На этой странице представлена ключевая информация о безопасности и конфиденциальности Firebase. Если вы хотите начать новый проект с помощью Firebase или вам интересно, как Firebase работает с вашим существующим проектом, читайте дальше, чтобы узнать, как Firebase может помочь защитить вас и ваших пользователей.
Последнее изменение: 21 августа 2024 г.
Защита данных
Поддержка Firebase для GDPR и CCPA
25 мая 2018 г. Общий регламент ЕС по защите данных (GDPR) заменил Директиву ЕС о защите данных 1995 г. 1 января 2020 года вступил в силу Закон штата Калифорния о конфиденциальности потребителей (CCPA). 1 января 2023 года вступил в силу Калифорнийский закон о правах на конфиденциальность (CPRA), который представляет собой закон о конфиденциальности данных, который вносит поправки и расширяет CCPA. Google стремится помочь нашим клиентам добиться успеха в соответствии с этими правилами конфиденциальности, независимо от того, являются ли они крупными компаниями-разработчиками программного обеспечения или независимыми разработчиками.
GDPR налагает обязательства на контролеров и обработчиков данных, а CCPA/CPRA налагает обязательства на предприятия и их поставщиков услуг. Клиенты Firebase обычно выступают в качестве «контролера данных» (GDPR) или «бизнеса» (CCPA/CPRA) в отношении любых личных данных или информации о своих конечных пользователях, которые они предоставляют Google в связи с использованием ими Firebase, и Google обычно действует как «обработчик данных» (GDPR) или «поставщик услуг» (CCPA/CPRA).
Это означает, что данные находятся под контролем клиента. Клиенты несут ответственность за такие обязательства, как соблюдение прав человека в отношении его личных данных или информации.
Условия обработки данных и безопасности Firebase
Когда клиенты используют Firebase, Google, как правило, является обработчиком данных в соответствии с GDPR и обрабатывает персональные данные от их имени. Аналогичным образом, когда клиенты используют Firebase, Google обычно выступает в качестве поставщика услуг в соответствии с CCPA/CPRA, обрабатывая личную информацию от их имени. Условия Firebase включают Условия обработки данных и безопасности, подробно описывающие эти обязанности.
На некоторые сервисы Firebase, регулируемые Условиями использования Google Cloud Platform (GCP), уже распространяются соответствующие условия обработки данных — Дополнение к облачной обработке данных . Полный список сервисов Firebase, на которые в настоящее время распространяются Условия использования GCP, доступен в Условиях использования сервисов Firebase .
Google Analytics – это отдельный сервис, который можно использовать вместе с Firebase, и на него распространяются отдельные условия .
Firebase сертифицирована в соответствии с основными стандартами конфиденциальности и безопасности.
Соответствие ISO и SOC
Все сервисы Firebase (кроме индексирования приложений и Vertex AI в Firebase) успешно прошли процесс оценки ISO 27001 и SOC 1 , SOC 2 и SOC 3 , а некоторые также прошли процесс сертификации ISO 27017 и ISO 27018 . Отчеты о соответствии и сертификаты для сервисов Firebase, регулируемых Условиями использования GCP, можно запросить через менеджера отчетов о соответствии .
Название службы | ИСО 27001 | ИСО 27017 | ИСО 27018 | СОЦ 1 | СОЦ 2 | СОЦ 3 |
---|---|---|---|---|---|---|
Firebase ML | ||||||
Тестовая лаборатория Firebase | ||||||
Облачный пожарный магазин | ||||||
Облачные функции для Firebase | ||||||
Облачное хранилище для Firebase | ||||||
Аутентификация Firebase | ||||||
Firebase Крашлитикс | ||||||
Проверка приложения Firebase | ||||||
Распространение приложений Firebase | ||||||
Обмен сообщениями Firebase внутри приложения | ||||||
Облачный обмен сообщениями Firebase | ||||||
Мониторинг производительности Firebase | ||||||
Хостинг Firebase | ||||||
Динамические ссылки Firebase | ||||||
Удаленная конфигурация Firebase | ||||||
База данных Firebase в реальном времени | ||||||
Платформа Firebase | ||||||
A/B-тестирование Firebase | ||||||
Вершинный ИИ в Firebase |
Международная передача данных
Как описано в нашей сертификации Data Privacy Framework , мы соблюдаем стандарты конфиденциальности данных (DPF) ЕС-США и Швейцарии-США, а также британское расширение DPF ЕС-США, установленное Министерством торговли США в отношении сбора, использования и хранение личной информации из ЕЭЗ, Швейцарии и Великобритании соответственно. Google LLC (и ее 100% дочерние компании в США, если это прямо не исключено) подтвердили, что придерживаются Принципов DPF. Google продолжает нести ответственность за любую вашу личную информацию, которая в соответствии с принципом последующей передачи передается третьим лицам для внешней обработки от нашего имени, как описано в разделе «Передача вашей информации» нашей Политики конфиденциальности . Чтобы узнать больше о DPF и просмотреть сертификацию Google, посетите веб-сайт DPF .
Если у вас есть вопрос относительно нашей практики конфиденциальности в отношении нашей сертификации DPF, мы рекомендуем вам связаться с нами . На Google распространяются следственные и правоприменительные полномочия Федеральной торговой комиссии США. Вы также можете подать жалобу в местный орган по защите данных, и мы постараемся решить вашу проблему. В определенных обстоятельствах DPF предоставляет право ссылаться на обязательный арбитраж для разрешения жалоб, которые не были разрешены другими способами, как описано в Приложении I к Принципам DPF .
Информация об обработке данных
Примеры данных конечных пользователей, обрабатываемых Firebase
Некоторые службы Firebase обрабатывают данные ваших конечных пользователей для предоставления своих услуг. В приведенной ниже таблице приведены примеры того, как различные службы Firebase используют и обрабатывают данные конечного пользователя, которые потенциально могут быть идентифицирующими. Кроме того, многие сервисы Firebase предлагают возможность запрашивать удаление определенных данных или контролировать обработку данных.
Служба Firebase | Данные конечного пользователя | Как данные помогают предоставлять услуги |
---|---|---|
Облачные функции для Firebase |
| Чем это помогает: Cloud Functions использует IP-адреса для выполнения функций обработки событий и функций HTTP на основе действий конечного пользователя. Хранение: облачные функции сохраняют IP-адреса только временно для предоставления услуги. |
Аутентификация Firebase |
| Чем это помогает: Firebase Authentication использует данные для аутентификации конечных пользователей и упрощения управления учетными записями конечных пользователей. Он также использует строки пользовательского агента и IP-адреса для обеспечения дополнительной безопасности и предотвращения злоупотреблений во время регистрации и аутентификации. Хранение: Firebase Authentication сохраняет зарегистрированные IP-адреса в течение нескольких недель. Он сохраняет другую аутентификационную информацию до тех пор, пока клиент Firebase не инициирует удаление связанного пользователя, после чего данные удаляются из действующих и резервных систем в течение 180 дней. |
Проверка приложения Firebase |
| Чем это помогает: Firebase App Check использует аттестационные материалы, необходимые соответствующему поставщику аттестации и полученные от устройств конечных пользователей, чтобы помочь установить целостность устройства и/или приложения. Материалы аттестации отправляются соответствующему поставщику аттестации для проверки на основе конфигурации разработчика. Токены проверки приложений, полученные в результате успешных аттестаций, отправляются с каждым запросом к поддерживаемым сервисам Firebase для доступа к ресурсам, защищенным проверкой приложений. Хранение. Материалы аттестации не сохраняются в App Check, но когда они отправляются поставщикам аттестации, на них распространяются условия этих поставщиков аттестации. Токены проверки приложений, возвращенные в результате успешных аттестаций, действительны в течение всего срока их жизни, который не может превышать 7 дней. Для разработчиков, которые используют функции защиты от повтора, App Check хранит токены App Check, используемые с этими функциями, не более 30 дней. Другие токены проверки приложений, не используемые с функциями защиты от повтора, не сохраняются службами Firebase. |
Распространение приложений Firebase |
| Как это помогает: Firebase App Distribution использует данные для распространения сборок приложений среди тестировщиков, мониторинга активности тестировщиков, включения таких функций тестировщика, как обратная связь в приложении, и связывания данных с устройствами тестировщика. Хранение: Firebase App Distribution сохраняет информацию пользователя до тех пор, пока клиент Firebase не запросит ее удаление, после чего данные удаляются из работающих и резервных систем в течение 180 дней. |
Облачный обмен сообщениями Firebase |
| Чем это помогает: Firebase Cloud Messaging использует идентификаторы установки Firebase чтобы определить, на какие устройства доставлять сообщения. Хранение: Firebase сохраняет идентификаторы установки Firebase до тех пор, пока клиент Firebase не выполнит вызов API для удаления идентификатора. После звонка данные удаляются из работающих и резервных систем в течение 180 дней. |
Firebase Крашлитикс |
| Чем это помогает: Firebase Crashlytics использует трассировку стека сбоев, чтобы связать сбои с проектом, отправлять оповещения по электронной почте участникам проекта и отображать их в консоли Firebase, а также помогать клиентам Firebase отлаживать сбои. Он использует UUID установки Crashlytics для измерения количества пользователей, затронутых сбоем, и данные минидампа для обработки сбоев NDK. Данные минидампа сохраняются во время обработки сеанса сбоя, а затем удаляются. Идентификатор установки Firebase включает будущие функции, которые улучшат службы отчетов о сбоях и управления сбоями. Дополнительные сведения о типах собираемой пользовательской информации см. в разделе «Примеры хранимой информации об устройстве» . Хранение: Firebase Crashlytics хранит следы стека сбоев, извлеченные данные мини-дампа и связанные идентификаторы (включая UUID установки Crashlytics и идентификаторы установки Firebase) в течение 90 дней, прежде чем начать процесс удаления их из работающих и резервных систем. |
Динамические ссылки Firebase |
| Чем это помогает: Dynamic Links использует характеристики устройства и IP-адреса iOS, чтобы открывать недавно установленные приложения на определенной странице или в контексте. Хранение: Dynamic Links временно сохраняет характеристики устройств и IP-адреса для предоставления услуги. |
Хостинг Firebase |
| Как это помогает: Хостинг использует IP-адреса входящих запросов для обнаружения злоупотреблений и предоставления клиентам подробного анализа данных об использовании. Хранение: Хостинг сохраняет данные IP в течение нескольких месяцев. |
Firebase Performance Monitoring |
| Чем это помогает: Performance Monitoring использует идентификаторы установки Firebase для расчета количества уникальных установок Firebase, имеющих доступ к сетевым ресурсам, чтобы обеспечить достаточную анонимность шаблонов доступа. Он также использует идентификаторы установки Firebase с Firebase Remote Config для управления частотой отчетов о событиях производительности. Кроме того, он использует IP-адреса для сопоставления событий производительности со странами, из которых они происходят. Дополнительную информацию см. в разделе Сбор данных . Хранение: Performance Monitoring хранит события, связанные с IP, в течение 30 дней, а также данные о производительности, связанные с установкой и обезличенные, в течение 90 дней, прежде чем начать процесс их удаления из работающих и резервных систем. |
Firebase In-App Messaging |
| Чем это помогает: Firebase In-App Messaging использует идентификаторы установки Firebase чтобы определить, на какие устройства доставлять сообщения. Хранение: Firebase сохраняет идентификаторы установки Firebase до тех пор, пока клиент Firebase не выполнит вызов API для удаления идентификатора. После звонка данные удаляются из работающих и резервных систем в течение 180 дней. |
База данных Firebase в реальном времени |
| Как это помогает: база данных Realtime использует IP-адреса и пользовательские агенты для включения инструмента профилирования , который помогает клиентам Firebase понять тенденции использования и неисправности платформы. Хранение: база данных реального времени хранит IP-адреса и информацию об агенте пользователя в течение нескольких дней, если только клиент не решит сохранить ее дольше. |
Firebase Remote Config |
| Чем это помогает: Remote Config использует идентификаторы установки Firebase для выбора значений конфигурации для возврата на устройства конечных пользователей. Хранение: Firebase сохраняет идентификаторы установки Firebase до тех пор, пока клиент Firebase не выполнит вызов API для удаления идентификатора. После звонка данные удаляются из работающих и резервных систем в течение 180 дней. |
Firebase ML |
| Чем это помогает: облачные API-интерфейсы временно хранят загруженные изображения для обработки и возврата вам результатов анализа. Сохраненные изображения обычно удаляются в течение нескольких часов. Дополнительную информацию см. в разделе часто задаваемых вопросов по использованию данных Cloud Vision. Токены аутентификации установки используются Firebase ML для аутентификации устройства при взаимодействии с экземплярами приложения, например, для распространения моделей разработчика по экземплярам приложения. Хранение: токены аутентификации установки остаются действительными до истечения срока их действия. Срок действия токена по умолчанию составляет одну неделю. |
Vertex AI in Firebase |
| Как это помогает: Vertex AI in Firebase использует Generative AI API Vertex AI для прогнозирования контента. Сохранение. Во время прогнозирования Google не регистрирует данные клиента для формирования выходных данных клиента или обучения базовых моделей. По умолчанию Google кэширует входные и выходные данные клиента для моделей Gemini, чтобы ускорить ответы на последующие запросы клиента. Более подробную информацию см. в разделе Генеративный искусственный интеллект и управление данными | Генеративный ИИ на Vertex AI | Гугл облако . |
Примеры информации, собранной Crashlytics
- UUID RFC-4122, который позволяет нам дедуплицировать сбои.
- UUID установки Crashlytics
- Идентификатор установки Firebase (FID)
- Идентификатор сеанса Firebase, который представляет собой случайный UUID, созданный для пометки событий сеанса.
- Временная метка, когда произошел сбой
- Идентификатор пакета приложения и полный номер версии.
- Название и номер версии операционной системы устройства.
- Логическое значение, указывающее, было ли устройство взломано/рутировано.
- Название модели устройства, архитектура процессора, объем оперативной памяти и дискового пространства.
- Указатель инструкции uint64 каждого кадра каждого текущего потока.
- Имя метода или функции в виде открытого текста, содержащее указатель каждой инструкции, если оно доступно во время выполнения.
- Если было создано исключение, имя класса в виде обычного текста и значение сообщения об исключении.
- Если был поднят фатальный сигнал, его имя и целочисленный код
- Для каждого бинарного образа, загруженного в приложение, указывается его имя, UUID, размер в байтах и базовый адрес uint64, по которому он был загружен в оперативную память.
- Логическое значение, указывающее, находилось ли приложение в фоновом режиме в момент сбоя.
- Целочисленное значение, указывающее поворот экрана во время сбоя.
- Логическое значение, указывающее, сработал ли датчик приближения устройства.
- Содержимое
version-control-info.textproto
(только для приложений Android , настроенных для использования интеграции системы контроля версий (VCS) ).
Примеры информации, собранной с помощью мониторинга производительности
- Идентификатор установки Firebase (FID)
- Идентификатор сеанса Firebase, который представляет собой случайный UUID, созданный для пометки событий сеанса.
- Общая информация об устройстве, такая как модель, ОС и ориентация.
- Размер оперативной памяти и диска
- Использование процессора
- Оператор связи (на основе мобильного кода страны и кода сети)
- Информация о радио/сети (например, Wi-Fi, LTE, 3G)
- Страна (на основе IP-адреса)
- Язык/язык
- Версия приложения
- Приоритетное или фоновое состояние приложения
- Имя пакета приложения
- Идентификаторы установки Firebase
- Время продолжительности автоматических трассировок
- Сетевые URL-адреса (не включая параметры URL-адресов или содержимое полезной нагрузки) и следующую соответствующую информацию:
- Коды ответа (например, 403, 200)
- Размер полезной нагрузки в байтах
- Время ответа
См. полный список автоматических трассировок, собранных Performance Monitoring .
Руководства по включению согласия на обработку данных конечных пользователей
Для работы служб, перечисленных в таблице выше, требуется определенный объем данных конечного пользователя. В результате невозможно полностью отключить сбор данных при использовании этих служб.
Если вы клиент, который хотел бы предложить пользователям возможность подписаться на услугу и связанный с ней сбор данных, в большинстве случаев для этого требуется просто добавить диалоговое окно или переключить настройки перед использованием услуги.
Однако некоторые службы запускаются автоматически при включении в приложение. Чтобы дать пользователям возможность согласиться перед использованием этих служб, вы можете отключить автоматическую инициализацию для каждой службы и вместо этого инициализировать их вручную во время выполнения. Чтобы узнать, как это сделать, прочитайте руководства ниже:
- Cloud Messaging : запретить автоинициализацию (Android) или запретить автоинициализацию (iOS+)
- Crashlytics : Включить отчеты о согласии (iOS+) или Включить отчеты о согласии (Android)
- Performance Monitoring : включить дополнительный мониторинг
Если вы интегрируете Firebase с Google Analytics, узнайте, как настроить сбор данных Analytics .
Места хранения и обработки данных
Если служба или функция не предлагает выбор местоположения данных, Firebase может обрабатывать и хранить ваши данные в любом месте, где есть возможности Google или ее агентов. Потенциальные местоположения объектов различаются в зависимости от услуги.
Услуги только для США
Служба Firebase Authentication запускается только из центров обработки данных в США. В результате Firebase Authentication обрабатывает данные исключительно в США.
Глобальные услуги
Большинство сервисов Firebase работают на глобальной инфраструктуре Google. Они могли обрабатывать данные в любом месте Google Cloud Platform или в центрах обработки данных Google . Для некоторых сервисов вы можете сделать определенный выбор местоположения данных , который ограничивает обработку этим местоположением.
- Cloud Storage for Firebase
- Cloud Firestore
- Cloud Functions for Firebase
- Firebase Hosting
- Firebase Crashlytics
- Firebase Performance Monitoring
- Firebase Dynamic Links
- Firebase Remote Config
- Firebase Cloud Messaging
- Firebase ML
- Firebase Test Lab
- Firebase App Check
Информация о безопасности
Шифрование данных
Сервисы Firebase шифруют передаваемые данные с помощью HTTPS и логически изолируют данные клиентов.
Кроме того, несколько сервисов Firebase также шифруют свои данные:
- Cloud Firestore
- Cloud Functions for Firebase
- Cloud Storage for Firebase
- Firebase Crashlytics
- Firebase Authentication
- Firebase Cloud Messaging
- Firebase Realtime Database
- Firebase Test Lab
- Firebase App Check
- Firebase Performance Monitoring
Практика безопасности
Чтобы обеспечить безопасность личных данных, Firebase использует обширные меры безопасности, чтобы свести к минимуму доступ:
- Firebase ограничивает доступ избранным сотрудникам, у которых есть бизнес-цели доступа к личным данным.
- Firebase регистрирует доступ сотрудников к системам, содержащим персональные данные.
- Firebase разрешает доступ к личным данным только тем сотрудникам, которые входят в систему с помощью Google Sign-In и двухфакторной аутентификации .
Данные службы Firebase
Данные службы Firebase — это личная информация, которую Google собирает и генерирует в ходе предоставления и администрирования служб Firebase * , за исключением Данных клиента ** , как это определено в наших клиентских соглашениях, касающихся служб Firebase и Данных облачной службы Google . Примеры данных службы Firebase включают информацию об использовании службы, идентификаторы ресурсов, такие как идентификаторы приложений и идентификаторы имени пакета/пакета, технические и эксплуатационные детали использования, такие как IP-адреса, а также прямое общение с разработчиками в результате обратной связи и разговоров, связанных с поддержкой.
*Охватываемые услуги включают A/B-тестирование Firebase, распространение приложений Firebase, облачные сообщения Firebase, Firebase Crashlytics, динамические ссылки Firebase, хостинг Firebase, обмен сообщениями внутри приложений Firebase, Firebase ML, Vertex AI в Firebase, мониторинг производительности Firebase, базу данных Firebase Realtime, Удаленная конфигурация Firebase и хранилище сегментации пользователей Firebase.
**Дополнительную информацию о том, как мы обрабатываем Данные клиентов, см. в Условиях обработки и безопасности данных Firebase .
Примеры того, как данные службы Firebase обрабатываются Firebase
Google использует данные службы Firebase в соответствии с нашей политикой конфиденциальности и применимыми условиями. Данные службы Firebase используются, например, для:
- Предоставление запрошенных вами услуг Firebase
- Дайте рекомендации по оптимизации использования сервисов Firebase.
- Поддерживать и улучшать сервисы Firebase
- Предоставлять и улучшать другие услуги, которые вы запрашиваете
- Узнайте, как вы используете Firebase и другие сервисы Google.
- Обеспечить лучшую поддержку и общение с вами
- Защитите вас, наших пользователей, общественность и Google
- Соблюдать юридические обязательства
Использование данных службы Firebase службами Google, не относящимися к Firebase
Вы можете контролировать, могут ли Google использовать ваши данные службы Firebase для предоставления более глубокого анализа, информации и рекомендаций о службах Google , отличных от Firebase , а также для улучшения служб Google , отличных от Firebase . Вы можете настроить это на странице настроек конфиденциальности данных Firebase.
Если этот элемент управления отключен, данные службы Firebase будут продолжать использоваться для других целей, например, упомянутых выше, в соответствии с нашей политикой конфиденциальности и применимыми условиями, в том числе для предоставления рекомендаций и улучшения служб Firebase , а также для предоставления и улучшения других запрашиваемые вами услуги, например продукты Google, которые вы связываете со своим проектом Firebase.
Остались вопросы? Связаться с нами
По любым вопросам, связанным с конфиденциальностью, которые не описаны здесь, обращайтесь в службу поддержки Firebase . Если вы разработчик Firebase, укажите свой идентификатор приложения Firebase. Найдите свой идентификатор приложения Firebase на карточке «Ваши приложения» в проекта .