Privacy e sicurezza in Firebase

Questa pagina illustra le principali informazioni sulla sicurezza e sulla privacy di Firebase. Che tu stia cercando di avviare un nuovo progetto con Firebase o che tu sia curioso di sapere come funziona Firebase con il tuo progetto esistente, continua a leggere per vedere come Firebase può aiutarti a proteggere te e i tuoi utenti.

Ultima modifica: 25 luglio 2023

Protezione dati

Supporto Firebase per GDPR e CCPA

Il 25 maggio 2018, il Regolamento generale sulla protezione dei dati (GDPR) dell’UE ha sostituito la Direttiva europea sulla protezione dei dati del 1995. Il 1° gennaio 2020 è entrato in vigore il California Consumer Privacy Act (CCPA). Il 1° gennaio 2023 è entrato in vigore il California Privacy Rights Act (CPRA), una legge sulla privacy dei dati che modifica e amplia il CCPA. Google si impegna ad aiutare i nostri clienti ad avere successo nel rispetto di queste normative sulla privacy, siano essi grandi società di software o sviluppatori indipendenti.

Il GDPR impone obblighi ai titolari e ai responsabili del trattamento dei dati, mentre il CCPA/CPRA impone obblighi alle imprese e ai loro fornitori di servizi. I clienti Firebase in genere agiscono come "titolare del trattamento dei dati" (GDPR) o "aziendale" (CCPA/CPRA) per qualsiasi dato personale o informazione sui propri utenti finali che forniscono a Google in relazione al loro utilizzo di Firebase e Google generalmente opera come un “responsabile del trattamento” (GDPR) o un “fornitore di servizi” (CCPA/CPRA).

Ciò significa che i dati sono sotto il controllo del cliente. I clienti sono responsabili di obblighi come l'adempimento dei diritti di un individuo rispetto ai propri dati o informazioni personali.

Termini per l'elaborazione e la sicurezza dei dati Firebase

Quando i clienti utilizzano Firebase, Google è generalmente un responsabile del trattamento dei dati ai sensi del GDPR ed elabora i dati personali per loro conto. Allo stesso modo, quando i clienti utilizzano Firebase, Google generalmente opera come fornitore di servizi ai sensi del CCPA/CPRA gestendo le informazioni personali per loro conto. I termini di Firebase includono termini per l'elaborazione dei dati e la sicurezza che descrivono in dettaglio queste responsabilità.

Alcuni servizi Firebase regolati dai Termini di servizio di Google Cloud Platform (GCP) sono già coperti dai termini di elaborazione dei dati associati, l' Addendum sull'elaborazione dei dati nel cloud . Un elenco completo dei servizi Firebase attualmente regolati dai Termini di servizio GCP è disponibile nei Termini di servizio per i servizi Firebase .

Google Analytics è un servizio separato che può essere utilizzato insieme a Firebase ed è soggetto a termini separati .

Firebase è certificato secondo i principali standard di privacy e sicurezza

Conformità ISO e SOC

Tutti i servizi Firebase (a parte l'indicizzazione delle app) hanno completato con successo il processo di valutazione ISO 27001 e SOC 1 , SOC 2 e SOC 3 e alcuni hanno anche completato il processo di certificazione ISO 27017 e ISO 27018 . I rapporti di conformità e i certificati per i servizi Firebase regolati dai Termini di servizio GCP possono essere richiesti tramite il Gestore dei rapporti di conformità

Nome di Servizio ISO27001 ISO27017 ISO27018 SOC1 SOC2 SOC3
FirebaseML
Laboratorio di test Firebase
Cloud Fire Store
Funzioni cloud per Firebase
Archiviazione nel cloud per Firebase
Autenticazione Firebase
Crashlytics di Firebase
Controllo dell'app Firebase
Distribuzione dell'app Firebase
Messaggistica in-app Firebase
Messaggistica cloud Firebase
Monitoraggio delle prestazioni di Firebase
Hosting Firebase
Collegamenti dinamici Firebase
Configurazione remota Firebase
Database in tempo reale Firebase
Piattaforma Firebase
Test A/B di Firebase

Trasferimenti internazionali di dati

Gli schemi dello Scudo per la privacy fornivano un meccanismo per conformarsi ai requisiti di protezione dei dati durante il trasferimento di dati personali del SEE, del Regno Unito o della Svizzera negli Stati Uniti e oltre. Alla luce della sentenza della Corte di giustizia dell'Unione europea sui trasferimenti di dati, che invalida lo scudo per la privacy UE-USA, Firebase è passata a fare affidamento sulle clausole contrattuali standard per i trasferimenti di dati rilevanti, che, secondo la sentenza, possono continuare a essere una decisione meccanismo legale valido per trasferire i dati ai sensi del GDPR. Il 4 giugno 2021 la Commissione Europea ha approvato le nuove versioni delle clausole contrattuali standard, che stiamo incorporando nei nostri contratti con i clienti Firebase per i trasferimenti di dati rilevanti.

Ci impegniamo ad avere una base legale per i trasferimenti di dati in conformità con le leggi applicabili sulla protezione dei dati.

Informativa sul trattamento dei dati

Esempi di dati degli utenti finali elaborati da Firebase

Alcuni servizi Firebase elaborano i dati degli utenti finali per fornire il proprio servizio. La tabella seguente contiene esempi di come i vari servizi Firebase utilizzano e gestiscono i dati degli utenti finali che potrebbero potenzialmente identificarli. Inoltre, molti servizi Firebase offrono la possibilità di richiedere la cancellazione di dati specifici o di controllare la modalità di gestione dei dati.

Servizio Firebase Dati dell'utente finale In che modo i dati aiutano a fornire il servizio
Funzioni cloud per Firebase
  • Indirizzi IP

A cosa serve: Cloud Functions utilizza gli indirizzi IP per eseguire funzioni di gestione degli eventi e funzioni HTTP in base alle azioni dell'utente finale.

Conservazione: le funzioni cloud salvano gli indirizzi IP solo temporaneamente, per fornire il servizio.

Autenticazione Firebase
  • Le password
  • Indirizzi email
  • Numeri di telefono
  • Agenti utente
  • Indirizzi IP

A cosa serve: Firebase Authentication utilizza i dati per abilitare l'autenticazione dell'utente finale e facilitare la gestione dell'account dell'utente finale. Utilizza inoltre stringhe user-agent e indirizzi IP per fornire maggiore sicurezza e prevenire abusi durante la registrazione e l'autenticazione.

Conservazione: l'autenticazione Firebase conserva gli indirizzi IP registrati per alcune settimane. Conserva altre informazioni di autenticazione finché il cliente Firebase non avvia l'eliminazione dell'utente associato, dopodiché i dati vengono rimossi dai sistemi live e di backup entro 180 giorni.

Controllo dell'app Firebase
  • Materiale di attestazione proveniente da fornitori di attestazioni supportati
  • Token App Check provenienti da attestazioni riuscite

A cosa serve: Firebase App Check utilizza il materiale di attestazione richiesto dal fornitore di attestazioni corrispondente e ricevuto dai dispositivi dell'utente finale per aiutare a stabilire l'integrità del dispositivo e/o dell'app. I materiali di attestazione vengono inviati al fornitore di attestazioni corrispondente per la convalida in base alla configurazione dello sviluppatore. I token App Check ottenuti da attestazioni riuscite vengono inviati con ogni richiesta ai servizi Firebase supportati per accedere alle risorse protette da App Check.

Conservazione: il materiale di attestazione non viene conservato da App Check, ma quando viene inviato ai fornitori di attestazioni, è soggetto ai termini di tali fornitori di attestazioni. I token App Check restituiti dalle attestazioni riuscite sono validi per tutta la loro durata TTL, che non può essere superiore a 7 giorni. Per gli sviluppatori che utilizzano funzionalità di protezione dalla riproduzione, App Check archivia i token App Check utilizzati con queste funzionalità per un massimo di 30 giorni. Altri token App Check non utilizzati con le funzionalità di protezione della riproduzione non vengono conservati dai servizi Firebase.

Distribuzione dell'app Firebase
  • Nomi degli utenti
  • Indirizzi email
  • UDID iOS
  • Proteggi gli ID Android
  • ID di installazione di Firebase
  • Feedback del tester (screenshot e testo)

A cosa serve: Firebase App Distribution utilizza i dati per distribuire build di app ai tester, monitorare l'attività dei tester, abilitare funzionalità dei tester come feedback in-app e associare i dati ai dispositivi dei tester.

Conservazione: Firebase App Distribution conserva le informazioni dell'utente fino a quando il cliente Firebase non ne richiede l'eliminazione, dopodiché i dati vengono rimossi dai sistemi live e di backup entro 180 giorni.

Messaggistica cloud Firebase
  • ID di installazione di Firebase

A cosa serve: Firebase Cloud Messaging utilizza gli ID di installazione Firebase per determinare a quali dispositivi recapitare i messaggi.

Conservazione: Firebase conserva gli ID di installazione Firebase finché il cliente Firebase non effettua una chiamata API per eliminare l'ID. Dopo la chiamata, i dati vengono rimossi dai sistemi live e di backup entro 180 giorni.

Crashlytics di Firebase
  • UUID di installazione di Crashlytics
  • ID delle installazioni Firebase
  • Tracce di incidenti
  • Dati formattati minidump di Breakpad
    (Solo NDK si arresta in modo anomalo)

A cosa serve: Firebase Crashlytics utilizza le analisi dello stack di arresti anomali per associare gli arresti anomali a un progetto, inviare avvisi e-mail ai membri del progetto e visualizzarli nella console Firebase e aiutare i clienti Firebase a eseguire il debug degli arresti anomali. Utilizza gli UUID di installazione di Crashlytics per misurare il numero di utenti interessati da un arresto anomalo e dati minidump per elaborare gli arresti anomali di NDK. I dati del minidump vengono archiviati durante l'elaborazione della sessione di arresto anomalo e quindi eliminati. L'ID di installazione di Firebase abilita le funzionalità future che miglioreranno i servizi di segnalazione degli arresti anomali e di gestione degli arresti anomali. Fare riferimento a Esempi di informazioni sul dispositivo memorizzate per maggiori dettagli sui tipi di informazioni utente raccolte.

Conservazione: Firebase Crashlytics conserva le tracce dello stack di arresto anomalo, i dati minidump estratti e gli identificatori associati (inclusi gli UUID di installazione di Crashlytics e gli ID di installazione di Firebase) per 90 giorni prima di iniziare il processo di rimozione dai sistemi live e di backup.

Collegamenti dinamici Firebase
  • Specifiche del dispositivo (iOS)
  • Indirizzi IP (iOS)

A cosa serve: Dynamic Links utilizza le specifiche del dispositivo e gli indirizzi IP su iOS per aprire le app appena installate in una pagina o in un contesto specifico.

Conservazione: Dynamic Links memorizza solo temporaneamente le specifiche del dispositivo e gli indirizzi IP, per fornire il servizio.

Hosting Firebase
  • Indirizzi IP

A cosa serve: l'hosting utilizza gli indirizzi IP delle richieste in arrivo per rilevare abusi e fornire ai clienti un'analisi dettagliata dei dati di utilizzo.

Conservazione: l'hosting conserva i dati IP per alcuni mesi.

Monitoraggio delle prestazioni di Firebase
  • ID di installazione di Firebase
  • Indirizzi IP

A cosa serve: il monitoraggio delle prestazioni utilizza gli ID di installazione Firebase per calcolare il numero di installazioni Firebase univoche che accedono alle risorse di rete, per garantire che i modelli di accesso siano sufficientemente anonimi. Utilizza inoltre gli ID di installazione Firebase con Firebase Remote Config per gestire la velocità di reporting degli eventi di prestazione. Inoltre, utilizza gli indirizzi IP per mappare gli eventi di performance nei paesi da cui provengono. Per ulteriori informazioni, vedere Raccolta dati .

Conservazione: il monitoraggio delle prestazioni conserva gli eventi associati all'IP per 30 giorni e i dati sulle prestazioni associati all'installazione e non identificati per 90 giorni prima di iniziare il processo di rimozione dai sistemi attivi e di backup.

Messaggistica in-app Firebase
  • ID di installazione di Firebase

A cosa serve: la messaggistica in-app Firebase utilizza gli ID di installazione Firebase per determinare a quali dispositivi recapitare i messaggi.

Conservazione: Firebase conserva gli ID di installazione Firebase finché il cliente Firebase non effettua una chiamata API per eliminare l'ID. Dopo la chiamata, i dati vengono rimossi dai sistemi live e di backup entro 180 giorni.

Database in tempo reale Firebase
  • Indirizzi IP
  • Agenti utente

A cosa serve: Realtime Database utilizza indirizzi IP e agenti utente per abilitare lo strumento profiler , che aiuta i clienti Firebase a comprendere le tendenze di utilizzo e i guasti della piattaforma.

Conservazione: Realtime Database conserva gli indirizzi IP e le informazioni sull'agente utente per alcuni giorni, a meno che un cliente non scelga di salvarli per un periodo più lungo.

Configurazione remota Firebase
  • ID di installazione di Firebase

A cosa serve: Remote Config utilizza gli ID di installazione Firebase per selezionare i valori di configurazione da restituire ai dispositivi degli utenti finali.

Conservazione: Firebase conserva gli ID di installazione Firebase finché il cliente Firebase non effettua una chiamata API per eliminare l'ID. Dopo la chiamata, i dati vengono rimossi dai sistemi live e di backup entro 180 giorni.

FirebaseML
  • Immagini caricate
  • token di autenticazione dell'installazione

A cosa serve: le API basate su cloud archiviano temporaneamente le immagini caricate, per elaborarle e restituirti l'analisi. Le immagini archiviate vengono generalmente eliminate entro poche ore. Per ulteriori informazioni, consulta le domande frequenti sull'utilizzo dei dati di Cloud Vision.

I token di autenticazione dell'installazione vengono utilizzati da Firebase ML per l'autenticazione del dispositivo quando si interagisce con le istanze dell'app, ad esempio per distribuire modelli sviluppatore alle istanze dell'app.

Conservazione: i token di autenticazione dell'installazione rimangono validi fino alla data di scadenza. La durata predefinita del token è una settimana.

Esempi di informazioni raccolte da Crashlytics

  • Un UUID RFC-4122 che ci consente di deduplicare gli arresti anomali
  • L'UUID di installazione di Crashlytics
  • L'ID delle installazioni Firebase (FID)
  • L'ID sessione Firebase, che è un UUID casuale generato per contrassegnare gli eventi con una sessione
  • Il timestamp di quando si è verificato l'arresto anomalo
  • L'identificatore del bundle dell'app e il numero di versione completa
  • Il nome del sistema operativo e il numero di versione del dispositivo
  • Un valore booleano che indica se il dispositivo è stato sottoposto a jailbreak/root
  • Il nome del modello del dispositivo, l'architettura della CPU, la quantità di RAM e lo spazio su disco
  • Il puntatore all'istruzione uint64 di ogni frame di ogni thread attualmente in esecuzione
  • Se disponibile nel runtime, il metodo in testo semplice o il nome della funzione contenente ciascun puntatore all'istruzione.
  • Se è stata lanciata un'eccezione, il nome della classe in testo semplice e il valore del messaggio dell'eccezione
  • Se è stato generato un segnale fatale, il suo nome e il codice intero
  • Per ogni immagine binaria caricata nell'applicazione, nome, UUID, dimensione in byte e indirizzo di base uint64 in cui è stata caricata nella RAM
  • Un valore booleano che indica se l'app era o meno in background nel momento in cui si è verificato l'arresto anomalo
  • Un valore intero che indica la rotazione dello schermo al momento dell'incidente
  • Un valore booleano che indica se il sensore di prossimità del dispositivo è stato attivato
  • Il contenuto di version-control-info.textproto (solo per le app Android configurate per utilizzare l'integrazione del sistema di controllo della versione (VCS) )

Esempi di informazioni raccolte da Performance Monitoring

  • L'ID delle installazioni Firebase (FID)
  • L'ID sessione Firebase, che è un UUID casuale generato per contrassegnare gli eventi con una sessione
  • Informazioni generali sul dispositivo, come modello, sistema operativo e orientamento
  • RAM e dimensioni del disco
  • uso della CPU
  • Operatore (in base al Paese del cellulare e al codice di rete)
  • Informazioni radio/rete (ad esempio WiFi, LTE, 3G)
  • Paese (in base all'indirizzo IP)
  • Località/lingua
  • Versione dell'app
  • Stato in primo piano o in background dell'app
  • Nome del pacchetto dell'app
  • ID di installazione di Firebase
  • Tempi di durata per le tracce automatizzate
  • URL di rete (esclusi i parametri URL o il contenuto del payload) e le seguenti informazioni corrispondenti:
    • Codici di risposta (ad esempio, 403, 200)
    • Dimensioni del payload in byte
    • Tempi di risposta

Visualizza un elenco completo delle tracce automatiche raccolte da Performance Monitoring.

Guide per abilitare il consenso esplicito al trattamento dei dati degli utenti finali

I servizi nella tabella sopra necessitano di una certa quantità di dati degli utenti finali per funzionare. Di conseguenza, non è possibile disattivare completamente la raccolta dei dati durante l'utilizzo di tali servizi.

Se sei un cliente che desidera offrire agli utenti la possibilità di aderire a un servizio e alla raccolta dati che ne deriva, nella maggior parte dei casi è sufficiente aggiungere una finestra di dialogo o attivare/disattivare le impostazioni prima di utilizzare il servizio.

Alcuni servizi, tuttavia, si avviano automaticamente quando inclusi in un'app. Per offrire agli utenti la possibilità di aderire prima di utilizzare tali servizi, puoi scegliere di disabilitare l'inizializzazione automatica per ciascun servizio e di inizializzarli manualmente in fase di esecuzione. Per scoprire come fare, leggi le guide qui sotto:

Se integri Firebase con Google Analytics, scopri come configurare la raccolta dati di Analytics .

Luoghi di archiviazione ed elaborazione dei dati

A meno che un servizio o una funzionalità non offra la selezione della posizione dei dati, Firebase può elaborare e archiviare i tuoi dati ovunque Google o i suoi agenti abbiano strutture. Le potenziali ubicazioni delle strutture variano in base al servizio.

Servizi solo negli Stati Uniti

Il servizio di autenticazione Firebase viene eseguito solo dai data center statunitensi. Di conseguenza, Firebase Authentication elabora i dati esclusivamente negli Stati Uniti.

Servizi globali

La maggior parte dei servizi Firebase viene eseguita sull'infrastruttura globale di Google. Potrebbero elaborare i dati in qualsiasi sede di Google Cloud Platform o nei data center di Google . Per alcuni servizi è possibile effettuare una specifica selezione della posizione dei dati che limita l'elaborazione a quella posizione.

  • Archiviazione nel cloud per Firebase
  • Cloud Fire Store
  • Funzioni cloud per Firebase
  • Hosting Firebase
  • Crashlytics di Firebase
  • Monitoraggio delle prestazioni di Firebase
  • Collegamenti dinamici Firebase
  • Configurazione remota Firebase
  • Messaggistica cloud Firebase
  • FirebaseML
  • Laboratorio di test Firebase
  • Controllo dell'app Firebase

Informazioni sulla sicurezza

Crittografia dei dati

I servizi Firebase crittografano i dati in transito utilizzando HTTPS e isolano logicamente i dati dei clienti.

Inoltre, diversi servizi Firebase crittografano anche i propri dati inattivi:

  • Cloud Fire Store
  • Funzioni cloud per Firebase
  • Archiviazione nel cloud per Firebase
  • Crashlytics di Firebase
  • Autenticazione Firebase
  • Messaggistica cloud Firebase
  • Database in tempo reale Firebase
  • Laboratorio di test Firebase
  • Controllo dell'app Firebase
  • Monitoraggio delle prestazioni di Firebase

Pratiche di sicurezza

Per mantenere i dati personali al sicuro, Firebase adotta ampie misure di sicurezza per ridurre al minimo l'accesso:

  • Firebase limita l'accesso a dipendenti selezionati che hanno lo scopo aziendale di accedere ai dati personali.
  • Firebase registra l'accesso dei dipendenti ai sistemi che contengono dati personali.
  • Firebase consente l'accesso ai dati personali solo ai dipendenti che accedono con l'accesso a Google e l'autenticazione a 2 fattori .

Dati del servizio Firebase

I dati del servizio Firebase sono informazioni personali che Google raccoglie e genera durante la fornitura e l'amministrazione dei servizi Firebase * , esclusi i dati del cliente ** come definito nei nostri contratti con i clienti relativi ai servizi Firebase e ai dati del servizio Google Cloud . Esempi di dati di servizio Firebase includono informazioni sull'utilizzo del servizio, identificatori di risorse come ID applicazione e nome pacchetto/ID bundle, dettagli tecnici e operativi sull'utilizzo come indirizzi IP e comunicazioni dirette con gli sviluppatori da feedback e conversazioni relative al supporto.

*I servizi coperti includono Firebase A/B Testing, Firebase App Check, Firebase App Distribution, Firebase Cloud Messaging, Firebase Crashlytics, Firebase Dynamic Links, Firebase Hosting, Firebase In-App Messaging, Firebase ML, Firebase Performance Monitoring, Firebase Realtime Database, Firebase Configurazione remota e archiviazione della segmentazione degli utenti Firebase.

**Per ulteriori informazioni su come trattiamo i dati dei clienti, consulta i nostri Termini per l'elaborazione e la sicurezza dei dati Firebase .

Esempi di come i dati del servizio Firebase vengono elaborati da Firebase

Google utilizza i dati del servizio Firebase in conformità con la nostra politica sulla privacy e i termini applicabili. I dati del servizio Firebase vengono utilizzati, ad esempio, per:

  • Fornisci i servizi Firebase richiesti
  • Fornire consigli per ottimizzare l'uso dei servizi Firebase
  • Mantenere e migliorare i servizi Firebase
  • Fornire e migliorare altri servizi richiesti
  • Comprendi il tuo utilizzo di Firebase e di altri servizi Google
  • Fornire un supporto migliore e comunicare con te
  • Proteggi te, i nostri utenti, il pubblico e Google
  • Rispettare gli obblighi di legge

Utilizzo dei dati del servizio Firebase da parte di servizi Google non Firebase

Puoi controllare se i tuoi dati del servizio Firebase possono essere utilizzati da Google per fornire analisi, approfondimenti e consigli più approfonditi sui servizi Google non Firebase e migliorare i servizi Google non Firebase . Puoi configurarlo nella pagina delle impostazioni sulla privacy dei dati di Firebase.

Se questo controllo è disabilitato, i dati del servizio Firebase continueranno a essere utilizzati per altri scopi, come quelli sopra menzionati, in conformità con la nostra politica sulla privacy e i termini applicabili, incluso per fornire consigli e migliorare i servizi Firebase e per fornire e migliorare altri i servizi richiesti, ad esempio i prodotti Google collegati al tuo progetto Firebase.

Hai ancora domande? Contattaci

Per qualsiasi domanda relativa alla privacy non trattata qui, contatta l'assistenza Firebase . Se sei uno sviluppatore Firebase, includi il tuo ID app Firebase. Trova il tuo ID app Firebase nella scheda Le tue app delle Impostazioni progetto .