O Google tem o compromisso de promover a igualdade racial para as comunidades negras. Saiba como.

Privacidade e segurança no Firebase

Nesta página, você conhecerá as principais informações de segurança e privacidade do Firebase. Se pretende iniciar um novo projeto com o Firebase ou tem interesse em saber como ele funciona com seu projeto, leia este artigo para entender como essa plataforma pode ajudar a proteger você e seus usuários.

Última modificação: 27 de janeiro de 2021

Proteção de dados

Suporte do Firebase para GDPR e CCPA

Em 25 de maio de 2018, o Regulamento geral de proteção de dados (GDPR) da União Europeia substituiu a Diretiva de proteção de dados da União Europeia de 1995. Em 1º de janeiro de 2020, a Lei de Privacidade do Consumidor da Califórnia (CCPA) entrou em vigor. O Google está comprometido em ajudar nossos clientes a ter sucesso de acordo com esses regulamentos de privacidade, sejam eles grandes empresas de software ou desenvolvedores independentes.

O GDPR impõe obrigações aos controladores e processadores de dados, e o CCPA impõe obrigações sobre empresas e provedores de serviços. Os clientes do Firebase costumam atuar como "controlador de dados" (GDPR) ou "empresa" (CCPA) para quaisquer dados pessoais ou informações sobre seus usuários finais que forneçam ao Google em conexão com o uso do Firebase, e o Google geralmente opera como um "processador de dados" (GDPR) ou um "provedor de serviços" (CCPA).

Isso significa que os dados estão sob controle do cliente. Os clientes são responsáveis por obrigações, como cumprir os direitos de um indivíduo em relação aos dados ou informações pessoais dele.

Termos de segurança e processamento de dados do Firebase

Quando os clientes usam o Firebase, o Google geralmente atua como um processador de dados de acordo com o GDPR, e processa dados pessoais em nome dele. Da mesma forma, quando os clientes usam o Firebase, o Google geralmente atua como um provedor de serviços sob a CCPA, que lida com informações pessoais em nome do cliente. Os termos do Firebase incluem Termos de segurança e processamento de dados, que detalham essas responsabilidades.

Alguns serviços do Firebase regidos pelos Termos de Serviço do Google Cloud Platform (GCP) já estão cobertos pelos Termos de processamento e segurança de dados do GCP. A lista completa de serviços do Firebase atualmente regidos pelos Termos de Serviço do GCP está disponível nesta página.

O Crashlytics e o App Distribution são regidos pelos Termos de Serviço do Firebase Crashlytics e do Firebase App Distribution e são cobertos por esses termos de processamento de dados associados.

O Google Analytics para Firebase e o Google Analytics são regidos pelos Termos de Serviço do Google Analytics para Firebase e pelos Termos de Serviço do Google Analytics, assim como os Termos de Processamento de Dados do Google Ads. Para mais informações, consulte Como proteger seus dados.

O Firebase é certificado de acordo com os principais padrões de privacidade e segurança

Conformidade com ISO e SOC

Todos os serviços do Firebase, além do App Distribution e do Crashlytics, concluíram com sucesso os processos de avaliação ISO 27001 e SOC 1, SOC 2 e SOC 3, e alguns também concluíram os processos de certificação ISO 27017 e ISO 27018:

Nome do serviço ISO 27001 ISO 27017 ISO 27018 SOC 1 SOC 2 SOC 3
Google Analytics para Firebase
Firebase ML
Firebase Test Lab
Cloud Firestore
Cloud Functions para Firebase
Cloud Storage para Firebase
Firebase Authentication
Firebase Crashlytics
Firebase App Distribution
Mensagens no app do Firebase
Firebase Cloud Messaging
Firebase Previsões
Monitoramento de desempenho do Firebase
Firebase Hosting
Firebase Dynamic Links
Configuração remota do Firebase
Firebase Realtime Database
Plataforma Firebase
Teste A/B do Firebase

Transferência de dados internacionais

As estruturas do Privacy Shield (Escudo de Proteção da Privacidade) oferecem um mecanismo para obedecer aos requisitos de proteção de informações ao transferir dados pessoais do EEE, Reino Unido ou Suíça para os Estados Unidos e assim por diante. Embora o Swiss-U.S. Privacy Shield (Escudo de Proteção da Privacidade entre os Estados Unidos e a Suíça) permaneça válido, devido à recente decisão do Tribunal de Justiça da União Europeia sobre transferências de dados, que invalida o EU-U.S. Privacy Shield, o Firebase adotou as cláusulas contratuais padrão para transferências de dados relevantes. De acordo com a decisão, essas cláusulas podem continuar sendo um mecanismo legal válido para transferir dados no âmbito do GDPR.

Nosso compromisso é ter uma base legal para fazer transferências de dados que obedeçam às leis de proteção de dados aplicáveis.

Informações sobre o processamento de dados

Exemplos de dados pessoais de usuários finais processados pelo Firebase

Alguns serviços do Firebase processam os dados pessoais dos usuários finais para fornecer funcionalidades específicas. O gráfico abaixo mostra exemplos de como vários serviços do Firebase usam e manipulam dados pessoais de usuários finais. Além disso, muitos serviços do Firebase oferecem a capacidade de solicitar a exclusão de dados específicos ou controlar como os dados são processados.

Serviço do Firebase Dados pessoais Como os dados ajudam a fornecer o serviço
Cloud Functions para Firebase
  • Endereços IP

Como isso ajuda: o Cloud Functions usa endereços IP para executar funções de manipulação de eventos e funções HTTP com base nas ações do usuário final.

Retenção: as funções de nuvem salvam endereços IP apenas temporariamente para fornecer o serviço.

Firebase Authentication
  • Senhas
  • Endereços de e-mail
  • Números de telefone
  • User agents
  • Endereços IP

Como isso ajuda: o Firebase Authentication usa os dados para permitir a autenticação do usuário final e facilitar o gerenciamento de contas do usuário final. Ele também usa strings do user-agent e endereços IP para fornecer segurança adicional e evitar abusos durante a inscrição e a autenticação.

Retenção: o Firebase Authentication mantém endereços IP registrados por algumas semanas. Ele retém outras informações de autenticação até que o cliente do Firebase inicie a exclusão do usuário associado, após o qual os dados são removidos dos sistemas ativos e de backup no prazo de 180 dias.

Firebase App Distribution

Como isso ajuda: o Firebase App Distribution usa os dados para distribuir versões de apps para testadores, monitorar a atividade de testadores e associar dados a dispositivos de teste.

Retenção: o Firebase App Distribution retém as informações do usuário até que o cliente do Firebase solicite a exclusão dele. Depois disso, os dados são removidos dos sistemas ativos e de backup no prazo de 180 dias.

Firebase Cloud Messaging
  • IDs de instalação do Firebase;

Como isso ajuda: o Firebase Cloud Messaging usa IDs de instalação do Firebase para determinar para quais dispositivos entregar mensagens.

Retenção: o Firebase retém os IDs de instalação até que o cliente do Firebase faça uma chamada de API para excluir o ID. Após a chamada, os dados são removidos dos sistemas ativos e de backup no prazo de 180 dias.

Firebase Crashlytics
  • UUIDs de instalação do Crashlytics
  • Traces de falha
  • Dados formatados de Breakpad minidump
    (somente falhas do NDK)

Como isso ajuda: o Firebase Crashlytics usa rastreamentos de pilha com falha para associar falhas a um projeto, enviar alertas por e-mail aos membros do projeto e exibi-los no Console do Firebase, além de ajudar os clientes do Firebase a depurar falhas. Ele usa os UUIDs de instalação do Crashlytics para medir o número de usuários afetados por uma falha e dados de minidump para processar falhas do NDK. Os dados do minidump são armazenados enquanto a sessão de falha está sendo processada e depois descartada. Consulte Exemplos de informações de dispositivos armazenados para mais detalhes sobre os tipos de informações do usuário coletados.

Retenção: o Firebase Crashlytics retém stack traces de falhas, extraiu dados minidump e identificadores associados (incluindo UUIDs de instalação do Crashlytics) por 90 dias.

Firebase Dynamic Links
  • Especificações do dispositivo (iOS)
  • Endereços IP (iOS)

Como isso ajuda: o Dynamic Links usa especificações de dispositivo e endereços IP no iOS para abrir apps recém-instalados em uma página ou contexto específico.

Retenção: o Dynamic Links armazena especificações do dispositivo e endereços IP apenas temporariamente para fornecer o serviço.

Firebase Hosting
  • Endereços IP

Como isso ajuda: o Hosting usa endereços IP de solicitações recebidas para detectar abuso e fornece aos clientes uma análise detalhada dos dados de uso.

Retenção: o Hosting retém os dados de IP por alguns meses.

Monitoramento de desempenho do Firebase
  • IDs de instalação do Firebase;
  • Endereços IP

Como isso ajuda: o Monitoramento de desempenho usa IDs de instalação do Firebase para calcular o número de instalações únicas do Firebase que acessam recursos de rede, para garantir que os padrões de acesso sejam suficientemente anônimos. Ele também usa os IDs de instalação do Firebase com a Configuração remota do Firebase para gerenciar a taxa de relatórios de eventos de desempenho. Além disso, ele usa endereços IP para mapear eventos de desempenho para os países de onde eles são originários. Para mais informações, consulte Coleta de dados.

Retenção: o Monitoramento de desempenho mantém eventos associados à instância e ao IP por 30 dias e dados de desempenho desidentificados por 90 dias.

Firebase Previsões
  • IDs de instalação do Firebase;

Como isso ajuda: o Previsões usa IDs de instalação do Firebase para associar instalações do Firebase a um projeto e recuperar uma série temporal de eventos. Ele usa esses eventos para permitir a previsão da probabilidade de ocorrência de eventos especificados pelo cliente, bem como previsões de gastos e rotatividade por padrão.

Retenção: o Predictions armazena eventos associados a instâncias por 60 dias e previsões feitas com base nesses eventos por algumas semanas. O Firebase retém os IDs de instalação do Firebase até que o cliente do Firebase faça uma chamada de API para excluir o ID. Após a chamada, os dados são removidos dos sistemas ativos e de backup no prazo de 180 dias.

Firebase Realtime Database
  • Endereços IP
  • User agents

Como isso ajuda: o Realtime Database usa endereços IP e user agents para ativar a ferramenta de criação de perfil, o que ajuda os clientes do Firebase a entender as tendências de uso e as interrupções da plataforma.

Retenção: o Realtime Database mantém os endereços IP e as informações do user agent por alguns dias, a menos que o cliente opte por deixá-lo salvo por mais tempo.

Google Analytics para Firebase

Como isso ajuda: o Google Analytics usa os dados para fornecer informações de análise e atribuição. As informações precisas coletadas podem variar de acordo com o dispositivo e o ambiente. Para mais informações, consulte Coleta de dados.

Retenção: o Google Analytics retém alguns dados de identificador de publicidade (por exemplo, o identificador para anunciantes e o identificador da Apple para fornecedores, o ID de publicidade do Android) por 60 dias, e mantém os relatórios agregados sem o vencimento automático. A retenção de dados no nível do usuário, incluindo conversões, pode ser definida para no máximo 14 meses. Para todos os outros dados de evento, é possível definir a retenção nas configurações do Google Analytics para dois ou 14 meses. Saiba mais

Configuração remota do Firebase
  • IDs de instalação do Firebase;

Como isso ajuda: o Configuração remota usa IDs de instalação do Firebase para selecionar valores de configuração para retornar aos dispositivos do usuário final.

Retenção: o Firebase retém os IDs de instâncias até que o cliente do Firebase faça uma chamada de API para excluir o ID. Após a chamada, os dados são removidos dos sistemas ativos e de backup no prazo de 180 dias.

Firebase ML
  • Imagens das quais você fez o upload
  • Tokens de autenticação de instalação do Firebase

Como isso ajuda: as APIs baseadas na nuvem armazenam as imagens enviadas temporariamente, para processar e retornar a análise para você. As imagens armazenadas geralmente são excluídas em algumas horas. Veja as perguntas frequentes sobre uso de dados do Cloud Vision para mais informações.

Os tokens de autenticação de instalação do Firebase são usados pelo Firebase ML para autenticação de dispositivos na interação com instâncias de apps, por exemplo, para distribuir modelos de desenvolvedor para instâncias de apps.

Retenção: os tokens de autenticação de instalação do Firebase permanecem válidos até a data de validade. A vida útil padrão do token é de uma semana.

Exemplos de informações de dispositivos armazenados coletadas pelo Crashlytics

  • Um UUID RFC-4122, que nos permite eliminar a duplicação de falhas
  • O carimbo de data/hora do momento da falha
  • O identificador do pacote e o número completo da versão do app
  • O nome do sistema operacional e o número da versão do dispositivo
  • É um booleano indicando se o dispositivo foi desbloqueado com jailbreak/com acesso root
  • O nome do modelo, a arquitetura da CPU, a quantidade de RAM e o espaço em disco do dispositivo.
  • O ponteiro de instrução uint64 de cada quadro e thread em execução no momento
  • Se disponível no ambiente de execução, o método de texto simples ou nome da função que contém cada ponteiro de instrução.
  • Caso uma exceção seja gerada, o nome da classe em texto simples e o valor da mensagem da exceção
  • Se um sinal fatal foi gerado, o nome e o código inteiro dele
  • Para cada imagem binária carregada no aplicativo, o nome, o UUID, o tamanho do byte e o endereço base uint64 em que foram carregados na RAM
  • Um booleano indicando se o app estava em segundo plano no momento em que falhou
  • Um valor inteiro que indica a rotação da tela no momento da falha
  • Um booleano indicando se o sensor de proximidade do dispositivo foi acionado

Exemplos de informações coletadas pelo Monitoramento de desempenho

  • informações gerais do dispositivo, como modelo, sistema operacional e orientação;
  • RAM e tamanho do disco;
  • uso da CPU;
  • operadora (com base no código do país em que o proprietário do celular reside e no código de rede);
  • Informações de rádio/rede (por exemplo, Wi-Fi, LTE, 3G);
  • país (com base no endereço IP);
  • local/idioma;
  • versão do app;
  • estado de primeiro ou segundo plano;
  • nome do pacote do aplicativo;
  • IDs de instalação do Firebase;
  • durações de rastros automáticos;
  • URLs de rede (não incluindo parâmetros de URL ou conteúdo de payload) e as seguintes informações correspondentes:
    • códigos de resposta (por exemplo, 403, 200);
    • tamanho do payload em bytes;
    • tempos de resposta.

Veja uma lista completa dos rastros automáticos coletados pelo Monitoramento de desempenho.

Guias para ativar a permissão do processamento de dados pessoais dos usuários finais

Os serviços na tabela acima precisam de uma certa quantidade de dados pessoais dos usuários finais para funcionar. Assim, não é possível desativar totalmente a coleta de dados durante o uso desses serviços.

Se você é cliente e gostaria de oferecer aos usuários a chance de ativar um serviço e a coleta de dados que o acompanha, na maioria dos casos isso requer apenas a adição de uma caixa de diálogo ou configurações antes de usar o serviço.

No entanto, alguns serviços são iniciados automaticamente quando incluídos em um aplicativo. Para que seus usuários possam ativar o compartilhamento de dados antes de usar esses serviços, você pode desativar a inicialização automática de cada serviço e inicializá-los manualmente no tempo de execução. Para saber como fazer isso, leia os guias abaixo:

Armazenamento de dados e locais de processamento

A menos que um serviço ou recurso ofereça a opção de selecionar o local de armazenamento dos dados, o Firebase pode processar e armazenar seus dados em qualquer lugar em que o Google ou agentes mantenham instalações. Os locais em potencial variam de acordo com o serviço.

Serviços somente para os EUA

Alguns serviços do Firebase são executados apenas em data centers dos EUA. Sendo assim, estes serviços processam dados exclusivamente nos Estados Unidos.

  • Firebase Hosting
  • Firebase Authentication

Serviços globais

A maioria dos serviços do Firebase é executada na infraestrutura global do Google. Eles podem processar dados em qualquer um dos locais do Google Cloud Platform ou dos data centers do Google. Para alguns serviços, é possível fazer uma seleção de local de dados específica. Isso restringe o processamento ao local escolhido.

  • Cloud Storage para Firebase
  • Cloud Firestore
  • Cloud Functions para Firebase
  • Monitoramento de desempenho do Firebase
  • Firebase Dynamic Links
  • Configuração remota do Firebase
  • Firebase Cloud Messaging
  • Firebase Previsões
  • Google Analytics
  • Firebase ML
  • Firebase Test Lab

Informações de segurança

Criptografia de dados

Os serviços do Firebase criptografam dados em trânsito usando HTTPS e isolam logicamente os dados do cliente.

Além disso, vários serviços do Firebase também criptografam dados em repouso:

  • Cloud Firestore
  • Cloud Functions para Firebase
  • Cloud Storage para Firebase
  • Firebase Authentication
  • Firebase Cloud Messaging
  • Firebase Realtime Database
  • Firebase Test Lab

Práticas de segurança

Para manter os dados pessoais seguros, o Firebase emprega medidas abrangentes de segurança para minimizar o acesso a eles:

  • O Firebase restringe o acesso a funcionários selecionados que tenham uma finalidade comercial para acessar dados pessoais.
  • O Firebase registra o acesso dos funcionários a sistemas que contêm dados pessoais.
  • O Firebase permite apenas o acesso a dados pessoais por funcionários que acessam a rede com o login do Google e a autenticação de dois fatores.

Dados de serviços do Firebase

Os dados de serviços do Firebase são informações pessoais que o Google coleta e gera durante o provisionamento e a administração dos serviços do Firebase*, com exceção dos dados do cliente**, conforme definido no nossos contratos com clientes que abrangem os serviços do Firebase e os Dados de serviços do Google Cloud. Exemplos de dados de serviços do Firebase incluem informações sobre uso do serviço, identificadores de recurso, como IDs do aplicativo e nome do pacote/ID do pacote, detalhes técnicos e operacionais do uso, como endereços IP e comunicações diretas com desenvolvedores de conversas relacionadas a feedback e suporte.

*Os serviços incluem Teste A/B do Firebase, Firebase App Distribution, Firebase Cloud Messaging, Firebase Crashlytics, Firebase Dynamic Links, Firebase Hosting, Firebase In-App Messaging, Firebase ML, Monitoramento de desempenho do Firebase, Firebase Previsões, Firebase Realtime Database e Configuração remota do Firebase.

**Para mais informações sobre como processamos dados do cliente, consulte nossos Termos de processamento e segurança de dados do Firebase e Termos de segurança e processamento de dados do App Distribution.

Exemplos de como os dados do serviço do Firebase são processados pelo Firebase

O Google usa os dados de serviços do Firebase de acordo com a nossa política de privacidade e termos aplicáveis. Os dados de serviços do Firebase são usados, por exemplo, para:

  • Fornecer os serviços do Firebase solicitados
  • Fazer recomendações para otimizar o uso dos serviços do Firebase.
  • Manter e melhorar os serviços do Firebase
  • Fornecer e melhorar outros serviços solicitados
  • Entender o uso do Firebase e de outros serviços do Google
  • Ofereça um suporte melhor e comunique-se com você
  • Proteger você, nossos usuários, o público e o Google
  • Cumprir com as obrigações legais

Uso de dados do serviço do Firebase por serviços do Google não relacionados ao Firebase

É possível controlar se os dados de serviços do Firebase podem ser usados pelo Google para fornecer análises, insights e recomendações mais detalhadas sobre serviços do Google que não pertencem ao Firebase e melhorias nos serviços do Google que não pertencem ao Firebase. É possível definir isso na sua página de configurações de privacidade de dados do Firebase.

Se esse controle for desativado, os dados de serviços do Firebase continuarão sendo usados para outras finalidades, como aquelas mencionadas acima, de acordo com a nossa Política de Privacidade e os termos aplicáveis, incluindo recomendações e melhorias nos serviços do Firebase, e para fornecer e melhorar outros serviços solicitados, como produtos do Google que você vincula ao seu projeto do Firebase.

Ainda tem dúvidas? Entre em contato

Para dúvidas relacionadas à privacidade que não tenham sido abordadas neste artigo, entre em contato por meio do formulário de serviços da conta.