Перейти к основному содержимому
Didit привлёк $7,5 млн на инфраструктуру для идентификации и борьбы с мошенничеством
Didit
В блог
Блог · 13 марта 2026 г.

Разработка соответствующего требованиям iOS SDK для идентификации с использованием Swift и манифестов конфиденциальности (RU)

Создание безопасного и соответствующего требованиям iOS SDK для проверки личности требует тщательного внимания к требованиям Apple по конфиденциальности, включая манифесты конфиденциальности и API с обязательным указанием причины.

Автор: DiditОбновлено
building-a-compliant-ios-identity-sdk-with-swift-and-privacy-manifests.png

Требования Apple к конфиденциальностиПонимание и внедрение манифестов конфиденциальности Apple и API с обязательным указанием причины имеет решающее значение для любого iOS SDK, обрабатывающего конфиденциальные пользовательские данные, обеспечивая одобрение в App Store и доверие пользователей.

Безопасная обработка данныхВнедрение надежного шифрования данных, безопасных методов хранения и минимизация сбора данных являются основополагающими для защиты информации о личности пользователя в ваших iOS-приложениях.

Расширенные функции верификацииИнтеграция таких функций, как верификация по NFC, обнаружение активности и сопоставление лиц 1:1, повышает безопасность и удобство использования, но требует строгого соблюдения правил конфиденциальности.

Преимущество DiditDidit предоставляет комплексный, AI-нативный iOS SDK со встроенным соответствием требованиям Apple по конфиденциальности, предлагая готовые решения для проверки личности, обнаружения активности и NFC-возможности, все это подкреплено модульной архитектурой и бесплатным Core KYC.

Развивающийся ландшафт конфиденциальности iOS: манифесты конфиденциальности и не только

Apple последовательно укрепляет свою приверженность конфиденциальности пользователей, делая ее краеугольным камнем экосистемы iOS. С недавними обновлениями, особенно с введением манифестов конфиденциальности и принудительным использованием API с обязательным указанием причины, разработчики, создающие SDK, обрабатывающие конфиденциальные пользовательские данные, сталкиваются с новыми обязательствами. Для SDK проверки личности, которые по своей природе работают с очень личной информацией, соблюдение требований — это не просто хорошая практика, это обязательное условие для одобрения в App Store и поддержания доверия пользователей. Манифест конфиденциальности (PrivacyInfo.xcprivacy) объявляет, какие данные собирает ваш SDK, как они используются и какие сторонние SDK он связывает. Эта прозрачность жизненно важна для пользователей, чтобы понять, как обрабатываются их данные. Кроме того, для конкретных API, которые получают доступ к конфиденциальным данным (например, UserDefaults для отслеживания или определенной системной информации), теперь разработчики должны предоставить четкую, действительную причину их использования. Несоблюдение этих рекомендаций может привести к отклонению приложений и подорвать доверие пользователей.

Создание надежного iOS SDK для идентификации на Swift означает нечто большее, чем просто реализацию функциональности; это означает внедрение конфиденциальности по умолчанию. Это включает в себя тщательное рассмотрение минимизации данных — сбор только того, что абсолютно необходимо, — и обеспечение безопасной обработки всех собранных данных, как при передаче, так и при хранении. Разработчики также должны быть готовы регулярно пересматривать и обновлять свои декларации конфиденциальности по мере развития политик Apple, что является непрерывным процессом для обеспечения постоянного соответствия.

Основные компоненты соответствующего требованиям iOS SDK для идентификации

Современный iOS SDK для проверки личности должен предлагать набор функций, строго соблюдая стандарты конфиденциальности. Ключевые компоненты часто включают:

  • Проверка личности (OCR, MRZ, штрих-коды): Сбор и извлечение данных из государственных документов. Этот процесс должен быть безопасным, обеспечивая шифрование и обработку изображений и извлеченных данных в соответствии с требованиями.
  • Пассивная и активная проверка активности: Определение того, является ли пользователь реальным, присутствующим человеком, а не дипфейком или атакой презентацией. Это включает анализ движений лица, часто требующий доступа к камере и, возможно, доступа к микрофону для видео-определения активности.
  • Сопоставление лиц 1:1: Сравнение селфи с фотографией в документе, удостоверяющем личность, для подтверждения личности. Биометрические данные, после их сбора, должны обрабатываться с особой осторожностью, часто обрабатываясь на устройстве или с надежным шифрованием для защиты от утечек.
  • NFC-верификация (ePassport/eID): Чтение данных непосредственно с чипа электронного паспорта или электронного удостоверения личности для повышения безопасности и точности данных. Это требует специальных разрешений NFC и тщательной обработки конфиденциальных данных чипа.

Каждая из этих функций включает доступ к конфиденциальным пользовательским данным или возможностям устройства. Например, доступ к камере для проверки личности и определения активности, доступ к микрофону для активного определения активности и доступ к NFC для чтения электронного паспорта. Все это должно быть объявлено в Info.plist с соответствующими описаниями использования (например, NSCameraUsageDescription, NSMicrophoneUsageDescription, NFCReaderUsageDescription) и тщательно детализировано в манифесте конфиденциальности. Разработчики также должны реализовать надежную обработку ошибок и механизмы обратной связи с пользователем, чтобы прозрачно направлять пользователей через процесс верификации, объясняя, почему необходимы определенные разрешения.

Реализация манифестов конфиденциальности и API с обязательным указанием причины

Интеграция манифестов конфиденциальности в ваш iOS SDK включает создание файла PrivacyInfo.xcprivacy и объявление категорий данных, которые собирает ваш SDK, и категорий API, которые он использует и которые требуют указания причин. Для SDK проверки личности это обычно включает:

  • Сбор данных:
    • Идентификатор пользователя (например, если вы связываете сеансы верификации с уникальным идентификатором пользователя, предоставленным интегрируемым приложением).
    • Конфиденциальные данные (например, изображения документов, удостоверяющих личность, биометрические данные из сканирования лица).
    • Точное местоположение (если используется для предотвращения мошенничества, хотя часто необязательно).
    • Фотографии или видео (для захвата документов и определения активности).
  • API, требующие указания причины:
    • NSPrivacyAccessedAPICategoryDiskWriting: Для безопасного хранения временных изображений или данных верификации на диске.
    • NSPrivacyAccessedAPICategoryUserDefaults: Если ваш SDK использует UserDefaults для какой-либо конфигурации или управления состоянием, которое может быть связано с пользователем.
    • NSPrivacyAccessedAPICategorySystemBootTime: Если ваш SDK обращается к времени загрузки устройства для каких-либо мер по борьбе с мошенничеством.

Каждое объявление должно сопровождаться действительной причиной, предоставленной Apple. Например, для доступа к камере причиной будет захват изображений документов, удостоверяющих личность, или выполнение проверок активности. Важно быть как можно более конкретным и избегать широких объявлений. Кроме того, убедитесь, что зависимости вашего SDK также предоставляют свои собственные манифесты конфиденциальности, или что вы объявляете их использование данных от их имени, чтобы избежать пробелов в соответствии. Регулярная проверка кода вашего SDK на предмет использования API и сбора данных, а также соответствующее обновление манифеста конфиденциальности является неотъемлемой частью поддержания соответствия.

Лучшие практики безопасной разработки на Swift

Помимо документов о соответствии, сам код должен быть безопасным. Вот некоторые лучшие практики разработки на Swift:

  • Шифрование данных: Шифруйте все конфиденциальные данные как при передаче (используя TLS 1.2 или выше), так и при хранении (используя встроенные механизмы защиты данных iOS).
  • Безопасное хранение: Избегайте хранения конфиденциальных данных непосредственно в UserDefaults или незашифрованных файлах. Используйте Keychain для небольших фрагментов очень конфиденциальных данных (например, ключей API) и безопасное хранение файлов с соответствующими классами защиты данных для больших наборов данных.
  • Проверка ввода: Тщательно проверяйте все входные данные, чтобы предотвратить атаки внедрения и обеспечить целостность данных.
  • Обработка ошибок: Реализуйте комплексную обработку ошибок для корректного управления сбоями и предотвращения утечки информации.
  • Обфускация кода и обнаружение подделки: Хотя эти меры не являются абсолютно надежными, они могут затруднить реверс-инжиниринг и несанкционированную модификацию вашего SDK.
  • Регулярные аудиты безопасности: Проводите частые обзоры безопасности и тестирование на проникновение вашего SDK для выявления и устранения уязвимостей.
  • Минимальные зависимости: Уменьшите поверхность атаки вашего SDK, минимизируя внешние зависимости. Если зависимости необходимы, убедитесь, что они авторитетны и регулярно обновляются.

Эти практики в сочетании с глубоким пониманием рекомендаций Apple по человеческому интерфейсу для конфиденциальности помогут создать SDK, который будет не только функциональным, но и надежным и соответствующим требованиям.

Как Didit помогает

Didit находится на переднем крае предоставления AI-нативной платформы идентификации, ориентированной на разработчиков, разработанной с учетом соответствия требованиям и безопасности как основных принципов. Наш iOS SDK создан с использованием Swift, предлагая бесшовную интеграцию для проверки личности, обнаружения активности и NFC-верификации. Мы берем на себя сложности требований Apple к конфиденциальности, обеспечивая соответствие нашего SDK манифестам конфиденциальности и API с обязательным указанием причины, что значительно экономит время и усилия вашей команды разработчиков.

Модульная архитектура Didit позволяет вам подключать и использовать именно те проверки личности, которые вам нужны, от надежной проверки личности (OCR, MRZ, штрих-коды) до расширенного пассивного и активного определения активности и NFC-верификации (ePassport/eID). Наши решения являются AI-нативными, что означает, что они постоянно обучаются и адаптируются к новым векторам мошенничества, обеспечивая превосходную точность и безопасность. Мы предлагаем бесплатный Core KYC, позволяющий начать работу без первоначальных затрат, а наша модель оплаты за успешную проверку без платы за установку делает проверку личности корпоративного уровня доступной для предприятий любого размера.

Используя iOS SDK от Didit, вы получаете выгоду от глобально соответствующего решения, которое упрощает интеграцию сложных рабочих процессов проверки личности, позволяя вам сосредоточиться на основном продукте, обеспечивая при этом безопасный и уважающий конфиденциальность пользовательский опыт.

Готовы начать?

Готовы увидеть Didit в действии? Получите бесплатную демонстрацию сегодня.

Начните бесплатно проверять личности с бесплатным тарифом Didit.

Инфраструктура для идентификации и борьбы с мошенничеством.

Единый API для KYC, KYB, мониторинга транзакций и проверки кошельков. Интеграция за 5 минут.

Начать бесплатноСвязаться с нами
Попросите ИИ кратко изложить эту страницу
iOS SDK для идентификации: Swift, манифесты.