Nesta página, você conhecerá as principais informações de segurança e privacidade do Firebase. Se pretende iniciar um novo projeto com o Firebase ou tem interesse em saber como ele funciona com seu projeto, leia este artigo para entender como essa plataforma pode ajudar a proteger você e seus usuários.
Última modificação: 21 de agosto de 2024
Proteção de dados
Suporte do Firebase para GDPR e CCPA
Em 25 de maio de 2018, o Regulamento geral de proteção de dados (GDPR) da União Europeia substituiu a Diretiva de proteção de dados da União Europeia de 1995. Em 1º de janeiro de 2020, a Lei de Privacidade do Consumidor da Califórnia (CCPA) entrou em vigor. Em 1o de janeiro de 2023, a Lei de Direitos de Privacidade da Califórnia (CPRA, na sigla em inglês), uma lei de privacidade de dados que foi alterada e expandida com base na CCPA, entrou em vigor. O Google está comprometido em ajudar nossos clientes a ter sucesso de acordo com esses regulamentos de privacidade, sejam eles grandes empresas de software ou desenvolvedores independentes.
O GDPR impõe obrigações aos controladores e processadores de dados, e o CCPA/CPRA impõe obrigações sobre empresas e provedores de serviços. Os clientes do Firebase costumam atuar como "controlador de dados" (GDPR) ou "empresa" (CCPA/CPRA) para quaisquer dados pessoais ou informações sobre seus usuários finais que forneçam ao Google em conexão com o uso do Firebase, e o Google geralmente opera como um "processador de dados" (GDPR) ou um "provedor de serviços" (CCPA/CPRA).
Isso significa que os dados estão sob controle do cliente. Os clientes são responsáveis por obrigações, como cumprir os direitos de um indivíduo em relação aos dados ou informações pessoais dele.
Termos de segurança e processamento de dados do Firebase
Quando os clientes usam o Firebase, o Google geralmente atua como um processador de dados de acordo com o GDPR, e processa dados pessoais em nome dele. Da mesma forma, quando os clientes usam o Firebase, o Google geralmente atua como um provedor de serviços sob a CCPA/CPRA, que lida com informações pessoais em nome do cliente. Os termos do Firebase incluem Termos de segurança e processamento de dados, que detalham essas responsabilidades.
Determinados serviços do Firebase regidos pelos Termos de Serviço do Google Cloud Platform (GCP) já são cobertos pelos termos de processamento de dados associados, o Adendo sobre processamento de dados do Cloud. A lista completa de serviços do Firebase atualmente regidos pelos Termos de Serviço do GCP está disponível nesta página.
O Google Analytics é um serviço separado que pode ser usado com o Firebase e está sujeito a termos separados.
O Firebase é certificado de acordo com os principais padrões de privacidade e segurança
Conformidade com ISO e SOC
Todos os serviços do Firebase (além da Indexação de apps e da Vertex AI no Firebase) concluíram o processo de avaliação ISO 27001 e SOC 1, SOC 2; e SOC 3, e alguns também concluíram o processo de certificação ISO 27017 e ISO 27018. É possível solicitar os relatórios e os certificados de compliance dos serviços do Firebase regidos pelos Termos de Serviço do GCP usando o Gerenciador de relatórios de compliance.
| Nome do serviço | ISO 27001 | ISO 27017 | ISO 27018 | SOC 1 | SOC 2 | SOC 3 |
|---|---|---|---|---|---|---|
| Firebase ML | ||||||
| Firebase Test Lab | ||||||
| Cloud Firestore | ||||||
| Cloud Functions para Firebase | ||||||
| Cloud Storage para Firebase | ||||||
| Firebase Authentication | ||||||
| Firebase Crashlytics | ||||||
| Firebase App Check | ||||||
| Firebase App Distribution | ||||||
| Mensagens no app do Firebase | ||||||
| Firebase Cloud Messaging | ||||||
| Monitoramento de desempenho do Firebase | ||||||
| Firebase Hosting | ||||||
| Firebase Dynamic Links | ||||||
| Configuração remota do Firebase | ||||||
| Firebase Realtime Database | ||||||
| Plataforma Firebase | ||||||
| Teste A/B do Firebase | ||||||
| Vertex AI no Firebase |
Transferência de dados internacionais
Conforme descrito na nossa certificação da Estrutura de Privacidade de Dados, obedecemos às Estruturas de Privacidade de Dados (DPF) entre os EUA e a UE e entre os EUA e a Suíça, assim como a extensão do Reino Unido para a DPF entre a UE e os EUA. Isso está em conformidade com o estabelecido pelo Departamento de Comércio dos EUA para coleta, uso e retenção de informações pessoais do EEE, da Suíça e do Reino Unido, respectivamente. A Google LLC e as subsidiárias integrais nos EUA, a não ser que excluídas explicitamente, têm certificação de adesão aos princípios da DPF. O Google continua sendo responsável por todas as suas informações pessoais compartilhadas de acordo com o Princípio de Transferência Subsequente com terceiros para processamento externo em nosso nome, conforme descrito na seção "Compartilhamento de informações" da nossa Política de Privacidade. Para saber mais sobre a DPF e consultar a certificação do Google, acesse o site da DPF (link em inglês).
Se você tiver algum problema com nossas práticas de privacidade com relação à certificação DPF, recomendamos entrar em contato conosco. O Google está sujeito a investigação e regulação da Comissão Federal de Comércio dos Estados Unidos. Você também pode enviar uma denúncia à Autoridade Nacional de Proteção de Dados do seu país, e nós trabalharemos com eles para solucionar o problema. Em determinadas circunstâncias, a DPF prevê o direito de solicitar arbitragem vinculante para solucionar esse tipo de denúncia, não resolvida por outros meios, conforme descrito no Anexo I dos Princípios da DPF.
Informações sobre o processamento de dados
Exemplos de dados de usuários finais processados pelo Firebase
Alguns serviços do Firebase processam os dados dos usuários finais para fornecer funcionalidades específicas. O gráfico abaixo mostra exemplos de como vários serviços do Firebase usam e processam dados de usuários finais que podem ser usados para descobrir a identidade dessas pessoas. Além disso, muitos serviços do Firebase oferecem a capacidade de solicitar a exclusão de dados específicos ou de gerenciar como os dados são processados.
| Serviço do Firebase | Dados dos usuários finais | Como os dados ajudam a fornecer o serviço |
|---|---|---|
| Cloud Functions para Firebase |
|
Como isso ajuda: o Cloud Functions usa endereços IP para executar funções de manipulação de eventos e funções HTTP com base nas ações do usuário final. Retenção: as funções de nuvem salvam endereços IP apenas temporariamente para fornecer o serviço. |
| Firebase Authentication |
|
Como isso ajuda: o Firebase Authentication usa os dados para permitir a autenticação do usuário final e facilitar o gerenciamento de contas do usuário final. Ele também usa strings do user-agent e endereços IP para fornecer segurança adicional e evitar abusos durante a inscrição e a autenticação. Retenção: o Firebase Authentication mantém endereços IP registrados por algumas semanas. Ele retém outras informações de autenticação até que o cliente do Firebase inicie a exclusão do usuário associado, após o qual os dados são removidos dos sistemas ativos e de backup no prazo de 180 dias. |
| Firebase App Check |
|
Como isso ajuda: o Firebase App Check usa material de atestado exigido pelo provedor de atestados correspondente e recebido dos dispositivos do usuário final para ajudar a estabelecer a integridade do dispositivo e/ou do app. Os materiais de atestado são enviados ao provedor de atestados correspondente para validação com base na configuração do desenvolvedor. Os tokens do App Check recebidos dos atestados bem-sucedidos são enviados com todas as solicitações para os serviços do Firebase compatíveis para acessar recursos protegidos pelo App Check. Retenção: o material de atestado não é retido pelo App Check, mas quando é enviado para provedores de atestado, ele está sujeito aos termos desses provedores de atestado. Os tokens retornados do App Check retornados por atestados bem-sucedidos são válidos durante toda a duração do TTL, o que não pode ser maior que sete dias. Para desenvolvedores que usam recursos de proteção contra repetição, o App Check armazena os tokens do App Check usados com esses recursos por, no máximo, 30 dias. Outros tokens do App Check não usados com recursos de proteção de repetição não são retidos pelos serviços do Firebase. |
| Firebase App Distribution |
|
Como isso ajuda: o Firebase App Distribution usa os dados para distribuir versões de apps para testadores, monitorar a atividade do testador, ativar recursos do testador, como feedback no app, e associar dados a dispositivos do testador. Retenção: o Firebase App Distribution retém as informações do usuário até que o cliente do Firebase solicite a exclusão dele. Depois disso, os dados são removidos dos sistemas ativos e de backup no prazo de 180 dias. |
| Firebase Cloud Messaging |
|
Como isso ajuda: o Firebase Cloud Messaging usa IDs de instalação do Firebase para determinar para quais dispositivos entregar mensagens. Retenção: o Firebase retém os IDs de instalação do Firebase até que o cliente do Firebase faça uma chamada de API para excluir o ID. Após a chamada, os dados são removidos dos sistemas ativos e de backup no prazo de 180 dias. |
| Firebase Crashlytics |
|
Como isso ajuda: o Firebase Crashlytics usa stack traces de falhas para associar falhas a um projeto, enviar alertas por e-mail aos membros do projeto e exibir essas mensagens no Console do Firebase, além de ajudar os clientes a depurar falhas. O Crashlytics usa os UUIDs de instalação para medir o número de usuários afetados por uma falha e os dados de minidump usados para processar falhas do NDK. Os dados do minidump são armazenados enquanto a sessão de falha é processada e depois descartada. O ID de instalação do Firebase ativa recursos novos que vão melhorar os serviços de gerenciamento de relatórios e falhas. Consulte Exemplos de informações de dispositivos armazenados para mais detalhes sobre os tipos de informações do usuário coletados. Retenção: o Firebase Crashlytics mantém stack traces de falhas, dados de minidump extraídos e identificadores associados (incluindo UUIDs de instalação do Crashlytics e IDs de instalação do Firebase) por 90 dias antes de iniciar o processo de removê-lo dos sistemas ativos e de backup. |
| Firebase Dynamic Links |
|
Como isso ajuda: o Dynamic Links usa especificações de dispositivo e endereços IP no iOS para abrir apps recém-instalados em uma página ou contexto específico. Retenção: o Dynamic Links armazena especificações do dispositivo e endereços IP apenas temporariamente para fornecer o serviço. |
| Firebase Hosting |
|
Como isso ajuda: o Hosting usa endereços IP de solicitações recebidas para detectar abuso e fornece aos clientes uma análise detalhada dos dados de uso. Retenção: o Hosting retém os dados de IP por alguns meses. |
| Firebase Performance Monitoring |
|
Como isso ajuda: o Performance Monitoring usa IDs de instalação do Firebase para calcular o número de instalações únicas do Firebase que acessam recursos de rede, para garantir que os padrões de acesso sejam suficientemente anônimos. Ele também usa os IDs de instalação do Firebase com o Firebase Remote Config para gerenciar a taxa de relatórios de eventos de desempenho. Além disso, ele usa endereços IP para mapear eventos de desempenho para os países de onde eles são originários. Para mais informações, consulte Coleta de dados. Retenção: o Performance Monitoring mantém eventos associados ao IP por 30 dias e dados de desempenho associados à instalação e desidentificados por 90 dias antes de iniciar o processo de remoção dos sistemas ativos e de backup. |
| Firebase In-App Messaging |
|
Como isso ajuda: o Firebase In-App Messaging usa IDs de instalação do Firebase para determinar para quais dispositivos enviar mensagens. Retenção: o Firebase retém os IDs de instalação do Firebase até que o cliente do Firebase faça uma chamada de API para excluir o ID. Após a chamada, os dados são removidos dos sistemas ativos e de backup no prazo de 180 dias. |
| Firebase Realtime Database |
|
Como isso ajuda: o Realtime Database usa endereços IP e user agents para ativar a ferramenta de criação de perfil, o que ajuda os clientes do Firebase a entender as tendências de uso e as interrupções da plataforma. Retenção: o Realtime Database mantém os endereços IP e as informações do user agent por alguns dias, a menos que o cliente opte por deixá-lo salvo por mais tempo. |
| Firebase Remote Config |
|
Como isso ajuda: o Remote Config usa IDs de instalação do Firebase para selecionar valores de configuração que serão retornados aos dispositivos do usuário final. Retenção: o Firebase retém os IDs de instalação do Firebase até que o cliente faça uma chamada de API para excluir o ID. Após a chamada, os dados são removidos dos sistemas ativos e de backup em até 180 dias. |
| Firebase ML |
|
Como isso ajuda: as APIs baseadas na nuvem armazenam as imagens enviadas temporariamente, para processar e retornar a análise para você. As imagens armazenadas geralmente são excluídas em algumas horas. Veja as perguntas frequentes sobre uso de dados do Cloud Vision para mais informações. Os tokens de autenticação de instalação são usados pelo Firebase ML para autenticação de dispositivos que interagem com instâncias de apps, por exemplo, para distribuir modelos de desenvolvedores para instâncias de apps. Retenção: os tokens de autenticação de instalação do Firebase permanecem válidos até a data de validade. A vida útil padrão do token é de uma semana. |
| Vertex AI in Firebase |
|
Como isso ajuda: o Vertex AI in Firebase usa a API de IA generativa da Vertex AI para prever conteúdo. Retenção:durante a previsão, o Google não registra os dados do cliente nos gerar a saída de um cliente ou treinar modelos de fundação. Por padrão, o Google armazena em cache as entradas e saídas de um cliente nos modelos do Gemini para acelerar as respostas aos comandos subsequentes do cliente. Confira mais detalhes em Generative IA e governança de dados | IA generativa na Vertex AI | Google Cloud. |
Exemplos de informações coletadas pelo Crashlytics
- Um UUID RFC-4122, que nos permite eliminar a duplicação de falhas
- O UUID de instalação do Crashlytics
- O ID das instalações do Firebase (FID, na sigla em inglês)
- O ID da sessão do Firebase, que é um UUID aleatório gerado para marcar eventos com uma sessão
- O carimbo de data/hora do momento da falha
- O identificador do pacote e o número completo da versão do app
- O nome do sistema operacional e o número da versão do dispositivo
- Um booleano indicando se o dispositivo foi desbloqueado com jailbreak/acesso root
- O nome do modelo, a arquitetura da CPU, a quantidade de RAM e o espaço em disco do dispositivo
- O ponteiro de instrução uint64 de cada frame nas linhas em execução no momento
- Se estiverem disponíveis no ambiente de execução, vamos coletar o método de texto simples ou o nome da função que contém cada ponteiro de instrução
- Caso uma exceção seja gerada, coletaremos o nome da classe em texto simples e o valor da mensagem da exceção
- Se um sinal fatal for gerado, vamos coletar o nome e o código em números inteiros
- Em cada imagem binária carregada no aplicativo, coletamos o nome, o UUID, o tamanho do byte e o endereço base uint64 que foi carregado na RAM
- Um booleano indicando se o app estava em segundo plano no momento em que falhou
- Um valor inteiro que indica a rotação da tela no momento da falha
- Um booleano indicando se o sensor de proximidade do dispositivo foi acionado
- O conteúdo de
version-control-info.textproto(apenas para apps Android configurado para usar a integração do sistema de controle de versão (VCS, na sigla em inglês))
Exemplos de informações coletadas pelo Monitoramento de desempenho
- O ID das instalações do Firebase (FID, na sigla em inglês)
- O ID da sessão do Firebase, que é um UUID aleatório gerado para marcar eventos com uma sessão
- Informações gerais do dispositivo, como modelo, SO e orientação
- RAM e tamanho do disco
- Uso da CPU
- Operadora (com base no código do país em que o proprietário do celular reside e no código de rede)
- Informações de rádio/rede (por exemplo, Wi-Fi, LTE, 3G)
- País (com base no endereço IP)
- local/idioma
- Versão do app
- estado de primeiro ou segundo plano;
- nome do pacote do aplicativo;
- IDs de instalação do Firebase
- durações de rastros automáticos;
- URLs de rede (não incluindo parâmetros de URL ou conteúdo de payload)
e as seguintes informações correspondentes:
- Códigos de resposta (por exemplo, 403 e 200)
- Tamanho do payload em bytes
- Tempos de resposta
Confira uma lista completa dos rastros automáticos coletados pelo Performance Monitoring.
Guias para ativar o processamento de dados dos usuários finais
Os serviços na tabela acima precisam de uma certa quantidade de dados dos usuários finais para funcionar. Por causa disso, não é possível desativar totalmente a coleta de dados durante o uso desses serviços.
Se você é cliente e gostaria de oferecer aos usuários a opção de ativar um serviço e a coleta de dados que o acompanha, na maioria dos casos isso requer apenas adicionar uma caixa de diálogo ou opção de configurações antes de usar o serviço.
Contudo, alguns serviços são iniciados automaticamente quando incluídos em um app. Para que seus usuários possam escolher se querem usar os serviços, desative a inicialização automática de cada serviço e inicialize-os manualmente no tempo de execução. Para saber como fazer isso, leia os guias abaixo:
- Cloud Messaging: impedir a inicialização automática para Android ou para iOS+
- Crashlytics: ativar a permissão para geração de relatórios (iOS+) ou ativar a permissão para geração de relatórios (Android)
- Performance Monitoring: ativar a permissão para monitoramento
Se você integrar o Firebase ao Google Analytics, saiba como configurar a coleta de dados do Analytics.
Locais de armazenamento e processamento de dados
A menos que um serviço ou recurso ofereça a opção de selecionar o local de armazenamento dos dados, o Firebase pode processar e armazenar seus dados em qualquer lugar em que o Google ou agentes mantenham instalações. Os locais em potencial variam de acordo com o serviço.
Serviços somente para os EUA
O serviço do Firebase Authentication é executado apenas em data centers dos EUA. Por isso, o Firebase Authentication processa dados exclusivamente nesse país.
Serviços globais
A maioria dos serviços do Firebase é executada na infraestrutura global do Google. Eles podem processar dados em qualquer um dos locais do Google Cloud Platform ou dos data centers do Google. Para alguns serviços, é possível fazer uma seleção de local de dados específica. Isso restringe o processamento ao local escolhido.
- Cloud Storage for Firebase
- Cloud Firestore
- Cloud Functions for Firebase
- Firebase Hosting
- Firebase Crashlytics
- Firebase Performance Monitoring
- Firebase Dynamic Links
- Firebase Remote Config
- Firebase Cloud Messaging
- Firebase ML
- Firebase Test Lab
- Firebase App Check
Informações de segurança
Criptografia de dados
Os serviços do Firebase criptografam dados em trânsito usando HTTPS e isolam logicamente os dados do cliente.
Além disso, vários serviços do Firebase também criptografam dados em repouso:
- Cloud Firestore
- Cloud Functions for Firebase
- Cloud Storage for Firebase
- Firebase Crashlytics
- Firebase Authentication
- Firebase Cloud Messaging
- Firebase Realtime Database
- Firebase Test Lab
- Firebase App Check
- Firebase Performance Monitoring
Práticas de segurança
Para manter os dados pessoais seguros, o Firebase emprega medidas abrangentes de segurança para minimizar o acesso a eles:
- O Firebase restringe o acesso a funcionários selecionados que tenham uma finalidade comercial para acessar dados pessoais.
- O Firebase registra o acesso dos funcionários a sistemas que contêm dados pessoais.
- O Firebase permite apenas o acesso a dados pessoais por funcionários que acessam a rede com o login do Google e a autenticação de dois fatores.
Dados de serviços do Firebase
Os dados de serviços do Firebase são informações pessoais que o Google coleta e gera durante o provisionamento e a administração dos serviços do Firebase*, com exceção dos dados do cliente**, conforme definido no nossos contratos com clientes que abrangem os serviços do Firebase e os Dados de serviços do Google Cloud. Exemplos de dados de serviços do Firebase incluem informações sobre uso do serviço, identificadores de recurso, como IDs do aplicativo e nome do pacote/ID do pacote, detalhes técnicos e operacionais do uso, como endereços IP e comunicações diretas com desenvolvedores de conversas relacionadas a feedback e suporte.
*Os serviços cobertos incluem Teste A/B do Firebase, Firebase App Distribution, Firebase Cloud Messaging, Firebase Crashlytics, Firebase Dynamic Links, Firebase Hosting, Mensagens no app do Firebase, Firebase ML, Vertex AI no Firebase, Monitoramento de desempenho do Firebase, Firebase Realtime Database, Configuração remota do Firebase e Firebase User Segmentation Storage.
**Para mais informações sobre como processamos dados do cliente, consulte nossos Termos de segurança e processamento de dados do Firebase.
Exemplos de como os dados do serviço do Firebase são processados pelo Firebase
O Google usa os dados de serviços do Firebase de acordo com a nossa política de privacidade e termos aplicáveis. Os dados de serviços do Firebase são usados, por exemplo, para:
- Fornecer os serviços do Firebase solicitados
- Fazer recomendações para otimizar o uso dos serviços do Firebase.
- Manter e melhorar os serviços do Firebase
- Fornecer e melhorar outros serviços solicitados
- Entender o uso do Firebase e de outros serviços do Google
- Ofereça um suporte melhor e comunique-se com você
- Proteger você, nossos usuários, o público e o Google
- Cumprir com as obrigações legais
Uso de dados do serviço do Firebase por serviços do Google não relacionados ao Firebase
É possível controlar se os dados de serviços do Firebase podem ser usados pelo Google para fornecer análises, insights e recomendações mais detalhadas sobre serviços do Google que não pertencem ao Firebase e melhorias nos serviços do Google que não pertencem ao Firebase. É possível definir isso na sua página de configurações de privacidade de dados do Firebase.
Se esse controle for desativado, os dados de serviços do Firebase vão continuar sendo usados para outras finalidades, como aquelas mencionadas acima, de acordo com a nossa Política de Privacidade e os termos aplicáveis. Os dados serão usados inclusive para fazer recomendações e melhorar os serviços do Firebase, além de fornecer e aprimorar outros serviços solicitados por você, como produtos do Google vinculados ao seu projeto do Firebase.
Ainda tem dúvidas? Fale conosco
Para dúvidas relacionadas à privacidade que não tenham sido abordadas neste artigo, entre em contato com o suporte do Firebase. Se você é um desenvolvedor do Firebase, inclua o ID do app do Firebase. Esse ID está no card Seus apps nas Configurações do projeto ().