Descubra como a Zenovay gerencia as gravações de sessão de forma responsável - desde a ocultação de dados até a conformidade com RGPD e segurança de armazenamento.
Abordagem Centrada em Privacidade
Nossa Filosofia
Session Replay foi projetado com privacidade em mente:
- Senhas são ocultadas por padrão
- Você controla o que é capturado com simples classes CSS
- Projetado para apoiar suas obrigações RGPD e CCPA
- Nenhum dado pessoal é vendido ou compartilhado
O que sempre ocultamos
Independentemente de suas configurações, campos de senha nunca são gravados. Quando a gravação é iniciada, a Zenovay marca automaticamente cada campo de entrada de senha (incluindo campos marcados com autocomplete="password", current-password ou new-password) para que seu conteúdo nunca deixe a página.
Ocultação de Dados
Comportamento Padrão
Por padrão, Session Replay registra a maioria das entradas de formulário para que a reprodução seja útil para suporte e depuração. Senhas são a exceção e sempre são ocultadas.
| Elemento | Tratamento Padrão |
|---|---|
input[type="password"] | Sempre oculto |
input[type="email"] | Gravado (mostrado na reprodução) |
input[type="tel"] | Gravado (mostrado na reprodução) |
input[type="text"] | Gravado (mostrado na reprodução) |
.zenovay-mask-replay | Oculto |
[data-private] | Bloqueado da gravação |
E-mails e números de telefone são mostrados por padrão porque são frequentemente úteis ao revisar uma sessão de suporte. Se precisar ocultá-los, oculte ou bloqueie os campos relevantes usando as classes CSS abaixo.
Como a Ocultação Parece
Nas gravações, conteúdo oculto é mostrado como ••••••••. Elementos bloqueados são removidos da gravação inteiramente e nunca aparecem na reprodução.
Ocultação e Bloqueio com Classes CSS
O gravador da Zenovay lê três ganchos CSS. Adicione a classe apropriada (ou atributo) a qualquer elemento em seu site:
<!-- Ocultar o texto (mostrado como ****) -->
<span class="zenovay-mask-replay">Informações pessoais</span>
<!-- Bloquear da gravação inteiramente (não capturado) -->
<div class="zenovay-block-replay">
Esta seção não aparecerá nas gravações
</div>
<!-- O atributo data-private também bloqueia um elemento -->
<input type="text" data-private>
| Gancho | Efeito |
|---|---|
zenovay-mask-replay (classe) | Texto é oculto, mostrado como •••••••• |
zenovay-block-replay (classe) | Elemento é completamente removido da gravação |
data-private (atributo) | Elemento é bloqueado da gravação |
Esses ganchos funcionam em qualquer lugar em sua marcação - em entradas, formulários ou seções inteiras.
Modo de Gravação
Session Replay pode ser executado em dois modos de gatilho, configurados por site:
| Modo | Comportamento |
|---|---|
| Apenas erros (padrão) | As sessões são gravadas em segundo plano e salvas apenas quando o visitante dispara um erro de JavaScript, para que você mantenha as gravações que importam |
| Todas as sessões | Todas as sessões são gravadas (amostradas automaticamente em sites com alto tráfego para manter o volume gerenciável) |
Para alterar o modo, abra o painel do site, vá para Configurações → Avançado, ative Session Replay e escolha o modo de gravação. A gravação permanece desativada até que você a ative.
Gravar todas as sessões captura mais dados. Certifique-se de que sua ocultação e exclusões estão configuradas e que seu aviso de privacidade cobre Session Replay antes de mudar para "Todas as sessões".
Bloqueio de Gravação
Bloquear Páginas Inteiras
Você pode parar a gravação em caminhos de URL específicos. No painel do site, vá para Configurações → Exclusões e adicione os caminhos que deseja excluir em Excluir caminhos de URL, por exemplo:
/admin/*/account/settings/checkout/payment
As sessões em caminhos excluídos são puladas e nunca são armazenadas.
Bloquear Elementos
Para remover um elemento específico das gravações, adicione a classe zenovay-block-replay ou o atributo data-private:
<!-- Não gravar este elemento em absoluto -->
<div class="zenovay-block-replay">
Esta seção não aparecerá nas gravações
</div>
<!-- Mesmo efeito com o atributo data-private -->
<div data-private>
Conteúdo sensível aqui
</div>
Consentimento do Usuário
Requisitos de Consentimento
Dependendo de sua jurisdição:
| Região | Requisito |
|---|---|
| UE (RGPD) | Consentimento explícito geralmente necessário |
| Califórnia (CCPA) | Opção de exclusão deve estar disponível |
| Outro | Varia por lei |
Pausando Rastreamento ao Retirar Consentimento
A gravação é habilitada em suas configurações de site (Configurações → Avançado), não via API JavaScript. Para parar todo rastreamento (incluindo gravação) quando um visitante retira consentimento, use a fila de comandos do rastreador:
// Desabilitar rastreamento se consentimento for retirado
if (!userConsented) {
zenovay('disable');
}
// Reabilitar rastreamento quando consentimento é dado
if (userConsented) {
zenovay('enable');
}
Integração de Consentimento
Funciona com qualquer gerenciador de consentimento que possa disparar um callback, incluindo OneTrust, Cookiebot e CookieYes, ou sua própria implementação personalizada.
Fluxo de Consentimento de Exemplo
// Aguardar sinal de consentimento
window.addEventListener('consent-given', function() {
zenovay('enable');
});
window.addEventListener('consent-withdrawn', function() {
zenovay('disable');
});
Armazenamento de Dados
Onde os Dados São Armazenados
Os dados de sessão são:
- Criptografados em repouso
- Hospedados na infraestrutura global de borda da Cloudflare
- Armazenados com o banco de dados da UE (Frankfurt) como região primária
Períodos de Retenção
| Plano | Retenção |
|---|---|
| Pro | 60 dias |
| Scale | 120 dias |
| Enterprise | 180 dias |
Após a Retenção
Quando a retenção expira:
- As gravações são automaticamente excluídas
- Elas não podem ser recuperadas
Segurança de Dados
Criptografia
Todos os dados de sessão são:
- Criptografados em trânsito (TLS)
- Criptografados em repouso
Controle de Acesso
As gravações só são visíveis para membros de seu espaço de trabalho, limitadas por seu papel. O registro de auditoria de quem acessou o quê está disponível no plano Scale.
Postura de Segurança e Conformidade
A Zenovay foi projetada para prontidão RGPD e é executada em infraestrutura de provedores certificados:
- Cloudflare (SOC 2 Type II, ISO 27001, ISO 27018)
- Supabase (SOC 2 Type II)
- Stripe processa todos os dados de pagamento (PCI DSS Level 1)
Para transferências de dados internacionais, a Zenovay depende do Quadro de Privacidade de Dados UE-EUA e das Cláusulas Contratuais Padrão quando aplicável.
Conformidade com RGPD
Base Legal
Para gravação de sessão sob RGPD:
| Base | Notas |
|---|---|
| Consentimento | Consentimento explícito do usuário |
| Interesse Legítimo | Com avaliação apropriada |
Direitos dos Titulares de Dados
Os usuários podem solicitar:
- Acesso às suas gravações
- Exclusão de suas gravações
- Exportação de seus dados
Implementando Direitos
Quando você recebe uma solicitação:
- O usuário envia a solicitação
- Encontre as sessões relevantes em seu painel
- Exporte ou delete-as
- Confirme a conclusão
Excluindo Gravações
Para remover uma gravação específica, abra a visualização Sessions do site, encontre a sessão e delete-a. A gravação e seus eventos armazenados são permanentemente removidos e não podem ser recuperados.
Para uma solicitação de exclusão mais ampla em nível de conta, veja Detalhes de Conformidade RGPD.
Controles do Usuário
Opções de Exclusão
Você pode fornecer aos visitantes uma forma de desativar o rastreamento usando o comando disable do rastreador:
<!-- Exclusão vista pelo usuário -->
<button onclick="zenovay('disable')">
Não rastrear minha atividade
</button>
Respeitar Do Not Track
A Zenovay respeita sinais Do Not Track (DNT) e Global Privacy Control (GPC) por padrão. Nenhum atributo adicional é necessário. Adicione data-ignore-dnt="true" ao script de rastreamento apenas se precisar substituir esse comportamento.
Conteúdo de Terceiros
Iframes
Iframes de terceiros:
- Não são gravados entre origens (gravação de iframe entre origens está desabilitada por segurança)
- Podem mostrar um espaço reservado na reprodução
Scripts de Terceiros
Conteúdo carregado de outros domínios:
- Pode renderizar diferentemente na reprodução
- Fallbacks de fonte são possíveis
- Imagens externas podem não carregar
Indústrias Sensíveis
Saúde
Observe que a Zenovay não é certificada HIPAA e não assinamos Acordos de Sócios Comerciais. Se você opera em saúde:
- Oculte ou bloqueie todos os campos e seções PHI
- Trate gravações de sessão como fora do escopo para PHI, ou não ative gravação em páginas que as contenham
Serviços Financeiros
Para dados financeiros:
- Oculte todos os campos financeiros
- Bloqueie páginas de pagamento com exclusões de caminho
- Use registro de auditoria (Scale) para rastrear acesso a gravações
Considerações Legais
Consulte sua equipe jurídica sobre:
- Requisitos da indústria
- Leis regionais
- Acordos com clientes
Auditoria e Conformidade
Registro de Auditoria
Scale PlanoOs registros de auditoria do espaço de trabalho rastreiam ações administrativas, incluindo:
- Identidade do visualizador
- Timestamp
- Ação tomada
Melhores Práticas
Checklist de Privacidade
Antes de ativar a gravação:
- Aviso de privacidade atualizado para mencionar gravação de sessão
- Mecanismo de consentimento em vigor (onde necessário)
- Campos sensíveis ocultados ou bloqueados
- Caminhos excluídos configurados
- Equipe ciente de responsabilidades de privacidade
Revisões Periódicas
Verifique periodicamente:
- Configuração de ocultação
- Novos campos sensíveis adicionados ao seu site
- Conformidade de consentimento
- Modo de gravação e exclusões
Documentação
Mantenha registros de:
- O que você grava
- Sua base legal
- Períodos de retenção
- Quem pode acessar gravações
Resumo de Configuração
Configure estes em seu painel do site:
- Configurações → Avançado: ative Session Replay e defina o modo de gravação (apenas erros / todas as sessões)
- Configurações → Exclusões: adicione caminhos de URL para excluir, por exemplo
/admin/*
Para controle em nível de elemento, adicione ganchos CSS em seu HTML:
<div class="zenovay-mask-replay">Conteúdo oculto</div>
<form id="payment-form" class="zenovay-block-replay">Bloqueado da gravação</form>
Do Not Track e Global Privacy Control são respeitados por padrão; adicione data-ignore-dnt="true" ao script de rastreamento para substituir esse comportamento.