Privacidad y seguridad en Firebase

En esta página se describe la información clave sobre la privacidad y la seguridad de Firebase. Si buscas iniciar un proyecto nuevo con Firebase o quieres conocer cómo funciona con tu proyecto existente, lee este artículo para descubrir cómo Firebase puede ofrecer protección para ti y tus usuarios.

Modificación más reciente: 28 de febrero de 2023

Protección de datos

Compatibilidad de Firebase con el GDPR y la CCPA

El 25 de mayo de 2018, el Reglamento General de Protección de Datos (GDPR) de la UE reemplazó a la Directiva de Protección de Datos de la UE de 1995. El 1 de enero de 2020, entró en vigencia la Ley de Privacidad del Consumidor de California (CCPA). Google asumió el compromiso de ayudar a nuestros clientes a tener éxito bajo estos reglamentos de privacidad, ya sean grandes empresas de software o desarrolladores independientes.

El GDPR impone obligaciones a los controladores de datos y a los procesadores de datos, y la CCPA impone obligaciones a las empresas y sus proveedores de servicios. Por lo general, los clientes de Firebase actúan como los “controladores de datos” (GDPR) o la “empresa” (CCPA) de los datos personales o la información sobre los usuarios finales que proporcionan a Google en relación con su uso de Firebase. Por su parte, Google suele operar como un “procesador de datos” (GDPR) o un “proveedor de servicios” (CCPA).

Esto significa que los datos están bajo el control del cliente. Los clientes son responsables de sus obligaciones, como cumplir con los derechos de una persona física en relación con sus datos personales o información.

Condiciones de Seguridad y Procesamiento de Datos de Firebase

Por lo general, cuando los clientes usan Firebase, Google es el procesador de datos personales según el GDPR y procesa datos personales en su nombre. De manera similar, cuando los clientes usan Firebase, Google suele funcionar como un proveedor de servicios según la CCPA, ya que maneja la información personal en su nombre. Las condiciones de Firebase incluyen Condiciones de Seguridad y Procesamiento de Datos, en las que se detallan estas responsabilidades.

Ciertos servicios de Firebase que se rigen por las Condiciones del Servicio de Google Cloud Platform (GCP) ya están cubiertos por las condiciones del procesamiento de datos asociadas: las Condiciones de Seguridad y Procesamiento de Datos de GCP. Puedes encontrar una lista completa de los servicios de Firebase que actualmente se rigen por las Condiciones del Servicio de GCP en las Condiciones del Servicio de Firebase.

Crashlytics y App Distribution se rigen por las Condiciones del Servicio de Firebase Crashlytics y Firebase App Distribution, y están cubiertos por esas condiciones del procesamiento de datos asociadas.

Google Analytics para Firebase y Google Analytics se rigen por las Condiciones del Servicio de Google Analytics para Firebase y las Condiciones del Servicio de Google Analytics, respectivamente, así como por las Condiciones del procesamiento de datos de Google Ads. Para obtener más información, consulta Cómo proteger tus datos.

Firebase está certificado según los principales estándares de seguridad y privacidad

Cumplimiento de ISO y SOC

Todos los servicios de Firebase (aparte de App Indexing) completaron correctamente los procesos de evaluación de ISO 27001 y SOC 1, SOC 2 y SOC 3. Además, algunos también completaron los procesos de certificación de ISO 27017 y de ISO 27018. Se pueden solicitar informes de cumplimiento y certificados para los servicios de Firebase regidos por las Condiciones del Servicio de GCP mediante el Administrador de informes de cumplimiento.

Nombre del servicio ISO 27001 ISO 27017 ISO 27018 SOC 1 SOC 2 SOC 3
Google Analytics para Firebase
AA de Firebase
Firebase Test Lab
Cloud Firestore
Cloud Functions para Firebase
Cloud Storage para Firebase
Firebase Authentication
Firebase Crashlytics
Verificación de aplicaciones de Firebase
Firebase App Distribution
Firebase In-App Messaging
Firebase Cloud Messaging
Firebase Performance Monitoring
Firebase Hosting
Firebase Dynamic Links
Firebase Remote Config
Firebase Realtime Database
Firebase Platform
Firebase A/B Testing

Transferencias de datos internacionales

Los frameworks de Privacy Shield (Escudo de Privacidad) brindan un mecanismo para cumplir con los requisitos de protección de datos cuando se transfieren datos personales del EEE, Reino Unido o Suiza a Estados Unidos, y de allí a otros países. Teniendo en cuenta el fallo del Tribunal de Justicia de la Unión Europea sobre la transferencia de datos con el que se invalida el EU-U.S. Privacy Shield (Escudo de Privacidad UE-EE.UU.), Firebase se basa en las Cláusulas de Contrato Estándar para las transferencias de datos relevantes, que, en virtud del fallo, pueden seguir siendo un mecanismo legal válido para transferir datos según el GDPR. La Comisión Europea aprobó nuevas versiones de las Cláusulas de Contrato Estándar el 4 de junio de 2021, que estamos incorporando a nuestros contratos con los clientes de Firebase para las transferencias de datos relevantes.

Nos comprometemos a contar con un fundamento legal para las transferencias de datos de conformidad con las leyes de protección de datos aplicables.

Información sobre el procesamiento de datos

Ejemplos de datos de usuarios finales procesados por Firebase

Algunos servicios de Firebase procesan los datos de tus usuarios finales para proporcionar su servicio. En el siguiente gráfico, se muestran ejemplos de cómo varios servicios de Firebase usan y manejan datos de usuarios finales que pueden ser potencialmente útiles para la identificación. Además, muchos servicios de Firebase ofrecen la capacidad de solicitar la eliminación de datos específicos o controlar cómo se administran.

Servicio de Firebase Datos del usuario final De qué manera los datos ayudan a proporcionar el servicio
Cloud Functions para Firebase
  • Direcciones IP

Cómo ayuda: Cloud Functions usa direcciones IP para ejecutar funciones con la capacidad de controlar eventos y funciones de HTTP basadas en las acciones del usuario final.

Retención: Cloud Functions solo almacena las direcciones IP de manera temporal a fin de proporcionar el servicio.

Firebase Authentication
  • Contraseñas
  • Direcciones de correo electrónico
  • Números de teléfono
  • Usuarios-agente
  • Direcciones IP

Cómo ayuda: Firebase Authentication usa los datos para habilitar la autenticación del usuario final y facilitar la administración de su cuenta. También usa strings usuario-agente y direcciones IP para ofrecer seguridad adicional y prevenir el abuso durante el registro y la autenticación.

Retención: Firebase Authentication mantiene las direcciones IP registradas solo por unas semanas. El resto de la información de autenticación se retiene hasta que el cliente de Firebase inicia la eliminación del usuario asociado, tras lo cual se quitan los datos de los sistemas activos y de copia de seguridad en un plazo de 180 días.

Verificación de aplicaciones de Firebase
  • Material de certificación de proveedores de certificación admitidos
  • Tokens de Verificación de aplicaciones de certificaciones exitosas

Cómo ayuda: La Verificación de aplicaciones de Firebase usa material de certificación requerido por el proveedor de certificación correspondiente y recibido de los dispositivos del usuario final para ayudar a establecer la integridad del dispositivo o la app. Los materiales de certificación se envían al proveedor de certificación correspondiente para su validación según la configuración del desarrollador. Los tokens de Verificación de aplicaciones obtenidos de certificaciones exitosas se envían con cada solicitud a los servicios de Firebase admitidos para acceder a los recursos protegidos por la Verificación de aplicaciones.

Retención: La Verificación de aplicaciones no retiene el material de certificación, pero cuando se envía a los proveedores de certificación, está sujeto a los términos de esos proveedores. Los tokens de Verificación de aplicaciones que muestran las certificaciones exitosas son válidos durante toda su duración de TTL, que no puede ser superior a 7 días. Los servicios de Firebase no retienen los tokens de Verificación de aplicaciones.

Firebase App Distribution
  • Nombres de los usuarios
  • Direcciones de correo electrónico
  • UDID de iOS
  • ID seguros de Android
  • ID de instalación de Firebase

Cómo ayuda: Firebase App Distribution usa los datos para distribuir las compilaciones de la app a los verificadores, supervisar la actividad de estos y asociar los datos a sus dispositivos.

Retención: Firebase App Distribution retiene la información de los usuarios hasta que el cliente de Firebase solicita su eliminación. Después de la solicitud, se quitan los datos de los sistemas activos y de copia de seguridad en un plazo de 180 días.

Firebase Cloud Messaging
  • ID de instalación de Firebase

Cómo ayuda: Firebase Cloud Messaging utiliza los ID de instalación de Firebase para determinar a qué dispositivos debe enviar los mensajes.

Retención: Firebase retiene los IDs de instalación de la plataforma hasta que el cliente de Firebase realiza una llamada a la API para borrarlos. Después de la llamada, los datos se quitan de los sistemas activos y de copia de seguridad en un plazo de 180 días.

Firebase Crashlytics
  • UUIDs de instalación de Crashlytics
  • ID de instalaciones de Firebase
  • Seguimientos de fallas
  • Datos con formato de minivolcado de Breakpad
    (solo fallas del NDK)

Cómo ayuda: Firebase Crashlytics usa seguimientos de pila de fallas para asociarlas con un proyecto, enviar alertas por correo electrónico a los miembros del proyecto y mostrarlas en Firebase console. Además, ayuda a los clientes de Firebase a depurar fallas. Usa los UUIDs de instalación de Crashlytics para medir la cantidad de usuarios afectados por una falla y datos de minivolcado para procesar las fallas del NDK. Los datos de minivolcado se almacenan mientras se procesa la sesión con fallas y, luego, se descartan. El ID de instalación de Firebase habilita las próximas funciones que mejorarán los servicios de informes y administración de fallas. Consulta los ejemplos de información almacenada del dispositivo para obtener más detalles sobre los tipos de información de los usuarios que se recopilan.

Retención: Firebase Crashlytics retiene seguimientos de pila de fallas, datos de minivolcado extraídos y, también, identificadores asociados (incluidos los UUID de instalación de Crashlytics) durante 90 días.

Firebase Dynamic Links
  • Especificaciones del dispositivo (iOS)
  • Direcciones IP (iOS)

Cómo ayuda: Dynamic Links usa las especificaciones del dispositivo y las direcciones IP en iOS para abrir apps instaladas recientemente en una página o un contexto específicos.

Retención: Dynamic Links solo almacena las especificaciones del dispositivo y las direcciones IP de manera temporal a fin de proporcionar el servicio.

Firebase Hosting
  • Direcciones IP

Cómo ayuda: Hosting usa direcciones IP de las solicitudes entrantes para detectar el abuso y proporcionar análisis detallados de datos de uso a los clientes.

Retención: Hosting retiene los datos de IP durante unos meses.

Firebase Performance Monitoring
  • ID de instalación de Firebase
  • Direcciones IP

Cómo ayuda: Performance Monitoring usa los ID de instalación de Firebase para calcular la cantidad de instalaciones únicas de Firebase que acceden a los recursos de red, a fin de garantizar que los patrones de acceso sean lo suficientemente anónimos. También usa los ID de instalación de Firebase con Firebase Remote Config a fin de administrar la tasa de informes de eventos de rendimiento. Además, usa direcciones IP para mapear los eventos de rendimiento a los países donde se originaron. Para obtener más información, consulta Recopilación de datos.

Retención: Performance Monitoring retiene los eventos relacionados con la instalación y la IP por 30 días y los datos de rendimiento desidentificados por 90 días.

Firebase In-App Messaging
  • ID de instalación de Firebase

Cómo ayuda: Firebase In-App Messaging usa los ID de instalación de Firebase para determinar a qué dispositivos debe enviar los mensajes.

Retención: Firebase retiene los IDs de instalación de la plataforma hasta que el cliente de Firebase realiza una llamada a la API para borrarlos. Después de la llamada, los datos se quitan de los sistemas activos y de copia de seguridad en un plazo de 180 días.

Firebase Realtime Database
  • Direcciones IP
  • Usuarios-agente

Cómo ayuda: Realtime Database usa direcciones IP y usuarios-agentes para habilitar la herramienta generadora de perfiles, que ayuda a los clientes de Firebase a comprender las tendencias de uso y el desglose por plataforma.

Retención: Realtime Database mantiene las direcciones IP y la información de los usuarios-agente solo por unos días, a menos que el cliente decida almacenarlas por más tiempo.

Google Analytics para Firebase

Cómo ayuda: Google Analytics para Firebase usa los datos a fin de proporcionar información de atribución y estadísticas. La información precisa que se recopila puede variar según el dispositivo y el entorno. Para obtener más información, consulta Recopilación de datos.

Retención: Google Analytics para Firebase retiene ciertos datos asociados con el identificador de publicidad (p. ej., el identificador de Apple para los anunciantes y el identificador para los proveedores, el ID de publicidad de Android) durante 60 días. Además, retiene informes adicionales sin vencimiento automático. La retención de datos a nivel del usuario, incluidas las conversiones, se fija en hasta 14 meses. En el caso de los demás datos de eventos, puedes establecer la retención en la configuración de Google Analytics para Firebase en 2 o 14 meses. Obtén más información.

Firebase Remote Config
  • ID de instalación de Firebase

Cómo ayuda: Remote Config usa los ID de instalación de Firebase para seleccionar valores de configuración que se mostrarán a los dispositivos del usuario final.

Retención: Firebase retiene los ID de instalación de la plataforma hasta que el cliente de Firebase realiza una llamada a la API a fin de borrarlos. Después de la llamada, los datos se quitan de los sistemas activos y de copia de seguridad en un plazo de 180 días.

AA de Firebase
  • Imágenes subidas
  • tokens de autenticación de instalación

Cómo ayuda: Las API basadas en la nube almacenan las imágenes subidas de manera temporal a fin de procesar el análisis y mostrártelo. Por lo general, las imágenes almacenadas se borran en unas horas. Consulta las Preguntas frecuentes del uso de datos de Cloud Vision para obtener más información.

AA de Firebase usa tokens de autenticación de instalación para la autenticación de dispositivos cuando interactúa con instancias de apps; por ejemplo, a fin de distribuir los modelos de desarrolladores a las instancias de apps.

Retención: Los tokens de autenticación de instalación siguen siendo válidos hasta su fecha de vencimiento. La vida útil predeterminada de los tokens es de una semana.

Ejemplos de información que recopila Crashlytics

  • Un UUID de RFC 4122 que nos permite anular el duplicado de las fallas
  • El UUID de instalación de Crashlytics
  • El ID de las instalaciones de Firebase (FID)
  • El ID de sesión de Firebase, que es un UUID aleatorio que se genera para etiquetar eventos con una sesión
  • La marca de tiempo del momento en que ocurrió la falla
  • El identificador del paquete de la app y el número de la versión completa
  • El nombre y el número de versión del sistema operativo del dispositivo
  • Un valor booleano que indica si el dispositivo tiene jailbreak o permisos de administrador
  • El nombre del modelo del dispositivo, la arquitectura de CPU, la cantidad de memoria RAM y el espacio en disco
  • El puntero de instrucciones de uint64 de todos los marcos de cada subproceso que se ejecuta actualmente
  • Si está disponible en el entorno de ejecución, el método de texto sin formato o el nombre de la función que contiene cada puntero de instrucciones
  • Si se arroja una excepción, el nombre de la clase de texto sin formato y el valor del mensaje de la excepción
  • Si se genera un indicador no recuperable, su nombre y código compuesto por números enteros
  • Por cada imagen binaria cargada en la aplicación, su nombre, UUID, tamaño en bytes y la dirección base de uint64 en la que se cargó en la RAM
  • Un valor booleano que indica si la app se encontraba en segundo plano en el momento en que falló
  • Un número entero que indica la rotación de la pantalla en el momento de la falla
  • Un valor booleano que indica si el sensor de proximidad del dispositivo se activó

Ejemplos de información que recopila Performance Monitoring

  • El ID de las instalaciones de Firebase (FID)
  • El ID de sesión de Firebase, que es un UUID aleatorio que se genera para etiquetar eventos con una sesión
  • Información general del dispositivo, como el modelo, el SO y la orientación
  • Tamaño del disco y la memoria RAM
  • Uso de CPU
  • Proveedor (según los códigos de país y de red del dispositivo móvil)
  • Información de radio o red (por ejemplo, Wi-Fi, LTE, 3G)
  • País (según la dirección IP)
  • Configuración regional o idioma
  • Versión de la app
  • Estado de la app: en primer o segundo plano
  • Nombre del paquete de aplicaciones
  • ID de instalación de Firebase
  • Duración de los seguimientos automáticos
  • URLs de red (sin incluir parámetros de URL ni contenido de la carga útil) y la siguiente información correspondiente:
    • Códigos de respuesta (por ejemplo, 403 o 200)
    • Tamaño de la carga útil en bytes
    • Tiempos de respuesta

Consulta la lista completa de seguimientos automáticos que recopila Performance Monitoring.

Guías para habilitar la aceptación del procesamiento de datos de usuarios finales

Los servicios que aparecen en la tabla anterior necesitan cierta cantidad de datos de usuarios finales para funcionar. Como resultado, no es posible inhabilitar la recopilación de datos por completo mientras se usen estos servicios.

Si eres un cliente que desea ofrecer a los usuarios la posibilidad de aceptar un servicio, junto con su respectiva recopilación de datos, en la mayoría de los casos basta con agregar un diálogo o un botón para activar o desactivar la configuración antes de usar el servicio.

Sin embargo, algunos servicios se inician automáticamente cuando se incluyen en una app. Si deseas que los usuarios tengan la posibilidad de aceptar antes de usar esos servicios, puedes inhabilitar la inicialización automática de cada uno y, luego, iniciarlos manualmente en el tiempo de ejecución. Para aprender a hacerlo, lee las guías que aparecen a continuación:

Ubicaciones de procesamiento y almacenamiento de datos

A menos que un servicio o una función permita seleccionar la ubicación de los datos, es posible que Firebase procese y almacene tus datos en cualquier instalación de Google o sus agentes. Las posibles ubicaciones de las instalaciones varían según el servicio.

Servicios solo para EE.UU.

El servicio de Firebase Authentication se ejecuta solo desde los centros de datos de EE.UU. Por lo tanto, Firebase Authentication procesa datos exclusivamente en Estados Unidos.

Servicios globales

La mayoría de los servicios de Firebase se ejecutan en la infraestructura global de Google. Podrían procesar datos en cualquiera de las ubicaciones de Google Cloud Platform o de los centros de datos de Google. Para algunos servicios, puedes realizar una selección de ubicación de datos que restrinja el procesamiento a esa ubicación.

  • Cloud Storage para Firebase
  • Cloud Firestore
  • Cloud Functions para Firebase
  • Firebase Hosting
  • Firebase Crashlytics
  • Firebase Performance Monitoring
  • Firebase Dynamic Links
  • Firebase Remote Config
  • Firebase Cloud Messaging
  • Google Analytics
  • AA de Firebase
  • Firebase Test Lab
  • Verificación de aplicaciones de Firebase

Información de seguridad

Encriptación de datos

Los servicios de Firebase encriptan datos en tránsito con HTTPS y datos de clientes aislados de manera lógica.

Además, varios servicios de Firebase también encriptan sus datos en reposo:

  • Cloud Firestore
  • Cloud Functions para Firebase
  • Cloud Storage para Firebase
  • Firebase Crashlytics
  • Firebase Authentication
  • Firebase Cloud Messaging
  • Firebase Realtime Database
  • Firebase Test Lab
  • Verificación de aplicaciones de Firebase
  • Firebase Performance Monitoring

Prácticas de seguridad

Para mantener protegidos los datos personales y reducir al mínimo el acceso a ellos, Firebase aplica medidas de seguridad exhaustivas:

  • Firebase restringe el acceso a una selección de empleados que tienen un fin comercial para acceder a los datos personales.
  • Firebase registra el acceso de los empleados a los sistemas que contienen datos personales.
  • Firebase solo permite que accedan a los datos personales los empleados que lo hacen con el Acceso con Google y la autenticación de 2 factores.

Datos del servicio de Firebase

Los datos del servicio de Firebase corresponden a información personal que Google recopila y genera durante el aprovisionamiento y la administración de los servicios de Firebase*, excepto los datos de clientes**, como se define en nuestros acuerdos del cliente sobre los servicios de Firebase y los datos del servicio de Google Cloud. En los ejemplos de datos del servicio de Firebase, se incluye información sobre el uso del servicio, identificadores de recursos (como los IDs de aplicación y el nombre del paquete o IDs del paquete), detalles técnicos y operativos de uso (como direcciones IP) y comunicaciones directas con los desarrolladores (como comentarios y conversaciones relacionadas con la asistencia).

* Los servicios cubiertos incluyen Firebase A/B Testing, Verificación de aplicaciones de Firebase, Firebase App Distribution, Firebase Cloud Messaging, Firebase Crashlytics, Firebase Dynamic Links, Firebase Hosting, Firebase In-App Messaging, AA de Firebase, Firebase Performance Monitoring, Firebase Realtime Database, Firebase Remote Config y Firebase User Segmentation Storage.

** Para obtener más información sobre cómo procesamos los datos de clientes, consulta nuestras Condiciones de Seguridad y Procesamiento de Datos de Firebase y Condiciones de Seguridad y Procesamiento de Datos de Crashlytics y App Distribution.

Ejemplos sobre cómo Firebase procesa los datos del servicio de Firebase

Google utiliza los datos del servicio de Firebase de conformidad con nuestra Política de Privacidad y las condiciones aplicables. Los datos del servicio de Firebase se usan, por ejemplo, para las siguientes acciones:

  • Proporcionar los servicios de Firebase que solicites
  • Realizar recomendaciones para optimizar el uso de los servicios de Firebase
  • Mantener y mejorar los servicios de Firebase
  • Proporcionar y mejorar otros servicios que solicites
  • Comprender tu uso de Firebase y de otros servicios de Google
  • Brindarte una mejor asistencia y comunicarnos contigo
  • Protegerte a ti, a nuestros usuarios, al público y a Google.
  • Cumplir con las obligaciones legales

Uso de datos del servicio de Firebase por parte de servicios de Google que no corresponden a Firebase

Puedes controlar si Google puede usar tus datos del servicio de Firebase para proporcionar análisis, estadísticas y recomendaciones más detallados sobre servicios de Google que no corresponden a Firebase y, también, mejorar estos servicios. Puedes configurar esta opción en tu página de configuración de privacidad de datos de Firebase.

Si se inhabilita este control, los datos del servicio de Firebase se seguirán usando para otros fines, como los mencionados anteriormente, de acuerdo con nuestra Política de Privacidad y las condiciones aplicables. Entre estos fines, se incluyen mejorar y hacer recomendaciones sobre los servicios de Firebase, y entregar y mejorar otros servicios que solicites, como los productos de Google que vinculas a tu proyecto de Firebase.

¿Tienes más preguntas? Comunícate con nosotros

Si tienes preguntas relacionadas con la privacidad que no se incluyen aquí, comunícate con el equipo de Asistencia de Firebase. Si eres desarrollador de Firebase, incluye tu ID de la app de Firebase. Busca el ID de la app de Firebase en la tarjeta Tus apps, en la configuración del proyecto.