Privacidad y seguridad en Firebase

Privacidad y seguridad en Firebase

En esta página se describe la información clave sobre la privacidad y la seguridad de Firebase. Ya sea que quieras iniciar un proyecto nuevo con Firebase o te interese conocer cómo funciona con tu proyecto existente, lee este artículo a fin de descubrir cómo Firebase puede ofrecer protección para ti y tus usuarios.

Modificado por última vez el 30 de mayo de 2018

Protección de datos

Firebase está preparado para el GDPR

El 25 de mayo de 2018, el Reglamento general de protección de datos (GDPR) de la UE reemplazará a la Directiva de protección de datos de la UE de 1995. Google está comprometido a ayudar a nuestros clientes a tener éxito bajo el GDPR, ya sean grandes empresas de software o desarrolladores independientes.

El GDPR impone obligaciones a los controladores de datos y a los procesadores de datos. Por lo general, los clientes de Firebase actúan como "controladores de datos" de la información personal sobre sus usuarios finales que proporcionan a Google en relación con su uso de Firebase. Por su parte, Google suele ser el "procesador de datos".

Esto significa que los datos están bajo el control del cliente. Los controladores son responsables de sus obligaciones, como cumplir con los derechos de una persona en relación con sus datos personales.

Si eres un cliente y quieres conocer las responsabilidades de los controladores de datos, deberías familiarizarte con las estipulaciones del GDPR y verificar tus planes de cumplimiento de normas.

Preguntas clave para tener en cuenta:

  • ¿De qué forma tu organización garantiza el control y la transparencia de los usuarios en torno al uso de datos?
  • ¿Estás seguro de que tu organización cuenta con los consentimientos apropiados en las áreas necesarias que especifica el GDPR?
  • ¿Tu organización posee los sistemas adecuados para registrar las preferencias y los consentimientos de los usuarios?
  • ¿Cómo demostrarás a los reguladores y los socios que cumples con los principios del GDPR y que tu organización es responsable?

Condiciones de seguridad y procesamiento de datos de Firebase

Por lo general, cuando los clientes usan Firebase, Google es el encargado de procesar los datos personales por ellos. Las condiciones de Firebase incluyen Condiciones de seguridad y procesamiento de datos para todos los servicios de Firebase, que se aplicarán a partir del 25 de mayo de 2018.

Ciertos servicios de Firebase que se rigen por las Condiciones del Servicio de Google Cloud Platform (GCP) ya están cubiertos por condiciones de procesamiento de datos asociadas: las Condiciones de seguridad y procesamiento de los datos de GCP. Puedes encontrar una lista completa de los servicios de Firebase que actualmente se rigen por las Condiciones del servicio de GCP en las Condiciones de servicio de Firebase.

Google Analytics para Firebase está cubierto por las Condiciones de procesamiento de datos de Google Ads.

Firebase está certificado según los principales estándares de seguridad y privacidad

Cumplimiento de ISO y SOC

Todos los servicios de Firebase completaron correctamente los procesos de evaluación ISO 27001, SOC 1, SOC 2 y SOC 3, y algunos también completaron los procesos de certificación ISO 27017 e ISO 27018:

Certificaciones del Marco de trabajo del Escudo de privacidad

En julio de 2016, la Comisión Europea concluyó que el Marco de trabajo del Escudo de privacidad entre la UE y los EE.UU. proporcionaba un mecanismo adecuado para permitir que las empresas de la UE cumplan con los requisitos de la Directiva relacionados con la transferencia de datos personales de la Unión Europea a los Estados Unidos. Google LLC está certificado según los marcos de trabajo del Escudo de privacidad entre EE.UU. y la UE y entre Suiza y EE.UU. Puedes ver la certificación en la lista del Escudo de privacidad.

Información sobre el procesamiento de datos

Ejemplos de datos personales de usuarios finales procesados por Firebase

Algunos servicios de Firebase procesan los datos personales de tus usuarios finales para proporcionar su servicio. El siguiente gráfico muestra ejemplos de cómo varios servicios de Firebase usan y controlan datos personales de usuarios finales. Además, varios servicios de Firebase ofrecen la capacidad de solicitar la eliminación de datos específicos o controlar cómo se administran.

Guías para habilitar la aceptación del procesamiento de datos personales de usuarios finales

Los servicios que aparecen en la tabla anterior necesitan cierta cantidad de datos personales de usuarios finales para funcionar. Como resultado, no es posible inhabilitar la recopilación de datos por completo mientras se usen estos servicios.

Si eres un cliente que desea ofrecer a los usuarios la posibilidad de aceptar un servicio, junto con su respectiva recopilación de datos, en la mayoría de los casos basta con agregar un diálogo o un botón para activar o desactivar la configuración antes de usar el servicio.

Sin embargo, algunos servicios se inician automáticamente cuando se incluyen en una app. Si deseas que los usuarios tengan la posibilidad de aceptar antes de usar esos servicios, puedes inhabilitar la inicialización automática de cada uno y, luego, iniciarlos de forma manual en el tiempo de ejecución. Para aprender a hacerlo, lee las guías que aparecen a continuación:

Ubicaciones de procesamiento y almacenamiento de datos

A menos que un servicio o una función permita seleccionar la ubicación de los datos, es posible que Firebase procese y almacene tus datos en cualquier instalación de Google o sus agentes. Las posibles ubicaciones de las instalaciones varían según el servicio.

Servicios solo para EE.UU.

Algunos servicios de Firebase se ejecutan solo desde centros de datos en EE.UU. Por lo tanto, esos servicios procesan datos exclusivamente en Estados Unidos.

  • Firebase Realtime Database
  • Cloud Firestore para Firebase
  • Firebase Hosting
  • Firebase Test Lab
  • Firebase Authentication

Servicios globales

La mayoría de los servicios de Firebase se ejecutan en la infraestructura global de Google. Podrían procesar datos en cualquiera de las ubicaciones de Google Cloud Platform o de los centros de datos de Google. Para algunos servicios, puedes realizar una selección de ubicación de datos que restrinja el procesamiento a esa ubicación.

  • Cloud Storage para Firebase
  • Cloud Functions para Firebase
  • Firebase Performance Monitoring
  • Firebase Crash Reporting
  • Firebase Dynamic Links
  • Firebase Invites
  • Firebase Remote Config
  • Firebase Cloud Messaging
  • Firebase Predictions
  • Google Analytics para Firebase
  • Kit de AA para Firebase

Información de seguridad

Encriptación de datos

Los servicios de Firebase encriptan datos en tránsito con HTTPS y datos de clientes aislados de manera lógica.

Además, varios servicios de Firebase también encriptan sus datos en reposo:

  • Cloud Firestore
  • Cloud Functions para Firebase
  • Cloud Storage para Firebase
  • Firebase Authentication
  • Firebase Cloud Messaging
  • Firebase Realtime Database
  • Firebase Test Lab

Prácticas de seguridad

Para mantener protegidos los datos personales y reducir al mínimo el acceso a ellos, Firebase aplica medidas de seguridad exhaustivas:

  • Firebase restringe el acceso a una selección de empleados que tienen un fin comercial para acceder a los datos personales.
  • Firebase registra el acceso de los empleados a los sistemas que contienen datos personales.
  • Firebase solo permite que accedan a los datos personales los empleados que lo hacen con el Acceso con Google y la autenticación de dos factores.

¿Tienes más preguntas? Comunícate con nosotros

Si tienes preguntas relacionadas con la privacidad que no se incluyen aquí, comunícate con nosotros mediante el formulario de Servicios de cuenta.

Enviar comentarios sobre…

¿Necesitas ayuda? Visita nuestra página de asistencia.