O Google tem o compromisso de promover a igualdade racial para as comunidades negras. Saiba como.

Privacidade e segurança no Firebase

Esta página descreve as principais informações de segurança e privacidade do Firebase. Se você deseja iniciar um novo projeto com o Firebase ou está curioso para saber como o Firebase funciona com seu projeto existente, continue lendo para ver como o Firebase pode ajudar a proteger você e seus usuários.

Última modificação: 13 de setembro de 2022

Proteção de dados

Suporte do Firebase para GDPR e CCPA

Em 25 de maio de 2018, o Regulamento Geral de Proteção de Dados da UE (GDPR) substituiu a Diretiva de Proteção de Dados da UE de 1995. Em 1º de janeiro de 2020, a Lei de Privacidade do Consumidor da Califórnia (CCPA) entrou em vigor. O Google tem o compromisso de ajudar nossos clientes a serem bem-sucedidos de acordo com esses regulamentos de privacidade, sejam eles grandes empresas de software ou desenvolvedores independentes.

O GDPR impõe obrigações aos controladores e processadores de dados, e a CCPA impõe obrigações às empresas e seus provedores de serviços. Os clientes do Firebase geralmente atuam como "controlador de dados" (GDPR) ou "empresa" (CCPA) para quaisquer dados pessoais ou informações sobre os usuários finais que eles fornecem ao Google em relação ao uso do Firebase, e o Google geralmente opera como um " processador de dados" (GDPR) ou "provedor de serviços" (CCPA).

Isso significa que os dados estão sob o controle do cliente. Os clientes são responsáveis ​​por obrigações como cumprir os direitos de um indivíduo em relação aos seus dados ou informações pessoais.

Termos de segurança e processamento de dados do Firebase

Quando os clientes usam o Firebase, o Google geralmente é um processador de dados sob o GDPR e processa dados pessoais em nome deles. Da mesma forma, quando os clientes usam o Firebase, o Google geralmente opera como um provedor de serviços sob a CCPA, lidando com informações pessoais em nome deles. Os termos do Firebase incluem os termos de segurança e processamento de dados que detalham essas responsabilidades.

Certos serviços do Firebase regidos pelos Termos de Serviço do Google Cloud Platform (GCP) já são cobertos pelos termos de processamento de dados associados, o processamento de dados do GCP e os Termos de segurança . Uma lista completa dos serviços do Firebase atualmente regidos pelos Termos de Serviço do GCP está disponível nos Termos de Serviço dos Serviços do Firebase .

O Crashlytics e o App Distribution são regidos pelos Termos de Serviço do Firebase Crashlytics e do Firebase App Distribution e cobertos por esses termos de processamento de dados associados .

O Google Analytics para Firebase e o Google Analytics são regidos pelos Termos de Serviço do Google Analytics para Firebase e pelos Termos de Serviço do Google Analytics , respectivamente, bem como pelos Termos de Processamento de Dados do Google Ads . Para obter informações adicionais, consulte Protegendo seus dados .

O Firebase é certificado de acordo com os principais padrões de privacidade e segurança

Conformidade com ISO e SOC

Todos os serviços do Firebase (exceto App Indexing) concluíram com êxito o processo de avaliação ISO 27001 e SOC 1 , SOC 2 e SOC 3 , e alguns também concluíram o processo de certificação ISO 27017 e ISO 27018 . Relatórios e certificados de conformidade para serviços do Firebase regidos pelos Termos de Serviço do GCP podem ser solicitados por meio do Gerenciador de relatórios de conformidade

Nome do Serviço ISO 27001 ISO 27017 ISO 27018 SO 1 SO 2 SO 3
Google Analytics para Firebase
Firebase ML
Laboratório de testes do Firebase
Cloud Firestore
Funções do Cloud para Firebase
Armazenamento em nuvem para Firebase
Autenticação do Firebase
Firebase Crashlytics
Verificação de aplicativos do Firebase
Distribuição de aplicativos do Firebase
Mensagens no aplicativo do Firebase
Firebase Cloud Messaging
Monitoramento de desempenho do Firebase
Hospedagem Firebase
Links dinâmicos do Firebase
Configuração remota do Firebase
Banco de dados em tempo real do Firebase
Plataforma Firebase
Teste A/B do Firebase

Transferências Internacionais de Dados

As estruturas do Escudo de Privacidade forneceram um mecanismo para cumprir os requisitos de proteção de dados ao transferir dados pessoais do EEE, Reino Unido ou Suíça para os Estados Unidos em diante. À luz da decisão do Tribunal de Justiça da União Europeia sobre transferências de dados, invalidando o Escudo de Privacidade UE-EUA, o Firebase passou a depender de cláusulas contratuais padrão para transferências de dados relevantes, que, de acordo com a decisão, podem continuar sendo uma mecanismo legal válido para transferir dados sob o GDPR. A Comissão Europeia aprovou novas versões das cláusulas contratuais padrão em 4 de junho de 2021, que estamos incorporando em nossos contratos com clientes do Firebase para transferências de dados relevantes.

Estamos comprometidos em ter uma base legal para transferências de dados em conformidade com as leis de proteção de dados aplicáveis.

Informações de processamento de dados

Exemplos de dados do usuário final processados ​​pelo Firebase

Alguns serviços do Firebase processam os dados de seus usuários finais para fornecer o serviço deles. O gráfico abaixo tem exemplos de como vários serviços do Firebase usam e lidam com dados de usuários finais que podem ser identificados. Além disso, muitos serviços do Firebase oferecem a capacidade de solicitar a exclusão de dados específicos ou controlar como os dados são tratados.

Serviço do Firebase Dados do usuário final Como os dados ajudam a fornecer o serviço
Funções do Cloud para Firebase
  • endereços IP

Como isso ajuda: o Cloud Functions usa endereços IP para executar funções de manipulação de eventos e funções HTTP com base nas ações do usuário final.

Retenção: as funções de nuvem salvam endereços IP apenas temporariamente, para fornecer o serviço.

Autenticação do Firebase
  • Senhas
  • Endereço de e-mail
  • Números de telefone
  • Agentes do usuário
  • endereços IP

Como isso ajuda: o Firebase Authentication usa os dados para habilitar a autenticação do usuário final e facilitar o gerenciamento da conta do usuário final. Ele também usa strings de agente de usuário e endereços IP para fornecer segurança adicional e evitar abusos durante a inscrição e a autenticação.

Retenção: o Firebase Authentication mantém os endereços IP registrados por algumas semanas. Ele retém outras informações de autenticação até que o cliente Firebase inicie a exclusão do usuário associado, após o que os dados são removidos dos sistemas ativos e de backup em 180 dias.

Verificação de aplicativos do Firebase
  • Material de atestado de fornecedores de atestado suportados
  • Tokens do App Check de atestados bem-sucedidos

Como isso ajuda: o Firebase App Check usa material de atestado exigido pelo provedor de atestado correspondente e recebido dos dispositivos do usuário final para ajudar a estabelecer a integridade do dispositivo e/ou do aplicativo. Os materiais de atestado são enviados ao provedor de atestado correspondente para validação com base na configuração do desenvolvedor. Os tokens do App Check obtidos de atestados bem-sucedidos são enviados com cada solicitação aos serviços compatíveis do Firebase para acessar recursos protegidos pelo App Check.

Retenção: o material de atestado não é retido pelo App Check, mas quando é enviado a fornecedores de atestado, está sujeito aos termos desses fornecedores de atestado. Os tokens do App Check retornados de atestados bem-sucedidos são válidos durante toda a duração do TTL, que não pode ser superior a 7 dias. Os tokens do App Check não são retidos pelos serviços do Firebase.

Distribuição de aplicativos do Firebase
  • Nomes de usuários
  • Endereço de e-mail
  • UDIDs do iOS
  • IDs Android seguros
  • Códigos de instalação do Firebase

Como isso ajuda: o Firebase App Distribution usa os dados para distribuir versões de apps para testadores, monitorar a atividade do testador e associar dados aos dispositivos do testador.

Retenção: o Firebase App Distribution retém as informações do usuário até que o cliente do Firebase solicite sua exclusão, após o que os dados são removidos dos sistemas ativos e de backup em 180 dias.

Firebase Cloud Messaging
  • Códigos de instalação do Firebase

Como isso ajuda: o Firebase Cloud Messaging usa IDs de instalação do Firebase para determinar para quais dispositivos entregar mensagens.

Retenção: o Firebase retém os códigos de instalação do Firebase até que o cliente do Firebase faça uma chamada de API para excluir o código. Após a chamada, os dados são removidos dos sistemas ativos e de backup em 180 dias.

Firebase Crashlytics
  • UUIDs de instalação do Crashlytics
  • Traços de falha
  • Dados formatados de minidespejo de breakpad
    (O NDK falha apenas)

Como isso ajuda: o Firebase Crashlytics usa rastreamentos de pilha de falhas para associar falhas a um projeto, enviar alertas por e-mail aos membros do projeto e exibi-los no Firebase Console e ajudar os clientes do Firebase a depurar falhas. Ele usa UUIDs de instalação do Crashlytics para medir o número de usuários afetados por uma falha e dados de minidespejo para processar falhas do NDK. Os dados do minidump são armazenados enquanto a sessão de falha está sendo processada e, em seguida, descartada. Consulte Exemplos de informações de dispositivos armazenados para obter mais detalhes sobre os tipos de informações do usuário coletadas.

Retenção: o Firebase Crashlytics retém rastreamentos de pilha de falhas, dados de minidespejo extraídos e identificadores associados (incluindo UUIDs de instalação do Crashlytics) por 90 dias.

Links dinâmicos do Firebase
  • Especificações do dispositivo (iOS)
  • Endereços IP (iOS)

Como isso ajuda: o Dynamic Links usa especificações de dispositivos e endereços IP no iOS para abrir aplicativos recém-instalados em uma página ou contexto específico.

Retenção: os links dinâmicos armazenam apenas as especificações do dispositivo e endereços IP temporariamente, para fornecer o serviço.

Hospedagem Firebase
  • endereços IP

Como isso ajuda: A hospedagem usa endereços IP de solicitações recebidas para detectar abusos e fornecer aos clientes uma análise detalhada dos dados de uso.

Retenção: A hospedagem retém os dados de IP por alguns meses.

Monitoramento de desempenho do Firebase
  • Códigos de instalação do Firebase
  • endereços IP

Como isso ajuda: o Monitoramento de desempenho usa IDs de instalação do Firebase para calcular o número de instalações exclusivas do Firebase que acessam recursos de rede, para garantir que os padrões de acesso sejam suficientemente anônimos. Ele também usa códigos de instalação do Firebase com o Firebase Remote Config para gerenciar a taxa de relatórios de eventos de desempenho. Além disso, ele usa endereços IP para mapear eventos de desempenho para os países de origem. Para obter mais informações, consulte Coleta de dados .

Retenção: o Monitoramento de desempenho mantém a instalação e os eventos associados ao IP por 30 dias e os dados de desempenho desidentificados por 90 dias.

Mensagens no aplicativo do Firebase
  • Códigos de instalação do Firebase

Como isso ajuda: o Firebase In-App Messaging usa IDs de instalação do Firebase para determinar para quais dispositivos entregar mensagens.

Retenção: o Firebase retém os códigos de instalação do Firebase até que o cliente do Firebase faça uma chamada de API para excluir o código. Após a chamada, os dados são removidos dos sistemas ativos e de backup em 180 dias.

Banco de dados em tempo real do Firebase
  • endereços IP
  • Agentes do usuário

Como isso ajuda: o Realtime Database usa endereços IP e agentes do usuário para ativar a ferramenta de criação de perfil , que ajuda os clientes do Firebase a entender as tendências de uso e os detalhamentos da plataforma.

Retenção: o Realtime Database mantém os endereços IP e as informações do agente do usuário por alguns dias, a menos que um cliente opte por salvá-lo por mais tempo.

Google Analytics para Firebase

Como isso ajuda: o Google Analytics para Firebase usa os dados para fornecer informações de análise e atribuição. As informações precisas coletadas podem variar de acordo com o dispositivo e o ambiente. Para obter mais informações, consulte Coleta de dados .

Retenção: o Google Analytics para Firebase retém determinados dados associados ao identificador de publicidade (por exemplo, Identificador para anunciantes e Identificador para fornecedores da Apple, ID de publicidade do Android) por 60 dias e retém relatórios agregados sem expiração automática. A retenção de dados no nível do usuário, incluindo conversões, é fixada em até 14 meses. Para todos os outros dados de eventos, você pode definir a retenção nas configurações do Google Analytics para Firebase para 2 meses ou 14 meses. Saiba mais .

Configuração remota do Firebase
  • Códigos de instalação do Firebase

Como isso ajuda: o Remote Config usa códigos de instalação do Firebase para selecionar valores de configuração para retornar aos dispositivos do usuário final.

Retenção: o Firebase retém os códigos de instalação do Firebase até que o cliente do Firebase faça uma chamada de API para excluir o código. Após a chamada, os dados são removidos dos sistemas ativos e de backup em 180 dias.

Firebase ML
  • Imagens enviadas
  • tokens de autenticação de instalação

Como isso ajuda: As APIs baseadas em nuvem armazenam imagens carregadas temporariamente, para processar e retornar a análise para você. As imagens armazenadas normalmente são excluídas em algumas horas. Consulte as Perguntas frequentes sobre o uso de dados do Cloud Vision para obter mais informações.

os tokens de autenticação de instalação são usados ​​pelo Firebase ML para autenticação de dispositivos ao interagir com instâncias de aplicativos, por exemplo, para distribuir modelos de desenvolvedor para instâncias de aplicativos.

Retenção: os tokens de autenticação de instalação permanecem válidos até a data de expiração. A vida útil do token padrão é de uma semana.

Exemplos de informações de dispositivos armazenadas coletadas pelo Crashlytics

  • Um UUID RFC-4122 que nos permite desduplicar falhas
  • O carimbo de data/hora de quando a falha ocorreu
  • O identificador do pacote do aplicativo e o número completo da versão
  • O nome do sistema operacional do dispositivo e o número da versão
  • Um booleano indicando se o dispositivo foi desbloqueado/enraizado
  • O nome do modelo do dispositivo, arquitetura da CPU, quantidade de RAM e espaço em disco
  • O ponteiro de instrução uint64 de cada quadro de cada thread atualmente em execução
  • Se disponível no tempo de execução, o método de texto simples ou o nome da função que contém cada ponteiro de instrução.
  • Se uma exceção foi lançada, o nome da classe em texto simples e o valor da mensagem da exceção
  • Se um sinal fatal foi gerado, seu nome e código inteiro
  • Para cada imagem binária carregada no aplicativo, seu nome, UUID, tamanho do byte e o endereço base uint64 no qual foi carregado na RAM
  • Um booleano indicando se o aplicativo estava ou não em segundo plano no momento em que travou
  • Um valor inteiro que indica a rotação da tela no momento da falha
  • Um booleano indicando se o sensor de proximidade do dispositivo foi acionado

Exemplos de informações coletadas pelo Monitoramento de Desempenho

  • Informações gerais do dispositivo, como modelo, sistema operacional e orientação
  • RAM e tamanho do disco
  • utilização do CPU
  • Operadora (com base no país móvel e no código de rede)
  • Informações de rádio/rede (por exemplo, WiFi, LTE, 3G)
  • País (com base no endereço IP)
  • Local/idioma
  • Versão do aplicativo
  • Estado de primeiro plano ou segundo plano do aplicativo
  • Nome do pacote de aplicativos
  • Códigos de instalação do Firebase
  • Tempos de duração para rastreamentos automatizados
  • URLs de rede (sem incluir parâmetros de URL ou conteúdo de carga útil) e as seguintes informações correspondentes:
    • Códigos de resposta (por exemplo, 403, 200)
    • Tamanho da carga em bytes
    • Tempos de resposta

Veja uma lista completa dos rastreamentos automáticos coletados pelo Monitoramento de desempenho.

Guias para habilitar o opt-in para processamento de dados do usuário final

Os serviços na tabela acima precisam de uma certa quantidade de dados do usuário final para funcionar. Como resultado, não é possível desabilitar totalmente a coleta de dados ao usar esses serviços.

Se você é um cliente que gostaria de oferecer aos usuários a chance de optar por um serviço e a coleta de dados que o acompanha, na maioria dos casos, isso requer apenas a adição de uma caixa de diálogo ou alternância de configurações antes de usar o serviço.

Alguns serviços, no entanto, são iniciados automaticamente quando incluídos em um aplicativo. Para dar aos usuários a chance de aceitar antes de usar esses serviços, você pode optar por desabilitar a inicialização automática para cada serviço e inicializá-los manualmente em tempo de execução. Para saber como, leia os guias abaixo:

Locais de armazenamento e processamento de dados

A menos que um serviço ou recurso ofereça seleção de local de dados, o Firebase pode processar e armazenar seus dados em qualquer lugar onde o Google ou seus agentes mantenham instalações. Os locais potenciais das instalações variam de acordo com o serviço.

Serviços somente nos EUA

O serviço Firebase Authentication é executado apenas em data centers dos EUA. Como resultado, o Firebase Authentication processa dados exclusivamente nos Estados Unidos.

Serviços globais

A maioria dos serviços do Firebase é executada na infraestrutura global do Google. Eles podem processar dados em qualquer um dos locais do Google Cloud Platform ou dos data centers do Google . Para alguns serviços, você pode fazer uma seleção de local de dados específica que restringe o processamento a esse local.

  • Armazenamento em nuvem para Firebase
  • Cloud Firestore
  • Funções do Cloud para Firebase
  • Hospedagem Firebase
  • Firebase Crashlytics
  • Monitoramento de desempenho do Firebase
  • Links dinâmicos do Firebase
  • Configuração remota do Firebase
  • Firebase Cloud Messaging
  • Google Analytics
  • Firebase ML
  • Laboratório de testes do Firebase
  • Verificação de aplicativos do Firebase

Informação segura

Criptografia de dados

Os serviços do Firebase criptografam dados em trânsito usando HTTPS e isolam logicamente os dados do cliente.

Além disso, vários serviços do Firebase também criptografam seus dados em repouso:

  • Cloud Firestore
  • Funções do Cloud para Firebase
  • Armazenamento em nuvem para Firebase
  • Firebase Crashlytics
  • Autenticação do Firebase
  • Firebase Cloud Messaging
  • Banco de dados em tempo real do Firebase
  • Laboratório de testes do Firebase
  • Verificação de aplicativos do Firebase
  • Monitoramento de desempenho do Firebase

Práticas de segurança

Para manter os dados pessoais seguros, o Firebase emprega medidas de segurança abrangentes para minimizar o acesso:

  • O Firebase restringe o acesso a alguns funcionários selecionados que têm como objetivo comercial acessar dados pessoais.
  • O Firebase registra o acesso de funcionários a sistemas que contêm dados pessoais.
  • O Firebase só permite acesso a dados pessoais por funcionários que fazem login com o Login do Google e autenticação de dois fatores .

Dados de serviço do Firebase

Os dados de serviço do Firebase são informações pessoais que o Google coleta e gera durante o fornecimento e administração dos serviços do Firebase * , excluindo os dados do cliente ** , conforme definido em nossos contratos de cliente que abrangem os serviços do Firebase e os dados do serviço do Google Cloud . Exemplos de dados de serviço do Firebase incluem informações sobre o uso do serviço, identificadores de recursos, como IDs de aplicativos e nomes de pacotes/IDs de pacotes, detalhes técnicos e operacionais de uso, como endereços IP, e comunicações diretas com desenvolvedores de feedback e conversas relacionadas ao suporte.

*Os serviços cobertos incluem Firebase A/B Testing, Firebase App Check, Firebase App Distribution, Firebase Cloud Messaging, Firebase Crashlytics, Firebase Dynamic Links, Firebase Hosting, Firebase In-App Messaging, Firebase ML, Firebase Performance Monitoring, Firebase Realtime Database, Firebase Configuração remota e armazenamento de segmentação de usuários do Firebase.

**Para obter mais informações sobre como processamos os dados do cliente, consulte nossos Termos de segurança e processamento de dados do Firebase e Termos de segurança e processamento de dados do Crashlytics e distribuição de aplicativos .

Exemplos de como os dados de serviço do Firebase são processados ​​pelo Firebase

O Google usa os dados de serviço do Firebase de acordo com nossa política de privacidade e termos aplicáveis. Os dados de serviço do Firebase são usados, por exemplo, para:

  • Forneça os serviços do Firebase solicitados
  • Faça recomendações para otimizar o uso dos serviços do Firebase
  • Manter e melhorar os serviços do Firebase
  • Fornecer e melhorar outros serviços solicitados
  • Entenda seu uso do Firebase e de outros serviços do Google
  • Fornecer melhor suporte e se comunicar com você
  • Proteja você, nossos usuários, o público e o Google
  • Cumpra as obrigações legais

Uso de dados de serviço do Firebase por serviços do Google que não são do Firebase

Você pode controlar se seus dados de serviço do Firebase podem ser usados ​​pelo Google para fornecer análises mais detalhadas, insights e recomendações sobre serviços do Google que não são do Firebase e melhorar serviços do Google que não são do Firebase . Você pode configurar isso na página de configurações de privacidade de dados do Firebase.

Se esse controle for desativado, os dados de serviço do Firebase continuarão sendo usados ​​para outros fins, como os mencionados acima, de acordo com nossa política de privacidade e termos aplicáveis, inclusive para fazer recomendações e melhorar os serviços do Firebase e fornecer e melhorar outros serviços solicitados, como produtos do Google vinculados ao seu projeto do Firebase.

Ainda tem dúvidas? Contate-Nos

Para qualquer dúvida relacionada à privacidade que não seja abordada aqui, entre em contato com o Suporte do Firebase . Se você for um desenvolvedor do Firebase, inclua o ID do aplicativo do Firebase. Encontre o ID do seu aplicativo do Firebase no cartão Seus aplicativos de suas projeto .