Google se compromete a impulsar la igualdad racial para las comunidades afrodescendientes. Obtén información al respecto.

Privacidad y seguridad en Firebase

En esta página se describe la información clave sobre la privacidad y la seguridad de Firebase. Si buscas iniciar un proyecto nuevo con Firebase o quieres conocer cómo funciona con tu proyecto existente, lee este artículo para descubrir cómo Firebase puede ofrecer protección para ti y tus usuarios.

Última modificación: 23 de septiembre de 2021

Protección de datos

Compatibilidad de Firebase con el GDPR y la CCPA

El 25 de mayo de 2018, el Reglamento General de Protección de Datos (GDPR) de la UE reemplazó a la Directiva de Protección de Datos de la UE de 1995. El 1 de enero de 2020, entró en vigencia la Ley de Privacidad del Consumidor de California (CCPA). Google asumió el compromiso de ayudar a nuestros clientes a tener éxito bajo estos reglamentos de privacidad, ya sean grandes empresas de software o desarrolladores independientes.

El GDPR impone obligaciones a los controladores de datos y a los procesadores de datos, y la CCPA impone obligaciones a las empresas y sus proveedores de servicios. Por lo general, los clientes de Firebase actúan como los “controladores de datos” (GDPR) o la “empresa” (CCPA) de los datos personales o la información sobre los usuarios finales que proporcionan a Google en relación con su uso de Firebase. Por su parte, Google suele operar como un “procesador de datos” (GDPR) o un “proveedor de servicios” (CCPA).

Esto significa que los datos están bajo el control del cliente. Los clientes son responsables de sus obligaciones, como cumplir con los derechos de una persona física en relación con sus datos personales o información.

Condiciones de Seguridad y Procesamiento de Datos de Firebase

Por lo general, cuando los clientes usan Firebase, Google es el procesador de datos personales según el GDPR y procesa datos personales en su nombre. De manera similar, cuando los clientes usan Firebase, Google suele funcionar como un proveedor de servicios según la CCPA, ya que maneja la información personal en su nombre. Las condiciones de Firebase incluyen Condiciones de Seguridad y Procesamiento de Datos, en las que se detallan estas responsabilidades.

Ciertos servicios de Firebase que se rigen por las Condiciones del Servicio de Google Cloud Platform (GCP) ya están cubiertos por las condiciones del procesamiento de datos asociadas: las Condiciones de Seguridad y Procesamiento de Datos de GCP. Puedes encontrar una lista completa de los servicios de Firebase que actualmente se rigen por las Condiciones del Servicio de GCP en las Condiciones del Servicio de Firebase.

Crashlytics y App Distribution se rigen por las Condiciones del Servicio de Firebase Crashlytics y Firebase App Distribution, y están cubiertos por esas condiciones del procesamiento de datos asociadas.

Google Analytics para Firebase y Google Analytics se rigen por las Condiciones del Servicio de Google Analytics para Firebase y las Condiciones del Servicio de Google Analytics, respectivamente, así como por las Condiciones del procesamiento de datos de Google Ads. Para obtener más información, consulta Cómo proteger tus datos.

Firebase está certificado según los principales estándares de seguridad y privacidad

Cumplimiento de ISO y SOC

Todos los servicios de Firebase (aparte de App Distribution y Firebase App Indexing) completaron correctamente los procesos de evaluación de ISO 27001 y SOC 1, SOC 2 y SOC 3. Además, algunos también completaron los procesos de certificación de ISO 27017 y de ISO 27018: Se pueden solicitar informes de cumplimiento y certificados para los servicios de Firebase regidos por las Condiciones del Servicio de GCP mediante el Administrador de informes de cumplimiento.

Nombre del servicio ISO 27001 ISO 27017 ISO 27018 SOC 1 SOC 2 SOC 3
Google Analytics para Firebase
AA de Firebase
Firebase Test Lab
Cloud Firestore
Cloud Functions para Firebase
Cloud Storage para Firebase
Firebase Authentication
Firebase Crashlytics
Firebase App Distribution
Firebase In-App Messaging
Firebase Cloud Messaging
Firebase Predictions
Firebase Performance Monitoring
Firebase Hosting
Firebase Dynamic Links
Firebase Remote Config
Firebase Realtime Database
Firebase Platform
Firebase A/B Testing

Transferencias de datos internacionales

Los frameworks de Privacy Shield (Escudo de Privacidad) brindan un mecanismo para cumplir con los requisitos de protección de datos cuando se transfieren datos personales del EEE, Reino Unido o Suiza a Estados Unidos, y de allí a otros países. Si bien el Swiss-U.S. Privacy Shield (Escudo de Privacidad Suiza-EE.UU.) sigue siendo válido, como resultado del fallo del Tribunal de Justicia de la Unión Europea sobre las transferencias de datos, que invalida el EU-U.S. Privacy Shield (Escudo de Privacidad UE-EE.UU.), Firebase se basa en las Cláusulas de Contrato Estándar para las transferencias de datos pertinentes, las cuales, según el fallo, pueden seguir siendo un mecanismo jurídico válido para transferir datos en virtud del GDPR. La Comisión Europea aprobó nuevas versiones de las Cláusulas de Contrato Estándar el 4 de junio de 2021, que estamos incorporando a nuestros contratos con los clientes de Firebase para las transferencias de datos relevantes.

Nos comprometemos a contar con un fundamento legal para las transferencias de datos de conformidad con las leyes de protección de datos aplicables.

Información sobre el procesamiento de datos

Ejemplos de datos personales de usuarios finales procesados por Firebase

Algunos servicios de Firebase procesan los datos personales de tus usuarios finales para proporcionar su servicio. El siguiente gráfico muestra ejemplos de cómo varios servicios de Firebase usan y controlan datos personales de usuarios finales. Además, varios servicios de Firebase ofrecen la capacidad de solicitar la eliminación de datos específicos o controlar cómo se administran.

Servicio de Firebase Datos personales De qué manera los datos ayudan a proporcionar el servicio
Cloud Functions para Firebase
  • Direcciones IP

Cómo ayuda: Cloud Functions usa direcciones IP para ejecutar funciones con la capacidad de controlar eventos y funciones de HTTP basadas en las acciones del usuario final.

Retención: Cloud Functions solo almacena las direcciones IP de manera temporal a fin de proporcionar el servicio.

Firebase Authentication
  • Contraseñas
  • Direcciones de correo electrónico
  • Números de teléfono
  • Usuarios-agente
  • Direcciones IP

Cómo ayuda: Firebase Authentication usa los datos para habilitar la autenticación del usuario final y facilitar la administración de su cuenta. También usa strings usuario-agente y direcciones IP para ofrecer seguridad adicional y prevenir el abuso durante el registro y la autenticación.

Retención: Firebase Authentication mantiene las direcciones IP registradas solo por unas semanas. El resto de la información de autenticación se retiene hasta que el cliente de Firebase inicia la eliminación del usuario asociado, tras lo cual se quitan los datos de los sistemas activos y de copia de seguridad en un plazo de 180 días.

Firebase App Distribution

Cómo ayuda: Firebase App Distribution usa los datos para distribuir las compilaciones de la app a los verificadores, supervisar la actividad de estos y asociar los datos a sus dispositivos.

Retención: Firebase App Distribution retiene la información de los usuarios hasta que el cliente de Firebase solicita su eliminación. Después de la solicitud, se quitan los datos de los sistemas activos y de copia de seguridad en un plazo de 180 días.

Firebase Cloud Messaging
  • ID de instalación de Firebase

Cómo ayuda: Firebase Cloud Messaging utiliza los ID de instalación de Firebase para determinar a qué dispositivos debe enviar los mensajes.

Retención: Firebase retiene los ID de instalación de la plataforma hasta que el cliente de Firebase realiza una llamada a la API para borrarlos. Después de la llamada, los datos se quitan de los sistemas activos y de copia de seguridad en un plazo de 180 días.

Firebase Crashlytics
  • UUID de instalación de Crashlytics
  • Seguimientos de fallas
  • Datos con formato de minivolcado de Breakpad
    (solo fallas del NDK)

Cómo ayuda: Firebase Crashlytics usa seguimientos de pila de fallas para asociarlas con un proyecto, enviar alertas por correo electrónico a los miembros del proyecto y mostrarlas en Firebase console. Además, ayuda a los clientes de Firebase a depurar fallas. Usa los UUID de instalación de Crashlytics para medir la cantidad de usuarios afectados por una falla y datos de minivolcado a fin de procesar las fallas del NDK. Los datos de minivolcado se almacenan mientras se procesa la sesión con fallas y, luego, se descartan. Consulta los ejemplos de información almacenada del dispositivo para obtener más detalles sobre los tipos de información de los usuarios que se recopilan.

Retención: Firebase Crashlytics retiene seguimientos de pila de fallas, datos de minivolcado extraídos y, también, identificadores asociados (incluidos los UUID de instalación de Crashlytics) durante 90 días.

Firebase Dynamic Links
  • Especificaciones del dispositivo (iOS)
  • Direcciones IP (iOS)

Cómo ayuda: Dynamic Links usa las especificaciones del dispositivo y las direcciones IP en iOS para abrir apps instaladas recientemente en una página o un contexto específicos.

Retención: Dynamic Links solo almacena las especificaciones del dispositivo y las direcciones IP de manera temporal a fin de proporcionar el servicio.

Firebase Hosting
  • Direcciones IP

Cómo ayuda: Hosting usa direcciones IP de las solicitudes entrantes para detectar el abuso y proporcionar análisis detallados de datos de uso a los clientes.

Retención: Hosting retiene los datos de IP durante unos meses.

Firebase Performance Monitoring
  • ID de instalación de Firebase
  • Direcciones IP

Cómo ayuda: Performance Monitoring usa los ID de instalación de Firebase para calcular la cantidad de instalaciones únicas de Firebase que acceden a los recursos de red, a fin de garantizar que los patrones de acceso sean lo suficientemente anónimos. También usa los ID de instalación de Firebase con Firebase Remote Config a fin de administrar la tasa de informes de eventos de rendimiento. Además, usa direcciones IP para mapear los eventos de rendimiento a los países donde se originaron. Para obtener más información, consulta Recopilación de datos.

Retención: Performance Monitoring retiene los eventos relacionados con la instalación y la IP por 30 días y los datos de rendimiento desidentificados por 90 días.

Firebase Predictions
  • ID de instalación de Firebase

Cómo ayuda: Predictions usa los ID de instalación de Firebase para asociar las instalaciones de la plataforma a un proyecto y recuperar una serie temporal de eventos. Usa esos eventos para habilitar la predicción de las probabilidades de que ocurran eventos especificados por los clientes, además de las predicciones de inversión y deserción de forma predeterminada.

Retención: Predictions almacena por 60 días los eventos asociados con la instalación y por unas semanas las predicciones que realiza en función de esos eventos. Firebase retendrá los ID de instalación de Firebase hasta que el cliente de la plataforma realice una llamada a la API para borrarlos. Después de la llamada, los datos se quitan de los sistemas activos y de copia de seguridad en un plazo de 180 días.

Firebase Realtime Database
  • Direcciones IP
  • Usuarios-agente

Cómo ayuda: Realtime Database usa direcciones IP y usuarios-agentes para habilitar la herramienta generadora de perfiles, que ayuda a los clientes de Firebase a comprender las tendencias de uso y el desglose por plataforma.

Retención: Realtime Database mantiene las direcciones IP y la información de los usuarios-agente solo por unos días, a menos que el cliente decida almacenarlas por más tiempo.

Google Analytics para Firebase

Cómo ayuda: Google Analytics usa los datos para proporcionar información de atribución y estadísticas. La información precisa que se recopila puede variar según el dispositivo y el entorno. Para obtener más información, consulta Recopilación de datos.

Retención: Google Analytics retiene ciertos datos asociados con el identificador de publicidad (p. ej., el identificador de Apple para los anunciantes y el identificador para los proveedores, el ID de publicidad de Android) durante 60 días. Además, retiene informes adicionales sin vencimiento automático. La retención de datos a nivel del usuario, incluidas las conversiones, se fija en hasta 14 meses. En el caso de los demás datos de eventos, puedes establecer la retención en la configuración de Analytics en 2 o 14 meses. Obtén más información.

Firebase Remote Config
  • ID de instalación de Firebase

Cómo ayuda: Remote Config usa los ID de instalación de Firebase para seleccionar valores de configuración que se mostrarán a los dispositivos del usuario final.

Retención: Firebase retiene los ID de instalación de la plataforma hasta que el cliente de Firebase realiza una llamada a la API a fin de borrarlos. Después de la llamada, los datos se quitan de los sistemas activos y de copia de seguridad en un plazo de 180 días.

AA de Firebase
  • Imágenes subidas
  • tokens de autenticación de instalación

Cómo ayuda: Las API basadas en la nube almacenan las imágenes subidas de manera temporal a fin de procesar el análisis y mostrártelo. Por lo general, las imágenes almacenadas se borran en unas horas. Consulta las Preguntas frecuentes del uso de datos de Cloud Vision para obtener más información.

AA de Firebase usa tokens de autenticación de instalación para la autenticación de dispositivos cuando interactúa con instancias de apps; por ejemplo, a fin de distribuir los modelos de desarrolladores a las instancias de apps.

Retención: Los tokens de autenticación de instalación siguen siendo válidos hasta su fecha de vencimiento. La vida útil predeterminada del token es de una semana.

Ejemplos de información almacenada del dispositivo que recopila Crashlytics

  • Un UUID de RFC 4122 que nos permite anular el duplicado de las fallas
  • La marca de tiempo del momento en que ocurrió la falla
  • El identificador del paquete de la app y el número de la versión completa
  • El nombre y el número de versión del sistema operativo del dispositivo
  • Un valor booleano que indica si el dispositivo tiene jailbreak o permisos de administrador
  • El nombre del modelo del dispositivo, la arquitectura de CPU, la cantidad de memoria RAM y el espacio en disco
  • El puntero de instrucciones de uint64 de todos los marcos de cada subproceso que se ejecuta actualmente
  • Si está disponible en el entorno de ejecución, el método de texto sin formato o el nombre de la función que contiene cada puntero de instrucciones
  • Si se arroja una excepción, el nombre de la clase de texto sin formato y el valor del mensaje de la excepción
  • Si se genera un indicador no recuperable, su nombre y código compuesto por números enteros
  • Por cada imagen binaria cargada en la aplicación, su nombre, UUID, tamaño en bytes y la dirección base de uint64 en la que se cargó en la RAM
  • Un valor booleano que indica si la app se encontraba en segundo plano en el momento en que falló
  • Un número entero que indica la rotación de la pantalla en el momento de la falla.
  • Un valor booleano que indica si el sensor de proximidad del dispositivo se activó

Ejemplos de información que recopila Performance Monitoring

  • Información general del dispositivo, como el modelo, el SO y la orientación
  • Tamaño del disco y la memoria RAM
  • Uso de CPU
  • Proveedor (según los códigos de país y de red del dispositivo móvil)
  • Información de radio o red (por ejemplo, Wi-Fi, LTE, 3G)
  • País (según la dirección IP)
  • Configuración regional o idioma
  • Versión de la app
  • Estado de la app: en primer o segundo plano
  • Nombre del paquete de aplicaciones
  • ID de instalación de Firebase
  • Duración de los seguimientos automáticos
  • URL de red (sin incluir parámetros de URL ni contenido de la carga útil) y la siguiente información correspondiente:
    • Códigos de respuesta (por ejemplo, 403 o 200)
    • Tamaño de la carga útil en bytes
    • Tiempos de respuesta

Consulta la lista completa de seguimientos automáticos que recopila Performance Monitoring.

Guías para habilitar la aceptación del procesamiento de datos personales de usuarios finales

Los servicios que aparecen en la tabla anterior necesitan cierta cantidad de datos personales de usuarios finales para funcionar. Como resultado, no es posible inhabilitar la recopilación de datos por completo mientras se usen estos servicios.

Si eres un cliente que desea ofrecer a los usuarios la posibilidad de aceptar un servicio, junto con su respectiva recopilación de datos, en la mayoría de los casos basta con agregar un diálogo o un botón para activar o desactivar la configuración antes de usar el servicio.

Sin embargo, algunos servicios se inician automáticamente cuando se incluyen en una app. Si deseas que los usuarios tengan la posibilidad de aceptar antes de usar esos servicios, puedes inhabilitar la inicialización automática de cada uno y, luego, iniciarlos manualmente en el tiempo de ejecución. Para aprender a hacerlo, lee las guías que aparecen a continuación:

Ubicaciones de procesamiento y almacenamiento de datos

A menos que un servicio o una función permita seleccionar la ubicación de los datos, es posible que Firebase procese y almacene tus datos en cualquier instalación de Google o sus agentes. Las posibles ubicaciones de las instalaciones varían según el servicio.

Servicios solo para EE.UU.

Algunos servicios de Firebase se ejecutan solo desde centros de datos en EE.UU. Por lo tanto, esos servicios procesan datos exclusivamente en Estados Unidos.

  • Firebase Hosting
  • Firebase Authentication

Servicios globales

La mayoría de los servicios de Firebase se ejecutan en la infraestructura global de Google. Podrían procesar datos en cualquiera de las ubicaciones de Google Cloud Platform o de los centros de datos de Google. Para algunos servicios, puedes realizar una selección de ubicación de datos que restrinja el procesamiento a esa ubicación.

  • Cloud Storage para Firebase
  • Cloud Firestore
  • Cloud Functions para Firebase
  • Firebase Crashlytics
  • Firebase Performance Monitoring
  • Firebase Dynamic Links
  • Firebase Remote Config
  • Firebase Cloud Messaging
  • Firebase Predictions
  • Google Analytics
  • AA de Firebase
  • Firebase Test Lab

Información de seguridad

Encriptación de datos

Los servicios de Firebase encriptan datos en tránsito con HTTPS y datos de clientes aislados de manera lógica.

Además, varios servicios de Firebase también encriptan sus datos en reposo:

  • Cloud Firestore
  • Cloud Functions para Firebase
  • Cloud Storage para Firebase
  • Firebase Crashlytics
  • Firebase Authentication
  • Firebase Cloud Messaging
  • Firebase Realtime Database
  • Firebase Test Lab

Prácticas de seguridad

Para mantener protegidos los datos personales y reducir al mínimo el acceso a ellos, Firebase aplica medidas de seguridad exhaustivas:

  • Firebase restringe el acceso a una selección de empleados que tienen un fin comercial para acceder a los datos personales.
  • Firebase registra el acceso de los empleados a los sistemas que contienen datos personales.
  • Firebase solo permite que accedan a los datos personales los empleados que lo hacen con el Acceso con Google y la autenticación de 2 factores.

Datos del servicio de Firebase

Los datos del servicio de Firebase corresponden a información personal que Google recopila y genera durante el aprovisionamiento y la administración de los servicios de Firebase*, excepto los datos de clientes**, como se define en nuestros acuerdos del cliente sobre los servicios de Firebase y los datos del servicio de Google Cloud. En los ejemplos de datos del servicio de Firebase, se incluye información sobre el uso del servicio, identificadores de recursos (como los ID de aplicación y el nombre del paquete o ID del paquete), detalles técnicos y operativos de uso (como direcciones IP) y comunicaciones directas con los desarrolladores (como comentarios y conversaciones relacionadas con la asistencia).

* Los servicios cubiertos incluyen Firebase A/B Testing, Firebase App Distribution, Firebase Cloud Messaging, Firebase Crashlytics, Firebase Dynamic Links, Firebase Hosting, Firebase In-App Messaging, AA de Firebase, Firebase Performance Monitoring, Firebase Predictions, Firebase Realtime Database y Firebase Remote Config.

** Para obtener más información sobre cómo procesamos los datos de clientes, consulta nuestras Condiciones de Seguridad y Procesamiento de Datos de Firebase y Condiciones de Seguridad y Procesamiento de Datos de Crashlytics y App Distribution.

Ejemplos sobre cómo Firebase procesa los datos del servicio de Firebase

Google utiliza los datos del servicio de Firebase de conformidad con nuestra Política de Privacidad y las condiciones aplicables. Los datos del servicio de Firebase se usan, por ejemplo, para las siguientes acciones:

  • Proporcionar los servicios de Firebase que solicites
  • Realizar recomendaciones para optimizar el uso de los servicios de Firebase
  • Mantener y mejorar los servicios de Firebase
  • Proporcionar y mejorar otros servicios que solicites
  • Comprender tu uso de Firebase y de otros servicios de Google
  • Brindarte una mejor asistencia y comunicarnos contigo
  • Protegerte a ti, a nuestros usuarios, al público y a Google.
  • Cumplir con las obligaciones legales

Uso de datos del servicio de Firebase por parte de servicios de Google que no corresponden a Firebase

Puedes controlar si Google puede usar tus datos del servicio de Firebase para proporcionar análisis, estadísticas y recomendaciones más detallados sobre servicios de Google que no corresponden a Firebase y, también, mejorar estos servicios. Puedes configurar esta opción en tu página de configuración de privacidad de datos de Firebase.

Si se inhabilita este control, los datos del servicio de Firebase se seguirán usando para otros fines, como los mencionados anteriormente, de acuerdo con nuestra Política de Privacidad y las condiciones aplicables. Entre estos fines, se incluyen mejorar y hacer recomendaciones sobre los servicios de Firebase, y entregar y mejorar otros servicios que solicites, como los productos de Google que vinculas a tu proyecto de Firebase.

¿Tienes más preguntas? Comunícate con nosotros

Si tienes preguntas relacionadas con la privacidad que no se incluyen aquí, comunícate con el equipo de Asistencia de Firebase. Si eres desarrollador de Firebase, incluye tu ID de la app de Firebase. Busca el ID de la app de Firebase en la tarjeta Tus apps, en la configuración del proyecto.