Para acessar as APIs de relevância e medição do Sandbox de privacidade no Chrome e no Android, os desenvolvedores precisam se inscrever no Sandbox de privacidade. Isso inclui as APIs Attribution Reporting, Protected Audience, Topics, agregação particular e armazenamento compartilhado. A inscrição de desenvolvedores verifica as entidades que chamam essas APIs e coleta os dados necessários para configurar e usar corretamente as APIs. A inscrição adiciona uma camada extra de proteção e transparência sobre quem está coletando dados e mitiga as tentativas de uso indevido das APIs para coletar dados não essenciais. Para garantir a transparência que pode ser auditada, as informações de registro da empresa são divulgadas. As empresas precisam planejar pelo menos cinco semanas para concluir o processo de inscrição. Isso inclui tempo para resolver problemas inesperados com o envio do console ou outros problemas que possam surgir. Isso não inclui o tempo de espera adicional que as empresas podem precisar para a preparação interna antes de enviar o formulário.
Antes de começar
Antes de começar a inscrição, crie uma conta usando o console do Sandbox de privacidade. Saiba mais sobre a criação de contas.
Como se inscrever
Para se inscrever, os desenvolvedores precisam usar o console do Sandbox de privacidade. Você deve fornecer as seguintes informações:
- Informações sobre sua empresa
- Isso inclui um endereço de e-mail de contato e links para suas políticas de privacidade.
- As APIs e os serviços que você planeja usar
- Alguns serviços exigem informações adicionais, como detalhes sobre seu provedor do Cloud.
- O site ou nome dos SDKs que você quer inscrever
- É aqui que você vai chamar as APIs
- Atestados sobre o uso das APIs
- Se você estiver registrando um site, será necessário fazer upload de um arquivo de atestado para o servidor.
Inscreva seu site, SDK ou app para Android
Durante o registro, é necessário fornecer um site ou SDK (ou ambos) que você vai usar para chamar as APIs.
A forma de inscrição depende de como as APIs do Sandbox de privacidade são chamadas:
- Se você é um desenvolvedor da Web e seu site chama as APIs do Sandbox de privacidade diretamente, informe seu site na inscrição.
- Se você é um desenvolvedor de SDK do Android, informe o nome do SDK na inscrição. Se o SDK usa as APIs Attribution Reporting, Protected Audience ou as duas, informe também o site na inscrição. Os apps que usam seu SDK não precisam se inscrever separadamente, a menos que chamem as APIs do Sandbox de privacidade diretamente do próprio código. Se você estiver testando as APIs de relatórios de atribuição no Android em grande escala imediatamente, vai precisar fornecer todas as origens que usa.
- Se você é um desenvolvedor de apps e seu app chama diretamente as APIs Attribution Reporting, Protected Audience ou as duas, informe seu site durante o registro.
- Se você é um desenvolvedor de apps e delega a funcionalidade de anúncios totalmente a um SDK, não precisa passar pelo processo de inscrição.
Cada site ou SDK que chama as APIs do Sandbox de privacidade exige uma inscrição exclusiva e precisa ser atestado individualmente. Os apps que chamam as APIs do Sandbox de privacidade diretamente podem ser incluídos em uma única inscrição. Se você planeja chamar várias APIs, especifique cada uma delas durante o processo de inscrição. Observação: o site em que você se inscreveu é o mesmo que será usado para recuperar as chaves de criptografia para uso do Topics no Android e a chave de assinatura para uso da API Protected Audience no Android. Mais informações sobre o endpoint de criptografia para Topics no Android e mais informações sobre chaves de assinatura para Público protegido.
Atualizar informações de inscrição
Você pode atualizar os detalhes da inscrição no console depois que ela for concluída. Sua inscrição vai permanecer ativa enquanto as mudanças estiverem em análise.
Se alguma das seguintes informações mudar, você vai precisar fazer o upload de uma nova versão do arquivo de atestado:
- Links da Política de Privacidade
- Informações do site
- APIs selecionadas
Status de inscrição
Depois de enviar a inscrição, você vai encontrar estes estágios de progresso:
- Revisar
- Estamos analisando sua inscrição. Você não precisa fazer nada.
- Configurar o arquivo de atestado
- Sua inscrição foi aprovada. Para sites, um arquivo de atestado precisa ser configurado em até 30 dias.
- Inscrição concluída
- Você registrou e configurou o arquivo de atestado (se necessário). Você não precisa fazer mais nada.
- Erros nos arquivos de atestado
- O arquivo de atestado está no lugar errado
- Não foi possível localizar o arquivo de atestado do seu site no período de 30 dias.
- Inscrição suspensa
- O arquivo de atestado não foi configurado corretamente no período inicial de 30 dias ou não pode mais ser encontrado após uma inscrição bem-sucedida. Entre em contato com privacy-sandbox-enrollment@google.com para mais informações.
- O arquivo de atestado está no lugar errado
Cronograma de inscrição
Depois que a inscrição for enviada, vamos analisar e processar sua inscrição. Quando a revisão for concluída, você vai receber uma confirmação no console e poderá acessar o arquivo de atestado para configuração. O arquivo precisa ser disponibilizado publicamente no caminho /.well-known do site em que foi registrado em até 30 dias após a aprovação da inscrição. Os desenvolvedores do Android podem fornecer o ID de inscrição aos desenvolvedores de apps para que eles possam definir o controle de acesso granular. Para mais informações, consulte a documentação Configurar serviços de anúncios específicos da API do Android.
Observação: inserir as informações corretas no envio original e responder às perguntas da equipe de suporte técnico do Google em tempo hábil ajuda a acelerar o processo.
Inscrição em diferentes ambientes de desenvolvimento
Seus ambientes de teste, de preparo, Beta e de controle de qualidade serão inscritos automaticamente se usarem o mesmo site do ambiente de produção. É possível testar localmente sem fazer a inscrição. Para testes locais, estamos fornecendo substituições de desenvolvedor do Chrome 116 com uma flag do Chrome e um switch da CLI:
- Flag:
chrome://flags/#privacy-sandbox-enrollment-overrides - CLI:
--privacy-sandbox-enrollment-overrides=https://example.com,https://example.co.uk,...
Limitações
Observe as seguintes limitações de registro de desenvolvedores ao determinar a estrutura de registro da sua organização:
- Um site só pode ser vinculado a uma inscrição.
- Uma inscrição contém apenas um site.
- Limitações específicas do SDK:
- Uma inscrição pode conter vários SDKs.
- Um SDK só pode ser vinculado a uma inscrição.
- Outras inscrições são permitidas, mas precisam ser para produtos ou linhas de negócios independentes que sejam claramente estabelecidos e verificáveis publicamente (ou seja, que tenham um site público correspondente que explique o produto específico). Não é possível ter várias inscrições para o mesmo produto. As declarações se aplicam a cada inscrição individualmente.
- Com a inscrição no escopo do site, uma única inscrição pode abranger origens ilimitadas, desde que estejam no mesmo site. No entanto, o limite de taxa de uma origem de relatório por origem (Chrome, Android) significa que você geralmente é limitado a uma origem por editor.
Várias inscrições para uma única entidade
Entidades mais complexas que têm vários produtos exclusivos podem se inscrever em mais de uma inscrição. Por exemplo, se a sua empresa tiver uma linha de negócios de SSP e DSP, você poderá se qualificar para vários registros.
Cada produto precisa ter sites separados para chamar as APIs. Você precisará fornecer uma representação pública para cada produto que você está solicitando para se inscrever (por exemplo, um link para um site público que explique o produto).
Se você quiser registrar mais de um site ou SDK, acesse a guia "Registros" na navegação do console. Depois que a primeira inscrição for aprovada, você poderá selecionar "Pedir inscrições" para adicionar mais. Depois que o aplicativo for enviado, ele será analisado, e você vai receber um e-mail e o status será refletido no console quando o processo de análise for concluído.
Redirecionamento com os Relatórios de atribuição
Considere um cenário em que o site A não está registrado, mas o site B está. O ARA vai fazer ping em URLs para redirecionamentos, mesmo que não esteja registrado. Como resultado, o redirecionamento de siteA.com para siteB.com vai funcionar. No entanto, as fontes e os acionadores só serão registrados nas adtechs registradas.
Inscrever-se no serviço de agregação
A inscrição no serviço de agregação faz parte do processo de inscrição no console. Cada registro do serviço de agregação precisa incluir o ID da conta da AWS ou a conta de serviço do Google Cloud em que o serviço de agregação será implantado. As adtechs têm a flexibilidade de vincular vários sites a uma conta ou várias contas a um site para vários testes, necessidades operacionais e eficiência de custos.
Fazer upload do arquivo de atestado
Depois de se inscrever e passar pelo processo de verificação, você poderá acessar o arquivo de atestado no console. Você terá um período de implementação de 30 dias a partir do recebimento do arquivo de atestado para finalizar o posicionamento. Durante esse período, você ainda pode chamar as APIs por 30 dias. No entanto, é esperado que você não se inscreva, a menos que possa aderir ao idioma de atestado durante o período de implementação de 30 dias.
Para concluir a inscrição, disponibilize o arquivo no caminho público .well-known do site que foi registrado. Por exemplo, se você registrar https://example.com, coloque o arquivo de atestado em https://example.com/.well-known/privacy-sandbox-attestations.json. Também é possível usar redirecionamentos HTTP apenas para subdomínios do site registrado para enviar o arquivo de atestado.
Você precisa obedecer aos atestados e manter o arquivo de atestado no lugar durante a inscrição. Os arquivos de atestado são verificados rotineiramente, e a falha prolongada em mantê-los no lugar fará com que as chamadas de API falhem até que o arquivo seja restaurado.
Observações:
- O Sandbox de privacidade vai buscar o arquivo de atestado das adtechs registradas. Esse job vai buscar o arquivo no máximo uma vez por hora. As chamadas de API não vão acionar uma solicitação de busca para o arquivo de atestado.
- A intenção é que o arquivo de atestado esteja disponível publicamente. A adtech precisa esperar algumas solicitações de busca de partes externas, incluindo pesquisadores, reguladores e usuários (fora das solicitações de busca da infra do sandbox de privacidade). As adtechs precisam veicular o mesmo arquivo para os anunciantes que veiculam para o Google.
Para atestados do Topics no Android, os desenvolvedores de apps e SDKs precisam concordar com o atestado no formulário de inscrição no console e não precisam colocar um arquivo de atestado no servidor, a menos que estejam usando outras APIs do Sandbox de privacidade.
Atualizar o atestado para adicionar mais APIs
Se você decidir incluir mais APIs na sua inscrição em uma data posterior, será necessário atualizar a inscrição. Como parte desse processo, você vai receber um arquivo de atestado atualizado que precisa ser disponibilizado no caminho .well-known do seu site antes de chamar as novas APIs.
Atualizar para a versão mais recente do arquivo de atestado
Todas as empresas inscritas precisam atualizar para a versão mais recente do arquivo de atestado que receberam do Google.
Os arquivos de atestado não expiram após um período definido. À medida que o framework de atestados evolui, novos arquivos ou arquivos atualizados podem ser fornecidos periodicamente (por exemplo, novos atestados específicos da API são adicionados).
Falhas na validação da atestação
O acesso só seria interrompido se o servidor que verifica o arquivo de atestado não conseguisse validá-lo repetidamente. Um único erro ou problema de veiculação não causa a suspensão do acesso.
Para mais detalhes, consulte o GitHub sobre atestados.
Dados do desenvolvedor Android
As entidades que pretendem usar as APIs do Sandbox de privacidade no Android podem acessar o ID de inscrição pela interface do console, que pode ser incluído na configuração do AdServices de um app. Isso permite que os desenvolvedores de apps tenham controle refinado sobre as adtechs com que os apps ou SDKs interagem.