Google se compromete a impulsar la igualdad racial para las comunidades afrodescendientes. Obtén información al respecto.

Privacidad y seguridad en Firebase

Esta página describe la información clave de seguridad y privacidad de Firebase. Ya sea que desee iniciar un nuevo proyecto con Firebase o tenga curiosidad acerca de cómo funciona Firebase con su proyecto existente, siga leyendo para ver cómo Firebase puede ayudarlo a protegerse a usted y a sus usuarios.

Última modificación: 13 de septiembre de 2022

Protección de Datos

Soporte de Firebase para GDPR y CCPA

El 25 de mayo de 2018, el Reglamento General de Protección de Datos (RGPD) de la UE reemplazó a la Directiva de Protección de Datos de la UE de 1995. El 1 de enero de 2020 entró en vigor la Ley de Privacidad del Consumidor de California (CCPA). Google se compromete a ayudar a nuestros clientes a tener éxito en virtud de estas normas de privacidad, ya sean grandes empresas de software o desarrolladores independientes.

El RGPD impone obligaciones a los controladores y procesadores de datos, y la CCPA impone obligaciones a las empresas y sus proveedores de servicios. Los clientes de Firebase normalmente actúan como el "controlador de datos" (GDPR) o "negocio" (CCPA) de cualquier dato personal o información sobre sus usuarios finales que proporcionen a Google en relación con su uso de Firebase, y Google generalmente opera como un " procesador de datos" (GDPR) o "proveedor de servicios" (CCPA).

Esto significa que los datos están bajo el control del cliente. Los clientes son responsables de obligaciones como el cumplimiento de los derechos de una persona con respecto a sus datos o información personal.

Términos de seguridad y procesamiento de datos de Firebase

Cuando los clientes usan Firebase, Google generalmente es un procesador de datos bajo GDPR y procesa datos personales en su nombre. De manera similar, cuando los clientes usan Firebase, Google generalmente opera como un proveedor de servicios bajo la CCPA que maneja la información personal en su nombre. Los términos de Firebase incluyen términos de seguridad y procesamiento de datos que detallan estas responsabilidades.

Ciertos servicios de Firebase regidos por los Términos de servicio de Google Cloud Platform (GCP) ya están cubiertos por los términos de procesamiento de datos asociados, los Términos de seguridad y procesamiento de datos de GCP . Una lista completa de los servicios de Firebase actualmente regidos por los Términos de servicio de GCP está disponible en los Términos de servicio para los Servicios de Firebase .

Crashlytics y App Distribution se rigen por los Términos de servicio de Firebase Crashlytics y Firebase App Distribution , y están cubiertos por los términos de procesamiento de datos asociados .

Google Analytics para Firebase y Google Analytics se rigen por las Condiciones de servicio de Google Analytics para Firebase y las Condiciones de servicio de Google Analytics , respectivamente, así como por las Condiciones de procesamiento de datos de Google Ads . Para obtener información adicional, consulte Protección de sus datos .

Firebase está certificado según los principales estándares de privacidad y seguridad

Conformidad con ISO y SOC

Todos los servicios de Firebase (aparte de App Indexing) completaron con éxito el proceso de evaluación ISO 27001 y SOC 1 , SOC 2 y SOC 3 , y algunos también completaron el proceso de certificación ISO 27017 e ISO 27018 . Los informes y certificados de cumplimiento para los servicios de Firebase regidos por los Términos de servicio de GCP se pueden solicitar a través del administrador de informes de cumplimiento.

Nombre del Servicio ISO 27001 ISO 27017 ISO 27018 SOC 1 SOC 2 SOC 3
Google Analytics para Firebase
Base de fuego ML
Laboratorio de pruebas de Firebase
Tienda de fuego en la nube
Funciones en la nube para Firebase
Almacenamiento en la nube para Firebase
Autenticación de base de fuego
Crashlytics de base de fuego
Comprobación de la aplicación Firebase
Distribución de aplicaciones de Firebase
Mensajería en la aplicación de Firebase
Mensajería en la nube de Firebase
Supervisión del rendimiento de Firebase
Alojamiento de base de fuego
Vínculos dinámicos de Firebase
Configuración remota de Firebase
Base de datos en tiempo real de Firebase
Plataforma base de fuego
Pruebas A/B de Firebase

Transferencias Internacionales de Datos

Los marcos del Escudo de privacidad proporcionaron un mecanismo para cumplir con los requisitos de protección de datos al transferir datos personales del EEE, el Reino Unido o Suiza a los Estados Unidos y en adelante. A la luz de la sentencia del Tribunal de Justicia de la Unión Europea sobre las transferencias de datos, que invalida el Escudo de privacidad UE-EE. mecanismo legal válido para transferir datos bajo el RGPD. La Comisión Europea aprobó nuevas versiones de las Cláusulas contractuales estándar el 4 de junio de 2021, que estamos incorporando a nuestros contratos con los clientes de Firebase para transferencias de datos relevantes.

Nos comprometemos a tener una base legal para las transferencias de datos de conformidad con las leyes de protección de datos aplicables.

Información de procesamiento de datos

Ejemplos de datos de usuarios finales procesados ​​por Firebase

Algunos servicios de Firebase procesan los datos de sus usuarios finales para brindar su servicio. El cuadro a continuación tiene ejemplos de cómo varios servicios de Firebase usan y manejan los datos del usuario final que pueden identificar potencialmente. Además, muchos servicios de Firebase ofrecen la posibilidad de solicitar la eliminación de datos específicos o controlar cómo se manejan los datos.

Servicio de base de fuego Datos del usuario final Cómo los datos ayudan a proporcionar el servicio
Funciones en la nube para Firebase
  • Direcciones IP

Cómo ayuda: Cloud Functions usa direcciones IP para ejecutar funciones de manejo de eventos y funciones HTTP basadas en las acciones del usuario final.

Retención: Las funciones de la nube solo guardan las direcciones IP temporalmente, para brindar el servicio.

Autenticación de base de fuego
  • contraseñas
  • Correos electrónicos
  • Números de teléfono
  • Agentes de usuario
  • Direcciones IP

Cómo ayuda: Firebase Authentication usa los datos para habilitar la autenticación del usuario final y facilitar la administración de la cuenta del usuario final. También utiliza cadenas de agentes de usuario y direcciones IP para brindar mayor seguridad y evitar abusos durante el registro y la autenticación.

Retención: Firebase Authentication mantiene las direcciones IP registradas durante algunas semanas. Conserva otra información de autenticación hasta que el cliente de Firebase inicia la eliminación del usuario asociado, después de lo cual los datos se eliminan de los sistemas en vivo y de respaldo dentro de los 180 días.

Comprobación de la aplicación Firebase
  • Material de atestación de proveedores de atestación admitidos
  • App Check tokens de certificaciones exitosas

Cómo ayuda: Firebase App Check usa material de atestación requerido por el proveedor de atestación correspondiente y recibido de los dispositivos del usuario final para ayudar a establecer la integridad del dispositivo o la aplicación. Los materiales de atestación se envían al proveedor de atestación correspondiente para su validación según la configuración del desarrollador. Los tokens de App Check obtenidos de atestaciones exitosas se envían con cada solicitud a los servicios compatibles de Firebase para acceder a los recursos protegidos por App Check.

Retención: App Check no retiene el material de atestación, pero cuando se envía a los proveedores de atestación, está sujeto a los términos de dichos proveedores de atestación. Los tokens de App Check devueltos por certificaciones exitosas son válidos durante su TTL, que no puede superar los 7 días. Los tokens de App Check no son retenidos por los servicios de Firebase.

Distribución de aplicaciones de Firebase

Cómo ayuda: Firebase App Distribution usa los datos para distribuir compilaciones de aplicaciones a los testers, monitorear la actividad de los testers y asociar datos con dispositivos de testers.

Retención: Firebase App Distribution retiene la información del usuario hasta que el cliente de Firebase solicita su eliminación, después de lo cual los datos se eliminan de los sistemas en vivo y de respaldo dentro de los 180 días.

Mensajería en la nube de Firebase
  • ID de instalación de Firebase

Cómo ayuda: Firebase Cloud Messaging usa los ID de instalación de Firebase para determinar a qué dispositivos enviar mensajes.

Retención: Firebase conserva los ID de instalación de Firebase hasta que el cliente de Firebase realiza una llamada a la API para eliminar el ID. Después de la llamada, los datos se eliminan de los sistemas en vivo y de respaldo dentro de los 180 días.

Crashlytics de base de fuego
  • UUID de instalación de Crashlytics
  • Rastros de accidentes
  • Datos formateados minivolcado Breakpad
    (NDK solo falla)

Cómo ayuda: Firebase Crashlytics utiliza seguimientos de la pila de bloqueos para asociar bloqueos con un proyecto, enviar alertas por correo electrónico a los miembros del proyecto y mostrarlos en Firebase Console, y ayudar a los clientes de Firebase a depurar bloqueos. Utiliza los UUID de instalación de Crashlytics para medir la cantidad de usuarios afectados por un bloqueo y los datos de minivolcado para procesar los bloqueos del NDK. Los datos del minivolcado se almacenan mientras se procesa la sesión de bloqueo y luego se descartan. Consulte Ejemplos de información de dispositivo almacenada para obtener más detalles sobre los tipos de información de usuario recopilada.

Retención: Firebase Crashlytics retiene los seguimientos de la pila de fallas, los datos de minivolcado extraídos y los identificadores asociados (incluidos los UUID de instalación de Crashlytics) durante 90 días.

Vínculos dinámicos de Firebase
  • Especificaciones del dispositivo (iOS)
  • Direcciones IP (iOS)

Cómo ayuda: Dynamic Links usa las especificaciones del dispositivo y las direcciones IP en iOS para abrir aplicaciones recién instaladas en una página o contexto específico.

Retención: Dynamic Links solo almacena las especificaciones del dispositivo y las direcciones IP temporalmente para brindar el servicio.

Alojamiento de base de fuego
  • Direcciones IP

Cómo ayuda: el alojamiento utiliza las direcciones IP de las solicitudes entrantes para detectar abusos y proporcionar a los clientes un análisis detallado de los datos de uso.

Retención: Hosting retiene los datos de IP durante unos meses.

Supervisión del rendimiento de Firebase
  • ID de instalación de Firebase
  • Direcciones IP

Cómo ayuda: Performance Monitoring usa los ID de instalación de Firebase para calcular la cantidad de instalaciones únicas de Firebase que acceden a los recursos de la red, a fin de garantizar que los patrones de acceso sean lo suficientemente anónimos. También usa los ID de instalación de Firebase con Firebase Remote Config para administrar la tasa de informes de eventos de rendimiento. Además, utiliza direcciones IP para asignar eventos de rendimiento a los países de los que se originan. Para obtener más información, consulte Recopilación de datos .

Retención: Performance Monitoring mantiene la instalación y los eventos asociados con IP durante 30 días y los datos de rendimiento no identificados durante 90 días.

Mensajería en la aplicación de Firebase
  • ID de instalación de Firebase

Cómo ayuda: Firebase In-App Messaging utiliza los ID de instalación de Firebase para determinar a qué dispositivos enviar mensajes.

Retención: Firebase conserva los ID de instalación de Firebase hasta que el cliente de Firebase realiza una llamada a la API para eliminar el ID. Después de la llamada, los datos se eliminan de los sistemas en vivo y de respaldo dentro de los 180 días.

Base de datos en tiempo real de Firebase
  • Direcciones IP
  • Agentes de usuario

Cómo ayuda: Realtime Database usa direcciones IP y agentes de usuario para habilitar la herramienta de generación de perfiles , que ayuda a los clientes de Firebase a comprender las tendencias de uso y los desgloses de la plataforma.

Retención: Realtime Database conserva las direcciones IP y la información del agente de usuario durante unos días, a menos que un cliente decida guardarla por más tiempo.

Google Analytics para Firebase

Cómo ayuda: Google Analytics para Firebase utiliza los datos para proporcionar información analítica y de atribución. La información precisa recopilada puede variar según el dispositivo y el entorno. Para obtener más información, consulte Recopilación de datos .

Retención: Google Analytics para Firebase retiene ciertos datos asociados con el identificador de publicidad (p. ej., el identificador para anunciantes de Apple y el identificador para proveedores, la identificación de publicidad de Android) durante 60 días y retiene informes agregados sin vencimiento automático. La retención de datos a nivel de usuario, incluidas las conversiones, se fija en hasta 14 meses. Para todos los demás datos de eventos, puede establecer la retención en su configuración de Google Analytics para Firebase en 2 meses o 14 meses. Más información

Configuración remota de Firebase
  • ID de instalación de Firebase

Cómo ayuda: Remote Config usa los ID de instalación de Firebase para seleccionar los valores de configuración para volver a los dispositivos de los usuarios finales.

Retención: Firebase conserva los ID de instalación de Firebase hasta que el cliente de Firebase realiza una llamada a la API para eliminar el ID. Después de la llamada, los datos se eliminan de los sistemas en vivo y de respaldo dentro de los 180 días.

Base de fuego ML
  • Imágenes cargadas
  • tokens de autenticación de instalación

Cómo ayuda: las API basadas en la nube almacenan imágenes cargadas temporalmente para procesar y devolverle el análisis. Las imágenes almacenadas generalmente se eliminan en unas pocas horas. Consulte las Preguntas frecuentes sobre el uso de datos de Cloud Vision para obtener más información.

Firebase ML usa tokens de autenticación de instalación para la autenticación de dispositivos al interactuar con instancias de aplicaciones, por ejemplo, para distribuir modelos de desarrolladores a instancias de aplicaciones.

Retención: los tokens de autenticación de instalación siguen siendo válidos hasta su fecha de vencimiento. La vida útil predeterminada del token es de una semana.

Ejemplos de información almacenada del dispositivo recopilada por Crashlytics

  • Un UUID RFC-4122 que nos permite deduplicar fallas
  • La marca de tiempo de cuando ocurrió el bloqueo
  • El identificador del paquete de la aplicación y el número de versión completo
  • El nombre del sistema operativo y el número de versión del dispositivo.
  • Un booleano que indica si el dispositivo fue jailbreak/rooteado
  • El nombre del modelo del dispositivo, la arquitectura de la CPU, la cantidad de RAM y el espacio en disco
  • El puntero de instrucción uint64 de cada cuadro de cada subproceso que se está ejecutando actualmente
  • Si está disponible en el tiempo de ejecución, el método de texto sin formato o el nombre de la función que contiene cada puntero de instrucción.
  • Si se lanzó una excepción, el nombre de la clase de texto sin formato y el valor del mensaje de la excepción
  • Si se emitió una señal fatal, su nombre y código entero
  • Para cada imagen binaria cargada en la aplicación, su nombre, UUID, tamaño de bytes y la dirección base uint64 en la que se cargó en la RAM
  • Un valor booleano que indica si la aplicación estaba o no en segundo plano en el momento en que se bloqueó
  • Un valor entero que indica la rotación de la pantalla en el momento del bloqueo
  • Un valor booleano que indica si se activó el sensor de proximidad del dispositivo

Ejemplos de información recopilada por Performance Monitoring

  • Información general del dispositivo, como modelo, sistema operativo y orientación
  • RAM y tamaño del disco
  • uso de CPU
  • Operador (basado en el país móvil y el código de red)
  • Información de radio/red (por ejemplo, WiFi, LTE, 3G)
  • País (basado en la dirección IP)
  • Configuración regional/idioma
  • Version de aplicacion
  • Estado de fondo o de primer plano de la aplicación
  • Nombre del paquete de la aplicación
  • ID de instalación de Firebase
  • Tiempos de duración para trazas automatizadas
  • URL de red (sin incluir parámetros de URL ni contenido de carga útil) y la siguiente información correspondiente:
    • Códigos de respuesta (por ejemplo, 403, 200)
    • Tamaño de la carga útil en bytes
    • Tiempos de respuesta

Vea una lista completa de los seguimientos automáticos recopilados por Performance Monitoring.

Guías para habilitar la suscripción para el procesamiento de datos del usuario final

Los servicios de la tabla anterior necesitan cierta cantidad de datos del usuario final para funcionar. Como resultado, no es posible deshabilitar por completo la recopilación de datos mientras usa esos servicios.

Si es un cliente que desea ofrecer a los usuarios la oportunidad de optar por un servicio y la recopilación de datos que lo acompaña, en la mayoría de los casos solo requiere agregar un cuadro de diálogo o cambiar la configuración antes de usar el servicio.

Sin embargo, algunos servicios se inician automáticamente cuando se incluyen en una aplicación. Para dar a los usuarios la oportunidad de participar antes de usar esos servicios, puede optar por deshabilitar la inicialización automática para cada servicio e inicializarlos manualmente en tiempo de ejecución. Para saber cómo, lea las siguientes guías:

Ubicaciones de almacenamiento y procesamiento de datos

A menos que un servicio o función ofrezca selección de ubicación de datos, Firebase puede procesar y almacenar sus datos en cualquier lugar donde Google o sus agentes tengan instalaciones. Las posibles ubicaciones de las instalaciones varían según el servicio.

Servicios solo para EE. UU.

El servicio de autenticación de Firebase solo se ejecuta desde centros de datos de EE. UU. Como resultado, Firebase Authentication procesa datos exclusivamente en los Estados Unidos.

Servicios globales

La mayoría de los servicios de Firebase se ejecutan en la infraestructura global de Google. Podrían procesar datos en cualquiera de las ubicaciones de Google Cloud Platform o en las ubicaciones del centro de datos de Google . Para algunos servicios, puede realizar una Selección de ubicación de datos específica que restringe el procesamiento a esa ubicación.

  • Almacenamiento en la nube para Firebase
  • Tienda de fuego en la nube
  • Funciones en la nube para Firebase
  • Alojamiento de base de fuego
  • Crashlytics de base de fuego
  • Supervisión del rendimiento de Firebase
  • Vínculos dinámicos de Firebase
  • Configuración remota de Firebase
  • Mensajería en la nube de Firebase
  • Google analitico
  • Base de fuego ML
  • Laboratorio de pruebas de Firebase
  • Comprobación de la aplicación Firebase

Informacion de seguridad

Cifrado de datos

Los servicios de Firebase cifran los datos en tránsito mediante HTTPS y aíslan lógicamente los datos de los clientes.

Además, varios servicios de Firebase también cifran sus datos en reposo:

  • Tienda de fuego en la nube
  • Funciones en la nube para Firebase
  • Almacenamiento en la nube para Firebase
  • Crashlytics de base de fuego
  • Autenticación de base de fuego
  • Mensajería en la nube de Firebase
  • Base de datos en tiempo real de Firebase
  • Laboratorio de pruebas de Firebase
  • Comprobación de la aplicación Firebase
  • Supervisión del rendimiento de Firebase

Prácticas de seguridad

Para mantener seguros los datos personales, Firebase emplea amplias medidas de seguridad para minimizar el acceso:

  • Firebase restringe el acceso a determinados empleados que tienen un propósito comercial para acceder a datos personales.
  • Firebase registra el acceso de los empleados a los sistemas que contienen datos personales.
  • Firebase solo permite el acceso a los datos personales a los empleados que inician sesión con el inicio de sesión de Google y la autenticación de dos factores .

Datos de servicio de Firebase

Los Datos de servicio de Firebase son información personal que Google recopila y genera durante la prestación y administración de los servicios de Firebase * , sin incluir los Datos del cliente ** , tal como se define en nuestros acuerdos de cliente que cubren los servicios de Firebase y los Datos del servicio de Google Cloud . Los ejemplos de datos de servicio de Firebase incluyen información sobre el uso del servicio, identificadores de recursos, como ID de aplicación y nombre de paquete/ID de paquete, detalles técnicos y operativos de uso, como direcciones IP, y comunicaciones directas con desarrolladores a partir de comentarios y conversaciones relacionadas con el soporte.

*Los servicios cubiertos incluyen Firebase A/B Testing, Firebase App Check, Firebase App Distribution, Firebase Cloud Messaging, Firebase Crashlytics, Firebase Dynamic Links, Firebase Hosting, Firebase In-App Messaging, Firebase ML, Firebase Performance Monitoring, Firebase Realtime Database, Firebase Configuración remota y almacenamiento de segmentación de usuarios de Firebase.

**Para obtener más información sobre cómo procesamos los Datos del cliente, consulte nuestros Términos de seguridad y procesamiento de datos de Firebase y los Términos de seguridad y procesamiento de datos de Crashlytics y App Distribution .

Ejemplos de cómo Firebase procesa los datos de servicio de Firebase

Google utiliza los datos de servicio de Firebase de acuerdo con nuestra política de privacidad y los términos aplicables. Los datos de servicio de Firebase se utilizan, por ejemplo, para:

  • Proporcionar los servicios de Firebase que solicite
  • Hacer recomendaciones para optimizar el uso de los servicios de Firebase
  • Mantener y mejorar los servicios de Firebase
  • Proporcionar y mejorar otros servicios que solicite
  • Comprender su uso de Firebase y otros servicios de Google
  • Brindarle un mejor soporte y comunicarse con usted
  • Protegerte a ti, a nuestros usuarios, al público y a Google
  • Cumplir con las obligaciones legales

Servicio de Firebase Uso de datos por parte de servicios de Google que no son de Firebase

Puede controlar si Google puede usar sus datos de servicio de Firebase para proporcionar análisis, información y recomendaciones más profundos sobre los servicios de Google que no son de Firebase y mejorar los servicios de Google que no son de Firebase . Puede configurar esto en su página de configuración de privacidad de datos de Firebase.

Si se deshabilita este control, los Datos de servicio de Firebase se seguirán utilizando para otros fines, como los mencionados anteriormente, de acuerdo con nuestra política de privacidad y los términos aplicables, incluso para hacer recomendaciones sobre los servicios de Firebase y mejorarlos, y para brindar y mejorar otros los servicios que solicita, como los productos de Google que vincula a su proyecto de Firebase.

¿Todavía tienes preguntas? Contáctenos

Para cualquier pregunta relacionada con la privacidad que tenga y que no esté cubierta aquí, comuníquese con Firebase Support . Si es un desarrollador de Firebase, incluya su ID de aplicación de Firebase. Busque su ID de aplicación de Firebase en la tarjeta Sus aplicaciones de su del proyecto .