כדי לגשת לממשקי ה-API של ארגז החול לפרטיות למדידת ביצועים ולקביעת רלוונטיות ב-Chrome וב-Android, המפתחים צריכים להירשם ל'ארגז החול לפרטיות'. התכונות האלה כוללות דיווח שיוך (Attribution), קהל מוגן, Topics, צבירת נתונים פרטית ואחסון משותף. ההרשמה של מפתחים מספקת מנגנון לאימות הישויות שמבצעות קריאות לממשקי ה-API האלה, ולאיסוף הנתונים הספציפיים למפתחים שנדרשים כדי להגדיר את ממשקי ה-API של ארגז החול לפרטיות ולהשתמש בהם בצורה תקינה. תהליך ההרשמה הזה מוסיף שכבת הגנה נוספת על גבי ההגבלות המבניות שחלות על כל ממשק API. הוא מאפשר להבין מי אוסף את הנתונים, ומפחית את הניסיונות לנצל לרעה את ממשקי ה-API כדי לאסוף יותר נתונים מהמתוכנן. כדי לשמור על שקיפות שניתן לבדוק, פרטי ההרשמה של החברה יהיו גלויים לכולם. חברות צריכות לתכנן לפחות חמישה שבועות להשלמת תהליך ההרשמה, מרגע שליחת טופס ההרשמה. הזמן הזה כולל זמן לטיפול בבעיות שעשויות להתעורר בשליחת הטופס או בבעיות אחרות. הזמן הזה לא כולל את זמן ההכנה הפנימי הנוסף שעשוי להידרש לחברות לפני שליחת הטופס.
לפני שמתחילים
לפני שמתחילים את תהליך ההרשמה, צריך לוודא שיש לארגון מספר D-U-N-S. זהו מספר ייחודי בן תשע ספרות שמסופק על ידי Dun & Bradstreet ומשמש לזיהוי העסק. המספר נבדק כחלק מתהליך האימות של ההרשמה ל-Privacy Sandbox. אם לחברה שלך הונפקו מספרי D-U-N-S מרובים, עליך לספק את המספר ברמה הגבוהה ביותר שמייצג את הישות העסקית הכוללת שלך. אם העסק שלכם הוא לא ישות משפטית, לא תוכלו לקבל מספר D-U-N-S.
כדי לבדוק אם לחברה שלכם כבר הוקצה מספר D-U-N-S, או כדי לקבל מספר D-U-N-S חדש, שולחים בקשה באמצעות טופס ההרשמה. Google מציעה תהליך בקשה מזורז ללא תשלום לקבלת מספר DUNS. אחרי שליחת הבקשה, נשלח לך אימייל עם קישור ייחודי לשימוש חד-פעמי לדף הנחיתה הספציפי ל-Google, שבו עליך לשלוח את פרטי העסק. אם לא תשלימו את שליחת המידע, תצטרכו לבקש קישור נוסף מ-Google.
קבלת מספר D-U-N-S כאדם פרטי
אם אתם אנשים פרטיים ולא משויכים לארגון, או אם הארגון שלכם לא יכול לקבל מספר DUNS, תוכלו להירשם כאנשים פרטיים בטופס ההרשמה. כל המידע (לא כולל פרטים אישיים מזהים) שנאסף במהלך ההרשמה של המפתח עשוי להיכלל בדוחות של ארגז החול לפרטיות. הדוחות האלה יהיו זמינים לכולם.
איך להירשם
כדי להירשם, המפתחים צריכים למלא את טופס ההרשמה. בטופס מופיעים הפרטים הבאים:
- פרטים ליצירת קשר עם העסק
- מספר D-U-N-S של הארגון
- ממשקי ה-API שבהם אתם מתכננים להשתמש ומידע על הגדרות ה-API
המפתחים צריכים גם להסכים לאישורים לגבי השימוש שלהם בממשקי ה-API של ארגז החול לפרטיות שנרשמו.
הרשמה של האתר, Android SDK או אפליקציית Android
במהלך ההרשמה, צריך לספק אתר או SDK (או שניהם) שבהם תשתמשו כדי לבצע קריאה לממשקי ה-API.
אופן ההרשמה תלוי באופן הקריאה לממשקי ה-API של ארגז החול לפרטיות:
- אם אתם מפתחי אינטרנט והאתר שלכם קורא לממשקי ה-API של ארגז החול לפרטיות ישירות, עליכם לציין את האתר שלכם במהלך ההרשמה.
- אם אתם מפתחים של Android SDK, עליכם לציין את שם ה-SDK שלכם במהלך ההרשמה. אם ה-SDK שלכם משתמש בממשקי ה-API של Attribution Reporting או של Protected Audience, או בשניהם, עליכם לציין את האתר גם במהלך ההרשמה. אפליקציות שמשתמשות ב-SDK שלכם לא צריכות להירשם בנפרד, אלא אם הן קוראות לממשקי ה-API של ארגז החול לפרטיות ישירות מהקוד שלהן. אם אתם רוצים לבדוק את Attribution Reporting API ב-Android בקנה מידה רחב באופן מיידי, תצטרכו לספק את כל המקורות שבהם אתם משתמשים.
- אם אתם מפתחי אפליקציות והאפליקציה שלכם קוראת ישירות לממשקי ה-API של Attribution Reporting, Protected Audience או לשניהם, עליכם לספק את האתר שלכם במהלך ההרשמה.
- אם אתם מפתחי אפליקציות ומעבירים את הפונקציונליות של המודעות שלכם באופן מלא ל-SDK, אתם לא צריכים לעבור את תהליך ההרשמה.
כל אתר או SDK שמפעילים את ממשקי ה-API של ארגז החול לפרטיות צריכים הרשמה ייחודית ואימות בנפרד. אפליקציות שמבצעות קריאה ישירה לממשקי ה-API של ארגז החול לפרטיות יכולות להיכלל בהרשמה אחת. אם אתם מתכננים לבצע קריאות לכמה ממשקי API, עליכם לציין כל אחד מהם במהלך תהליך ההרשמה. הערה: האתר שבו תירשמו הוא אותו אתר שבו נעשה שימוש כדי לאחזר את מפתחות ההצפנה לשימוש ב-Topics ב-Android ואת מפתח החתימה לשימוש ב-Protected Audience ב-Android. מידע נוסף על נקודת הקצה להצפנה ב-Topics ב-Android ומידע נוסף על מפתחות חתימה ל-קהל מוגן.
עדכון פרטי ההרשמה
אפשר לעדכן את פרטי ההרשמה באמצעות טופס ההרשמה. עדכונים יחליפו את התשובות הקודמות.
ציר הזמן להרשמה
אחרי שליחת טופס ההרשמה, נבדוק את הבקשה ונעבד אותה. לאחר השלמת הבדיקה, תישלח אליך הודעת אישור באימייל עם מזהה חשבון ייחודי של הרשמת מפתח וקובץ אימות. עליכם להגדיר את הקובץ כגלוי לכולם מהנתיב /.well-known באתר שבו הוא נרשם, תוך 30 יום ממועד קבלת מזהה החשבון וקובץ האימות. מפתחי Android יכולים לספק את מזהה ההרשמה למפתחי האפליקציות כדי שהאפליקציות יוכלו להגדיר בקרת גישה מפורטת. מידע נוסף זמין במסמכי העזרה של Android בנושא הגדרת שירותי מודעות ספציפיים ל-API.
הערה: בדיקות ההרשמה מתבצעות לאחר מילוי הטופס המלא של ההרשמה בצורה נכונה. כדי לזרז את התהליך, חשוב להזין מידע נכון בטופס המקורי ולהגיב במהירות לפניות מצוות התמיכה הטכנית של Google.
הרשמה לסביבות פיתוח שונות
סביבות ה-staging, הבטא, בקרת האיכות והבדיקה ייכללו באופן אוטומטי אם הן משתמשות באותו אתר שבו משתמשת סביבת הייצור. אפשר לבדוק את הקוד ברמה המקומית בלי להירשם. לצורך בדיקה מקומית, אנחנו מספקים למפתחים אפשרות לשינוי מברירת המחדל מ-Chrome 116 באמצעות דגל Chrome ומקש CLI:
- דגל:
chrome://flags/#privacy-sandbox-enrollment-overrides - CLI:
--privacy-sandbox-enrollment-overrides=https://example.com,https://example.co.uk,...
מגבלות
חשוב לזכור את המגבלות הבאות על הרשמה של מפתחים כשמגדירים את מבנה ההרשמה של הארגון:
- אפשר לקשר אתר אחד רק להרשמה אחת.
- הרשמה אחת מכילה רק אתר אחד.
- מגבלות ספציפיות ל-SDK:
- הרשמה אחת יכולה להכיל כמה ערכות SDK.
- אפשר לקשר כל SDK רק להרשמה אחת.
- מותר להירשם לתוכנית כמה פעמים, אבל ההרשמות צריכות להיות למוצרים או לתחומי עסק עצמאיים שהוקמו בצורה ברורה וניתנים לאימות באופן ציבורי (כלומר, יש אתר ציבורי תואם שמסביר על המוצר הספציפי). אי אפשר להירשם כמה פעמים לאותו מוצר. האימותים חלים על כל הרשמה בנפרד.
- כשרוצים להירשם ברמת האתר, הרשמה אחת יכולה לכסות מספר בלתי מוגבל של מקורות, כל עוד הם נמצאים באותו אתר. עם זאת, מגבלת הקצב של דיווח על מקור אחד לכל מקור (Chrome, Android) מובילה בדרך כלל למגבלה של מקור אחד לכל בעל תוכן דיגיטלי.
מספר הרשמות לישות אחת
ישויות מורכבות יותר שיש להן כמה מוצרים ייחודיים יכולות להגיש בקשה לכמה הרשמות. לדוגמה, אם לחברה שלכם יש פעילות של SSP ופעילות של DSP, יכול להיות שאתם עומדים בדרישות להרשמה לכמה חשבונות.
לכל מוצר צריכים להיות אתרים נפרדים שמהם אפשר לבצע קריאה ל-API. תצטרכו לספק ייצוג ציבורי לכל מוצר שאתם מבקשים להירשם אליו (לדוגמה, קישור לאתר גלוי לכולם שמסביר על המוצר).
אם רוצים להירשם יותר מאתר אחד או יותר מ-SDK אחד, צריך למלא את הטופס של תהליך הבקשה לרישום של כמה פריטים בנוסף לשליחת טופס הרישום הרגיל עבור הבקשה הראשונה. לאחר שליחת הבקשה, היא תעבור בדיקה ונשלח לך אימייל כשתהליך הבדיקה יסתיים.
שליחת מספר הרשמות עם אותו מספר DUNS
אם אתם שולחים בקשה להרשמה לכמה חשבונות באמצעות הטופס Multi Enrollment Request Process, אתם יכולים להשתמש באותו מספר D-U-N-S בכל הבקשות.
הפניה אוטומטית עם דוחות שיוך
ניקח לדוגמה תרחיש שבו אתר א' לא רשום אבל אתר ב' רשום. ARA תשלח פינג לכתובות URL של הפניות אוטומטיות גם אם לא תירשמו לתוכנית. כתוצאה מכך, ההפניה האוטומטית מ-siteA.com אל siteB.com תפעל. עם זאת, מקורות וטריגרים ירשמו רק מ-AdTechs רשומים.
הרשמה ל-Aggregation Service
בשלב זה, יש תהליך הרשמה נפרד לרכיבי השרת ולממשקי ה-API של הלקוח (ל-Chrome ול-Android). צריך למלא את שני טופסי ההרשמה כדי להשתמש בשירות הצבירה. אנחנו רוצים לייעל את התהליכים. נכון לעכשיו, לשירות הצבירה יש טופס נפרד. במהלך ההרשמה לשירות האגרגציה, תצטרכו להירשם באמצעות אתר. האתר הזה חייב להיות אותו אתר (סכמה, eTLD+1) שרשום באמצעות הרשמה של מפתח.
כל הרשמה ל-Aggregation Service חייבת לכלול את המזהה של חשבון AWS או את חשבון השירות ב-GCP שבו יתבצע הפריסה של Aggregation Service. לספקי טכנולוגיות פרסום יש גמישות לקשר כמה אתרים לחשבון אחד, או כמה חשבונות לאתר אחד, לצורכי בדיקה, תפעול וחיסכון בעלויות.
העלאת קובץ האימות
אחרי שתירשמו ותשלימו את תהליך האימות, נשלח קובץ שמכיל את האימותים הספציפיים ל-API לכתובת האימייל שסיפקתם. יהיו לכם 30 יום ממועד קבלת מזהה החשבון וקובץ האימות כדי להשלים את מיקום קובץ האימות. במהלך פרק הזמן הזה, עדיין תוכלו לבצע קריאות ל-API למשך 30 יום, אבל עליכם לפעול בהתאם לשפת האימות במהלך פרק הזמן הזה.
כדי להשלים את ההרשמה, צריך להפוך את הקובץ לזמין מהנתיב הציבורי .well-known באתר שנרשם. לדוגמה, אם רושמים את https://example.com, צריך למקם את קובץ האימות ב-https://example.com/.well-known/privacy-sandbox-attestations.json. אי אפשר להשתמש בהפניות אוטומטיות מסוג HTTP כדי להציג את קובץ האימות. קובץ האימות צריך להיות ממוקם בתיקייה .well-known באתר. אי אפשר להפנות אותה למיקום אחר (למשל, תת-דומיין או אתר אחר).
עליכם לפעול בהתאם לאישורים ולשמור את קובץ האימות במיקום שלו למשך כל תקופת ההרשמה. קובצי האימות מאומתים באופן שוטף, וכשל ארוך טווח בשמירה עליהם יוביל לכישלון של קריאות ל-API עד שהקובץ ישוחזר.
חשוב לזכור:
- ארגז החול לפרטיות מריץ משימה בצד השרת כדי לאחזר את קובץ האימות מטכנולוגיות הפרסום הרשמות, וליצור רשימת היתרים על סמך תוכן הקובץ. לאחר מכן, רשימת ההיתרים הזו תסתנכרן עם הדפדפן ועם מערכת ההפעלה. המשימה הזו תאחזר את הקובץ לא יותר מפעם בשעה.
- הכוונה היא שקובץ האימות יהיה זמין לכולם. טכנולוגיית הפרסום אמורה לצפות לקבל בקשות אחזור מסוימות מגורמים חיצוניים, כולל חוקרים, רשויות רגולטוריות ומשתמשים (מעבר לבקשות האחזור מהתשתית של ארגז החול לפרטיות). טכנולוגיות הפרסום צריכות להציג להם את אותו קובץ שהן מציגות ל-Google.
- לא כל קריאה ל-API תפעיל בקשת אחזור של קובץ האימות.
בנוגע לאימות של Topics ב-Android, מפתחי אפליקציות ו-SDK צריכים לאשר את האימות בטופס ההרשמה, ולא צריכים להציב קובץ אימות בשרת שלהם אלא אם הם משתמשים בממשקי API אחרים של ארגז החול לפרטיות.
עדכון האימות כדי להוסיף עוד ממשקי API
אם תחליטו לכלול ממשקי API נוספים בהרשמה במועד מאוחר יותר, תצטרכו לעדכן את ההרשמה. כחלק מהתהליך הזה, תקבלו קובץ אימות מעודכן שצריך להפוך לזמין מהנתיב .well-known באתר שלכם, לפני שתוכלו לבצע קריאה לממשקי ה-API החדשים.
עדכון לקובץ האימות (attestation) בגרסה האחרונה
כל החברות שנרשמו לתוכנית צריכות לעדכן את קובץ האימות לגרסה האחרונה שקיבלו מ-Google.
תוקף קובצי האימות לא פג אחרי פרק זמן מסוים. יכול להיות שיוצגו מדי פעם קובצי אימות חדשים או מעודכנים, בהתאם להתפתחות של מסגרת האימות (לדוגמה, יתווספו אימותים חדשים ספציפיים לממשק API וכו').
שגיאות חד-פעמיות
הגישה תיחסם רק אם השרת שבודק את קובץ האימות לא יוכל לאמת אותו שוב ושוב. שגיאה אחת או בעיה אחת בהצגה לא יגרמו להסרת הגישה.
פרטים נוספים זמינים במאמר GitHub on attestations.
נתונים של מפתחי Android
ישויות שמתכוונות להשתמש בממשקי ה-API של Sandbox לפרטיות ב-Android מקבלות מזהה חשבון הרשמה, שאפשר לכלול בהגדרות AdServices של האפליקציה. כך למפתחי האפליקציות יש שליטה מפורטת בטכנולוגיות הפרסום שאיתן האפליקציה או ערכות ה-SDK שלהם מקיימות אינטראקציה.