Check out what’s new from Firebase@ Google I/O 2021, and join our alpha program for early access to the new Remote Config personalization feature. Learn more

Конфиденциальность и безопасность в Firebase

На этой странице представлена ​​основная информация о безопасности и конфиденциальности Firebase. Если вы хотите начать новый проект с Firebase или вам интересно, как Firebase работает с вашим существующим проектом, читайте дальше, чтобы узнать, как Firebase может помочь защитить вас и ваших пользователей.

Последнее изменение: 6 мая 2021 г.

Защита данных

Поддержка Firebase для GDPR и CCPA

25 мая 2018 г. Генеральный регламент ЕС по защите данных (GDPR) заменил Директиву ЕС 1995 г. о защите данных. 1 января 2020 г. вступил в силу Закон штата Калифорния о конфиденциальности потребителей (CCPA). Google стремится помочь нашим клиентам добиться успеха в соответствии с этими правилами конфиденциальности, будь то крупные компании-разработчики программного обеспечения или независимые разработчики.

GDPR налагает обязательства на контроллеров данных и обработчиков данных, а CCPA налагает обязательства на предприятия и их поставщиков услуг. Клиенты Firebase обычно выступают в качестве «контролера данных» (GDPR) или «бизнеса» (CCPA) для любых личных данных или информации о своих конечных пользователях, которые они предоставляют Google в связи с использованием Firebase, а Google обычно действует как « обработчик данных »(GDPR) или« поставщик услуг »(CCPA).

Это означает, что данные находятся под контролем клиента. Клиенты несут ответственность за такие обязательства, как соблюдение прав человека в отношении их личных данных или информации.

Условия обработки данных и безопасности Firebase

Когда клиенты используют Firebase, Google, как правило, обрабатывает данные в соответствии с GDPR и обрабатывает персональные данные от их имени. Точно так же, когда клиенты используют Firebase, Google обычно выступает в качестве поставщика услуг в соответствии с CCPA, обрабатывая личную информацию от их имени. Условия Firebase включают Условия обработки данных и безопасности, в которых подробно описаны эти обязанности.

На некоторые сервисы Firebase, регулируемые Условиями использования Google Cloud Platform (GCP) , уже распространяются соответствующие условия обработки данных, Условия обработки данных и безопасности GCP . Полный список сервисов Firebase, которые в настоящее время регулируются Условиями использования GCP, доступен в Условиях использования сервисов Firebase .

Crashlytics и распространение приложений регулируются Условиями обслуживания Firebase Crashlytics и Firebase App Distribution , а также соответствующими условиями обработки данных .

Использование Google Analytics для Firebase и Google Analytics регулируется Условиями использования Google Analytics для Firebase и Условиями использования Google Analytics соответственно, а также Условиями обработки данных Google Рекламы . Для получения дополнительной информации см. Защита ваших данных .

Firebase сертифицирована в соответствии с основными стандартами конфиденциальности и безопасности.

Соответствие ISO и SOC

Все службы Firebase (кроме распространения приложений и индексации приложений Firebase) успешно прошли процесс оценки ISO 27001 и SOC 1 , SOC 2 и SOC 3 , а некоторые также прошли процесс сертификации ISO 27017 и ISO 27018 . Отчеты о соответствии и сертификаты для служб Firebase, регулируемых Условиями использования GCP, можно запросить через диспетчер отчетов о соответствии.

Наименование услуги ISO 27001 ISO 27017 ISO 27018 SOC 1 SOC 2 SOC 3
Google Analytics для Firebase
Firebase ML
Лаборатория тестирования Firebase
Cloud Firestore
Облачные функции для Firebase
Облачное хранилище для Firebase
Проверка подлинности Firebase
Firebase Crashlytics
Распространение приложений Firebase
Обмен сообщениями Firebase в приложении
Обмен сообщениями Firebase Cloud
Прогнозы Firebase
Мониторинг производительности Firebase
Хостинг Firebase
Динамические ссылки Firebase
Удаленная конфигурация Firebase
База данных Firebase в реальном времени
Платформа Firebase
Тестирование Firebase A / B

Международная передача данных

Рамки Privacy Shield предоставляют механизм для соблюдения требований защиты данных при передаче персональных данных из ЕЭЗ, Великобритании или Швейцарии в США и далее. В то время как Соглашение об обмене конфиденциальной информацией между Швейцарией и США в настоящее время остается в силе, в свете недавнего постановления Суда Европейского Союза о передаче данных, аннулирующего Соглашение о защите конфиденциальности между ЕС и США, Firebase перешла на использование стандартных договорных положений для передачи соответствующих данных который, согласно постановлению, может оставаться действующим юридическим механизмом для передачи данных в соответствии с GDPR.

Мы стремимся иметь законную основу для передачи данных в соответствии с применимыми законами о защите данных.

Информация об обработке данных

Примеры персональных данных конечных пользователей, обрабатываемых Firebase

Некоторые сервисы Firebase обрабатывают личные данные ваших конечных пользователей для предоставления им услуг. В таблице ниже приведены примеры того, как различные службы Firebase используют и обрабатывают личные данные конечных пользователей. Кроме того, многие службы Firebase предлагают возможность запрашивать удаление определенных данных или контролировать их обработку.

Служба Firebase Личные данные Как данные помогают предоставлять услуги
Облачные функции для Firebase
  • IP-адреса

Как это помогает: облачные функции используют IP-адреса для выполнения функций обработки событий и функций HTTP на основе действий конечного пользователя.

Сохранение: облачные функции только временно сохраняют IP-адреса для предоставления услуги.

Проверка подлинности Firebase
  • Пароли
  • Адрес электронной почты
  • Телефонные номера
  • Пользовательские агенты
  • IP-адреса

Как это помогает: аутентификация Firebase использует данные для включения аутентификации конечных пользователей и упрощения управления учетными записями конечных пользователей. Он также использует строки пользовательского агента и IP-адреса для обеспечения дополнительной безопасности и предотвращения злоупотреблений во время регистрации и аутентификации.

Сохранение: Firebase Authentication сохраняет зарегистрированные IP-адреса в течение нескольких недель. Он сохраняет другую информацию аутентификации до тех пор, пока клиент Firebase не инициирует удаление связанного пользователя, после чего данные удаляются из действующих и резервных систем в течение 180 дней.

Распространение приложений Firebase

Как это помогает: Firebase App Distribution использует данные для распространения сборок приложений среди тестировщиков, отслеживания активности тестировщиков и связывания данных с устройствами тестировщиков.

Хранение: Firebase App Distribution сохраняет информацию о пользователях до тех пор, пока клиент Firebase не запросит ее удаление, после чего данные удаляются из действующих и резервных систем в течение 180 дней.

Обмен сообщениями Firebase Cloud
  • Идентификаторы установки Firebase

Как это помогает: Firebase Cloud Messaging использует идентификаторы установки Firebase, чтобы определять, на какие устройства доставлять сообщения.

Сохранение: Firebase сохраняет идентификаторы установки Firebase до тех пор, пока клиент Firebase не сделает вызов API для удаления идентификатора. После звонка данные удаляются из оперативной и резервной систем в течение 180 дней.

Firebase Crashlytics
  • UUID установки Crashlytics
  • Следы сбоев
  • Данные в формате минидампа Breakpad
    (Только NDK вылетает)

Как это помогает: Firebase Crashlytics использует трассировку стека сбоев, чтобы связать сбои с проектом, отправлять оповещения по электронной почте участникам проекта и отображать их в консоли Firebase, а также помогать клиентам Firebase отлаживать сбои. Он использует UUID установки Crashlytics для измерения количества пользователей, пострадавших от сбоя, и данные минидампа для обработки сбоев NDK. Данные минидампа сохраняются во время обработки сеанса сбоя, а затем удаляются. См. Примеры сохраненной информации об устройстве для получения более подробной информации о типах собираемой информации о пользователях.

Сохранение: Firebase Crashlytics сохраняет трассировки стека сбоев, извлеченные данные минидампа и связанные идентификаторы (включая UUID установки Crashlytics) в течение 90 дней.

Динамические ссылки Firebase
  • Характеристики устройства (iOS)
  • IP-адреса (iOS)

Как это помогает: динамические ссылки используют спецификации устройств и IP-адреса на iOS, чтобы открывать недавно установленные приложения для определенной страницы или контекста.

Сохранение: динамические ссылки только временно хранят спецификации устройств и IP-адреса для предоставления услуги.

Хостинг Firebase
  • IP-адреса

Как это помогает: хостинг использует IP-адреса входящих запросов для обнаружения злоупотреблений и предоставления клиентам подробного анализа данных об использовании.

Удержание: хостинг хранит IP-данные в течение нескольких месяцев.

Мониторинг производительности Firebase
  • Идентификаторы установки Firebase
  • IP-адреса

Как это помогает: Performance Monitoring использует идентификаторы установки Firebase для расчета количества уникальных установок Firebase, которые обращаются к сетевым ресурсам, чтобы гарантировать, что шаблоны доступа достаточно анонимны. Он также использует идентификаторы установки Firebase с Firebase Remote Config для управления скоростью создания отчетов о событиях производительности. Кроме того, он использует IP-адреса для сопоставления событий производительности со странами, из которых они происходят. Для получения дополнительной информации см. Сбор данных .

Хранение: мониторинг производительности сохраняет установки и события, связанные с IP, в течение 30 дней, а неидентифицированные данные о производительности в течение 90 дней.

Прогнозы Firebase
  • Идентификаторы установки Firebase

Как это помогает: Predictions использует идентификаторы установки Firebase, чтобы связать установки Firebase с проектом и получить временные ряды событий. Он использует эти события для прогнозирования вероятности наступления событий, указанных клиентом, а также прогнозов расходов и оттока по умолчанию.

Удержание: в прогнозе хранятся события, связанные с установкой, в течение 60 дней, а прогнозы, сделанные на основе этих событий, - в течение нескольких недель. Firebase сохраняет идентификаторы установки Firebase до тех пор, пока клиент Firebase не вызовет API для удаления идентификатора. После звонка данные удаляются из оперативной и резервной систем в течение 180 дней.

База данных Firebase в реальном времени
  • IP-адреса
  • Пользовательские агенты

Как это помогает: база данных Realtime использует IP-адреса и пользовательские агенты для включения инструмента профилирования , который помогает клиентам Firebase понимать тенденции использования и поломки платформы.

Хранение: в базе данных реального времени хранятся IP-адреса и информация о пользовательских агентах в течение нескольких дней, если заказчик не решит сохранить их на более длительный срок.

Google Analytics для Firebase

Как это помогает: Google Analytics использует данные для предоставления аналитических данных и информации об атрибуции. Собранная точная информация может зависеть от устройства и среды. Для получения дополнительной информации см. Сбор данных .

Хранение: Google Analytics сохраняет определенные данные, связанные с рекламными идентификаторами (например, идентификатор Apple для рекламодателей и идентификатор для поставщиков, идентификатор рекламы Android) в течение 60 дней, а также сохраняет сводные отчеты без автоматического истечения срока действия. Срок хранения данных на уровне пользователей, включая конверсии, составляет до 14 месяцев. Для всех остальных данных о событиях вы можете установить срок хранения в настройках Google Analytics на 2 или 14 месяцев. Узнать больше .

Удаленная конфигурация Firebase
  • Идентификаторы установки Firebase

Как это помогает: Remote Config использует идентификаторы установки Firebase для выбора значений конфигурации, которые возвращаются на устройства конечных пользователей.

Сохранение: Firebase сохраняет идентификаторы установки Firebase до тех пор, пока клиент Firebase не сделает вызов API для удаления идентификатора. После звонка данные удаляются из оперативной и резервной систем в течение 180 дней.

Firebase ML
  • Загруженные изображения
  • установка токенов аутентификации

Как это помогает: облачные API-интерфейсы временно хранят загруженные изображения, чтобы обработать и вернуть вам анализ. Сохраненные изображения обычно удаляются в течение нескольких часов. Дополнительную информацию см. В разделе часто задаваемых вопросов по использованию данных Cloud Vision.

токены аутентификации установки используются Firebase ML для аутентификации устройства при взаимодействии с экземплярами приложения, например, для распространения моделей разработчика на экземпляры приложения.

Сохранение: токены аутентификации установки остаются в силе до истечения срока их действия. Срок службы токена по умолчанию - одна неделя.

Примеры хранимой информации об устройствах, собираемой Crashlytics

  • RFC-4122 UUID, который позволяет нам дедуплицировать сбои.
  • Отметка времени, когда произошел сбой
  • Идентификатор пакета приложения и полный номер версии
  • Название операционной системы устройства и номер версии.
  • Логическое значение, указывающее, было ли устройство взломано / внедрено.
  • Название модели устройства, архитектура процессора, объем оперативной памяти и дискового пространства.
  • Указатель инструкции uint64 каждого кадра каждого запущенного в данный момент потока
  • Если доступно во время выполнения, текстовый метод или имя функции, содержащие каждый указатель инструкции.
  • Если было сгенерировано исключение, имя класса в виде обычного текста и значение сообщения исключения
  • Если был подан фатальный сигнал, его имя и целочисленный код
  • Для каждого двоичного изображения, загруженного в приложение, его имя, UUID, размер байта и базовый адрес uint64, по которому он был загружен в ОЗУ.
  • Логическое значение, указывающее, находилось ли приложение в фоновом режиме во время сбоя.
  • Целочисленное значение, указывающее поворот экрана во время сбоя.
  • Логическое значение, указывающее, сработал ли датчик приближения устройства.

Примеры информации, собираемой с помощью мониторинга производительности

  • Общая информация об устройстве, такая как модель, ОС и ориентация.
  • RAM и размер диска
  • использование процессора
  • Оператор (на основе кода страны и сети мобильной связи)
  • Информация о радио / сети (например, WiFi, LTE, 3G)
  • Страна (на основе IP-адреса)
  • Регион / язык
  • Версия приложения
  • Состояние переднего плана или фона приложения
  • Название пакета приложения
  • Идентификаторы установки Firebase
  • Продолжительность автоматизированных трассировок
  • Сетевые URL-адреса (не включая параметры URL-адреса или содержимое полезной нагрузки) и следующая соответствующая информация:
    • Коды ответа (например, 403, 200)
    • Размер полезной нагрузки в байтах
    • Время ответа

См. Полный список автоматических трассировок, собранных с помощью Performance Monitoring.

Руководства по включению подписки на обработку персональных данных конечных пользователей

Для работы служб, перечисленных в приведенной выше таблице, требуется некоторое количество личных данных конечных пользователей. В результате невозможно полностью отключить сбор данных при использовании этих сервисов.

Если вы являетесь клиентом, который хотел бы предложить пользователям возможность подписаться на услугу и связанный с ней сбор данных, в большинстве случаев для этого просто требуется добавить диалоговое окно или переключатель настроек перед использованием услуги.

Однако некоторые службы запускаются автоматически при включении в приложение. Чтобы дать пользователям возможность зарегистрироваться перед использованием этих служб, вы можете отключить автоматическую инициализацию для каждой службы и вместо этого вручную инициализировать их во время выполнения. Чтобы узнать, как это сделать, прочтите инструкции ниже:

Места хранения и обработки данных

Если служба или функция не предлагает выбор местоположения данных, Firebase может обрабатывать и хранить ваши данные там, где у Google или его агентов есть объекты. Возможные местоположения объекта зависят от услуги.

Услуги только для США

Некоторые службы Firebase работают только в центрах обработки данных в США. В результате эти службы обрабатывают данные исключительно в США.

  • Хостинг Firebase
  • Проверка подлинности Firebase

Глобальные услуги

Большинство сервисов Firebase работают в глобальной инфраструктуре Google. Они могли обрабатывать данные в любом из местоположений Google Cloud Platform или центров обработки данных Google . Для некоторых служб вы можете сделать определенный выбор местоположения данных, который ограничивает обработку этим местоположением.

  • Облачное хранилище для Firebase
  • Cloud Firestore
  • Облачные функции для Firebase
  • Firebase Crashlytics
  • Мониторинг производительности Firebase
  • Динамические ссылки Firebase
  • Удаленная конфигурация Firebase
  • Обмен сообщениями Firebase Cloud
  • Прогнозы Firebase
  • Гугл Аналитика
  • Firebase ML
  • Лаборатория тестирования Firebase

Информация о безопасности

Шифрование данных

Сервисы Firebase шифруют передаваемые данные с помощью HTTPS и логически изолируют данные клиентов.

Кроме того, несколько сервисов Firebase также шифруют свои данные в состоянии покоя:

  • Cloud Firestore
  • Облачные функции для Firebase
  • Облачное хранилище для Firebase
  • Firebase Crashlytics
  • Проверка подлинности Firebase
  • Обмен сообщениями Firebase Cloud
  • База данных Firebase в реальном времени
  • Лаборатория тестирования Firebase

Практика безопасности

Чтобы обеспечить безопасность личных данных, Firebase применяет обширные меры безопасности для минимизации доступа:

  • Firebase ограничивает доступ избранным сотрудникам, у которых есть деловая цель для доступа к личным данным.
  • Firebase регистрирует доступ сотрудников к системам, содержащим личные данные.
  • Firebase разрешает доступ к личным данным только тем сотрудникам, которые входят в систему с помощью Google Sign-In и двухфакторной аутентификации .

Данные службы Firebase

Данные службы Firebase - это личная информация, которую Google собирает и генерирует во время предоставления и администрирования служб Firebase * , за исключением данных клиента **, как определено в наших соглашениях с клиентами, касающихся служб Firebase и данных облачных служб Google . Примеры данных службы Firebase включают в себя информацию об использовании службы, идентификаторы ресурсов, такие как идентификаторы приложений и имена пакетов / идентификаторы пакетов, технические и эксплуатационные сведения об использовании, такие как IP-адреса, и прямое общение с разработчиками на основе отзывов и поддержки связанных разговоров.

* Включенные услуги включают тестирование Firebase A / B, распространение приложений Firebase, обмен облачными сообщениями Firebase, Firebase Crashlytics, динамические ссылки Firebase, хостинг Firebase, обмен сообщениями внутри приложений Firebase, Firebase ML, мониторинг производительности Firebase, прогнозы Firebase, базу данных Firebase в реальном времени и Firebase. Удаленная конфигурация.

** Дополнительные сведения о том, как мы обрабатываем данные клиентов, см. В наших Условиях обработки и безопасности данных Firebase, а также Условиях обработки и безопасности данных при сбое и распространении приложений .

Примеры того, как Firebase обрабатывает данные службы Firebase

Google использует данные службы Firebase в соответствии с нашей политикой конфиденциальности и применимыми условиями. Данные службы Firebase используются, например, для:

  • Предоставлять услуги Firebase по вашему запросу
  • Дайте рекомендации по оптимизации использования сервисов Firebase
  • Поддерживать и улучшать сервисы Firebase
  • Предоставлять и улучшать другие услуги, которые вы запрашиваете
  • Узнайте, как вы используете Firebase и другие сервисы Google.
  • Обеспечьте лучшую поддержку и общение с вами
  • Защитите вас, наших пользователей, общественность и Google
  • Соблюдать юридические обязательства

Использование данных службы Firebase службами Google, не относящимися к Firebase

Вы можете указать, могут ли ваши данные службы Firebase использоваться Google для более глубокого анализа, анализа и рекомендаций по службам Google, не связанным с Firebase, а также для улучшения служб Google, не связанных с Firebase . Вы можете настроить это на странице настроек конфиденциальности данных Firebase.

Если этот элемент управления отключен, данные службы Firebase будут по-прежнему использоваться для других целей, таких как указанные выше, в соответствии с нашей политикой конфиденциальности и применимыми условиями, в том числе для предоставления рекомендаций и улучшения служб Firebase , а также для предоставления и улучшения других запрашиваемые вами услуги, например продукты Google, которые вы связываете с проектом Firebase.

Остались вопросы? Свяжитесь с нами

По любым вопросам, связанным с конфиденциальностью, которые здесь не рассмотрены, обращайтесь через форму «Службы учетной записи» .