Privacy e sicurezza in Firebase

Questa pagina descrive le informazioni chiave sulla sicurezza e sulla privacy di Firebase. Se stai cercando di dare il via a un nuovo progetto con Firebase o sei curioso di sapere come funziona Firebase con il tuo progetto esistente, continua a leggere per vedere come Firebase può aiutare a proteggere te e i tuoi utenti.

Ultima modifica: 23 settembre 2021

Protezione dati

Supporto Firebase per GDPR e CCPA

Il 25 maggio 2018, il Regolamento generale sulla protezione dei dati dell'UE (GDPR) ha sostituito la Direttiva sulla protezione dei dati dell'UE del 1995. Il 1° gennaio 2020 è entrato in vigore il California Consumer Privacy Act (CCPA). Google si impegna ad aiutare i nostri clienti ad avere successo in base a queste normative sulla privacy, siano essi grandi società di software o sviluppatori indipendenti.

Il GDPR impone obblighi ai titolari e ai responsabili del trattamento dei dati e il CCPA impone obblighi alle imprese e ai loro fornitori di servizi. I clienti Firebase in genere agiscono come "responsabili del trattamento dei dati" (GDPR) o "azienda" (CCPA) per qualsiasi dato personale o informazione sui propri utenti finali forniti a Google in relazione all'utilizzo di Firebase e Google generalmente opera come " responsabile del trattamento" (GDPR) o "fornitore di servizi" (CCPA).

Ciò significa che i dati sono sotto il controllo del cliente. I clienti sono responsabili di obblighi come l'adempimento dei diritti di un individuo in relazione ai propri dati o informazioni personali.

Termini di elaborazione e sicurezza dei dati Firebase

Quando i clienti utilizzano Firebase, Google è generalmente un responsabile del trattamento dei dati ai sensi del GDPR ed elabora i dati personali per loro conto. Allo stesso modo, quando i clienti utilizzano Firebase, Google generalmente opera come fornitore di servizi ai sensi del CCPA che gestisce le informazioni personali per loro conto. Termini Firebase includono Elaborazione Dati e Sicurezza Termini dettagliare queste responsabilità.

Alcuni servizi Firebase disciplinati dal Cloud Platform di Google (GCP) condizioni generali di servizio sono già coperti da dati associati elaborazione termini, le GCP di elaborazione dei dati e della sicurezza Termini . Un elenco completo dei servizi Firebase attualmente disciplinato dalle GCP Termini di servizio è disponibile nelle Termini di servizio per Firebase Servizi .

Crashlytics e App Distribuzione sono regolate dalle Firebase Crashlytics e Firebase App termini di distribuzione del servizio , e sono coperte da quei dati associati elaborazione termini .

Google Analytics per Firebase e Google Analytics sono regolati dalle Google Analytics per Firebase Termini di servizio e le Google Analytics Termini di servizio , rispettivamente, così come i termini Google Ads elaborazione dati . Per ulteriori informazioni, fare riferimento alla salvaguardia dei dati .

Firebase è certificato secondo i principali standard di privacy e sicurezza

Conformità ISO e SOC

Tutti i servizi Firebase (a parte App Distribuzione e Firebase App Indexing) hanno completato con successo l'ISO 27001 e la SOC 1 , SOC 2 e SOC 3 processo di valutazione, e alcuni hanno anche completato l'ISO 27017 e ISO 27018 processo di certificazione. Rapporti di conformità e certificati per i servizi Firebase regolati dalle GCP Termini di servizio possono essere richiesti tramite il Compliance Report manager

Nome di Servizio ISO 27001 ISO 27017 ISO 27018 SOC 1 SOC 2 SOC 3
Google Analytics per Firebase
Firebase ML
Laboratorio di test Firebase
Cloud Firestore
Funzioni cloud per Firebase
Archiviazione cloud per Firebase
Autenticazione Firebase
Firebase Crashlytics
Distribuzione dell'app Firebase
Messaggistica in-app Firebase
Messaggistica cloud Firebase
Previsioni Firebase
Monitoraggio delle prestazioni di Firebase
Hosting Firebase
Collegamenti dinamici Firebase
Configurazione remota Firebase
Database in tempo reale Firebase
Piattaforma Firebase
Test A/B Firebase

Trasferimenti internazionali di dati

I framework dello Scudo per la privacy hanno fornito un meccanismo per conformarsi ai requisiti di protezione dei dati durante il trasferimento di dati personali del SEE, del Regno Unito o della Svizzera negli Stati Uniti e oltre. Mentre lo Scudo per la privacy Svizzera-USA rimane attualmente valido, alla luce della sentenza della Corte di giustizia dell'Unione europea sui trasferimenti di dati, che invalida lo Scudo per la privacy UE-USA, Firebase è passata a fare affidamento sulle clausole contrattuali standard per i trasferimenti di dati rilevanti, che , come da sentenza, può continuare ad essere un valido meccanismo giuridico per trasferire dati ai sensi del GDPR. Il 4 giugno 2021 la Commissione europea ha approvato nuove versioni delle clausole contrattuali standard, che stiamo incorporando nei nostri contratti con i clienti Firebase per i trasferimenti di dati pertinenti.

Ci impegniamo ad avere una base legale per i trasferimenti di dati in conformità con le leggi sulla protezione dei dati applicabili.

Informativa sul trattamento dei dati

Esempi di dati personali dell'utente finale elaborati da Firebase

Alcuni servizi Firebase elaborano i dati personali degli utenti finali per fornire il proprio servizio. Il grafico seguente contiene esempi di come i vari servizi Firebase utilizzano e gestiscono i dati personali degli utenti finali. Inoltre, molti servizi Firebase offrono la possibilità di richiedere la cancellazione di dati specifici o di controllare come vengono gestiti i dati.

Servizio Firebase Dati personali In che modo i dati aiutano a fornire il servizio
Funzioni cloud per Firebase
  • Indirizzi IP

Come funziona: le funzioni cloud utilizza gli indirizzi IP per eseguire le funzioni di funzioni di gestione degli eventi e HTTP basati sulle azioni degli utenti finali.

Ritenzione: funzioni cloud salva solo gli indirizzi IP temporaneo, per fornire il servizio.

Autenticazione Firebase
  • Le password
  • Indirizzi email
  • Numeri di telefono
  • Agenti utente
  • Indirizzi IP

Come funziona: Firebase autenticazione utilizza i dati per abilitare l'autenticazione dell'utente finale, e facilitare la gestione degli account degli utenti finali. Utilizza anche stringhe user-agent e indirizzi IP per fornire maggiore sicurezza e prevenire abusi durante la registrazione e l'autenticazione.

Ritenzione: Autenticazione Firebase continua a registrare gli indirizzi IP per un paio di settimane. Conserva altre informazioni di autenticazione fino a quando il cliente Firebase non avvia l'eliminazione dell'utente associato, dopodiché i dati vengono rimossi dai sistemi live e di backup entro 180 giorni.

Distribuzione dell'app Firebase

Come funziona: Firebase App Distribution utilizza i dati per distribuire app costruisce ai tester, l'attività tester del monitor, e dei dati associati con dispositivi tester.

Ritenzione: Firebase App Distribuzione conserva le informazioni dell'utente finché il cliente Firebase richiede la cancellazione, dopo di che i dati viene rimosso dal sistemi live e di backup entro 180 giorni.

Messaggistica cloud Firebase
  • ID installazione Firebase

Come funziona: Firebase nube di messaggistica utilizza gli ID di installazione Firebase per determinare quali dispositivi di consegnare i messaggi a.

Ritenzione: Firebase mantiene gli ID di installazione Firebase fino a quando il cliente Firebase effettua una chiamata API per eliminare l'ID. Dopo la chiamata, i dati vengono rimossi dai sistemi live e di backup entro 180 giorni.

Firebase Crashlytics
  • UUID di installazione di Crashlytics
  • Tracce di crash
  • Breakpad dati formattati minidump
    (solo NDK si blocca)

Come funziona: Firebase Crashlytics utilizza tracce dello stack di crash di crash associare a un progetto, invia una mail di notifica ai membri del progetto e visualizzarli nella console Firebase, e clienti di aiuto Firebase di debug si blocca. Utilizza gli UUID di installazione di Crashlytics per misurare il numero di utenti interessati da un arresto anomalo e dati minidump per elaborare gli arresti anomali di NDK. I dati del minidump vengono archiviati durante l'elaborazione della sessione di arresto anomalo e quindi eliminati. Consultare Esempi di informazioni memorizzate dispositivo per maggiori dettagli sui tipi di informazioni dell'utente raccolte.

Ritenzione: Firebase Crashlytics conserva tracce di crash di stack, i dati estratti minidump, e dei relativi identificatori (inclusi Crashlytics UUID installazione) per 90 giorni.

Collegamenti dinamici Firebase
  • Specifiche del dispositivo (iOS)
  • Indirizzi IP (iOS)

Come funziona: Dinamico Link utilizza le specifiche dei dispositivi e gli indirizzi IP su iOS per aprire le applicazioni installate di recente a una pagina o contesto specifico.

Ritenzione: Dinamico Link memorizza solo le specifiche dei dispositivi e gli indirizzi IP temporaneo, per fornire il servizio.

Hosting Firebase
  • Indirizzi IP

Come funziona: usi Hosting indirizzi IP di richieste in arrivo per rilevare gli abusi e fornire ai clienti con l'analisi dettagliata dei dati di utilizzo.

Ritenzione: Hosting conserva i dati IP per un paio di mesi.

Monitoraggio delle prestazioni di Firebase
  • ID installazione Firebase
  • Indirizzi IP

Come funziona: usi Performance Monitoring gli ID di installazione Firebase per calcolare il numero di installazioni Firebase uniche che le risorse di rete di accesso, al fine di garantire che i modelli di accesso siano sufficientemente anonima. Utilizza inoltre gli ID di installazione di Firebase con Firebase Remote Config per gestire la velocità di segnalazione degli eventi relativi alle prestazioni. Inoltre, utilizza gli indirizzi IP per mappare gli eventi relativi alle prestazioni nei paesi da cui provengono. Per ulteriori informazioni, vedere la raccolta dei dati .

Ritenzione: monitoraggio delle prestazioni mantiene installazione ed eventi IP associati per 30 giorni e dati sulle prestazioni de-identificati per 90 giorni.

Previsioni Firebase
  • ID installazione Firebase

Come funziona: Previsioni utilizza gli ID di installazione Firebase associare installazioni Firebase con un progetto e per recuperare una serie temporale degli eventi. Utilizza tali eventi per consentire la previsione della probabilità che si verifichino eventi specificati dal cliente, nonché previsioni di spesa e abbandono per impostazione predefinita.

Conservazione: Previsioni memorizza gli eventi di installazione-associato, per 60 giorni, e previsioni fatte basano su questi eventi per un paio di settimane. Firebase conserva gli ID di installazione di Firebase finché il cliente Firebase non effettua una chiamata API per eliminare l'ID. Dopo la chiamata, i dati vengono rimossi dai sistemi live e di backup entro 180 giorni.

Database in tempo reale Firebase
  • Indirizzi IP
  • Agenti utente

Come funziona: in tempo reale di database utilizza indirizzi IP e ai programmi utente di attivare lo strumento profiler , che aiuta i clienti a comprendere Firebase trend di utilizzo e guasti piattaforma.

Ritenzione: in tempo reale del database mantiene gli indirizzi IP e le informazioni user agent per qualche giorno, a meno che un cliente sceglie di salvare più a lungo.

Google Analytics per Firebase

Come funziona: Google Analytics utilizza i dati per fornire analisi e informazioni attribuzione. Le informazioni precise raccolte possono variare in base al dispositivo e all'ambiente. Per ulteriori informazioni consultare la raccolta dei dati .

Ritenzione: Google Analytics conserva i dati associati certo identificatore di pubblicità (ad esempio, Identifier di Apple per inserzionisti e Identifier per i fornitori, di Android Advertising ID) per 60 giorni, e conserva di dati aggregati, senza scadenza automatica. La conservazione dei dati a livello di utente, comprese le conversioni, è fissata fino a 14 mesi. Per tutti gli altri dati sugli eventi, puoi impostare la conservazione nelle impostazioni di Analytics su 2 mesi o 14 mesi. Per saperne di più .

Configurazione remota Firebase
  • ID installazione Firebase

Come funziona: Configurazione remota utilizza gli ID di installazione Firebase per selezionare i valori di configurazione per tornare ai dispositivi degli utenti finali.

Ritenzione: Firebase mantiene gli ID di installazione Firebase fino a quando il cliente Firebase effettua una chiamata API per eliminare l'ID. Dopo la chiamata, i dati vengono rimossi dai sistemi live e di backup entro 180 giorni.

Firebase ML
  • Immagini caricate
  • token di autorizzazione all'installazione

Come funziona: API basate su The Cloud memorizzare i caricato immagini temporaneamente, per elaborare e restituire l'analisi a voi. Le immagini archiviate vengono in genere eliminate entro poche ore. Vedere la Vision Cloud FAQ dati di utilizzo per ulteriori informazioni.

token di autenticazione installazione sono utilizzati da Firebase ML per l'autenticazione del dispositivo quando interagiscono con istanze app, ad esempio, di distribuire modelli sviluppatori alle istanze app.

Ritenzione: installazione token auth restano validi fino alla loro data di scadenza. La durata del token predefinita è di una settimana.

Esempi di informazioni sul dispositivo memorizzate raccolte da Crashlytics

  • Un UUID RFC-4122 che ci permette di deduplicare i crash
  • Il timestamp di quando si è verificato l'incidente
  • Identificatore del bundle dell'app e numero di versione completo
  • Il nome del sistema operativo e il numero di versione del dispositivo
  • Un booleano che indica se il dispositivo è stato jailbroken/rooted
  • Il nome del modello del dispositivo, l'architettura della CPU, la quantità di RAM e lo spazio su disco
  • Il puntatore dell'istruzione uint64 di ogni frame di ogni thread attualmente in esecuzione
  • Se disponibile nel runtime, il metodo in testo normale o il nome della funzione contenente ciascun puntatore all'istruzione.
  • Se è stata generata un'eccezione, il nome della classe in testo normale e il valore del messaggio dell'eccezione
  • Se è stato generato un segnale fatale, il suo nome e codice intero
  • Per ogni immagine binaria caricata nell'applicazione, il suo nome, UUID, dimensione in byte e l'indirizzo di base uint64 a cui è stata caricata nella RAM
  • Un booleano che indica se l'app era o meno in background al momento dell'arresto anomalo
  • Un valore intero che indica la rotazione dello schermo al momento dell'arresto anomalo
  • Un booleano che indica se il sensore di prossimità del dispositivo è stato attivato

Esempi di informazioni raccolte da Performance Monitoring

  • Informazioni generali sul dispositivo, come modello, sistema operativo e orientamento
  • RAM e dimensioni del disco
  • uso della CPU
  • Operatore (basato su Paese mobile e codice di rete)
  • Informazioni radio/rete (ad esempio, WiFi, LTE, 3G)
  • Paese (in base all'indirizzo IP)
  • Locale/lingua
  • Versione dell'app
  • Stato dell'app in primo piano o in background
  • Nome del pacchetto dell'app
  • ID installazione Firebase
  • Tempi di durata per le tracce automatizzate
  • URL di rete (esclusi i parametri URL o il contenuto del payload) e le seguenti informazioni corrispondenti:
    • Codici di risposta (ad esempio 403, 200)
    • Dimensione del carico utile in byte
    • Tempi di risposta

Vedi un elenco completo delle tracce automatiche raccolti da Performance Monitoring.

Guide per consentire l'attivazione del trattamento dei dati personali dell'utente finale

I servizi nella tabella sopra richiedono una certa quantità di dati personali dell'utente finale per funzionare. Di conseguenza, non è possibile disabilitare completamente la raccolta dei dati durante l'utilizzo di tali servizi.

Se sei un cliente che desidera offrire agli utenti la possibilità di attivare un servizio e la raccolta di dati che ne deriva, nella maggior parte dei casi è sufficiente aggiungere una finestra di dialogo o attivare le impostazioni prima di utilizzare il servizio.

Alcuni servizi, tuttavia, si avviano automaticamente quando inclusi in un'app. Per offrire agli utenti la possibilità di aderire prima di utilizzare tali servizi, puoi scegliere di disabilitare l'inizializzazione automatica per ciascun servizio e di inizializzarli manualmente in fase di esecuzione. Per scoprire come, leggi le guide qui sotto:

Luoghi di archiviazione e trattamento dei dati

A meno che un servizio o una funzione non offra la selezione della posizione dei dati, Firebase può elaborare e archiviare i tuoi dati ovunque Google o i suoi agenti abbiano strutture. Le potenziali posizioni delle strutture variano in base al servizio.

Servizi solo negli Stati Uniti

Alcuni servizi Firebase vengono eseguiti solo da data center statunitensi. Di conseguenza, questi servizi elaborano i dati esclusivamente negli Stati Uniti.

  • Hosting Firebase
  • Autenticazione Firebase

Servizi globali

La maggior parte dei servizi Firebase viene eseguita sull'infrastruttura globale di Google. Potevano elaborare dati in una qualsiasi delle posizioni della piattaforma cloud di Google o sedi dei data center di Google . Per alcuni servizi è possibile effettuare una specifica posizione dei dati di selezione che limita l'elaborazione a quella posizione.

  • Archiviazione cloud per Firebase
  • Cloud Firestore
  • Funzioni cloud per Firebase
  • Firebase Crashlytics
  • Monitoraggio delle prestazioni di Firebase
  • Collegamenti dinamici Firebase
  • Configurazione remota Firebase
  • Messaggistica cloud Firebase
  • Previsioni Firebase
  • statistiche di Google
  • Firebase ML
  • Laboratorio di test Firebase

Informazioni sulla sicurezza

Crittografia dei dati

I servizi Firebase crittografano i dati in transito utilizzando HTTPS e isolano logicamente i dati dei clienti.

Inoltre, diversi servizi Firebase crittografano anche i loro dati a riposo:

  • Cloud Firestore
  • Funzioni cloud per Firebase
  • Archiviazione cloud per Firebase
  • Firebase Crashlytics
  • Autenticazione Firebase
  • Messaggistica cloud Firebase
  • Database in tempo reale Firebase
  • Laboratorio di test Firebase

Pratiche di sicurezza

Per mantenere i dati personali al sicuro, Firebase impiega misure di sicurezza estese per ridurre al minimo l'accesso:

  • Firebase limita l'accesso a determinati dipendenti che hanno uno scopo aziendale per accedere ai dati personali.
  • Firebase registra l'accesso dei dipendenti ai sistemi che contengono dati personali.
  • Firebase permette solo l'accesso ai dati personali da parte dei dipendenti che si iscrivono con Google di accesso e autenticazione a 2 fattori .

Dati di servizio Firebase

Firebase Data Service sono informazioni personali che Google raccoglie e genera durante la fornitura e la gestione dei servizi Firebase *, ad esclusione dei clienti dati ** come definito nei nostri contratti con i clienti che coprono i servizi Firebase e Google Cloud Data Service . Esempi di dati di servizio Firebase includono informazioni sull'utilizzo del servizio, identificatori di risorse come ID applicazione e ID pacchetto/pacchetto, dettagli tecnici e operativi sull'utilizzo come indirizzi IP e comunicazioni dirette con gli sviluppatori da feedback e conversazioni relative all'assistenza.

*I servizi coperti includono Firebase A/B Testing, Firebase App Distribution, Firebase Cloud Messaging, Firebase Crashlytics, Firebase Dynamic Links, Firebase Hosting, Firebase In-App Messaging, Firebase ML, Firebase Performance Monitoring, Firebase Predictions, Firebase Realtime Database e Firebase Configurazione remota.

** Per ulteriori informazioni su come trattiamo i dati dei clienti, vedere i nostri Firebase elaborazione dei dati e della sicurezza Termini e Crashlytics e App Distribuzione di elaborazione dei dati e della sicurezza Termini .

Esempi di come i dati del servizio Firebase vengono elaborati da Firebase

Google utilizza Firebase Data Service in conformità con la nostra politica sulla privacy e le condizioni applicabili. I dati del servizio Firebase vengono utilizzati, ad esempio, per:

  • Fornisci i servizi Firebase richiesti
  • Fornire consigli per ottimizzare l'uso dei servizi Firebase
  • Mantenere e migliorare i servizi Firebase
  • Fornire e migliorare altri servizi richiesti
  • Comprendi il tuo utilizzo di Firebase e di altri servizi Google
  • Fornire un supporto migliore e comunicare con te
  • Proteggi te, i nostri utenti, il pubblico e Google
  • Rispettare gli obblighi di legge

Utilizzo dei dati del servizio Firebase da parte di servizi Google non Firebase

È possibile controllare se il vostro Firebase Data Service può essere utilizzato da Google per fornire più approfondita analisi, approfondimenti, e le raccomandazioni circa non Firebase servizi Google e migliorare i servizi non-Firebase Google. Puoi configurarlo nella pagina delle impostazioni sulla privacy dei dati di Firebase.

Se questo controllo è disabilitato, Firebase Data Service continuerà ad essere utilizzato per altri scopi, come ad esempio quelli di cui sopra, in conformità con la nostra politica sulla privacy e le condizioni applicabili, anche per formulare raccomandazioni circa e migliorare i servizi Firebase, e per fornire e migliorare altri servizi che richiedi, come i prodotti Google che colleghi al tuo progetto Firebase.

Hai ancora domande? Contattaci

Per eventuali domande relative alla privacy che hai che non sono coperti qui, raggiungere Firebase supporto . Se sei uno sviluppatore Firebase, includi il tuo ID app Firebase. Trova il tuo Firebase App ID nella scheda Le tue applicazioni delle vostre impostazioni del progetto .