Privacidade e segurança no Firebase

Esta página descreve as principais informações de segurança e privacidade do Firebase. Se você deseja iniciar um novo projeto com o Firebase ou está curioso para saber como o Firebase funciona com seu projeto existente, continue lendo para ver como o Firebase pode ajudar a proteger você e seus usuários.

Última modificação: 25 de julho de 2023

Proteção de dados

Suporte do Firebase para GDPR e CCPA

Em 25 de maio de 2018, o Regulamento Geral de Proteção de Dados da UE (GDPR) substituiu a Diretiva de Proteção de Dados da UE de 1995. Em 1º de janeiro de 2020, a Lei de Privacidade do Consumidor da Califórnia (CCPA) entrou em vigor. Em 1º de janeiro de 2023, a Lei de Direitos de Privacidade da Califórnia (CPRA), que é uma lei de privacidade de dados que altera e amplia a CCPA, entrou em vigor. O Google está empenhado em ajudar nossos clientes a terem sucesso sob essas regulamentações de privacidade, sejam eles grandes empresas de software ou desenvolvedores independentes.

O GDPR impõe obrigações aos controladores e processadores de dados, e o CCPA/CPRA impõe obrigações às empresas e aos seus prestadores de serviços. Os clientes do Firebase normalmente atuam como "controladores de dados" (GDPR) ou "empresas" (CCPA/CPRA) para quaisquer dados pessoais ou informações sobre seus usuários finais que eles fornecem ao Google em conexão com o uso do Firebase, e o Google geralmente opera como um "processador de dados" (GDPR) ou "provedor de serviços" (CCPA/CPRA).

Isso significa que os dados estão sob o controle do cliente. Os clientes são responsáveis ​​por obrigações como o cumprimento dos direitos de um indivíduo em relação aos seus dados ou informações pessoais.

Termos de segurança e processamento de dados do Firebase

Quando os clientes usam o Firebase, o Google geralmente é um processador de dados de acordo com o GDPR e processa dados pessoais em nome deles. Da mesma forma, quando os clientes usam o Firebase, o Google geralmente opera como um provedor de serviços sob a CCPA/CPRA, lidando com informações pessoais em nome deles. Os termos do Firebase incluem Termos de Segurança e Processamento de Dados que detalham essas responsabilidades.

Determinados serviços do Firebase regidos pelos Termos de Serviço do Google Cloud Platform (GCP) já são cobertos pelos termos de processamento de dados associados, o Adendo de processamento de dados na nuvem . Uma lista completa dos serviços do Firebase atualmente regidos pelos Termos de Serviço do GCP está disponível nos Termos de Serviço dos Serviços do Firebase .

O Google Analytics é um serviço separado que pode ser usado em conjunto com o Firebase e está sujeito a termos separados .

Firebase é certificado pelos principais padrões de privacidade e segurança

Conformidade com ISO e SOC

Todos os serviços do Firebase (exceto App Indexing) concluíram com êxito o processo de avaliação ISO 27001 e SOC 1 , SOC 2 e SOC 3 , e alguns também concluíram o processo de certificação ISO 27017 e ISO 27018 . Relatórios de conformidade e certificados para serviços do Firebase regidos pelos Termos de Serviço do GCP podem ser solicitados por meio do Gerenciador de relatórios de conformidade

Nome do Serviço ISO 27001 ISO 27017 ISO 27018 SOC 1 SOC 2 SOC 3
FirebaseML
Laboratório de testes do Firebase
Cloud Fire Store
Funções de nuvem para Firebase
Armazenamento em nuvem para Firebase
Autenticação Firebase
Crashlytics do Firebase
Verificação do aplicativo Firebase
Distribuição de aplicativos Firebase
Mensagens no aplicativo do Firebase
Mensagens na nuvem do Firebase
Monitoramento de desempenho do Firebase
Hospedagem Firebase
Links dinâmicos do Firebase
Configuração remota do Firebase
Banco de dados em tempo real do Firebase
Plataforma Firebase
Teste A/B do Firebase

Transferências Internacionais de Dados

As estruturas do Escudo de Privacidade forneceram um mecanismo para cumprir os requisitos de proteção de dados ao transferir dados pessoais do EEE, do Reino Unido ou da Suíça para os Estados Unidos e em diante. À luz da decisão do Tribunal de Justiça da União Europeia sobre transferências de dados, invalidando o Escudo de Privacidade UE-EUA, o Firebase passou a depender de Cláusulas Contratuais Padrão para transferências de dados relevantes, que, de acordo com a decisão, podem continuar a ser um mecanismo legal válido para transferir dados sob o GDPR. A Comissão Europeia aprovou novas versões das Cláusulas Contratuais Padrão em 4 de junho de 2021, que estamos incorporando em nossos contratos com clientes do Firebase para transferências de dados relevantes.

Estamos empenhados em ter uma base legal para transferências de dados em conformidade com as leis de proteção de dados aplicáveis.

Informações de processamento de dados

Exemplos de dados de usuários finais processados ​​pelo Firebase

Alguns serviços do Firebase processam os dados dos seus usuários finais para fornecer seus serviços. O gráfico abaixo apresenta exemplos de como vários serviços do Firebase usam e lidam com dados do usuário final que podem potencialmente ser identificados. Além disso, muitos serviços do Firebase oferecem a capacidade de solicitar a exclusão de dados específicos ou controlar como os dados são tratados.

Serviço Firebase Dados do usuário final Como os dados ajudam a fornecer o serviço
Funções de nuvem para Firebase
  • Endereços IP

Como isso ajuda: o Cloud Functions usa endereços IP para executar funções de manipulação de eventos e funções HTTP com base nas ações do usuário final.

Retenção: As funções da nuvem salvam endereços IP apenas temporariamente, para fornecer o serviço.

Autenticação Firebase
  • Senhas
  • Endereço de e-mail
  • Números de telefone
  • Agentes de usuário
  • Endereços IP

Como isso ajuda: o Firebase Authentication usa os dados para permitir a autenticação do usuário final e facilitar o gerenciamento de contas do usuário final. Ele também usa strings de agente de usuário e endereços IP para fornecer segurança adicional e evitar abusos durante a inscrição e autenticação.

Retenção: o Firebase Authentication mantém endereços IP registrados por algumas semanas. Ele retém outras informações de autenticação até que o cliente do Firebase inicie a exclusão do usuário associado, após o que os dados são removidos dos sistemas ativos e de backup em 180 dias.

Verificação do aplicativo Firebase
  • Material de certificação de provedores de certificação suportados
  • Tokens do App Check de atestados bem-sucedidos

Como isso ajuda: o Firebase App Check usa material de atestado exigido pelo provedor de atestado correspondente e recebido dos dispositivos do usuário final para ajudar a estabelecer a integridade do dispositivo e/ou do aplicativo. Os materiais de atestado são enviados ao provedor de atestado correspondente para validação com base na configuração do desenvolvedor. Os tokens do App Check obtidos de atestados bem-sucedidos são enviados com cada solicitação aos serviços compatíveis do Firebase para acessar recursos protegidos pelo App Check.

Retenção: o material de atestado não é retido pelo App Check, mas quando é enviado a provedores de atestado, está sujeito aos termos desses provedores de atestado. Os tokens do App Check retornados de atestados bem-sucedidos são válidos durante toda a duração do TTL, que não pode ser superior a 7 dias. Para desenvolvedores que usam recursos de proteção de reprodução, o App Check armazena os tokens do App Check usados ​​com esses recursos por no máximo 30 dias. Outros tokens do App Check não usados ​​com recursos de proteção de reprodução não são retidos pelos serviços do Firebase.

Distribuição de aplicativos Firebase
  • Nomes de usuários
  • Endereço de e-mail
  • UDIDs do iOS
  • IDs Android seguros
  • IDs de instalação do Firebase
  • Feedback do testador (capturas de tela e texto)

Como isso ajuda: o Firebase App Distribution usa os dados para distribuir versões de aplicativos aos testadores, monitorar a atividade dos testadores, ativar recursos dos testadores, como feedback no aplicativo, e associar dados aos dispositivos dos testadores.

Retenção: o Firebase App Distribution retém as informações do usuário até que o cliente do Firebase solicite sua exclusão, após o que os dados são removidos dos sistemas ativos e de backup em 180 dias.

Mensagens na nuvem do Firebase
  • IDs de instalação do Firebase

Como isso ajuda: o Firebase Cloud Messaging usa IDs de instalação do Firebase para determinar para quais dispositivos entregar mensagens.

Retenção: o Firebase retém os IDs de instalação do Firebase até que o cliente do Firebase faça uma chamada de API para excluir o ID. Após a ligação, os dados são removidos dos sistemas ativos e de backup em até 180 dias.

Crashlytics do Firebase
  • UUIDs de instalação do Crashlytics
  • ID de instalações do Firebase
  • Rastros de falhas
  • Dados formatados do minidespejo Breakpad
    (Somente NDK trava)

Como isso ajuda: o Firebase Crashlytics usa rastreamentos de pilha de falhas para associar falhas a um projeto, enviar alertas por e-mail aos membros do projeto e exibi-los no Firebase Console, além de ajudar os clientes do Firebase a depurar falhas. Ele usa UUIDs de instalação do Crashlytics para medir o número de usuários afetados por uma falha e dados de minidespejo para processar falhas do NDK. Os dados do minidespejo são armazenados enquanto a sessão de travamento está sendo processada e depois descartados. O ID de instalação do Firebase ativa recursos futuros que aprimorarão os relatórios de falhas e os serviços de gerenciamento de falhas. Consulte Exemplos de informações armazenadas do dispositivo para obter mais detalhes sobre os tipos de informações do usuário coletadas.

Retenção: o Firebase Crashlytics mantém rastreamentos de pilha de falhas, dados de minidespejo extraídos e identificadores associados (incluindo UUIDs de instalação do Crashlytics e IDs de instalação do Firebase) por 90 dias antes de iniciar o processo de remoção dos sistemas ativos e de backup.

Links dinâmicos do Firebase
  • Especificações do dispositivo (iOS)
  • Endereços IP (iOS)

Como isso ajuda: Dynamic Links usa especificações de dispositivos e endereços IP no iOS para abrir aplicativos recém-instalados em uma página ou contexto específico.

Retenção: o Dynamic Links armazena apenas especificações de dispositivos e endereços IP temporariamente para fornecer o serviço.

Hospedagem Firebase
  • Endereços IP

Como isso ajuda: a hospedagem usa endereços IP de solicitações recebidas para detectar abusos e fornecer aos clientes uma análise detalhada dos dados de uso.

Retenção: a hospedagem retém os dados de IP por alguns meses.

Monitoramento de desempenho do Firebase
  • IDs de instalação do Firebase
  • Endereços IP

Como isso ajuda: o Monitoramento de desempenho usa IDs de instalação do Firebase para calcular o número de instalações exclusivas do Firebase que acessam recursos de rede, para garantir que os padrões de acesso sejam suficientemente anônimos. Ele também usa IDs de instalação do Firebase com o Firebase Remote Config para gerenciar a taxa de relatórios de eventos de desempenho. Além disso, utiliza endereços IP para mapear eventos de desempenho para os países de origem. Para obter mais informações, consulte Coleta de dados .

Retenção: o Monitoramento de Desempenho mantém eventos associados ao IP por 30 dias e mantém dados de desempenho desidentificados e associados à instalação por 90 dias antes de iniciar o processo de remoção dos sistemas ativos e de backup.

Mensagens no aplicativo do Firebase
  • IDs de instalação do Firebase

Como isso ajuda: o Firebase In-App Messaging usa IDs de instalação do Firebase para determinar para quais dispositivos entregar mensagens.

Retenção: o Firebase retém os IDs de instalação do Firebase até que o cliente do Firebase faça uma chamada de API para excluir o ID. Após a ligação, os dados são removidos dos sistemas ativos e de backup em até 180 dias.

Banco de dados em tempo real do Firebase
  • Endereços IP
  • Agentes de usuário

Como isso ajuda: o Realtime Database usa endereços IP e agentes de usuário para ativar a ferramenta de criação de perfil , que ajuda os clientes do Firebase a entender as tendências de uso e os detalhamentos da plataforma.

Retenção: o Realtime Database mantém os endereços IP e as informações do agente do usuário por alguns dias, a menos que o cliente opte por salvá-los por mais tempo.

Configuração remota do Firebase
  • IDs de instalação do Firebase

Como isso ajuda: o Configuração remota usa IDs de instalação do Firebase para selecionar valores de configuração a serem retornados aos dispositivos do usuário final.

Retenção: o Firebase retém os IDs de instalação do Firebase até que o cliente do Firebase faça uma chamada de API para excluir o ID. Após a ligação, os dados são removidos dos sistemas ativos e de backup em até 180 dias.

FirebaseML
  • Imagens enviadas
  • tokens de autenticação de instalação

Como isso ajuda: As APIs baseadas em nuvem armazenam imagens carregadas temporariamente, para processar e retornar a análise para você. As imagens armazenadas normalmente são excluídas em algumas horas. Consulte as Perguntas frequentes sobre uso de dados do Cloud Vision para obter mais informações.

os tokens de autenticação de instalação são usados ​​pelo Firebase ML para autenticação de dispositivos ao interagir com instâncias de aplicativos, por exemplo, para distribuir modelos de desenvolvedor para instâncias de aplicativos.

Retenção: os tokens de autenticação de instalação permanecem válidos até a data de expiração. A vida útil do token padrão é de uma semana.

Exemplos de informações coletadas pelo Crashlytics

  • Um UUID RFC-4122 que nos permite desduplicar falhas
  • O UUID de instalação do Crashlytics
  • O ID de instalações do Firebase (FID)
  • O ID da sessão do Firebase, que é um UUID aleatório gerado para marcar eventos com uma sessão
  • O carimbo de data/hora de quando a falha ocorreu
  • O identificador do pacote do aplicativo e o número completo da versão
  • O nome do sistema operacional e o número da versão do dispositivo
  • Um booleano que indica se o dispositivo foi desbloqueado/enraizado
  • O nome do modelo do dispositivo, arquitetura da CPU, quantidade de RAM e espaço em disco
  • O ponteiro de instrução uint64 de cada quadro de cada thread em execução no momento
  • Se disponível no tempo de execução, o método de texto simples ou o nome da função que contém cada ponteiro de instrução.
  • Se uma exceção foi lançada, o nome da classe de texto simples e o valor da mensagem da exceção
  • Se um sinal fatal for gerado, seu nome e código inteiro
  • Para cada imagem binária carregada no aplicativo, seu nome, UUID, tamanho de byte e o endereço base uint64 no qual foi carregado na RAM
  • Um booleano que indica se o aplicativo estava ou não em segundo plano no momento da falha
  • Um valor inteiro que indica a rotação da tela no momento da falha
  • Um booleano que indica se o sensor de proximidade do dispositivo foi acionado
  • O conteúdo de version-control-info.textproto (somente para aplicativos Android configurados para usar a integração do sistema de controle de versão (VCS) )

Exemplos de informações coletadas pelo Monitoramento de Desempenho

  • O ID de instalações do Firebase (FID)
  • O ID da sessão do Firebase, que é um UUID aleatório gerado para marcar eventos com uma sessão
  • Informações gerais do dispositivo, como modelo, sistema operacional e orientação
  • RAM e tamanho do disco
  • utilização do CPU
  • Operadora (com base no país móvel e no código de rede)
  • Informações de rádio/rede (por exemplo, WiFi, LTE, 3G)
  • País (com base no endereço IP)
  • Local/idioma
  • Versão do aplicativo
  • Primeiro plano ou estado de segundo plano do aplicativo
  • Nome do pacote de aplicativos
  • IDs de instalação do Firebase
  • Tempos de duração para rastreamentos automatizados
  • URLs de rede (sem incluir parâmetros de URL ou conteúdo de carga útil) e as seguintes informações correspondentes:
    • Códigos de resposta (por exemplo, 403, 200)
    • Tamanho da carga útil em bytes
    • Tempos de resposta

Veja uma lista completa dos rastreamentos automáticos coletados pelo Monitoramento de Desempenho.

Guias para ativar a aceitação do processamento de dados do usuário final

Os serviços na tabela acima precisam de uma certa quantidade de dados do usuário final para funcionar. Como resultado, não é possível desabilitar totalmente a coleta de dados ao usar esses serviços.

Se você é um cliente que gostaria de oferecer aos usuários a chance de aceitar um serviço e a coleta de dados que o acompanha, na maioria dos casos, isso requer apenas a adição de uma caixa de diálogo ou alternância de configurações antes de usar o serviço.

Alguns serviços, no entanto, são iniciados automaticamente quando incluídos em um aplicativo. Para dar aos usuários a oportunidade de aceitar antes de usar esses serviços, você pode optar por desabilitar a inicialização automática de cada serviço e, em vez disso, inicializá-los manualmente em tempo de execução. Para saber como, leia os guias abaixo:

Se você integra o Firebase ao Google Analytics, saiba como configurar a coleta de dados do Analytics .

Locais de armazenamento e processamento de dados

A menos que um serviço ou recurso ofereça seleção de localização de dados, o Firebase poderá processar e armazenar seus dados em qualquer lugar onde o Google ou seus agentes mantenham instalações. As possíveis localizações das instalações variam de acordo com o serviço.

Serviços somente nos EUA

O serviço Firebase Authentication é executado apenas em data centers dos EUA. Como resultado, o Firebase Authentication processa dados exclusivamente nos Estados Unidos.

Serviços globais

A maioria dos serviços do Firebase é executada na infraestrutura global do Google. Eles poderiam processar dados em qualquer um dos locais do Google Cloud Platform ou dos data centers do Google . Para alguns serviços você pode fazer uma Seleção de Local de Dados específica que restringe o processamento a esse local.

  • Armazenamento em nuvem para Firebase
  • Cloud Firestore
  • Funções de nuvem para Firebase
  • Hospedagem Firebase
  • Crashlytics do Firebase
  • Monitoramento de desempenho do Firebase
  • Links dinâmicos do Firebase
  • Configuração remota do Firebase
  • Mensagens na nuvem do Firebase
  • FirebaseML
  • Laboratório de testes do Firebase
  • Verificação do aplicativo Firebase

Informação segura

Criptografia de dados

Os serviços do Firebase criptografam dados em trânsito usando HTTPS e isolam logicamente os dados do cliente.

Além disso, vários serviços do Firebase também criptografam seus dados em repouso:

  • Cloud Firestore
  • Funções de nuvem para Firebase
  • Armazenamento em nuvem para Firebase
  • Crashlytics do Firebase
  • Autenticação Firebase
  • Mensagens na nuvem do Firebase
  • Banco de dados em tempo real do Firebase
  • Laboratório de testes do Firebase
  • Verificação do aplicativo Firebase
  • Monitoramento de desempenho do Firebase

Práticas de segurança

Para manter os dados pessoais seguros, o Firebase emprega medidas de segurança abrangentes para minimizar o acesso:

  • O Firebase restringe o acesso a funcionários selecionados que tenham como finalidade comercial acessar dados pessoais.
  • O Firebase registra o acesso dos funcionários a sistemas que contêm dados pessoais.
  • O Firebase só permite acesso a dados pessoais por funcionários que fazem login com o Login do Google e autenticação de dois fatores .

Dados de serviço do Firebase

Os Dados de serviço do Firebase são informações pessoais que o Google coleta e gera durante o fornecimento e a administração dos serviços do Firebase * , excluindo os Dados do cliente ** , conforme definido em nossos contratos de cliente que abrangem os serviços do Firebase e os Dados do serviço do Google Cloud . Exemplos de dados de serviço do Firebase incluem informações sobre o uso do serviço, identificadores de recursos, como IDs de aplicativos e nomes de pacotes/IDs de pacotes, detalhes técnicos e operacionais de uso, como endereços IP, e comunicações diretas com desenvolvedores a partir de feedback e conversas relacionadas ao suporte.

*Os serviços cobertos incluem Firebase A/B Testing, Firebase App Check, Firebase App Distribution, Firebase Cloud Messaging, Firebase Crashlytics, Firebase Dynamic Links, Firebase Hosting, Firebase In-App Messaging, Firebase ML, Firebase Performance Monitoring, Firebase Realtime Database, Firebase Configuração remota e armazenamento de segmentação de usuários do Firebase.

**Para obter mais informações sobre como processamos dados do cliente, consulte nossos Termos de segurança e processamento de dados do Firebase .

Exemplos de como os dados de serviço do Firebase são processados ​​pelo Firebase

O Google usa os dados de serviço do Firebase de acordo com nossa política de privacidade e termos aplicáveis. Os dados de serviço do Firebase são usados, por exemplo, para:

  • Forneça os serviços do Firebase solicitados
  • Faça recomendações para otimizar o uso dos serviços do Firebase
  • Manter e melhorar os serviços do Firebase
  • Fornecer e melhorar outros serviços que você solicitar
  • Entenda seu uso do Firebase e de outros serviços do Google
  • Fornecer melhor suporte e comunicação com você
  • Proteger você, nossos usuários, o público e o Google
  • Cumprir as obrigações legais

Dados de serviço do Firebase usados ​​por serviços do Google que não são do Firebase

Você pode controlar se seus dados de serviço do Firebase podem ser usados ​​pelo Google para fornecer análises, insights e recomendações mais aprofundadas sobre serviços do Google que não são do Firebase e melhorar os serviços do Google que não são do Firebase . Você pode configurar isso na página de configurações de privacidade de dados do Firebase.

Se esse controle for desativado, os dados do serviço Firebase continuarão a ser usados ​​para outros fins, como os mencionados acima, de acordo com nossa política de privacidade e termos aplicáveis, inclusive para fazer recomendações e melhorar os serviços Firebase e para fornecer e melhorar outros serviços. serviços solicitados, como produtos do Google vinculados ao seu projeto do Firebase.

Ainda tem dúvidas? Contate-nos

Para qualquer dúvida relacionada à privacidade que não seja abordada aqui, entre em contato com o Suporte do Firebase . Se você for um desenvolvedor do Firebase, inclua seu ID do aplicativo Firebase. Encontre seu ID do aplicativo Firebase no cartão Seus aplicativos em suas Configurações do projeto .