合规说明

数据本地化

设备指纹支持全球、欧洲、北美等多区域集群部署，并支持数据本地化存储。对于有区域合规要求的业务，建议在应用创建阶段就明确地域规划。

密钥边界

接入过程中应区分以下职责：

• 客户端：只负责 SDK 初始化、采集与上报
• 服务端：保存 private_key，完成最终查询和策略决策

请勿在客户端代码、前端构建产物或移动端资源中暴露 private_key。

iOS 隐私清单

iOS SDK 会使用部分 API 获取磁盘容量和环境检测信息，涉及：

• NSPrivacyAccessedAPICategoryDiskSpace
• NSPrivacyAccessedAPICategoryFileTimestamp

如果应用使用相关 API，需要根据 Apple 要求配置隐私清单。可参考：

• Apple WWDC23 隐私清单说明
• Required Reason API 文档

日志与数据处理建议

• 不在客户端日志中长期输出完整 Token
• 在服务端对查询日志做访问控制
• 结合内部数据分级策略决定指纹结果与风险标签的保留周期

推荐实践

• 按区域拆分应用和密钥
• 按环境拆分生产与测试配置
• 将合规要求纳入上线检查项