# ZevGuard legal readiness checklist

Stato: bozza operativa. Non e' consulenza legale. Prima di pubblicare l'app, far verificare testi e flussi da un professionista.

## Da avere prima della pubblicazione

- Privacy policy pubblica e raggiungibile da Play Store e dall'app.
- Termini di servizio pubblici e raggiungibili dall'app.
- Email ufficiale supporto: zevqunofficial@gmail.com.
- Data Safety Google Play compilata in modo coerente con codice, SDK e backend.
- Informativa in-app chiara prima di raccogliere dati non ovvi per l'utente.
- Consenso opt-in per cloud reputation learning e telemetria opzionale.
- Testo chiaro per abbonamenti, rinnovo, prezzo, trial, cancellazione e gestione tramite Google Play.
- Disclaimer IA: Vyra AI puo' sbagliare e non sostituisce assistenza professionale.
- Disclaimer beta: possibili bug, crash e risultati non perfetti.
- Flusso per richiesta cancellazione account/dati.
- Registro interno delle fonti: Firebase, Google Play Billing, OpenRouter se usato, backend ZevGuard.

## Dati da dichiarare

- Account: email, UID, provider login, stato sessione.
- Sicurezza dispositivo: stato permessi, posture device, impostazioni di protezione.
- Scansioni: package name o hash, signer SHA-256, verdict, score, confidence, evidenze tecniche.
- Web Shield: domini normalizzati, URL hash SHA-256, redirect chain se usata.
- Cloud reputation opzionale: segnali minimizzati e aggregabili solo con opt-in.
- Pagamenti: stato piano e purchase token gestiti tramite provider di pagamento.
- Supporto/bug report: email utente se inclusa volontariamente, descrizione bug, dettagli device se allegati.

## Regole prodotto

- Non dire "protezione totale" o "rileva ogni virus".
- Non chiamare MALICIOUS un rischio generico di rete o configurazione.
- Non caricare URL completi se basta hash/canonical form.
- Non vendere dati personali.
- Non usare dati demo per verdict reali.
- Non usare dati cloud/staging non revisionati come verita' assoluta.

## TODO prima della release

- Sostituire bozze con URL finali.
- Inserire nome legale del publisher.
- Inserire indirizzo/paese del titolare, se richiesto.
- Definire retention precisa per telemetry, scan logs e account recovery.
- Verificare tutte le autorizzazioni Android richieste dall'app finale.
- Verificare policy Google Play piu' recenti prima dell'invio.