Privacidad y seguridad en Firebase

En esta página, se describe la información clave sobre la privacidad y la seguridad de Firebase. Si buscas iniciar un proyecto nuevo con Firebase o quieres conocer cómo funciona con tu proyecto existente, lee este artículo para descubrir cómo Firebase puede ofrecer protección para ti y tus usuarios.

Última modificación: 21 de agosto de 2024

Protección de datos

Compatibilidad de Firebase con el GDPR y la CCPA

El 25 de mayo de 2018, el Reglamento General de Protección de Datos (GDPR) de la UE reemplazó a la Directiva de Protección de Datos de la UE de 1995. El 1 de enero de 2020, entró en vigencia la Ley de Privacidad del Consumidor de California (CCPA). El 1 de enero de 2023, entró en vigencia la Ley de Derechos de Privacidad de California (CPRA), que enmenda y amplía la CCPA. Google asumió el compromiso de ayudar a nuestros clientes a tener éxito bajo estos reglamentos de privacidad, ya sean grandes empresas de software o desarrolladores independientes.

El GDPR impone obligaciones a los responsables del tratamiento de datos y a los encargado del tratamiento de datos, y la CCPA/CPRA impone obligaciones a las empresas y sus proveedores de servicios. Por lo general, los clientes de Firebase actúan como los “responsables del tratamiento de datos” (GDPR) o la “empresa” (CCPA/CPRA) de los datos personales o la información sobre los usuarios finales que proporcionan a Google en relación con su uso de Firebase. Por su parte, Google suele operar como un “encargado del tratamiento de datos” (GDPR) o un “proveedor de servicios” (CCPA/CPRA).

Esto significa que los datos est��n bajo el control del cliente. Los clientes son responsables de sus obligaciones, como cumplir con los derechos de una persona física en relación con sus datos personales o información.

Condiciones de Seguridad y Procesamiento de Datos de Firebase

Por lo general, cuando los clientes usan Firebase, Google es el procesador de datos personales según el GDPR y procesa datos personales en su nombre. De manera similar, cuando los clientes usan Firebase, Google suele funcionar como un proveedor de servicios según la CCPA, ya que maneja la información personal en su nombre. Las condiciones de Firebase incluyen Condiciones de Seguridad y Procesamiento de Datos, en las que se detallan estas responsabilidades.

Ciertos servicios de Firebase que se rigen por las Condiciones del Servicio de Google Cloud Platform (GCP) ya están cubiertos por las condiciones del tratamiento de datos asociadas: el Anexo de Tratamiento de Datos de Cloud. Puedes encontrar una lista completa de los servicios de Firebase que actualmente se rigen por las Condiciones del Servicio de GCP en las Condiciones del Servicio de Firebase.

Google Analytics es un servicio independiente que puede usarse junto con Firebase, y está sujeto a condiciones independientes.

Firebase está certificado según los principales estándares de seguridad y privacidad

Cumplimiento de ISO y SOC

Todos los servicios de Firebase (aparte de App Indexing y Vertex AI in Firebase) completaron correctamente los procesos de evaluación de ISO 27001 y SOC 1, SOC 2 y SOC 3. Además, algunos también completaron los procesos de certificación de ISO 27017 y de ISO 27018. Se pueden solicitar informes de cumplimiento y certificados para los servicios de Firebase regidos por las Condiciones del Servicio de GCP a través del Administrador de informes de cumplimiento.

Nombre del servicio ISO 27001 ISO 27017 ISO 27018 SOC 1 SOC 2 SOC 3
AA de Firebase
Firebase Test Lab
Cloud Firestore
Cloud Functions para Firebase
Cloud Storage para Firebase
Firebase Authentication
Firebase Crashlytics
Verificación de aplicaciones de Firebase
Firebase App Distribution
Firebase In-App Messaging
Firebase Cloud Messaging
Firebase Performance Monitoring
Firebase Hosting
Firebase Dynamic Links
Firebase Remote Config
Firebase Realtime Database
Firebase Platform
Firebase A/B Testing
Vertex AI en Firebase

Transferencias de datos internacionales

Conforme a lo descrito en nuestra certificación del Marco de Privacidad de Datos, cumplimos con los Marcos de Privacidad de Datos (DPF) entre la Unión Europea y los Estados Unidos, Suiza y los Estados Unidos, así como la extensión de Reino Unido sobre el DPF entre la Unión Europea y los Estados Unidos, según lo establece la Secretaría de Comercio de EE.UU. en relación con la recopilación, el uso y la retención de información personal del EEE, Suiza y Reino Unido, respectivamente. Google LLC (y sus subsidiarias estadounidenses que sean de su absoluta propiedad, salvo que se excluyan de forma explícita) certificó que cumple con los Principios del DPF. Google sigue siendo responsable de toda la información personal que comparta con terceros conforme al Principio de Transferencia Ulterior para su procesamiento externo en nuestro nombre, como se describe en la sección "Uso compartido de la información" de nuestra Política de Privacidad. Para obtener más información sobre el DPF y ver la certificación de Google, visita el sitio web del DPF.

Si tienes una consulta relacionada con nuestras prácticas de privacidad en relación con nuestra certificación del DPF, te recomendamos comunicarte con nosotros. Google está sujeto a las facultades de investigación y ejecución de la Comisión Federal de Comercio de los EE.UU. También puedes presentar un reclamo ante la agencia local de protección de datos y trabajaremos con ellos para resolver su problema. En ciertas circunstancias, el DPF establece el derecho de invocar el arbitraje vinculante para resolver demandas que no se hayan resuelto por otros medios, como se describe en el Anexo I de los Principios del DPF.

Información sobre el procesamiento de datos

Ejemplos de datos de usuarios finales procesados por Firebase

Algunos servicios de Firebase procesan los datos de tus usuarios finales para proporcionar su servicio. En el siguiente gráfico, se muestran ejemplos de cómo varios servicios de Firebase usan y manejan datos de usuarios finales que pueden ser potencialmente útiles para la identificación. Además, muchos servicios de Firebase ofrecen la capacidad de solicitar la eliminación de datos específicos o controlar cómo se administran.

Servicio de Firebase Datos del usuario final De qué manera los datos ayudan a proporcionar el servicio
Cloud Functions para Firebase
  • Direcciones IP

Cómo ayuda: Cloud Functions usa direcciones IP para ejecutar funciones con la capacidad de controlar eventos y funciones de HTTP basadas en las acciones del usuario final.

Retención: Cloud Functions solo almacena las direcciones IP de manera temporal a fin de proporcionar el servicio.

Firebase Authentication
  • Contraseñas
  • Direcciones de correo electrónico
  • Números de teléfono
  • Usuarios-agente
  • Direcciones IP

Cómo ayuda: Firebase Authentication usa los datos para habilitar la autenticación del usuario final y facilitar la administración de su cuenta. También usa strings usuario-agente y direcciones IP para ofrecer seguridad adicional y prevenir el abuso durante el registro y la autenticación.

Retención: Firebase Authentication mantiene las direcciones IP registradas solo por unas semanas. El resto de la información de autenticación se retiene hasta que el cliente de Firebase inicia la eliminación del usuario asociado, tras lo cual se quitan los datos de los sistemas activos y de copia de seguridad en un plazo de 180 días.

Verificación de aplicaciones de Firebase
  • Material de certificación de proveedores de certificación admitidos
  • Tokens de Verificación de aplicaciones de certificaciones exitosas

Cómo ayuda: La Verificación de aplicaciones de Firebase usa material de certificación requerido por el proveedor de certificación correspondiente y recibido de los dispositivos del usuario final para ayudar a establecer la integridad del dispositivo o la app. Los materiales de certificación se envían al proveedor de certificación correspondiente para su validación según la configuración del desarrollador. Los tokens de Verificación de aplicaciones obtenidos de certificaciones exitosas se envían con cada solicitud a los servicios de Firebase admitidos para acceder a los recursos protegidos por la Verificación de aplicaciones.

Retención: La Verificación de aplicaciones no retiene el material de certificación, pero cuando se envía a los proveedores de certificación, está sujeto a los términos de esos proveedores. Los tokens de Verificación de aplicaciones que muestran las certificaciones exitosas son válidos durante toda su duración de TTL, que no puede ser superior a 7 días. En el caso de los desarrolladores que usan funciones de protección contra la reproducción, la Verificación de aplicaciones almacena los tokens de la Verificación de aplicaciones que se utilizan con estas funciones durante un máximo de 30 días. Los servicios de Firebase no retienen otros tokens de la Verificación de aplicaciones que no se usen con funciones de protección contra la reproducción.

Firebase App Distribution
  • Nombres de los usuarios
  • Direcciones de correo electrónico
  • UDID de iOS
  • ID seguros de Android
  • IDs de instalación de Firebase
  • Comentarios del verificador (capturas de pantalla y texto)

Cómo ayuda: Firebase App Distribution usa los datos para distribuir las compilaciones de la app a los verificadores, supervisar su actividad, habilitar sus funciones, como los comentarios integrados en la app, y asociar datos a sus dispositivos.

Retención: Firebase App Distribution retiene la información de los usuarios hasta que el cliente de Firebase solicita su eliminación. Después de la solicitud, se quitan los datos de los sistemas activos y de copia de seguridad en un plazo de 180 días.

Firebase Cloud Messaging
  • IDs de instalación de Firebase

Cómo ayuda: Firebase Cloud Messaging utiliza los ID de instalación de Firebase para determinar a qué dispositivos debe enviar los mensajes.

Retención: Firebase retiene los IDs de instalación de Firebase hasta que el cliente de Firebase realiza una llamada a la API para borrarlos. Después de la llamada, los datos se quitan de los sistemas activos y de copia de seguridad en un plazo de 180 días.

Firebase Crashlytics
  • UUIDs de instalación de Crashlytics
  • ID de instalaciones de Firebase
  • Seguimientos de fallas
  • Datos con formato de minivolcado de Breakpad
    (solo fallas del NDK)

Cómo ayuda: Firebase Crashlytics usa seguimientos de pila de fallas para asociarlas con un proyecto, enviar alertas por correo electrónico a los miembros del proyecto y mostrarlas en Firebase console. Además, ayuda a los clientes de Firebase a depurar fallas. Usa los UUIDs de instalación de Crashlytics para medir la cantidad de usuarios afectados por una falla y datos de minivolcado para procesar las fallas del NDK. Los datos de minivolcado se almacenan mientras se procesa la sesión con fallas y, luego, se descartan. El ID de instalación de Firebase habilita las próximas funciones que mejorarán los servicios de informes y administración de fallas. Consulta los ejemplos de información almacenada del dispositivo para obtener más detalles sobre los tipos de información de los usuarios que se recopilan.

Retención: Firebase Crashlytics mantiene seguimientos de pila de fallas, datos de minivolcado extraídos y, también, identificadores asociados (incluidos los UUIDs de instalación de Crashlytics y los IDs de instalación de Firebase) durante 90 días antes de comenzar el proceso de quitarlos de los sistemas activos y de respaldo.

Firebase Dynamic Links
  • Especificaciones del dispositivo (iOS)
  • Direcciones IP (iOS)

Cómo ayuda: Dynamic Links usa las especificaciones del dispositivo y las direcciones IP en iOS para abrir apps instaladas recientemente en una página o un contexto específicos.

Retención: Dynamic Links solo almacena las especificaciones del dispositivo y las direcciones IP de manera temporal a fin de proporcionar el servicio.

Firebase Hosting
  • Direcciones IP

Cómo ayuda: Hosting usa direcciones IP de las solicitudes entrantes para detectar el abuso y proporcionar análisis detallados de datos de uso a los clientes.

Retención: Hosting retiene los datos de IP durante unos meses.

Firebase Performance Monitoring
  • IDs de instalación de Firebase
  • Direcciones IP

Cómo ayuda: Performance Monitoring usa los IDs de instalación de Firebase para calcular la cantidad de instalaciones únicas de Firebase que acceden a los recursos de red, para garantizar que los patrones de acceso sean lo suficientemente anónimos. También usa IDs de instalación de Firebase con Firebase Remote Config para administrar la tasa de informes de eventos de rendimiento. Además, usa direcciones IP para mapear los eventos de rendimiento a los países donde se originaron. Para obtener más información, consulta Recopilación de datos.

Retención: Performance Monitoring retiene los eventos asociados a la IP durante 30 días y conserva los datos de rendimiento asociados con la instalación y desidentificados por 90 días antes de comenzar el proceso de su eliminación de los sistemas activos y de respaldo.

Firebase In-App Messaging
  • IDs de instalación de Firebase

Cómo ayuda: Firebase In-App Messaging usa IDs de instalación de Firebase para determinar a qué dispositivos debe enviar los mensajes.

Retención: Firebase retiene los IDs de instalación de Firebase hasta que el cliente de Firebase realiza una llamada a la API para borrarlos. Después de la llamada, los datos se quitan de los sistemas activos y de copia de seguridad en un plazo de 180 días.

Firebase Realtime Database
  • Direcciones IP
  • Usuarios-agente

Cómo ayuda: Realtime Database usa direcciones IP y usuarios-agentes para habilitar la herramienta generadora de perfiles, que ayuda a los clientes de Firebase a comprender las tendencias de uso y el desglose por plataforma.

Retención: Realtime Database mantiene las direcciones IP y la información de los usuarios-agente solo por unos días, a menos que el cliente decida almacenarlas por más tiempo.

Firebase Remote Config
  • IDs de instalación de Firebase

Cómo ayuda: Remote Config usa los IDs de instalación de Firebase para seleccionar valores de configuración que se mostrarán a los dispositivos del usuario final.

Retención: Firebase retiene los ID de instalación de Firebase hasta que el cliente de Firebase realiza una llamada a la API para borrarlos. Después de la llamada, los datos se quitan de los sistemas activos y de copia de seguridad en un plazo de 180 días.

Firebase ML
  • Imágenes subidas
  • tokens de autenticación de instalación

Cómo ayuda: Las API basadas en Cloud almacenan las imágenes subidas de manera temporal a fin de procesar el análisis y mostrártelo. Por lo general, las imágenes almacenadas se borran en unas horas. Consulta las Preguntas frecuentes del uso de datos de Cloud Vision para obtener más información.

Firebase ML usa tokens de autenticación de instalación para autenticar dispositivos cuando se interactúa con instancias de apps, por ejemplo, para distribuir modelos de desarrollador a instancias de apps.

Retención: Los tokens de autenticación de instalación siguen siendo válidos hasta su fecha de vencimiento. La vida útil predeterminada del token es de una semana.

Vertex AI in Firebase
  • Datos de entrada y salida del cliente que se envían y reciben del modelo de IA

Cómo ayuda: Vertex AI in Firebase usa la API de IA generativa de Vertex AI para predecir el contenido.

Retención: Durante la predicción, Google no registra los datos del cliente para generar los resultados del cliente ni entrenar modelos de base. De forma predeterminada, Google almacena en caché las entradas y salidas de un cliente para los modelos de Gemini para acelerar las respuestas a las solicitudes posteriores del cliente.

Obtén más detalles en IA generativa y administración de datos | IA generativa en Vertex AI | Google Cloud.

Ejemplos de información que recopila Crashlytics

  • Un UUID de RFC 4122 que nos permite anular el duplicado de las fallas
  • El UUID de instalación de Crashlytics
  • El ID de las instalaciones de Firebase (FID)
  • El ID de sesión de Firebase, que es un UUID aleatorio que se genera para etiquetar eventos con una sesión
  • La marca de tiempo del momento en que ocurrió la falla
  • El identificador del paquete de la app y el número de la versión completa
  • El nombre y el número de versión del sistema operativo del dispositivo
  • Un valor booleano que indica si el dispositivo tiene jailbreak o permisos de administrador
  • El nombre del modelo del dispositivo, la arquitectura de CPU, la cantidad de memoria RAM y el espacio en disco
  • El puntero de instrucciones de uint64 de todos los marcos de cada subproceso que se ejecuta actualmente
  • Si está disponible en el entorno de ejecución, el método de texto sin formato o el nombre de la función que contiene cada puntero de instrucciones
  • Si se arroja una excepción, el nombre de la clase de texto sin formato y el valor del mensaje de la excepción
  • Si se genera un indicador no recuperable, su nombre y código compuesto por números enteros
  • Por cada imagen binaria cargada en la aplicación, su nombre, UUID, tamaño en bytes y la dirección base de uint64 en la que se cargó en la RAM
  • Un valor booleano que indica si la app se encontraba en segundo plano en el momento en que falló
  • Un número entero que indica la rotación de la pantalla en el momento de la falla
  • Un valor booleano que indica si el sensor de proximidad del dispositivo se activó
  • El contenido de version-control-info.textproto (solo para apps para Android configuradas para usar la integración del sistema de control de versión [VCS])

Ejemplos de información que recopila Performance Monitoring

  • El ID de las instalaciones de Firebase (FID)
  • El ID de sesión de Firebase, que es un UUID aleatorio que se genera para etiquetar eventos con una sesión
  • Información general del dispositivo, como el modelo, el SO y la orientación
  • Tamaño del disco y la memoria RAM
  • Uso de CPU
  • Proveedor (según los códigos de país y de red del dispositivo móvil)
  • Información de radio o red (por ejemplo, Wi-Fi, LTE, 3G)
  • País (según la dirección IP)
  • Configuración regional o idioma
  • Versión de la app
  • Estado de la app: en primer o segundo plano
  • Nombre del paquete de aplicaciones
  • IDs de instalación de Firebase
  • Duración de los seguimientos automáticos
  • URLs de red (sin incluir parámetros de URL ni contenido de la carga útil) y la siguiente información correspondiente:
    • Códigos de respuesta (por ejemplo, 403 o 200)
    • Tamaño de la carga útil en bytes
    • Tiempos de respuesta

Consulta la lista completa de los registros automáticos que recopila Performance Monitoring.

Guías para habilitar la aceptación del procesamiento de datos de usuarios finales

Los servicios que aparecen en la tabla anterior necesitan cierta cantidad de datos de usuarios finales para funcionar. Como resultado, no es posible inhabilitar la recopilación de datos por completo mientras se usen estos servicios.

Si eres un cliente que desea ofrecer a los usuarios la posibilidad de aceptar un servicio, junto con su respectiva recopilación de datos, en la mayoría de los casos basta con agregar un diálogo o un botón para activar o desactivar la configuración antes de usar el servicio.

Sin embargo, algunos servicios se inician automáticamente cuando se incluyen en una app. Si deseas que los usuarios tengan la posibilidad de aceptar antes de usar esos servicios, puedes inhabilitar la inicialización automática de cada uno y, luego, iniciarlos manualmente en el tiempo de ejecución. Para aprender a hacerlo, lee las guías que aparecen a continuación:

Si integras Firebase con Google Analytics, obtén información para configurar la recopilación de datos de Analytics.

Ubicaciones de procesamiento y almacenamiento de datos

A menos que un servicio o una función permita seleccionar la ubicación de los datos, es posible que Firebase procese y almacene tus datos en cualquier instalación de Google o sus agentes. Las posibles ubicaciones de las instalaciones varían según el servicio.

Servicios solo para EE.UU.

El servicio de Firebase Authentication se ejecuta solo desde los centros de datos de EE.UU. Por lo tanto, Firebase Authentication procesa datos exclusivamente en Estados Unidos.

Servicios globales

La mayoría de los servicios de Firebase se ejecutan en la infraestructura global de Google. Podrían procesar datos en cualquiera de las ubicaciones de Google Cloud Platform o de los centros de datos de Google. Para algunos servicios, puedes realizar una selección de ubicación de datos que restrinja el procesamiento a esa ubicación.

  • Cloud Storage for Firebase
  • Cloud Firestore
  • Cloud Functions for Firebase
  • Firebase Hosting
  • Firebase Crashlytics
  • Firebase Performance Monitoring
  • Firebase Dynamic Links
  • Firebase Remote Config
  • Firebase Cloud Messaging
  • Firebase ML
  • Firebase Test Lab
  • Firebase App Check

Información de seguridad

Encriptación de datos

Los servicios de Firebase encriptan datos en tránsito con HTTPS y datos de clientes aislados de manera lógica.

Además, varios servicios de Firebase también encriptan sus datos en reposo:

  • Cloud Firestore
  • Cloud Functions for Firebase
  • Cloud Storage for Firebase
  • Firebase Crashlytics
  • Firebase Authentication
  • Firebase Cloud Messaging
  • Firebase Realtime Database
  • Firebase Test Lab
  • Firebase App Check
  • Firebase Performance Monitoring

Prácticas de seguridad

Para mantener protegidos los datos personales y reducir al mínimo el acceso a ellos, Firebase aplica medidas de seguridad exhaustivas:

  • Firebase restringe el acceso a una selección de empleados que tienen un fin comercial para acceder a los datos personales.
  • Firebase registra el acceso de los empleados a los sistemas que contienen datos personales.
  • Firebase solo permite que accedan a los datos personales los empleados que lo hacen con el Acceso con Google y la autenticación de 2 factores.

Datos del servicio de Firebase

Los datos del servicio de Firebase corresponden a información personal que Google recopila y genera durante el aprovisionamiento y la administración de los servicios de Firebase*, excepto los datos de clientes**, como se define en nuestros acuerdos del cliente sobre los servicios de Firebase y los datos del servicio de Google Cloud. En los ejemplos de datos del servicio de Firebase, se incluye información sobre el uso del servicio, identificadores de recursos (como los ID de aplicación y el nombre del paquete o ID del paquete), detalles técnicos y operativos de uso (como direcciones IP) y comunicaciones directas con los desarrolladores (como comentarios y conversaciones relacionadas con la asistencia).

*Los servicios cubiertos incluyen Firebase A/B Testing, Firebase App Distribution, Firebase Cloud Messaging, Firebase Crashlytics, Firebase Dynamic Links, Firebase Hosting, Firebase In-App Messaging, Firebase ML, Vertex AI in Firebase, Firebase Performance Monitoring, Firebase Realtime Database, Firebase Remote Config y Firebase User Segmentation Storage.

**Para obtener más información sobre cómo procesamos los datos del clientes, consulta nuestras Condiciones de Seguridad y Procesamiento de Datos de Firebase.

Ejemplos sobre cómo Firebase procesa los datos del servicio de Firebase

Google utiliza los datos del servicio de Firebase de conformidad con nuestra Política de Privacidad y las condiciones aplicables. Los datos del servicio de Firebase se usan, por ejemplo, para las siguientes acciones:

  • Proporcionar los servicios de Firebase que solicites
  • Realizar recomendaciones para optimizar el uso de los servicios de Firebase
  • Mantener y mejorar los servicios de Firebase
  • Proporcionar y mejorar otros servicios que solicites
  • Comprender tu uso de Firebase y de otros servicios de Google
  • Brindarte una mejor asistencia y comunicarnos contigo
  • Protegerte a ti, a nuestros usuarios, al público y a Google.
  • Cumplir con las obligaciones legales

Uso de datos del servicio de Firebase por parte de servicios de Google que no corresponden a Firebase

Puedes controlar si Google puede usar tus datos del servicio de Firebase para proporcionar análisis, estadísticas y recomendaciones más detallados sobre servicios de Google que no corresponden a Firebase y, también, mejorar estos servicios. Puedes configurar esta opción en tu página de configuración de privacidad de datos de Firebase.

Si se inhabilita este control, los datos del servicio de Firebase se seguirán usando para otros fines, como los mencionados anteriormente, de acuerdo con nuestra Política de Privacidad y las condiciones aplicables. Entre estos fines, se incluyen mejorar y hacer recomendaciones sobre los servicios de Firebase, y entregar y mejorar otros servicios que solicites, como los productos de Google que vinculas a tu proyecto de Firebase.

¿Tienes más preguntas? Comunícate con nosotros

Si tienes preguntas relacionadas con la privacidad que no se incluyen aquí, comunícate con el equipo de Asistencia de Firebase. Si eres desarrollador de Firebase, incluye tu ID de la app de Firebase. Busca el ID de la app de Firebase en la tarjeta Tus apps, en la configuración del proyecto.