Google is committed to advancing racial equity for Black communities. See how.
Questa pagina è stata tradotta dall'API Cloud Translation.
Switch to English

Privacy e sicurezza in Firebase

Questa pagina descrive le principali informazioni sulla sicurezza e sulla privacy di Firebase. Che tu stia cercando di dare il via a un nuovo progetto con Firebase o sia curioso di sapere come funziona Firebase con il tuo progetto esistente, continua a leggere per vedere come Firebase può aiutarti a proteggere te e i tuoi utenti.

Ultima modifica: 13 agosto 2020

Protezione dati

Supporto Firebase per GDPR e CCPA

Il 25 maggio 2018, il regolamento generale sulla protezione dei dati dell'UE (GDPR) ha sostituito la direttiva sulla protezione dei dati dell'UE del 1995. Il 1 ° gennaio 2020 è entrato in vigore il California Consumer Privacy Act (CCPA). Google si impegna ad aiutare i nostri clienti ad avere successo in base a queste normative sulla privacy, siano essi grandi società di software o sviluppatori indipendenti.

Il GDPR impone obblighi ai titolari del trattamento e ai responsabili del trattamento dei dati e il CCPA impone obblighi alle imprese e ai loro fornitori di servizi. I clienti Firebase in genere agiscono come "controllore dei dati" (GDPR) o "azienda" (CCPA) per i dati personali o le informazioni sui loro utenti finali che forniscono a Google in relazione al loro utilizzo di Firebase e Google generalmente opera come " responsabile del trattamento dei dati "(GDPR) o" fornitore di servizi "(CCPA).

Ciò significa che i dati sono sotto il controllo del cliente. I clienti sono responsabili di obblighi come l'adempimento dei diritti di un individuo rispetto ai propri dati o informazioni personali.

Termini per l'elaborazione e la sicurezza dei dati Firebase

Quando i clienti utilizzano Firebase, Google è generalmente un responsabile del trattamento dei dati ai sensi del GDPR e tratta i dati personali per loro conto. Allo stesso modo, quando i clienti utilizzano Firebase, Google generalmente opera come fornitore di servizi ai sensi del CCPA che gestisce le informazioni personali per loro conto. I termini di Firebase includono i Termini di elaborazione e sicurezza dei dati che descrivono in dettaglio queste responsabilità.

Alcuni servizi Firebase regolati dai Termini di servizio di Google Cloud Platform (GCP) sono già coperti dai termini di elaborazione dei dati associati, i Termini per l' elaborazione e la sicurezza dei dati GCP . Un elenco completo dei servizi Firebase attualmente regolati dai Termini di servizio di GCP è disponibile nei Termini di servizio dei servizi Firebase .

Crashlytics e App Distribution sono regolati dai Termini di servizio di Firebase Crashlytics e Firebase App Distribution e sono coperti dai termini di elaborazione dei dati associati .

Google Analytics per Firebase e Google Analytics sono regolati rispettivamente dai Termini di servizio di Google Analytics per Firebase e dai Termini di servizio di Google Analytics , nonché dai Termini per il trattamento dei dati di Google Ads . Per ulteriori informazioni, fare riferimento a Protezione dei dati .

Firebase è certificato secondo i principali standard di privacy e sicurezza

Conformità ISO e SOC

Tutti i servizi Firebase (ad eccezione di App Distribution e Crashlytics) hanno completato con successo il processo di valutazione ISO 27001 e SOC 1 , SOC 2 e SOC 3 , e alcuni hanno anche completato il processo di certificazione ISO 27017 e ISO 27018 :

Nome di Servizio ISO 27001 ISO 27017 ISO 27018 SOC 1 SOC 2 SOC 3
Google Analytics per Firebase
Firebase ML
Firebase Test Lab
Cloud Firestore
Cloud Functions per Firebase
Cloud Storage per Firebase
Autenticazione Firebase
Firebase Crashlytics
Distribuzione di app Firebase
Messaggistica in-app Firebase
Firebase Cloud Messaging
Previsioni Firebase
Monitoraggio delle prestazioni di Firebase
Hosting Firebase
Firebase Dynamic Links
Firebase Remote Config
Database in tempo reale Firebase
Piattaforma Firebase
Firebase A / B Testing

Trasferimenti internazionali di dati

Le strutture dello Scudo per la privacy hanno fornito un meccanismo per rispettare i requisiti di protezione dei dati durante il trasferimento di dati personali SEE, del Regno Unito o della Svizzera negli Stati Uniti e oltre. Mentre lo scudo per la privacy Svizzera-USA rimane attualmente valido, alla luce della recente sentenza della Corte di giustizia dell'Unione europea sui trasferimenti di dati, che invalida lo scudo per la privacy UE-USA, Firebase è passata a fare affidamento sulle clausole contrattuali standard per i trasferimenti di dati pertinenti, che, come da sentenza, può continuare ad essere un valido meccanismo legale per il trasferimento dei dati ai sensi del GDPR.

Ci impegniamo ad avere una base legale per il trasferimento dei dati in conformità con le leggi sulla protezione dei dati applicabili.

Informazioni sul trattamento dei dati

Esempi di dati personali dell'utente finale elaborati da Firebase

Alcuni servizi Firebase elaborano i dati personali degli utenti finali per fornire il loro servizio. Il grafico seguente contiene esempi di come i vari servizi Firebase utilizzano e gestiscono i dati personali degli utenti finali. Inoltre, molti servizi Firebase offrono la possibilità di richiedere l'eliminazione di dati specifici o di controllare come vengono gestiti i dati.

Servizio Firebase Dati personali Come i dati aiutano a fornire il servizio
Cloud Functions per Firebase
  • Indirizzi IP

In che modo aiuta: Cloud Functions utilizza gli indirizzi IP per eseguire funzioni di gestione degli eventi e funzioni HTTP in base alle azioni dell'utente finale.

Conservazione: le funzioni cloud salvano solo temporaneamente gli indirizzi IP, per fornire il servizio.

Autenticazione Firebase
  • Le password
  • Indirizzi email
  • Numeri di telefono
  • Agenti utente
  • Indirizzi IP

In che modo aiuta: Firebase Authentication utilizza i dati per abilitare l'autenticazione dell'utente finale e facilitare la gestione dell'account dell'utente finale. Utilizza inoltre le stringhe dell'agente utente e gli indirizzi IP per fornire maggiore sicurezza e prevenire gli abusi durante la registrazione e l'autenticazione.

Conservazione: Firebase Authentication mantiene gli indirizzi IP registrati per alcune settimane. Conserva altre informazioni di autenticazione fino a quando il cliente Firebase non avvia l'eliminazione dell'utente associato, dopodiché i dati vengono rimossi dai sistemi live e di backup entro 180 giorni.

Distribuzione di app Firebase

In che modo aiuta: Firebase App Distribution utilizza i dati per distribuire build di app ai tester, monitorare l'attività dei tester e associare i dati ai dispositivi dei tester.

Conservazione: Firebase App Distribution conserva le informazioni dell'utente fino a quando il cliente Firebase non ne richiede l'eliminazione, dopodiché i dati vengono rimossi dai sistemi live e di backup entro 180 giorni.

Firebase Cloud Messaging
  • ID istanza

In che modo aiuta: Firebase Cloud Messaging utilizza gli ID istanza per determinare a quali dispositivi consegnare i messaggi.

Conservazione: Firebase conserva gli ID istanza fino a quando il cliente Firebase non effettua una chiamata API per eliminare l'ID. Dopo la chiamata, i dati vengono rimossi dai sistemi live e di backup entro 180 giorni.

Firebase Crashlytics
  • ID istanza
  • Tracce di incidente
  • Dati formattati minidump del breakpad
    (Solo NDK si arresta in modo anomalo)

In che modo aiuta: Firebase Crashlytics utilizza le tracce dello stack di arresto anomalo per associare arresti anomali a un progetto, inviare avvisi e-mail ai membri del progetto e visualizzarli nella console Firebase e aiutare i clienti Firebase a eseguire il debug degli arresti anomali. Utilizza gli ID istanza per misurare il numero di utenti interessati da un arresto anomalo e i dati minidump per elaborare gli arresti anomali di NDK. I dati del minidump vengono archiviati durante l'elaborazione della sessione di arresto anomalo e quindi eliminati. Fare riferimento a Esempi di informazioni sul dispositivo memorizzate per maggiori dettagli sui tipi di informazioni sull'utente raccolte.

Conservazione: Firebase Crashlytics conserva le tracce dello stack di arresto anomalo, i dati minidump estratti e gli identificatori associati (inclusi gli ID istanza) per 90 giorni.

Firebase Dynamic Links
  • Specifiche del dispositivo (iOS)
  • Indirizzi IP (iOS)

Come aiuta: Dynamic Links utilizza le specifiche del dispositivo e gli indirizzi IP su iOS per aprire le app appena installate in una pagina o contesto specifico.

Conservazione: Dynamic Links memorizza solo le specifiche del dispositivo e gli indirizzi IP temporaneamente, per fornire il servizio.

Hosting Firebase
  • Indirizzi IP

Come aiuta: l' hosting utilizza gli indirizzi IP delle richieste in arrivo per rilevare gli abusi e fornire ai clienti un'analisi dettagliata dei dati di utilizzo.

Conservazione: l' hosting conserva i dati IP per alcuni mesi.

Monitoraggio delle prestazioni di Firebase
  • ID istanza
  • Indirizzi IP

Come può essere d'aiuto: Performance Monitoring utilizza gli ID istanza per calcolare il numero di installazioni Firebase univoche che accedono alle risorse di rete, per garantire che i modelli di accesso siano sufficientemente anonimi. Utilizza inoltre ID istanza con Firebase Remote Config per gestire la frequenza dei rapporti sugli eventi relativi alle prestazioni. Inoltre, utilizza gli indirizzi IP per mappare gli eventi relativi alle prestazioni nei paesi da cui provengono. Per maggiori dettagli, fare riferimento a Esempi di informazioni raccolte .

Conservazione: il monitoraggio delle prestazioni conserva gli eventi associati all'istanza e all'IP per 30 giorni e i dati sulle prestazioni anonimi per 90 giorni.

Previsioni Firebase
  • ID istanza

In che modo è utile: Predictions utilizza gli ID istanza per associare le installazioni Firebase a un progetto e per recuperare una serie temporale di eventi. Utilizza tali eventi per consentire la previsione della probabilità del verificarsi di eventi specificati dal cliente, nonché previsioni di spesa e abbandono per impostazione predefinita.

Conservazione: le previsioni memorizzano gli eventi associati all'istanza per 60 giorni e le previsioni effettuate sulla base di questi eventi per alcune settimane. Firebase conserva gli ID istanza finché il cliente Firebase non effettua una chiamata API per eliminare l'ID. Dopo la chiamata, i dati vengono rimossi dai sistemi live e di backup entro 180 giorni.

Database in tempo reale Firebase
  • Indirizzi IP
  • Agenti utente

In che modo aiuta: Realtime Database utilizza indirizzi IP e agenti utente per abilitare lo strumento profiler , che aiuta i clienti Firebase a comprendere le tendenze di utilizzo e le interruzioni della piattaforma.

Conservazione: Realtime Database conserva gli indirizzi IP e le informazioni sull'agente utente per alcuni giorni, a meno che un cliente non scelga di salvarli più a lungo.

Google Analytics per Firebase

Come aiuta: Google Analytics utilizza i dati per fornire analisi e informazioni di attribuzione. Le informazioni precise raccolte possono variare in base al dispositivo e all'ambiente. Per ulteriori informazioni, vedere Raccolta dati .

Conservazione: Google Analytics conserva alcuni dati associati all'identificatore pubblicitario (ad esempio, l'identificatore Apple per gli inserzionisti e l'identificatore per i fornitori, l'ID pubblicitario di Android) per 60 giorni e conserva i rapporti aggregati senza scadenza automatica. La conservazione dei dati a livello di utente, comprese le conversioni, è fissata fino a 14 mesi. Per tutti gli altri dati sugli eventi, puoi impostare la conservazione nelle impostazioni di Analytics su 2 mesi o 14 mesi. Ulteriori informazioni .

Firebase Remote Config
  • ID istanza

In che modo è utile: Remote Config utilizza gli ID istanza per selezionare i valori di configurazione da restituire ai dispositivi degli utenti finali.

Conservazione: Firebase conserva gli ID istanza fino a quando il cliente Firebase non effettua una chiamata API per eliminare l'ID. Dopo la chiamata, i dati vengono rimossi dai sistemi live e di backup entro 180 giorni.

Firebase ML
  • Immagini caricate
  • ID istanza

In che modo aiuta: le API basate su cloud memorizzano temporaneamente le immagini caricate, per elaborare e restituire l'analisi. Le immagini memorizzate vengono generalmente eliminate entro poche ore. Consulta le domande frequenti sull'utilizzo dei dati di Cloud Vision per ulteriori informazioni.

Gli ID istanza vengono utilizzati da Firebase ML quando interagisce con istanze di app, ad esempio, per distribuire modelli per sviluppatori alle istanze di app. Gli ID istanza consentono inoltre a Firebase ML di utilizzare Firebase Remote Config per garantire che le API lato dispositivo (ad esempio elenchi di argomenti e filtri) siano mantenute aggiornate.

Conservazione: Firebase conserva gli ID istanza finché il cliente Firebase non effettua una chiamata API per eliminare l'ID. Dopo la chiamata, i dati vengono rimossi dai sistemi live e di backup entro 180 giorni.

Esempi di informazioni sul dispositivo memorizzate raccolte da Crashlytics

  • Un UUID RFC-4122 che ci consente di deduplicare gli arresti anomali
  • Il timestamp di quando si è verificato l'arresto anomalo
  • Identificatore del pacchetto dell'app e numero di versione completo
  • Il nome del sistema operativo e il numero di versione del dispositivo
  • Un valore booleano che indica se il dispositivo è stato sottoposto a jailbreak / root
  • Nome del modello del dispositivo, architettura della CPU, quantità di RAM e spazio su disco
  • Il puntatore all'istruzione uint64 di ogni frame di ogni thread attualmente in esecuzione
  • Se disponibile nel runtime, il metodo di testo in chiaro o il nome della funzione contenente ogni puntatore all'istruzione.
  • Se è stata generata un'eccezione, il nome della classe in testo normale e il valore del messaggio dell'eccezione
  • Se è stato generato un segnale fatale, il suo nome e il codice intero
  • Per ogni immagine binaria caricata nell'applicazione, il suo nome, UUID, dimensione in byte e indirizzo di base uint64 in cui è stata caricata nella RAM
  • Un valore booleano che indica se l'app era in background al momento dell'arresto anomalo
  • Un valore intero che indica la rotazione dello schermo al momento del crash
  • Un valore booleano che indica se il sensore di prossimità del dispositivo è stato attivato

Esempi di informazioni raccolte dal monitoraggio delle prestazioni

  • Informazioni generali sul dispositivo, come modello, sistema operativo e orientamento
  • RAM e dimensioni del disco
  • uso della CPU
  • Operatore (in base al Paese del cellulare e al codice di rete)
  • Informazioni su radio / rete (ad esempio, WiFi, LTE, 3G)
  • Paese (in base all'indirizzo IP)
  • Locale / lingua
  • Versione dell'app
  • Stato in primo piano o in background dell'app
  • Nome del pacchetto dell'app
  • ID istanza
  • Tempi di durata delle tracce automatizzate
  • URL di rete (esclusi i parametri URL o il contenuto del payload) e le seguenti informazioni corrispondenti:
    • Codici di risposta (ad esempio, 403, 200)
    • Dimensioni del payload in byte
    • Tempi di risposta

Visualizza un elenco completo delle tracce automatiche raccolte da Performance Monitoring.

Guide per abilitare l'attivazione del trattamento dei dati personali dell'utente finale

I servizi nella tabella sopra richiedono una certa quantità di dati personali dell'utente finale per funzionare. Di conseguenza, non è possibile disabilitare completamente la raccolta dei dati durante l'utilizzo di tali servizi.

Se sei un cliente che desidera offrire agli utenti la possibilità di aderire a un servizio e alla raccolta dei dati che ne deriva, nella maggior parte dei casi è sufficiente aggiungere una finestra di dialogo o alternare le impostazioni prima di utilizzare il servizio.

Alcuni servizi, tuttavia, si avviano automaticamente quando sono inclusi in un'app. Per dare agli utenti la possibilità di partecipare prima di utilizzare tali servizi, puoi scegliere di disabilitare l'inizializzazione automatica per ogni servizio e inizializzarli manualmente in fase di esecuzione. Per scoprire come leggere le guide di seguito:

Luoghi di archiviazione e trattamento dei dati

A meno che un servizio o una funzionalità non offra la selezione della posizione dei dati, Firebase può elaborare e archiviare i tuoi dati ovunque siano presenti strutture di Google o dei suoi agenti. Le potenziali ubicazioni delle strutture variano a seconda del servizio.

Servizi solo negli Stati Uniti

Alcuni servizi Firebase vengono eseguiti solo da data center statunitensi. Di conseguenza, questi servizi elaborano i dati esclusivamente negli Stati Uniti.

  • Database in tempo reale Firebase
  • Hosting Firebase
  • Autenticazione Firebase

Servizi globali

La maggior parte dei servizi Firebase viene eseguita sull'infrastruttura globale di Google. Potrebbero elaborare i dati in una qualsiasi delle sedi di Google Cloud Platform o di centri dati di Google . Per alcuni servizi è possibile effettuare una specifica selezione della posizione dei dati che limita l'elaborazione a quella posizione.

  • Cloud Storage per Firebase
  • Cloud Firestore
  • Cloud Functions per Firebase
  • Monitoraggio delle prestazioni di Firebase
  • Firebase Dynamic Links
  • Firebase Remote Config
  • Firebase Cloud Messaging
  • Previsioni Firebase
  • statistiche di Google
  • Firebase ML
  • Firebase Test Lab

Informazioni sulla sicurezza

Crittografia dei dati

I servizi Firebase crittografano i dati in transito utilizzando HTTPS e isolano logicamente i dati dei clienti.

Inoltre, diversi servizi Firebase crittografano anche i propri dati a riposo:

  • Cloud Firestore
  • Cloud Functions per Firebase
  • Cloud Storage per Firebase
  • Autenticazione Firebase
  • Firebase Cloud Messaging
  • Database in tempo reale Firebase
  • Firebase Test Lab

Pratiche di sicurezza

Per mantenere i dati personali al sicuro, Firebase impiega ampie misure di sicurezza per ridurre al minimo l'accesso:

  • Firebase limita l'accesso a dipendenti selezionati che hanno uno scopo aziendale per accedere ai dati personali.
  • Firebase registra l'accesso dei dipendenti ai sistemi che contengono dati personali.
  • Firebase consente l'accesso ai dati personali solo ai dipendenti che accedono con Google Sign-In e autenticazione a due fattori .

Hai ancora domande? Contattaci

Per qualsiasi domanda relativa alla privacy non trattata qui, contatta il modulo Servizi account .