Privacidad y seguridad en Firebase

Esta página describe la información clave de seguridad y privacidad de Firebase. Ya sea que estés buscando iniciar un nuevo proyecto con Firebase o tengas curiosidad sobre cómo funciona Firebase con tu proyecto existente, sigue leyendo para ver cómo Firebase puede ayudarte a protegerte a ti y a tus usuarios.

Última modificación: 25 de julio de 2023

Protección de Datos

Soporte de Firebase para GDPR y CCPA

El 25 de mayo de 2018, el Reglamento General de Protección de Datos de la UE (GDPR) reemplazó a la Directiva de Protección de Datos de la UE de 1995. El 1 de enero de 2020 entró en vigor la Ley de Privacidad del Consumidor de California (CCPA). El 1 de enero de 2023, entró en vigor la Ley de Derechos de Privacidad de California (CPRA), que es una ley de privacidad de datos que modifica y amplía la CCPA. Google se compromete a ayudar a nuestros clientes a tener éxito según estas normas de privacidad, ya sean grandes empresas de software o desarrolladores independientes.

El RGPD impone obligaciones a los controladores y procesadores de datos, y la CCPA/CPRA impone obligaciones a las empresas y sus proveedores de servicios. Los clientes de Firebase suelen actuar como "controladores de datos" (GDPR) o "empresas" (CCPA/CPRA) para cualquier dato personal o información sobre sus usuarios finales que proporcionen a Google en relación con su uso de Firebase, y Google generalmente opera como un "procesador de datos" (GDPR) o un "proveedor de servicios" (CCPA/CPRA).

Esto significa que los datos están bajo el control del cliente. Los clientes son responsables de obligaciones como el cumplimiento de los derechos de un individuo con respecto a su información o datos personales.

Términos de seguridad y procesamiento de datos de Firebase

Cuando los clientes utilizan Firebase, Google generalmente es un procesador de datos según el RGPD y procesa datos personales en su nombre. De manera similar, cuando los clientes utilizan Firebase, Google generalmente opera como un proveedor de servicios bajo la CCPA/CPRA que maneja información personal en su nombre. Los términos de Firebase incluyen términos de seguridad y procesamiento de datos que detallan estas responsabilidades.

Ciertos servicios de Firebase regidos por los Términos de servicio de Google Cloud Platform (GCP) ya están cubiertos por los términos de procesamiento de datos asociados, el Anexo de procesamiento de datos en la nube . Una lista completa de los servicios de Firebase que actualmente se rigen por los Términos de servicio de GCP está disponible en los Términos de servicio de los servicios de Firebase .

Google Analytics es un servicio independiente que se puede utilizar junto con Firebase y está sujeto a términos independientes.

Firebase está certificado bajo los principales estándares de privacidad y seguridad.

Cumplimiento de ISO y SOC

Todos los servicios de Firebase (aparte de App Indexing) completaron con éxito el proceso de evaluación ISO 27001 y SOC 1 , SOC 2 y SOC 3 , y algunos también completaron el proceso de certificación ISO 27017 e ISO 27018 . Los informes y certificados de cumplimiento para los servicios de Firebase regidos por los Términos de servicio de GCP se pueden solicitar a través del Administrador de informes de cumplimiento.

Nombre del Servicio ISO 27001 ISO 27017 ISO 27018 SOC 1 SOC 2 SOC 3
ML de base de fuego
Laboratorio de pruebas de Firebase
Tienda de fuego en la nube
Funciones en la nube para Firebase
Almacenamiento en la nube para Firebase
Autenticación de base de fuego
Crashlytics de base de fuego
Verificación de la aplicación Firebase
Distribución de aplicaciones Firebase
Mensajería en la aplicación de Firebase
Mensajería en la nube de Firebase
Monitoreo del rendimiento de Firebase
Alojamiento base de fuego
Enlaces dinámicos de Firebase
Configuración remota de Firebase
Base de datos en tiempo real de Firebase
Plataforma base de fuego
Pruebas A/B de Firebase

Transferencias Internacionales de Datos

Los marcos del Escudo de Privacidad proporcionaron un mecanismo para cumplir con los requisitos de protección de datos al transferir datos personales del EEE, el Reino Unido o Suiza a los Estados Unidos y más adelante. A la luz del fallo del Tribunal de Justicia de la Unión Europea sobre transferencias de datos, que invalida el Escudo de Privacidad UE-EE. UU., Firebase ha pasado a depender de las Cláusulas Contractuales Estándar para las transferencias de datos relevantes, que, según el fallo, pueden seguir siendo un mecanismo legal válido para transferir datos según el RGPD. La Comisión Europea aprobó nuevas versiones de las Cláusulas Contractuales Estándar el 4 de junio de 2021, que estamos incorporando a nuestros contratos con clientes de Firebase para transferencias de datos relevantes.

Nos comprometemos a tener una base legal para las transferencias de datos de conformidad con las leyes de protección de datos aplicables.

Información de procesamiento de datos

Ejemplos de datos de usuarios finales procesados ​​por Firebase

Algunos servicios de Firebase procesan los datos de sus usuarios finales para brindar su servicio. El siguiente cuadro tiene ejemplos de cómo varios servicios de Firebase usan y manejan datos del usuario final que potencialmente pueden ser identificativos. Además, muchos servicios de Firebase ofrecen la posibilidad de solicitar la eliminación de datos específicos o controlar cómo se manejan los datos.

Servicio de base de fuego Datos del usuario final Cómo los datos ayudan a proporcionar el servicio
Funciones en la nube para Firebase
  • Direcciones IP

Cómo ayuda: Cloud Functions utiliza direcciones IP para ejecutar funciones de manejo de eventos y funciones HTTP basadas en las acciones del usuario final.

Retención: Las funciones de la nube solo guardan las direcciones IP temporalmente para brindar el servicio.

Autenticación de base de fuego
  • Contraseñas
  • Correos electrónicos
  • Números de teléfono
  • Agentes de usuario
  • Direcciones IP

Cómo ayuda: Firebase Authentication utiliza los datos para habilitar la autenticación del usuario final y facilitar la administración de cuentas del usuario final. También utiliza cadenas de agente de usuario y direcciones IP para brindar seguridad adicional y evitar abusos durante el registro y la autenticación.

Retención: Firebase Authentication mantiene las direcciones IP registradas durante algunas semanas. Conserva otra información de autenticación hasta que el cliente de Firebase inicia la eliminación del usuario asociado, después de lo cual los datos se eliminan de los sistemas activos y de respaldo dentro de los 180 días.

Verificación de la aplicación Firebase
  • Material de certificación de proveedores de certificación admitidos
  • Tokens de verificación de aplicaciones de certificaciones exitosas

Cómo ayuda: Firebase App Check utiliza material de certificación requerido por el proveedor de certificación correspondiente y recibido de los dispositivos del usuario final para ayudar a establecer la integridad del dispositivo y/o la aplicación. Los materiales de certificación se envían al proveedor de certificación correspondiente para su validación según la configuración del desarrollador. Los tokens de App Check obtenidos de certificaciones exitosas se envían con cada solicitud a los servicios de Firebase compatibles para acceder a los recursos protegidos por App Check.

Retención: App Check no retiene el material de certificación, pero cuando se envía a los proveedores de certificación, está sujeto a los términos de esos proveedores de certificación. Los tokens de App Check devueltos por certificaciones exitosas son válidos durante toda su duración TTL, que no puede ser superior a 7 días. Para los desarrolladores que utilizan funciones de protección de reproducción, App Check almacena los tokens de App Check utilizados con estas funciones durante un máximo de 30 días. Los servicios de Firebase no retienen otros tokens de App Check que no se utilizan con funciones de protección de reproducción.

Distribución de aplicaciones Firebase
  • Nombres de usuarios
  • Correos electrónicos
  • UDID de iOS
  • Identificaciones seguras de Android
  • ID de instalación de Firebase
  • Comentarios del evaluador (capturas de pantalla y texto)

Cómo ayuda: Firebase App Distribution utiliza los datos para distribuir compilaciones de aplicaciones a los evaluadores, monitorear la actividad de los evaluadores, habilitar funciones de los evaluadores, como comentarios en la aplicación, y asociar datos con los dispositivos de prueba.

Retención: Firebase App Distribution retiene la información del usuario hasta que el cliente de Firebase solicita su eliminación, después de lo cual los datos se eliminan de los sistemas activos y de respaldo dentro de los 180 días.

Mensajería en la nube de Firebase
  • ID de instalación de Firebase

Cómo ayuda: Firebase Cloud Messaging utiliza los ID de instalación de Firebase para determinar a qué dispositivos entregar mensajes.

Retención: Firebase conserva los ID de instalación de Firebase hasta que el cliente de Firebase realiza una llamada a la API para eliminar el ID. Después de la llamada, los datos se eliminan de los sistemas en vivo y de respaldo dentro de los 180 días.

Crashlytics de base de fuego
  • UUID de instalación de Crashlytics
  • ID de instalaciones de Firebase
  • Rastros de accidentes
  • Datos formateados en minivolcado de Breakpad
    (El NDK solo falla)

Cómo ayuda: Firebase Crashlytics utiliza seguimientos de la pila de fallas para asociar fallas con un proyecto, enviar alertas por correo electrónico a los miembros del proyecto y mostrarlas en Firebase Console, y ayudar a los clientes de Firebase a depurar fallas. Utiliza los UUID de instalación de Crashlytics para medir la cantidad de usuarios afectados por una falla y datos de minivolcado para procesar fallas del NDK. Los datos del minivolcado se almacenan mientras se procesa la sesión de bloqueo y luego se descartan. El ID de instalación de Firebase habilita las próximas funciones que mejorarán los servicios de informes y administración de fallas. Consulte Ejemplos de información almacenada del dispositivo para obtener más detalles sobre los tipos de información del usuario recopilada.

Retención: Firebase Crashlytics mantiene los seguimientos de la pila de fallos, los datos del minivolcado extraídos y los identificadores asociados (incluidos los UUID de instalación de Crashlytics y los ID de instalación de Firebase) durante 90 días antes de iniciar el proceso de eliminación de los sistemas activos y de respaldo.

Enlaces dinámicos de Firebase
  • Especificaciones del dispositivo (iOS)
  • Direcciones IP (iOS)

Cómo ayuda: Dynamic Links utiliza especificaciones de dispositivo y direcciones IP en iOS para abrir aplicaciones recién instaladas en una página o contexto específico.

Retención: Dynamic Links solo almacena las especificaciones del dispositivo y las direcciones IP temporalmente para brindar el servicio.

Alojamiento base de fuego
  • Direcciones IP

Cómo ayuda: El alojamiento utiliza direcciones IP de solicitudes entrantes para detectar abusos y proporcionar a los clientes un análisis detallado de los datos de uso.

Retención: El hosting retiene los datos de IP durante unos meses.

Monitoreo del rendimiento de Firebase
  • ID de instalación de Firebase
  • Direcciones IP

Cómo ayuda: Performance Monitoring utiliza los ID de instalación de Firebase para calcular la cantidad de instalaciones únicas de Firebase que acceden a los recursos de la red, para garantizar que los patrones de acceso sean suficientemente anónimos. También utiliza los ID de instalación de Firebase con Firebase Remote Config para administrar la tasa de informes de eventos de rendimiento. Además, utiliza direcciones IP para asignar eventos de desempeño a los países de donde se originan. Para obtener más información, consulte Recopilación de datos .

Retención: Performance Monitoring mantiene los eventos asociados a IP durante 30 días y conserva los datos de rendimiento no identificados y asociados a la instalación durante 90 días antes de iniciar el proceso de eliminación de los sistemas en vivo y de respaldo.

Mensajería en la aplicación de Firebase
  • ID de instalación de Firebase

Cómo ayuda: Firebase In-App Messaging utiliza los ID de instalación de Firebase para determinar a qué dispositivos entregar mensajes.

Retención: Firebase conserva los ID de instalación de Firebase hasta que el cliente de Firebase realiza una llamada a la API para eliminar el ID. Después de la llamada, los datos se eliminan de los sistemas en vivo y de respaldo dentro de los 180 días.

Base de datos en tiempo real de Firebase
  • Direcciones IP
  • Agentes de usuario

Cómo ayuda: Realtime Database utiliza direcciones IP y agentes de usuario para habilitar la herramienta de generación de perfiles , que ayuda a los clientes de Firebase a comprender las tendencias de uso y las fallas de la plataforma.

Retención: Realtime Database conserva las direcciones IP y la información del agente de usuario durante unos días, a menos que un cliente decida guardarla por más tiempo.

Configuración remota de Firebase
  • ID de instalación de Firebase

Cómo ayuda: Remote Config utiliza los ID de instalación de Firebase para seleccionar valores de configuración y devolverlos a los dispositivos del usuario final.

Retención: Firebase conserva los ID de instalación de Firebase hasta que el cliente de Firebase realiza una llamada a la API para eliminar el ID. Después de la llamada, los datos se eliminan de los sistemas en vivo y de respaldo dentro de los 180 días.

ML de base de fuego
  • Imágenes cargadas
  • tokens de autenticación de instalación

Cómo ayuda: Las API basadas en la nube almacenan imágenes cargadas temporalmente para procesarlas y devolverle el análisis. Las imágenes almacenadas normalmente se eliminan en unas pocas horas. Consulte las preguntas frecuentes sobre el uso de datos de Cloud Vision para obtener más información.

Firebase ML utiliza tokens de autenticación de instalación para la autenticación del dispositivo cuando se interactúa con instancias de aplicaciones, por ejemplo, para distribuir modelos de desarrollador a instancias de aplicaciones.

Retención: los tokens de autenticación de instalación siguen siendo válidos hasta su fecha de vencimiento. La vida útil predeterminada del token es una semana.

Ejemplos de información recopilada por Crashlytics

  • Un UUID RFC-4122 que nos permite deduplicar fallos
  • El UUID de instalación de Crashlytics
  • El ID de instalaciones de Firebase (FID)
  • El ID de sesión de Firebase, que es un UUID aleatorio generado para etiquetar eventos con una sesión.
  • La marca de tiempo de cuando ocurrió el accidente.
  • El identificador del paquete de la aplicación y el número de versión completa.
  • El nombre del sistema operativo y el número de versión del dispositivo.
  • Un booleano que indica si el dispositivo fue liberado/rooteado
  • El nombre del modelo del dispositivo, la arquitectura de la CPU, la cantidad de RAM y el espacio en disco.
  • El puntero de instrucción uint64 de cada cuadro de cada hilo que se está ejecutando actualmente
  • Si está disponible en el tiempo de ejecución, el método de texto sin formato o el nombre de la función que contiene cada puntero de instrucción.
  • Si se lanzó una excepción, el nombre de la clase en texto plano y el valor del mensaje de la excepción.
  • Si se generó una señal fatal, su nombre y código entero
  • Para cada imagen binaria cargada en la aplicación, su nombre, UUID, tamaño de bytes y la dirección base uint64 en la que se cargó en la RAM.
  • Un booleano que indica si la aplicación estaba en segundo plano en el momento en que falló.
  • Un valor entero que indica la rotación de la pantalla en el momento del bloqueo.
  • Un booleano que indica si se activó el sensor de proximidad del dispositivo.
  • El contenido de version-control-info.textproto (solo para aplicaciones de Android configuradas para usar la integración del sistema de control de versiones (VCS) )

Ejemplos de información recopilada por Performance Monitoring

  • El ID de instalaciones de Firebase (FID)
  • El ID de sesión de Firebase, que es un UUID aleatorio generado para etiquetar eventos con una sesión.
  • Información general del dispositivo, como modelo, sistema operativo y orientación.
  • RAM y tamaño del disco
  • uso de CPU
  • Operador (basado en el país móvil y el código de red)
  • Información de radio/red (por ejemplo, WiFi, LTE, 3G)
  • País (basado en la dirección IP)
  • Localidad/idioma
  • Version de aplicacion
  • Estado de la aplicación en primer plano o en segundo plano
  • Nombre del paquete de la aplicación
  • ID de instalación de Firebase
  • Tiempos de duración de los rastreos automatizados
  • URL de red (sin incluir parámetros de URL ni contenido de carga útil) y la siguiente información correspondiente:
    • Códigos de respuesta (por ejemplo, 403, 200)
    • Tamaño de carga útil en bytes
    • Tiempos de respuesta

Vea una lista completa de los seguimientos automáticos recopilados por Performance Monitoring.

Guías para habilitar la suscripción voluntaria para el procesamiento de datos del usuario final

Los servicios de la tabla anterior necesitan cierta cantidad de datos del usuario final para funcionar. Como resultado, no es posible desactivar por completo la recopilación de datos mientras se utilizan esos servicios.

Si es un cliente que desea ofrecer a los usuarios la oportunidad de optar por un servicio y la recopilación de datos que lo acompaña, en la mayoría de los casos eso solo requiere agregar un cuadro de diálogo o alternar la configuración antes de usar el servicio.

Sin embargo, algunos servicios se inician automáticamente cuando se incluyen en una aplicación. Para brindarles a los usuarios la oportunidad de suscribirse antes de usar esos servicios, puede optar por deshabilitar la inicialización automática para cada servicio e inicializarlos manualmente en tiempo de ejecución. Para saber cómo, lea las guías a continuación:

Si integra Firebase con Google Analytics, aprenda cómo configurar la recopilación de datos de Analytics .

Lugares de almacenamiento y procesamiento de datos

A menos que un servicio o función ofrezca selección de ubicación de datos, Firebase puede procesar y almacenar sus datos en cualquier lugar donde Google o sus agentes tengan instalaciones. Las posibles ubicaciones de las instalaciones varían según el servicio.

Servicios exclusivos de EE. UU.

El servicio Firebase Authentication se ejecuta únicamente desde centros de datos de EE. UU. Como resultado, Firebase Authentication procesa datos exclusivamente en los Estados Unidos.

Servicios globales

La mayoría de los servicios de Firebase se ejecutan en la infraestructura global de Google. Podrían procesar datos en cualquiera de las ubicaciones de Google Cloud Platform o en las ubicaciones del centro de datos de Google . Para algunos servicios, puede realizar una selección de ubicación de datos específica que restringe el procesamiento a esa ubicación.

  • Almacenamiento en la nube para Firebase
  • Tienda de fuego en la nube
  • Funciones en la nube para Firebase
  • Alojamiento base de fuego
  • Crashlytics de base de fuego
  • Monitoreo del rendimiento de Firebase
  • Enlaces dinámicos de Firebase
  • Configuración remota de Firebase
  • Mensajería en la nube de Firebase
  • ML de base de fuego
  • Laboratorio de pruebas de Firebase
  • Verificación de la aplicación Firebase

Informacion de seguridad

Cifrado de datos

Los servicios de Firebase cifran los datos en tránsito mediante HTTPS y aíslan lógicamente los datos de los clientes.

Además, varios servicios de Firebase también cifran sus datos en reposo:

  • Tienda de fuego en la nube
  • Funciones en la nube para Firebase
  • Almacenamiento en la nube para Firebase
  • Crashlytics de base de fuego
  • Autenticación de base de fuego
  • Mensajería en la nube de Firebase
  • Base de datos en tiempo real de Firebase
  • Laboratorio de pruebas de Firebase
  • Verificación de la aplicación Firebase
  • Monitoreo del rendimiento de Firebase

Prácticas de seguridad

Para mantener seguros los datos personales, Firebase emplea amplias medidas de seguridad para minimizar el acceso:

  • Firebase restringe el acceso a empleados seleccionados que tienen un propósito comercial para acceder a datos personales.
  • Firebase registra el acceso de los empleados a los sistemas que contienen datos personales.
  • Firebase solo permite el acceso a datos personales a los empleados que inician sesión con el inicio de sesión de Google y la autenticación de dos factores .

Datos del servicio Firebase

Los datos del servicio Firebase son información personal que Google recopila y genera durante la prestación y administración de los servicios Firebase * , excluyendo los datos del cliente ** tal como se define en nuestros acuerdos con clientes que cubren los servicios Firebase y los datos del servicio Google Cloud . Los ejemplos de datos de servicio de Firebase incluyen información sobre el uso del servicio, identificadores de recursos como ID de aplicaciones y nombres de paquetes/ID de paquetes, detalles técnicos y operativos de uso, como direcciones IP, y comunicaciones directas con desarrolladores a partir de comentarios y conversaciones relacionadas con soporte.

*Los servicios cubiertos incluyen Firebase A/B Testing, Firebase App Check, Firebase App Distribution, Firebase Cloud Messaging, Firebase Crashlytics, Firebase Dynamic Links, Firebase Hosting, Firebase In-App Messaging, Firebase ML, Firebase Performance Monitoring, Firebase Realtime Database, Firebase Configuración remota y almacenamiento de segmentación de usuarios de Firebase.

**Para obtener más información sobre cómo procesamos los datos del cliente, consulte nuestros Términos de seguridad y procesamiento de datos de Firebase .

Ejemplos de cómo Firebase procesa los datos del servicio Firebase

Google utiliza los datos del servicio Firebase de acuerdo con nuestra política de privacidad y los términos aplicables. Los datos del servicio Firebase se utilizan, por ejemplo, para:

  • Proporcionar los servicios de Firebase que solicites
  • Hacer recomendaciones para optimizar el uso de los servicios de Firebase
  • Mantener y mejorar los servicios de Firebase
  • Proporcionar y mejorar otros servicios que solicite
  • Comprender su uso de Firebase y otros servicios de Google
  • Proporcionarle un mejor soporte y comunicarse con usted.
  • Protegerte a ti, a nuestros usuarios, al público y a Google
  • Cumplir con las obligaciones legales

Servicio Firebase Uso de datos por parte de servicios de Google que no son Firebase

Puede controlar si Google puede utilizar sus datos del servicio Firebase para proporcionar análisis, información y recomendaciones más profundas sobre los servicios de Google que no son de Firebase y mejorar los servicios de Google que no son de Firebase . Puede configurar esto en su página de configuración de privacidad de datos de Firebase.

Si este control está deshabilitado, los datos del servicio de Firebase se seguirán utilizando para otros fines, como los mencionados anteriormente, de acuerdo con nuestra política de privacidad y los términos aplicables, incluso para hacer recomendaciones y mejorar los servicios de Firebase , y para entregar y mejorar otros servicios que solicita, como productos de Google que vincula a su proyecto de Firebase.

¿Aún tienes preguntas? Contáctenos

Si tiene alguna pregunta relacionada con la privacidad que no esté cubierta aquí, comuníquese con el soporte de Firebase . Si eres desarrollador de Firebase, incluye tu ID de aplicación de Firebase. Busque el ID de su aplicación Firebase en la tarjeta Sus aplicaciones de su Configuración del proyecto .