Privacy e sicurezza in Firebase

Questa pagina delinea le principali informazioni sulla sicurezza e sulla privacy di Firebase. Se stai cercando di dare il via a un nuovo progetto con Firebase o sei curioso di sapere come funziona Firebase con il tuo progetto esistente, continua a leggere per vedere come Firebase può aiutarti a proteggere te e i tuoi utenti.

Ultima modifica: 1 giugno 2023

Protezione dati

Supporto Firebase per GDPR e CCPA

Il 25 maggio 2018, il regolamento generale sulla protezione dei dati (GDPR) dell'UE ha sostituito la direttiva sulla protezione dei dati dell'UE del 1995. Il 1° gennaio 2020 è entrato in vigore il California Consumer Privacy Act (CCPA). Il 1° gennaio 2023 è entrato in vigore il California Privacy Rights Act (CPRA), una legge sulla privacy dei dati che modifica ed espande il CCPA. Google si impegna ad aiutare i nostri clienti ad avere successo nell'ambito di queste normative sulla privacy, siano essi grandi società di software o sviluppatori indipendenti.

Il GDPR impone obblighi ai titolari e ai responsabili del trattamento dei dati, mentre il CCPA/CPRA impone obblighi alle imprese e ai loro fornitori di servizi. I clienti di Firebase in genere agiscono in qualità di "titolare del trattamento dei dati" (GDPR) o "azienda" (CCPA/CPRA) per qualsiasi dato personale o informazione sui loro utenti finali che forniscono a Google in relazione al loro utilizzo di Firebase e Google generalmente opera come un "responsabile del trattamento" (GDPR) o un "fornitore di servizi" (CCPA/CPRA).

Ciò significa che i dati sono sotto il controllo del cliente. I clienti sono responsabili di obblighi come l'adempimento dei diritti di un individuo in relazione ai propri dati o informazioni personali.

Termini per l'elaborazione e la sicurezza dei dati di Firebase

Quando i clienti utilizzano Firebase, Google è generalmente un elaboratore di dati ai sensi del GDPR ed elabora i dati personali per loro conto. Allo stesso modo, quando i clienti utilizzano Firebase, Google generalmente opera come fornitore di servizi ai sensi del CCPA/CPRA gestendo le informazioni personali per loro conto. I termini di Firebase includono i Termini per l'elaborazione dei dati e la sicurezza che descrivono in dettaglio queste responsabilità.

Alcuni servizi Firebase regolati dai Termini di servizio di Google Cloud Platform (GCP) sono già coperti dai termini di elaborazione dei dati associati, l' Appendice sull'elaborazione dei dati nel cloud . Un elenco completo dei servizi Firebase attualmente disciplinati dai Termini di servizio di GCP è disponibile nei Termini di servizio per i servizi Firebase .

Google Analytics è un servizio separato che può essere utilizzato insieme a Firebase ed è soggetto a termini separati .

Firebase è certificato secondo i principali standard di privacy e sicurezza

Conformità ISO e SOC

Tutti i servizi Firebase (a parte App Indexing) hanno completato con successo il processo di valutazione ISO 27001 e SOC 1 , SOC 2 e SOC 3 e alcuni hanno anche completato il processo di certificazione ISO 27017 e ISO 27018 . I report di conformità e i certificati per i servizi Firebase regolati dai Termini di servizio di GCP possono essere richiesti tramite il Compliance Reports Manager

Nome di Servizio ISO27001 ISO27017 ISO27018 SOC 1 SOC 2 SOC 3
Base di fuoco ML
Laboratorio di prova Firebase
CloudFirestore
Funzioni cloud per Firebase
Archiviazione cloud per Firebase
Autenticazione Firebase
Firebase Crashlytics
Controllo dell'app Firebase
Distribuzione dell'app Firebase
Messaggi in-app di Firebase
Messaggeria cloud Firebase
Monitoraggio delle prestazioni di Firebase
Hosting Firebase
Collegamenti dinamici Firebase
Configurazione remota Firebase
Database in tempo reale Firebase
Piattaforma Fuoco
Test A/B di Firebase

Trasferimenti internazionali di dati

I quadri dello scudo per la privacy hanno fornito un meccanismo per rispettare i requisiti di protezione dei dati durante il trasferimento di dati personali SEE, del Regno Unito o della Svizzera negli Stati Uniti e oltre. Alla luce della sentenza della Corte di giustizia dell'Unione europea sui trasferimenti di dati, che invalida lo Scudo UE-USA per la privacy, Firebase è passata a fare affidamento sulle clausole contrattuali standard per i trasferimenti di dati pertinenti, che, secondo la sentenza, possono continuare a essere un meccanismo legale valido per trasferire i dati ai sensi del GDPR. Il 4 giugno 2021 la Commissione europea ha approvato nuove versioni delle clausole contrattuali standard, che stiamo incorporando nei nostri contratti con i clienti Firebase per i trasferimenti di dati pertinenti.

Ci impegniamo ad avere una base legale per i trasferimenti di dati in conformità con le leggi sulla protezione dei dati applicabili.

Informativa sul trattamento dei dati

Esempi di dati degli utenti finali elaborati da Firebase

Alcuni servizi Firebase elaborano i dati dei tuoi utenti finali per fornire il loro servizio. Il grafico seguente contiene esempi di come i vari servizi Firebase utilizzano e gestiscono i dati degli utenti finali che potrebbero essere potenzialmente identificativi. Inoltre, molti servizi Firebase offrono la possibilità di richiedere la cancellazione di dati specifici o di controllare la modalità di gestione dei dati.

Servizio FireBase Dati dell'utente finale Come i dati aiutano a fornire il servizio
Funzioni cloud per Firebase
  • Indirizzi IP

Come aiuta: Cloud Functions utilizza gli indirizzi IP per eseguire funzioni di gestione degli eventi e funzioni HTTP basate sulle azioni dell'utente finale.

Conservazione: le funzioni cloud salvano gli indirizzi IP solo temporaneamente, per fornire il servizio.

Autenticazione Firebase
  • Le password
  • Indirizzi email
  • Numeri di telefono
  • Agenti utente
  • Indirizzi IP

Come aiuta: Firebase Authentication utilizza i dati per abilitare l'autenticazione dell'utente finale e facilitare la gestione dell'account dell'utente finale. Utilizza anche stringhe user-agent e indirizzi IP per fornire maggiore sicurezza e prevenire abusi durante la registrazione e l'autenticazione.

Conservazione: Firebase Authentication conserva gli indirizzi IP registrati per alcune settimane. Conserva altre informazioni di autenticazione fino a quando il cliente Firebase non avvia l'eliminazione dell'utente associato, dopodiché i dati vengono rimossi dai sistemi live e di backup entro 180 giorni.

Controllo dell'app Firebase
  • Materiale di attestazione da provider di attestazione supportati
  • Token App Check da attestazioni riuscite

Come aiuta: Firebase App Check utilizza il materiale di attestazione richiesto dal fornitore di attestazione corrispondente e ricevuto dai dispositivi dell'utente finale per aiutare a stabilire l'integrità del dispositivo e/o dell'app. I materiali di attestazione vengono inviati al provider di attestazione corrispondente per la convalida in base alla configurazione dello sviluppatore. I token App Check ottenuti da attestazioni riuscite vengono inviati con ogni richiesta ai servizi Firebase supportati per accedere alle risorse protette da App Check.

Conservazione: il materiale di attestazione non viene conservato da App Check, ma quando viene inviato ai fornitori di attestazioni, è soggetto ai termini di tali fornitori di attestazioni. I token App Check restituiti da attestazioni riuscite sono validi per tutta la loro durata TTL, che non può superare i 7 giorni. Per gli sviluppatori che utilizzano funzionalità di protezione dalla riproduzione, App Check memorizza i token App Check utilizzati con queste funzionalità per un massimo di 30 giorni. Altri token App Check non utilizzati con le funzionalità di protezione dalla riproduzione non vengono conservati dai servizi Firebase.

Distribuzione dell'app Firebase
  • Nomi degli utenti
  • Indirizzi email
  • UDID iOS
  • ID Android sicuri
  • ID di installazione di Firebase
  • Feedback del tester (screenshot e testo)

In che modo aiuta: Firebase App Distribution utilizza i dati per distribuire build di app ai tester, monitorare l'attività dei tester, abilitare le funzionalità dei tester come il feedback in-app e associare i dati ai dispositivi dei tester.

Conservazione: Firebase App Distribution conserva le informazioni dell'utente fino a quando il cliente Firebase non ne richiede l'eliminazione, dopodiché i dati vengono rimossi dai sistemi live e di backup entro 180 giorni.

Messaggeria cloud Firebase
  • ID di installazione di Firebase

In che modo aiuta: Firebase Cloud Messaging utilizza gli ID di installazione di Firebase per determinare a quali dispositivi consegnare i messaggi.

Conservazione: Firebase conserva gli ID di installazione di Firebase finché il cliente Firebase non effettua una chiamata API per eliminare l'ID. Dopo la chiamata, i dati vengono rimossi dai sistemi live e di backup entro 180 giorni.

Firebase Crashlytics
  • UUID di installazione di Crashlytics
  • ID installazioni Firebase
  • Tracce di incidente
  • Breakpad dati formattati minidump
    (solo arresti anomali di NDK)

Come aiuta: Firebase Crashlytics utilizza le tracce dello stack di arresto anomalo per associare gli arresti anomali a un progetto, inviare avvisi e-mail ai membri del progetto e visualizzarli nella console di Firebase e aiutare i clienti Firebase a eseguire il debug degli arresti anomali. Utilizza gli UUID di installazione di Crashlytics per misurare il numero di utenti interessati da un arresto anomalo e i dati minidump per elaborare gli arresti anomali di NDK. I dati minidump vengono archiviati durante l'elaborazione della sessione di arresto anomalo e quindi eliminati. L'ID di installazione di Firebase abilita le funzionalità imminenti che miglioreranno i servizi di segnalazione e gestione degli arresti anomali. Fare riferimento a Esempi di informazioni sul dispositivo memorizzate per maggiori dettagli sui tipi di informazioni utente raccolte.

Conservazione: Firebase Crashlytics conserva le tracce dello stack di arresto anomalo, i dati minidump estratti e gli identificatori associati (inclusi gli UUID di installazione di Crashlytics e gli ID di installazione di Firebase) per 90 giorni prima di iniziare il processo di rimozione dai sistemi live e di backup.

Collegamenti dinamici Firebase
  • Specifiche del dispositivo (iOS)
  • Indirizzi IP (iOS)

Come aiuta: Dynamic Links utilizza le specifiche del dispositivo e gli indirizzi IP su iOS per aprire le app appena installate a una pagina o contesto specifico.

Conservazione: Dynamic Links memorizza solo temporaneamente le specifiche del dispositivo e gli indirizzi IP, per fornire il servizio.

Hosting Firebase
  • Indirizzi IP

Come aiuta: l'hosting utilizza gli indirizzi IP delle richieste in arrivo per rilevare gli abusi e fornire ai clienti un'analisi dettagliata dei dati di utilizzo.

Conservazione: l'hosting conserva i dati IP per alcuni mesi.

Monitoraggio delle prestazioni di Firebase
  • ID di installazione di Firebase
  • Indirizzi IP

Come aiuta: il monitoraggio delle prestazioni utilizza gli ID di installazione di Firebase per calcolare il numero di installazioni Firebase univoche che accedono alle risorse di rete, per garantire che i modelli di accesso siano sufficientemente anonimi. Utilizza anche gli ID di installazione di Firebase con Firebase Remote Config per gestire la frequenza dei rapporti sugli eventi relativi alle prestazioni. Inoltre, utilizza gli indirizzi IP per mappare gli eventi di performance nei paesi da cui provengono. Per ulteriori informazioni, vedere Raccolta dati .

Conservazione: il monitoraggio delle prestazioni mantiene gli eventi associati all'IP per 30 giorni e conserva i dati sulle prestazioni associati all'installazione e non identificati per 90 giorni prima di iniziare il processo di rimozione dai sistemi live e di backup.

Messaggi in-app di Firebase
  • ID di installazione di Firebase

In che modo aiuta: la messaggistica in-app di Firebase utilizza gli ID di installazione di Firebase per determinare a quali dispositivi consegnare i messaggi.

Conservazione: Firebase conserva gli ID di installazione di Firebase finché il cliente Firebase non effettua una chiamata API per eliminare l'ID. Dopo la chiamata, i dati vengono rimossi dai sistemi live e di backup entro 180 giorni.

Database in tempo reale Firebase
  • Indirizzi IP
  • Agenti utente

Come aiuta: Realtime Database utilizza indirizzi IP e agenti utente per abilitare lo strumento profiler , che aiuta i clienti Firebase a comprendere le tendenze di utilizzo e i guasti della piattaforma.

Conservazione: Realtime Database conserva gli indirizzi IP e le informazioni sull'agente utente per alcuni giorni, a meno che un cliente non scelga di salvarli più a lungo.

Configurazione remota Firebase
  • ID di installazione di Firebase

In che modo aiuta: Remote Config utilizza gli ID di installazione di Firebase per selezionare i valori di configurazione da restituire ai dispositivi degli utenti finali.

Conservazione: Firebase conserva gli ID di installazione di Firebase finché il cliente Firebase non effettua una chiamata API per eliminare l'ID. Dopo la chiamata, i dati vengono rimossi dai sistemi live e di backup entro 180 giorni.

Base di fuoco ML
  • Immagini caricate
  • token di autenticazione dell'installazione

Come aiuta: le API basate su cloud memorizzano temporaneamente le immagini caricate, per elaborare e restituire l'analisi all'utente. Le immagini memorizzate vengono in genere eliminate entro poche ore. Consulta le domande frequenti sull'utilizzo dei dati di Cloud Vision per ulteriori informazioni.

i token di autenticazione dell'installazione vengono utilizzati da Firebase ML per l'autenticazione del dispositivo durante l'interazione con le istanze dell'app, ad esempio per distribuire i modelli degli sviluppatori alle istanze dell'app.

Conservazione: i token di autenticazione dell'installazione rimangono validi fino alla data di scadenza. La durata predefinita del token è di una settimana.

Esempi di informazioni raccolte da Crashlytics

  • Un UUID RFC-4122 che ci consente di deduplicare i crash
  • L'UUID di installazione di Crashlytics
  • L'ID installazioni Firebase (FID)
  • L'ID sessione Firebase, che è un UUID casuale generato per contrassegnare gli eventi con una sessione
  • Il timestamp di quando si è verificato l'arresto anomalo
  • L'identificatore del pacchetto dell'app e il numero di versione completo
  • Il nome del sistema operativo e il numero di versione del dispositivo
  • Un valore booleano che indica se il dispositivo è stato sottoposto a jailbreak/root
  • Il nome del modello del dispositivo, l'architettura della CPU, la quantità di RAM e lo spazio su disco
  • Il puntatore all'istruzione uint64 di ogni frame di ogni thread attualmente in esecuzione
  • Se disponibile in fase di esecuzione, il metodo in testo normale o il nome della funzione contenente ogni puntatore all'istruzione.
  • Se è stata generata un'eccezione, il nome della classe in testo normale e il valore del messaggio dell'eccezione
  • Se è stato generato un segnale fatale, il suo nome e il codice intero
  • Per ogni immagine binaria caricata nell'applicazione, nome, UUID, dimensione in byte e indirizzo di base uint64 in cui è stata caricata nella RAM
  • Valore booleano che indica se l'app era o meno in background al momento dell'arresto anomalo
  • Un valore intero che indica la rotazione dello schermo al momento dell'arresto anomalo
  • Valore booleano che indica se il sensore di prossimità del dispositivo è stato attivato

Esempi di informazioni raccolte dal monitoraggio delle prestazioni

  • L'ID installazioni Firebase (FID)
  • L'ID sessione Firebase, che è un UUID casuale generato per contrassegnare gli eventi con una sessione
  • Informazioni generali sul dispositivo, come modello, sistema operativo e orientamento
  • RAM e dimensioni del disco
  • uso della CPU
  • Operatore (in base al Paese del cellulare e al codice di rete)
  • Informazioni sulla radio/rete (ad esempio WiFi, LTE, 3G)
  • Paese (in base all'indirizzo IP)
  • Locale/lingua
  • Versione dell'app
  • Stato in primo piano o in background dell'app
  • Nome del pacchetto dell'app
  • ID di installazione di Firebase
  • Tempi di durata per le tracce automatizzate
  • URL di rete (esclusi i parametri URL o il contenuto del payload) e le seguenti informazioni corrispondenti:
    • Codici di risposta (ad esempio, 403, 200)
    • Dimensioni del payload in byte
    • Tempi di risposta

Visualizza un elenco completo delle tracce automatiche raccolte dal monitoraggio delle prestazioni.

Guide per abilitare il consenso esplicito per l'elaborazione dei dati dell'utente finale

I servizi nella tabella sopra richiedono una certa quantità di dati dell'utente finale per funzionare. Di conseguenza, non è possibile disabilitare completamente la raccolta dei dati durante l'utilizzo di tali servizi.

Se sei un cliente che desidera offrire agli utenti la possibilità di aderire a un servizio e la raccolta di dati che ne deriva, nella maggior parte dei casi è sufficiente aggiungere una finestra di dialogo o attivare le impostazioni prima di utilizzare il servizio.

Alcuni servizi, tuttavia, si avviano automaticamente quando sono inclusi in un'app. Per offrire agli utenti la possibilità di aderire prima di utilizzare tali servizi, puoi scegliere di disabilitare l'inizializzazione automatica per ciascun servizio e inizializzarli manualmente in fase di esecuzione. Per scoprire come, leggi le guide qui sotto:

Se integri Firebase con Google Analytics, scopri come configurare la raccolta dei dati di Analytics .

Luoghi di archiviazione e trattamento dei dati

A meno che un servizio o una funzione non offra la selezione della posizione dei dati, Firebase può elaborare e archiviare i tuoi dati ovunque Google o i suoi agenti abbiano strutture. Le posizioni potenziali delle strutture variano in base al servizio.

Servizi solo per gli Stati Uniti

Il servizio Firebase Authentication viene eseguito solo dai data center statunitensi. Di conseguenza, Firebase Authentication elabora i dati esclusivamente negli Stati Uniti.

Servizi globali

La maggior parte dei servizi Firebase viene eseguita sull'infrastruttura globale di Google. Potrebbero elaborare i dati in una qualsiasi delle sedi di Google Cloud Platform o dei data center di Google . Per alcuni servizi è possibile effettuare una selezione specifica della posizione dei dati che limita l'elaborazione a tale posizione.

  • Archiviazione cloud per Firebase
  • CloudFirestore
  • Funzioni cloud per Firebase
  • Hosting Firebase
  • Firebase Crashlytics
  • Monitoraggio delle prestazioni di Firebase
  • Collegamenti dinamici Firebase
  • Configurazione remota Firebase
  • Messaggeria cloud Firebase
  • Base di fuoco ML
  • Laboratorio di prova Firebase
  • Controllo dell'app Firebase

Informazioni sulla sicurezza

Crittografia dei dati

I servizi Firebase crittografano i dati in transito utilizzando HTTPS e isolano logicamente i dati dei clienti.

Inoltre, diversi servizi Firebase crittografano anche i propri dati inattivi:

  • CloudFirestore
  • Funzioni cloud per Firebase
  • Archiviazione cloud per Firebase
  • Firebase Crashlytics
  • Autenticazione Firebase
  • Messaggeria cloud Firebase
  • Database in tempo reale Firebase
  • Laboratorio di prova Firebase
  • Controllo dell'app Firebase
  • Monitoraggio delle prestazioni di Firebase

Pratiche di sicurezza

Per proteggere i dati personali, Firebase adotta ampie misure di sicurezza per ridurre al minimo l'accesso:

  • Firebase limita l'accesso a dipendenti selezionati che hanno uno scopo aziendale per accedere ai dati personali.
  • Firebase registra l'accesso dei dipendenti ai sistemi che contengono dati personali.
  • Firebase consente l'accesso ai dati personali solo ai dipendenti che accedono con Google Sign-In e l'autenticazione a 2 fattori .

Dati del servizio Firebase

I dati di servizio Firebase sono informazioni personali che Google raccoglie e genera durante la fornitura e l'amministrazione dei servizi Firebase * , esclusi i dati del cliente ** come definito nei nostri contratti con i clienti che coprono i servizi Firebase e i dati del servizio Google Cloud . Esempi di dati di servizio Firebase includono informazioni sull'utilizzo del servizio, identificatori di risorse come ID applicazione e nome pacchetto/ID bundle, dettagli tecnici e operativi sull'utilizzo come indirizzi IP e comunicazioni dirette con gli sviluppatori da feedback e conversazioni relative al supporto.

*I servizi coperti includono Firebase A/B Testing, Firebase App Check, Firebase App Distribution, Firebase Cloud Messaging, Firebase Crashlytics, Firebase Dynamic Links, Firebase Hosting, Firebase In-App Messaging, Firebase ML, Firebase Performance Monitoring, Firebase Realtime Database, Firebase Configurazione remota e archiviazione segmentazione utenti Firebase.

**Per ulteriori informazioni su come trattiamo i dati dei clienti, consulta i nostri Termini per l'elaborazione e la sicurezza dei dati di Firebase .

Esempi di come Firebase Service Data viene elaborato da Firebase

Google utilizza i dati di servizio di Firebase in conformità con le nostre norme sulla privacy e i termini applicabili. I dati di servizio di Firebase vengono utilizzati, ad esempio, per:

  • Fornisci i servizi Firebase richiesti
  • Fornire consigli per ottimizzare l'uso dei servizi Firebase
  • Gestisci e migliora i servizi Firebase
  • Fornire e migliorare altri servizi richiesti
  • Comprendi il tuo utilizzo di Firebase e di altri servizi Google
  • Fornisci un supporto migliore e comunica con te
  • Proteggi te, i nostri utenti, il pubblico e Google
  • Rispettare gli obblighi di legge

Utilizzo dei dati di servizio Firebase da parte di servizi Google non Firebase

Puoi controllare se i tuoi dati di servizio Firebase possono essere utilizzati da Google per fornire analisi, approfondimenti e consigli più approfonditi sui servizi Google non Firebase e per migliorare i servizi Google non Firebase . Puoi configurarlo nella pagina delle impostazioni sulla privacy dei dati di Firebase.

Se questo controllo viene disabilitato, i dati di servizio di Firebase continueranno a essere utilizzati per altri scopi, come quelli sopra menzionati, in conformità con la nostra politica sulla privacy e i termini applicabili, tra cui per fornire consigli e migliorare i servizi Firebase e per fornire e migliorare altri servizi che richiedi, come i prodotti Google che colleghi al tuo progetto Firebase.

Hai ancora domande? Contattaci

Per eventuali domande relative alla privacy che non sono trattate qui, contatta l'assistenza Firebase . Se sei uno sviluppatore Firebase, includi il tuo ID app Firebase. Trova il tuo ID app Firebase nella scheda Le tue app delle Impostazioni progetto .