Google 致力于为黑人社区推动种族平等。查看具体举措

Privacy e sicurezza in Firebase

Questa pagina descrive le principali informazioni sulla sicurezza e sulla privacy di Firebase. Se stai cercando di dare il via a un nuovo progetto con Firebase o sei curioso di sapere come funziona Firebase con il tuo progetto esistente, continua a leggere per vedere come Firebase può aiutare a proteggere te e i tuoi utenti.

Ultima modifica: 13 settembre 2022

Protezione dati

Supporto Firebase per GDPR e CCPA

Il 25 maggio 2018, il Regolamento generale sulla protezione dei dati (GDPR) dell'UE ha sostituito la Direttiva sulla protezione dei dati dell'UE del 1995. Il 1° gennaio 2020 è entrato in vigore il California Consumer Privacy Act (CCPA). Google si impegna ad aiutare i nostri clienti ad avere successo in base a queste normative sulla privacy, siano essi grandi società di software o sviluppatori indipendenti.

Il GDPR impone obblighi ai titolari del trattamento e ai responsabili del trattamento dei dati e il CCPA impone obblighi alle imprese e ai loro fornitori di servizi. I clienti Firebase in genere agiscono come "titolari del trattamento" (GDPR) o "azienda" (CCPA) per qualsiasi dato personale o informazione sui loro utenti finali che forniscono a Google in relazione al loro utilizzo di Firebase e Google generalmente opera come " responsabile del trattamento" (GDPR) o "fornitore di servizi" (CCPA).

Ciò significa che i dati sono sotto il controllo del cliente. I clienti sono responsabili di obblighi come l'adempimento dei diritti di un individuo rispetto ai propri dati o informazioni personali.

Termini di protezione e trattamento dei dati di Firebase

Quando i clienti utilizzano Firebase, Google è generalmente un responsabile del trattamento dei dati ai sensi del GDPR ed elabora i dati personali per loro conto. Allo stesso modo, quando i clienti utilizzano Firebase, Google generalmente opera come fornitore di servizi ai sensi del CCPA che gestisce le informazioni personali per loro conto. I termini di Firebase includono i Termini di elaborazione e sicurezza dei dati che descrivono in dettaglio queste responsabilità.

Alcuni servizi Firebase disciplinati dai Termini di servizio di Google Cloud Platform (GCP) sono già coperti dai termini di elaborazione dei dati associati, i Termini di elaborazione e sicurezza dei dati GCP . Un elenco completo dei servizi Firebase attualmente disciplinati dai Termini di servizio GCP è disponibile nei Termini di servizio per i servizi Firebase .

Crashlytics e App Distribution sono regolati dai Termini di servizio di Firebase Crashlytics e Firebase App Distribution e sono coperti dai termini di elaborazione dei dati associati .

Google Analytics per Firebase e Google Analytics sono regolati rispettivamente dai Termini di servizio di Google Analytics per Firebase e dai Termini di servizio di Google Analytics , nonché dai Termini di elaborazione dei dati di Google Ads . Per ulteriori informazioni, fare riferimento a Protezione dei dati .

Firebase è certificato secondo i principali standard di privacy e sicurezza

Conformità ISO e SOC

Tutti i servizi Firebase (a parte l'indicizzazione delle app) hanno completato con successo il processo di valutazione ISO 27001 e SOC 1 , SOC 2 e SOC 3 e alcuni hanno anche completato il processo di certificazione ISO 27017 e ISO 27018 . Rapporti di conformità e certificati per i servizi Firebase disciplinati dai Termini di servizio GCP possono essere richiesti tramite il Responsabile rapporti di conformità

Nome di Servizio ISO 27001 ISO 27017 ISO 27018 SOC 1 SOC 2 SOC 3
Google Analytics per Firebase
Firebase ML
Laboratorio di prova Firebase
Cloud Firestore
Funzioni cloud per Firebase
Archiviazione cloud per Firebase
Autenticazione Firebase
Firebase Crashlytics
Controllo dell'app Firebase
Distribuzione dell'app Firebase
Messaggistica in-app di Firebase
Messaggistica cloud di Firebase
Monitoraggio delle prestazioni di Firebase
Hosting Firebase
Collegamenti dinamici di Firebase
Configurazione remota Firebase
Database in tempo reale di Firebase
Piattaforma Firebase
Test A/B Firebase

Trasferimenti internazionali di dati

Le strutture dello scudo per la privacy hanno fornito un meccanismo per conformarsi ai requisiti di protezione dei dati durante il trasferimento di dati personali del SEE, del Regno Unito o della Svizzera negli Stati Uniti e oltre. Alla luce della sentenza della Corte di giustizia dell'Unione Europea sui trasferimenti di dati, che invalida il Privacy Shield UE-USA, Firebase è passata a fare affidamento su Standard Contractual Clauses per i trasferimenti di dati rilevanti, che, secondo la sentenza, possono continuare ad essere un valido meccanismo legale per trasferire i dati ai sensi del GDPR. La Commissione Europea ha approvato nuove versioni delle Standard Contractual Clauses il 4 giugno 2021, che stiamo incorporando nei nostri contratti con i clienti Firebase per i trasferimenti di dati rilevanti.

Ci impegniamo ad avere una base legale per il trasferimento dei dati in conformità con le leggi sulla protezione dei dati applicabili.

Informazioni sul trattamento dei dati

Esempi di dati degli utenti finali elaborati da Firebase

Alcuni servizi Firebase elaborano i dati degli utenti finali per fornire il loro servizio. Il grafico seguente presenta esempi di come i vari servizi Firebase utilizzano e gestiscono i dati degli utenti finali che potrebbero essere potenzialmente identificativi. Inoltre, molti servizi Firebase offrono la possibilità di richiedere la cancellazione di dati specifici o di controllare il modo in cui i dati vengono gestiti.

Servizio Firebase Dati dell'utente finale Come i dati aiutano a fornire il servizio
Funzioni cloud per Firebase
  • Indirizzi IP

Come aiuta: Cloud Functions utilizza gli indirizzi IP per eseguire funzioni di gestione degli eventi e funzioni HTTP in base alle azioni dell'utente finale.

Conservazione: le funzioni cloud salvano solo temporaneamente gli indirizzi IP, per fornire il servizio.

Autenticazione Firebase
  • Le password
  • Indirizzi email
  • Numeri di telefono
  • Agenti utente
  • Indirizzi IP

Come aiuta: l'autenticazione Firebase utilizza i dati per abilitare l'autenticazione dell'utente finale e facilitare la gestione dell'account dell'utente finale. Utilizza inoltre stringhe user-agent e indirizzi IP per fornire maggiore sicurezza e prevenire abusi durante la registrazione e l'autenticazione.

Conservazione: l'autenticazione Firebase conserva gli indirizzi IP registrati per alcune settimane. Conserva altre informazioni di autenticazione fino a quando il cliente Firebase non avvia l'eliminazione dell'utente associato, dopodiché i dati vengono rimossi dai sistemi live e di backup entro 180 giorni.

Controllo dell'app Firebase
  • Materiale di attestazione da fornitori di attestazione supportati
  • Token di controllo app da attestazioni riuscite

Come aiuta: Firebase App Check utilizza il materiale di attestazione richiesto dal fornitore di attestazione corrispondente e ricevuto dai dispositivi dell'utente finale per aiutare a stabilire l'integrità del dispositivo e/o dell'app. I materiali di attestazione vengono inviati al fornitore di attestazione corrispondente per la convalida in base alla configurazione dello sviluppatore. I token App Check ottenuti da attestazioni riuscite vengono inviati con ogni richiesta ai servizi Firebase supportati per accedere alle risorse protette da App Check.

Conservazione: il materiale di attestazione non viene conservato da App Check, ma quando viene inviato ai fornitori di attestazione, è soggetto ai termini di tali fornitori di attestazione. I token di App Check restituiti da attestazioni riuscite sono validi per tutta la durata del TTL, che non può essere superiore a 7 giorni. I token di App Check non vengono conservati dai servizi Firebase.

Distribuzione dell'app Firebase
  • Nomi degli utenti
  • Indirizzi email
  • UDID iOS
  • ID Android sicuri
  • ID di installazione di Firebase

Come aiuta: Firebase App Distribution utilizza i dati per distribuire le build di app ai tester, monitorare l'attività dei tester e associare i dati ai dispositivi dei tester.

Conservazione: Firebase App Distribution conserva le informazioni dell'utente fino a quando il cliente Firebase non ne richiede l'eliminazione, dopodiché i dati vengono rimossi dai sistemi live e di backup entro 180 giorni.

Messaggistica cloud di Firebase
  • ID di installazione di Firebase

Come aiuta: Firebase Cloud Messaging utilizza gli ID di installazione di Firebase per determinare a quali dispositivi inviare i messaggi.

Conservazione: Firebase conserva gli ID di installazione di Firebase fino a quando il cliente Firebase non effettua una chiamata API per eliminare l'ID. Dopo la chiamata, i dati vengono rimossi dai sistemi live e di backup entro 180 giorni.

Firebase Crashlytics
  • UUID di installazione di Crashlytics
  • Tracce di crash
  • Dati formattati in minidump di Breakpad
    (solo NDK si arresta in modo anomalo)

Come aiuta: Firebase Crashlytics utilizza le tracce dello stack di arresti anomali per associare arresti anomali a un progetto, inviare avvisi e-mail ai membri del progetto e visualizzarli nella console Firebase e aiutare i clienti Firebase a eseguire il debug degli arresti anomali. Utilizza gli UUID di installazione di Crashlytics per misurare il numero di utenti interessati da un arresto anomalo e i dati minidump per elaborare gli arresti anomali di NDK. I dati del minidump vengono archiviati durante l'elaborazione della sessione di arresto anomalo e quindi eliminati. Fare riferimento a Esempi di informazioni sul dispositivo memorizzate per maggiori dettagli sui tipi di informazioni sull'utente raccolte.

Conservazione: Firebase Crashlytics conserva le tracce dello stack di arresto anomalo, i dati minidump estratti e gli identificatori associati (inclusi gli UUID di installazione di Crashlytics) per 90 giorni.

Collegamenti dinamici di Firebase
  • Specifiche del dispositivo (iOS)
  • Indirizzi IP (iOS)

Come aiuta: Dynamic Links utilizza le specifiche del dispositivo e gli indirizzi IP su iOS per aprire le app appena installate su una pagina o un contesto specifico.

Conservazione: Dynamic Links memorizza solo temporaneamente le specifiche del dispositivo e gli indirizzi IP, per fornire il servizio.

Hosting Firebase
  • Indirizzi IP

Come aiuta: l' hosting utilizza gli indirizzi IP delle richieste in arrivo per rilevare abusi e fornire ai clienti un'analisi dettagliata dei dati di utilizzo.

Conservazione: l'hosting conserva i dati IP per alcuni mesi.

Monitoraggio delle prestazioni di Firebase
  • ID di installazione di Firebase
  • Indirizzi IP

Come aiuta: Performance Monitoring utilizza gli ID di installazione Firebase per calcolare il numero di installazioni Firebase univoche che accedono alle risorse di rete, per garantire che i modelli di accesso siano sufficientemente anonimi. Utilizza inoltre gli ID di installazione Firebase con Firebase Remote Config per gestire il tasso di segnalazione degli eventi sulle prestazioni. Inoltre, utilizza gli indirizzi IP per mappare gli eventi relativi alle prestazioni nei paesi da cui provengono. Per ulteriori informazioni, vedere Raccolta dati .

Conservazione: il monitoraggio delle prestazioni conserva l'installazione e gli eventi associati all'IP per 30 giorni e i dati sulle prestazioni non identificati per 90 giorni.

Messaggistica in-app di Firebase
  • ID di installazione di Firebase

Come aiuta: la messaggistica in-app di Firebase utilizza gli ID di installazione di Firebase per determinare a quali dispositivi inviare i messaggi.

Conservazione: Firebase conserva gli ID di installazione di Firebase fino a quando il cliente Firebase non effettua una chiamata API per eliminare l'ID. Dopo la chiamata, i dati vengono rimossi dai sistemi live e di backup entro 180 giorni.

Database in tempo reale di Firebase
  • Indirizzi IP
  • Agenti utente

Come aiuta: Realtime Database utilizza gli indirizzi IP e gli user agent per abilitare lo strumento Profiler , che aiuta i clienti Firebase a comprendere le tendenze di utilizzo e le interruzioni della piattaforma.

Conservazione: il database in tempo reale conserva gli indirizzi IP e le informazioni sull'agente utente per alcuni giorni, a meno che un cliente non scelga di salvarlo più a lungo.

Google Analytics per Firebase

Come aiuta: Google Analytics per Firebase utilizza i dati per fornire analisi e informazioni sull'attribuzione. Le informazioni precise raccolte possono variare in base al dispositivo e all'ambiente. Per ulteriori informazioni, vedere Raccolta dati .

Conservazione: Google Analytics per Firebase conserva alcuni dati associati all'identificatore pubblicitario (ad es. Identificatore per inserzionisti e Identificatore per fornitori di Apple, ID pubblicità di Android) per 60 giorni e conserva i rapporti aggregati senza scadenza automatica. La conservazione dei dati a livello di utente, comprese le conversioni, è fissata per un massimo di 14 mesi. Per tutti gli altri dati sugli eventi, puoi impostare la conservazione nelle impostazioni di Google Analytics per Firebase su 2 o 14 mesi. Scopri di più .

Configurazione remota Firebase
  • ID di installazione di Firebase

Come aiuta: Remote Config utilizza gli ID di installazione Firebase per selezionare i valori di configurazione da restituire ai dispositivi degli utenti finali.

Conservazione: Firebase conserva gli ID di installazione di Firebase fino a quando il cliente Firebase non effettua una chiamata API per eliminare l'ID. Dopo la chiamata, i dati vengono rimossi dai sistemi live e di backup entro 180 giorni.

Firebase ML
  • Immagini caricate
  • token di autenticazione dell'installazione

Come aiuta: le API basate su cloud archiviano temporaneamente le immagini caricate, per elaborare e restituirti l'analisi. Le immagini archiviate vengono in genere eliminate entro poche ore. Per ulteriori informazioni, consulta le domande frequenti sull'utilizzo dei dati di Cloud Vision.

i token di autenticazione dell'installazione vengono utilizzati da Firebase ML per l'autenticazione del dispositivo durante l'interazione con le istanze dell'app, ad esempio per distribuire i modelli per sviluppatori alle istanze dell'app.

Conservazione: i token di autenticazione dell'installazione rimangono validi fino alla data di scadenza. La durata predefinita del token è di una settimana.

Esempi di informazioni sul dispositivo memorizzate raccolte da Crashlytics

  • Un UUID RFC-4122 che ci consente di deduplicare gli arresti anomali
  • Il timestamp di quando si è verificato l'arresto anomalo
  • Identificatore bundle dell'app e numero di versione completo
  • Il nome del sistema operativo e il numero di versione del dispositivo
  • Un booleano che indica se il dispositivo è stato jailbroken/rootato
  • Il nome del modello del dispositivo, l'architettura della CPU, la quantità di RAM e lo spazio su disco
  • Il puntatore all'istruzione uint64 di ogni frame di ogni thread attualmente in esecuzione
  • Se disponibile nel runtime, il metodo in testo normale o il nome della funzione contenente ciascun puntatore all'istruzione.
  • Se è stata generata un'eccezione, il nome della classe in testo normale e il valore del messaggio dell'eccezione
  • Se è stato generato un segnale fatale, il suo nome e il codice intero
  • Per ogni immagine binaria caricata nell'applicazione, nome, UUID, dimensione in byte e indirizzo di base uint64 in cui è stata caricata nella RAM
  • Un valore booleano che indica se l'app era in background o meno al momento dell'arresto anomalo
  • Un valore intero che indica la rotazione dello schermo al momento dell'arresto anomalo
  • Un valore booleano che indica se il sensore di prossimità del dispositivo è stato attivato

Esempi di informazioni raccolte da Performance Monitoring

  • Informazioni generali sul dispositivo, come modello, sistema operativo e orientamento
  • RAM e dimensione del disco
  • uso della CPU
  • Operatore (basato sul Paese mobile e sul codice di rete)
  • Informazioni radio/rete (ad esempio, Wi-Fi, LTE, 3G)
  • Paese (in base all'indirizzo IP)
  • Locale/lingua
  • Versione app
  • Stato in primo piano o in background dell'app
  • Nome del pacchetto dell'app
  • ID di installazione di Firebase
  • Tempi di durata per le tracce automatizzate
  • URL di rete (esclusi i parametri URL o il contenuto del payload) e le seguenti informazioni corrispondenti:
    • Codici di risposta (ad esempio, 403, 200)
    • Dimensione del carico utile in byte
    • Tempi di risposta

Visualizza un elenco completo delle tracce automatiche raccolte da Performance Monitoring.

Guide per abilitare l'attivazione per l'elaborazione dei dati degli utenti finali

I servizi nella tabella sopra richiedono una certa quantità di dati dell'utente finale per funzionare. Di conseguenza, non è possibile disabilitare completamente la raccolta dei dati durante l'utilizzo di tali servizi.

Se sei un cliente che desidera offrire agli utenti la possibilità di aderire a un servizio e alla raccolta di dati che ne deriva, nella maggior parte dei casi ciò richiede solo l'aggiunta di una finestra di dialogo o di attivazione/disattivazione delle impostazioni prima di utilizzare il servizio.

Alcuni servizi, tuttavia, si avviano automaticamente quando sono inclusi in un'app. Per offrire agli utenti la possibilità di acconsentire prima di utilizzare tali servizi, puoi scegliere di disabilitare l'inizializzazione automatica per ciascun servizio e inizializzarli manualmente in fase di esecuzione. Per scoprire come, leggi le guide qui sotto:

Luoghi di conservazione ed elaborazione dei dati

A meno che un servizio o una funzione non offra la selezione della posizione dei dati, Firebase può elaborare e archiviare i tuoi dati ovunque Google o i suoi agenti mantengano strutture. Le potenziali posizioni delle strutture variano in base al servizio.

Servizi solo per gli Stati Uniti

Il servizio di autenticazione Firebase viene eseguito solo dai data center statunitensi. Di conseguenza, Firebase Authentication elabora i dati esclusivamente negli Stati Uniti.

Servizi globali

La maggior parte dei servizi Firebase viene eseguita sull'infrastruttura globale di Google. Potrebbero elaborare i dati in una qualsiasi delle sedi di Google Cloud Platform o nei centri dati di Google . Per alcuni servizi è possibile effettuare una specifica selezione della posizione dei dati che limita l'elaborazione a quella posizione.

  • Archiviazione cloud per Firebase
  • Cloud Firestore
  • Funzioni cloud per Firebase
  • Hosting Firebase
  • Firebase Crashlytics
  • Monitoraggio delle prestazioni di Firebase
  • Collegamenti dinamici di Firebase
  • Configurazione remota Firebase
  • Messaggistica cloud di Firebase
  • statistiche di Google
  • Firebase ML
  • Laboratorio di prova Firebase
  • Controllo dell'app Firebase

Informazioni sulla sicurezza

Crittografia dei dati

I servizi Firebase crittografano i dati in transito utilizzando HTTPS e isolano logicamente i dati dei clienti.

Inoltre, diversi servizi Firebase crittografano anche i propri dati inattivi:

  • Cloud Firestore
  • Funzioni cloud per Firebase
  • Archiviazione cloud per Firebase
  • Firebase Crashlytics
  • Autenticazione Firebase
  • Messaggistica cloud di Firebase
  • Database in tempo reale di Firebase
  • Laboratorio di prova Firebase
  • Controllo dell'app Firebase
  • Monitoraggio delle prestazioni di Firebase

Pratiche di sicurezza

Per mantenere i dati personali al sicuro, Firebase adotta ampie misure di sicurezza per ridurre al minimo l'accesso:

  • Firebase limita l'accesso a determinati dipendenti che hanno uno scopo commerciale per accedere ai dati personali.
  • Firebase registra l'accesso dei dipendenti ai sistemi che contengono dati personali.
  • Firebase consente l'accesso ai dati personali solo ai dipendenti che accedono con l'accesso con Google e l'autenticazione a 2 fattori .

Dati del servizio Firebase

I Dati dei servizi Firebase sono informazioni personali che Google raccoglie e genera durante la fornitura e l'amministrazione dei servizi Firebase * , esclusi i Dati dei clienti ** come definiti nei nostri contratti con i clienti che riguardano i servizi Firebase e i Dati dei servizi Google Cloud . Esempi di Firebase Service Data includono informazioni sull'utilizzo del servizio, identificatori di risorse come ID applicazione e nome pacchetto/ID bundle, dettagli tecnici e operativi di utilizzo come indirizzi IP e comunicazioni dirette con gli sviluppatori da feedback e conversazioni relative al supporto.

*I servizi coperti includono Firebase A/B Testing, Firebase App Check, Firebase App Distribution, Firebase Cloud Messaging, Firebase Crashlytics, Firebase Dynamic Links, Firebase Hosting, Firebase In-App Messaging, Firebase ML, Firebase Performance Monitoring, Firebase Realtime Database, Firebase Configurazione remota e archiviazione della segmentazione degli utenti Firebase.

**Per ulteriori informazioni su come elaboriamo i dati dei clienti, consulta i nostri Termini di elaborazione e sicurezza dei dati di Firebase e Termini di elaborazione e sicurezza di Crashlytics e distribuzione delle app .

Esempi di come Firebase Service Data vengono elaborati da Firebase

Google utilizza i dati del servizio Firebase in conformità con la nostra politica sulla privacy e i termini applicabili. I dati del servizio Firebase vengono utilizzati, ad esempio, per:

  • Fornisci i servizi Firebase richiesti
  • Fornire consigli per ottimizzare l'uso dei servizi Firebase
  • Mantenere e migliorare i servizi Firebase
  • Fornire e migliorare altri servizi richiesti
  • Comprendi il tuo utilizzo di Firebase e di altri servizi Google
  • Fornire un supporto migliore e comunicare con te
  • Proteggi te, i nostri utenti, il pubblico e Google
  • Rispettare gli obblighi di legge

Utilizzo dei dati del servizio Firebase da parte di servizi Google non Firebase

Puoi controllare se i tuoi dati dei servizi Firebase possono essere utilizzati da Google per fornire analisi, approfondimenti e consigli più approfonditi sui servizi Google non Firebase e migliorare i servizi Google non Firebase . Puoi configurarlo nella pagina delle impostazioni sulla privacy dei dati di Firebase.

Se questo controllo è disabilitato, i dati del servizio Firebase continueranno a essere utilizzati per altri scopi, come quelli sopra menzionati, in conformità con la nostra politica sulla privacy e i termini applicabili, incluso per fornire consigli e migliorare i servizi Firebase e per fornire e migliorare altri servizi richiesti, come i prodotti Google che colleghi al tuo progetto Firebase.

Hai ancora domande? Contattaci

Per qualsiasi domanda relativa alla privacy non trattata qui, contatta l'assistenza Firebase . Se sei uno sviluppatore Firebase, includi il tuo ID app Firebase. Trova il tuo ID app Firebase nella scheda Le tue app delle del progetto .