdentifierManager.shared().advertisingIdentifier.uuidString
print("IDFA: \(idfa)")
// Usar IDFA para rastreamento consentido
case .denied, .notDetermined, .restricted:
print("Autorização ATT negada ou não determinada.")
// Depender de outros métodos de preservação da privacidade
@unknown default:
break
}
}
} else {
// Fallback para versões iOS anteriores a 14
// Verificar se o rastreamento está ativado via ASIdentifierManager.shared().isAdvertisingTrackingEnabled
}
}
Como o Didit Ajuda
O Didit, como plataforma de identidade tudo-em-um, alinha-se inerentemente com uma abordagem de privacidade em primeiro lugar, tornando-o robusto contra o ITP e mecanismos semelhantes de prevenção de rastreamento. O nosso foco principal é verificar humanos reais de forma segura, não no rastreamento entre sites. A arquitetura do Didit foi projetada para lidar com verificação de identidade, biometria, deteção de fraude e autenticação dentro de um sistema único e controlado, minimizando a dependência de cookies de rastreamento de terceiros. Conseguimos isso através de:
- Integração Primária: Os SDKs e APIs do Didit são projetados para integração direta e primária na sua aplicação, garantindo que os processos de verificação de identidade ocorram dentro do contexto da sua aplicação, contornando em grande parte as preocupações do ITP relacionadas com o rastreamento entre sites.
- Processamento do Lado do Servidor: Muitas das capacidades robustas do Didit, como a triagem AML e a análise de sinais de fraude, operam de servidor para servidor. Isso significa que o processamento de dados sensíveis e as verificações de identidade acontecem de forma segura no nosso backend, eliminando vulnerabilidades de rastreamento do lado do cliente.
- Biometria Efémera: O Didit processa dados biométricos em memória e os apaga, retornando apenas resultados booleanos para a sua aplicação. Esta abordagem de "privacidade por design" significa que não armazenamos identificadores biométricos persistentes para rastreamento, alinhando-se perfeitamente com os objetivos do ITP.
- Fluxos de Autenticação Seguros: Os nossos métodos de autenticação, incluindo reautenticação biométrica, são construídos para serem seguros e privados, usando mecanismos de desafio-resposta que não dependem de cookies entre sites para gestão de estado.
- Conformidade e Confiança: Sendo compatível com SOC 2 Tipo II, ISO 27001 e GDPR, o Didit é construído sobre uma base de privacidade e segurança de dados, o que naturalmente torna a nossa plataforma resiliente a mudanças nas tecnologias de prevenção de rastreamento.
Pronto para Começar?
Adaptar o seu SDK iOS para o ITP do Safari e o panorama mais amplo da privacidade não é apenas uma questão de conformidade; é sobre construir confiança com os seus utilizadores e garantir a longevidade do seu produto. Ao abraçar contextos primários, alavancar APIs apropriadas como o Acesso ao Armazenamento, priorizar o consentimento do utilizador e manter-se informado sobre as políticas em evolução da Apple, pode criar um SDK robusto e que respeita a privacidade.
Explore como a plataforma de identidade do Didit, focada na privacidade, pode simplificar a sua conformidade e melhorar a experiência do utilizador. Visite o nosso website, consulte a nossa documentação técnica, ou solicite uma demonstração para ver o Didit em ação.