Privacy by architecture

Nessuna PII lascia il dispositivo. Per design, non per promessa.

Tassello cattura la struttura della tua app — mai il suo contenuto. Questa pagina spiega esattamente cosa viene e cosa non viene raccolto, in ogni modalità.

"Data Not Collected" — per impostazione predefinita

Nella modalità predefinita balanced (e in strict), l'SDK non cattura alcun dato personale, quindi la tua etichetta privacy dell'App Store riporta "Data Not Collected". L'auto-redaction viene eseguita prima che qualsiasi cosa lasci il dispositivo, e il backend ri-scansiona le PII all'arrivo come seconda linea di difesa — se dovesse mai trovare una corrispondenza, l'evento viene scartato e scatta un avviso.

Cosa catturiamo — e cosa non facciamo mai

I wireframe sono box, tipi e posizioni. Mai pixel, mai contenuto testuale, mai tu.

Catturato

clean
  • Struttura della schermata — box wireframe, tipi di elemento e posizioni
  • Interazioni anonime — tap, scroll ed eventi personalizzati
  • Breadcrumb di rete — solo metodo e host, dopo la redaction
  • ID dispositivo anonimo — un UUID casuale memorizzato nel Keychain
  • Crash report — simboli e stack frame, in ogni modalità

Mai catturato

never
  • Testo dell'utente o contenuto dinamico mostrato sullo schermo
  • Input di testo o contenuto di TextField / SecureField
  • Immagini, pixel o screenshot di qualsiasi tipo
  • Email, telefono, carta di credito o IBAN — auto-redatti sul dispositivo
  • IDFA, IDFV o posizione precisa
  • Corpi delle richieste o risposte di rete

Tre modalità, una sola manopola

Impostata una volta all'avvio. L'auto-redaction è attiva in tutte, indipendentemente dalla scelta.

.strict

Privacy massima

Solo eventi anonimi — niente wireframe e niente testo. Comunque "Data Not Collected".

.balanced

Predefinita

Struttura wireframe catturata, tutto il testo eliminato. Il giusto compromesso — e comunque "Data Not Collected".

.standard

Insight massimo

Aggiunge etichette UI statiche come titoli dei pulsanti e header. Dichiara "User Content" sulla tua etichetta.

Archiviazione solo nell'UE, subprocessor trasparenti

Tutta l'archiviazione primaria — Postgres, blob R2 e Redis — risiede nell'UE (Francoforte). La generazione degli insight gira su Claude di Anthropic negli USA secondo le Clausole Contrattuali Standard, e vede sempre e solo wireframe anonimizzati e sequenze di eventi che non contengono PII nelle modalità predefinita e strict.

Subprocessor

SubprocessorPosizioneScopo
AnthropicUSAAPI Claude per la generazione di insight — solo dati anonimizzati, secondo SCC
DigitalOceanUE (Francoforte)Compute e archiviazione gestita Postgres / Redis
CloudflareEdge UEArchiviazione blob wireframe R2 e CDN
PostmarkUSAEmail transazionali — solo indirizzo e metadati account, secondo SCC / DPA

L'aggiunta di un subprocessor richiede una notifica al cliente secondo il DPA.

I tuoi dati, la tua scelta

L'esportazione e l'eliminazione GDPR sono integrate nell'SDK e nella dashboard. Insights.exportUserData() restituisce i dati di un utente su richiesta, e Insights.requestDataDeletion() li contrassegna con una tombstone immediatamente e li elimina definitivamente entro 30 giorni. Nessun dark pattern, nessuna attesa sul supporto.