Privacidade e segurança no Firebase

Privacidade e segurança no Firebase

Nesta página, você conhecerá as principais informações de segurança e privacidade do Firebase. Se você pretende iniciar um novo projeto com o Firebase ou tem interesse em saber como ele funciona com seu projeto existente, leia este artigo para entender como essa plataforma pode ajudar a proteger você e seus usuários.

Última modificação: 19 de julho de 2018

Proteção de dados

O Firebase está adaptado para o GDPR

Em 25 de maio de 2018, o Regulamento geral de proteção de dados (GDPR, na sigla em inglês) da União Europeia substituirá a Diretiva de proteção de dados da União Europeia de 1995. Nós do Google estamos comprometidos em garantir a total conformidade de nossos clientes com o GDPR, sejam eles grandes empresas de software ou desenvolvedores independentes.

O GDPR impõe obrigações aos controladores e processadores de dados. Normalmente, os clientes do Firebase atuam como "controladores de dados" com relação a todos os dados pessoais fornecidos ao Google que estejam associados uso do Firebase. Por sua vez, o Google, em geral, é o "processador de dados".

Isso significa que os dados estão sob controle do cliente. Os controladores são responsáveis por cumprir certas obrigações, como acatar aos direitos de um indivíduo em relação aos dados pessoais.

Se você é um cliente e gostaria de saber quais são suas responsabilidades como controlador de dados, leia as cláusulas do GDPR e verifique se está em conformidade com o regulamento.

Pense nestas questões principais:

  • Como sua organização garante aos usuários transparência e controle sobre o uso dos dados?
  • Você tem certeza de que sua organização tem o consentimento adequado nas situações exigidas pelo GDPR?
  • Sua organização tem os sistemas certos para registrar as preferências e o consentimento dos usuários?
  • Como você provará aos reguladores e parceiros que sua organização é confiável, responsável e atende aos princípios do GDPR?

Termos de segurança e processamento de dados do Firebase

Quando os clientes usam o Firebase, o Google geralmente age como um processador de dados, manipulando dados pessoais em nome deles. Os termos do Firebase incluem Termos de segurança e processamento de dados para todos os serviços do Firebase, com vigência a partir de 25 de maio de 2018.

Alguns serviços do Firebase regidos pelos Termos de Serviço do Google Cloud Platform (GCP) já estão cobertos por termos que tratam do processamento de dados associados, os Termos de processamento e segurança de dados do GCP. A lista completa de serviços do Firebase atualmente regidos pelos Termos de Serviço do GCP está disponível nos Termos de Serviço do Firebase Serives.

O Google Analytics para Firebase é coberto pelos Termos de processamento de dados do Google Ads.

O Firebase é certificado de acordo com os principais padrões de privacidade e segurança

Conformidade com ISO e SOC

Todos os serviços do Firebase passaram pelo processo de avaliação dos padrões ISO 27001, SOC 1, SOC 2 e SOC 3. Alguns deles também passaram pelos processos de certificação ISO 27017 e ISO 27018:

Certificações da estrutura Privacy Shield

Em julho de 2016, a Comissão Europeia concluiu que a estrutura Privacy Shield para EUA e UE oferece um mecanismo ideal que permite às empresas da UE ficarem em conformidade com os requisitos da Diretiva em relação à transferência de dados pessoais da União Europeia para os Estados Unidos. O Google LLC tem certificação das estruturas Privacy Shield EU-US e Swiss-US. Veja as certificações na lista da Privacy Shield.

Informações sobre o processamento de dados

Exemplos de dados pessoais de usuários finais processados pelo Firebase

Alguns serviços do Firebase processam os dados pessoais dos usuários finais para fornecer funcionalidades específicas. O gráfico abaixo mostra exemplos de como vários serviços do Firebase usam e manipulam dados pessoais de usuários finais. Além disso, muitos serviços do Firebase oferecem a capacidade de solicitar a exclusão de dados específicos ou controlar como os dados são processados.

Guias para ativar a permissão do processamento de dados pessoais dos usuários finais

Os serviços na tabela acima precisam de uma certa quantidade de dados pessoais dos usuários finais para funcionar. Assim, não é possível desativar totalmente a coleta de dados durante o uso desses serviços.

Se você é cliente e gostaria de oferecer aos usuários a chance de ativar um serviço e a coleta de dados que o acompanha, na maioria dos casos isso requer apenas a adição de uma caixa de diálogo ou configurações antes de usar o serviço.

Alguns serviços, no entanto, são iniciados automaticamente quando incluídos em um aplicativo. Para que seus usuários possam ativar o compartilhamento de dados antes de usar esses serviços, você pode desativar a inicialização automática de cada serviço e inicializá-los manualmente no tempo de execução. Para saber como fazer isso, leia os guias abaixo:

Armazenamento de dados e locais de processamento

A menos que um serviço ou recurso ofereça a opção de selecionar o local de armazenamento dos dados, o Firebase pode processar e armazenar seus dados em qualquer lugar em que o Google ou agentes mantenham instalações. Os locais em potencial variam de acordo com o serviço.

Serviços somente para os EUA

Alguns serviços do Firebase são executados apenas em data centers dos EUA. Sendo assim, estes serviços processam dados exclusivamente nos Estados Unidos.

  • Firebase Realtime Database
  • Cloud Firestore para Firebase
  • Firebase Hosting
  • Firebase Test Lab
  • Firebase Authentication

Serviços globais

A maioria dos serviços do Firebase é executada na infraestrutura global do Google. Eles podem processar dados em qualquer um dos locais do Google Cloud Platform ou dos data centers do Google. Para alguns serviços, você pode fazer uma seleção de local de dados específica. Isso restringe o processamento ao local escolhido.

  • Cloud Storage para Firebase
  • Cloud Functions para Firebase
  • Firebase Performance Monitoring
  • Firebase Crash Reporting
  • Firebase Dynamic Links
  • Firebase Invites
  • Configuração remota do Firebase
  • Firebase Cloud Messaging
  • Firebase Previsões
  • Google Analytics para Firebase
  • Kit de aprendizado de máquina para Firebase

Informações de segurança

Criptografia de dados

Os serviços do Firebase criptografam dados em trânsito usando HTTPS e isolam logicamente os dados do cliente.

Além disso, vários serviços do Firebase também criptografam dados em repouso:

  • Cloud Firestore
  • Cloud Functions para Firebase
  • Cloud Storage para Firebase
  • Firebase Authentication
  • Firebase Cloud Messaging
  • Firebase Realtime Database
  • Firebase Test Lab

Práticas de segurança

Para manter os dados pessoais seguros, o Firebase emprega medidas abrangentes de segurança para minimizar o acesso a eles:

  • O Firebase restringe o acesso a funcionários selecionados que tenham uma finalidade comercial para acessar dados pessoais.
  • O Firebase registra o acesso dos funcionários a sistemas que contêm dados pessoais.
  • O Firebase permite apenas o acesso a dados pessoais por funcionários que acessam a rede com o login do Google e a autenticação de dois fatores.

Ainda tem dúvidas? Entre em contato

Para qualquer dúvida relacionada à privacidade que não tenha sido abordada neste artigo, entre em contato por meio do formulário de serviços da conta.

Enviar comentários sobre…

Precisa de ajuda? Acesse nossa página de suporte.