Inscrever-se no Sandbox de privacidade

Para acessar as APIs de relevância e medição no Chrome e no Android, os desenvolvedores precisam se inscrever no Sandbox de privacidade. Isso inclui as APIs Attribution Reporting, Protected Audience, Topics, Agregação privada e Armazenamento compartilhado. A inscrição de desenvolvedores oferece um mecanismo para verificar as entidades que chamam essas APIs e coletar os dados específicos do desenvolvedor necessários para configurar e usar corretamente as APIs do Sandbox de privacidade. Esse processo de registro adiciona uma camada extra de proteção, além das restrições estruturais aplicadas em cada API, agregando transparência sobre quem está coletando dados e reduzindo as tentativas de uso indevido das APIs para coletar mais dados do que o pretendido. Para oferecer transparência auditável, as informações de inscrição sobre a empresa serão publicadas. As empresas devem planejar pelo menos cinco semanas para concluir o processo de inscrição a partir do momento do envio do formulário. Isso inclui tempo para resolver problemas com o envio do formulário ou outros problemas que possam surgir. Isso não inclui nenhum tempo de lead adicional que as empresas possam precisar para preparação interna antes do envio do formulário.

Antes de começar

Antes de começar a inscrição, verifique se você tem um número D-U-N-S para sua organização. Ele é um número exclusivo de nove dígitos informado pela Dun & Bradstreet que é usado para identificar sua empresa e verificado como parte do processo de inscrição no Sandbox de privacidade. Se a empresa tiver recebido vários números D-U-N-S, informe o de nível mais alto que represente a entidade corporativa geral. Se a empresa não for uma pessoa jurídica, você não poderá ter um número D-U-N-S.

Para verificar se sua empresa já tem um número D-U-N-S atribuído ou receber um novo, faça uma solicitação usando o formulário de inscrição. O Google disponibiliza um processo de solicitação da Dun & Bradstreet sem custo financeiro e rápido para essa finalidade. Depois de fazer a solicitação, enviaremos um e-mail com um link único e exclusivo para acessar a página de destino específica do Google e enviar os detalhes da sua empresa. Se você não concluir o envio das informações, vai precisar solicitar outro link do Google.

Receber um número D-U-N-S como pessoa física

Se você é uma pessoa física e não está afiliada a uma organização ou se sua organização não consegue ter um número D-U-N-S, você pode se inscrever como pessoa física no formulário de inscrição. Todas as informações (exceto as de identificação pessoal) coletadas durante a inscrição do desenvolvedor podem ser incluídas nos relatórios do Sandbox de privacidade. Esses relatórios ficarão disponíveis publicamente.

Como se inscrever

Para se inscrever, os desenvolvedores precisam preencher o formulário de inscrição. O formulário solicita as seguintes informações:

  • Dados de contato da empresa
  • Número D-U-N-S da organização
  • APIs que você planeja usar e informações de configuração da API

Os desenvolvedores também precisam concordar com atestados sobre o uso das APIs registradas do Sandbox de privacidade.

Registrar seu site, SDK do Android ou app Android

Durante a inscrição, você precisa informar um site ou SDK (ou ambos) que vai usar para chamar as APIs.
A forma de registro depende de como as APIs do Sandbox de privacidade são chamadas:

  • Se você é um desenvolvedor Web e seu site chama as APIs do Sandbox de privacidade diretamente, informe o site na inscrição.
  • Se você for um desenvolvedor de SDK do Android, forneça o nome do SDK na inscrição. Se o SDK usa a API Attribution Reporting, a API Protected Audience ou ambas, inclua também seu site no registro. Os apps que usam o SDK não precisam se registrar separadamente, a menos que chamem as APIs do Sandbox de privacidade diretamente do próprio código. Se você estiver testando as APIs Attribution Reporting no Android em escala imediatamente, será necessário fornecer todas as origens usadas.
  • Se você for um desenvolvedor de apps e seu app chamar a API Attribution Reporting, a API Protected Audience ou ambas diretamente, informe seu site durante a inscrição.
  • Se você é um desenvolvedor de apps e delega toda a funcionalidade de anúncios a um SDK, não é necessário passar pelo processo de inscrição.

Cada site ou SDK que chama as APIs do Sandbox de privacidade exige um registro único e precisa de uma confirmação individual. Os apps que chamam as APIs do Sandbox de privacidade diretamente podem ser incluídos em um único registro. Se você planeja chamar várias APIs, especifique cada uma durante o processo de registro. Observação: o site em que você se inscrever é o mesmo usado para recuperar as chaves de criptografia para uso da API Topics no Android e a chave de assinatura para uso da API Protected Audience no Android. Confira mais informações sobre o endpoint de criptografia da página Topics no Android e saiba mais sobre chaves de assinatura da API Protected Audience.

Atualizar informações da inscrição

Você pode atualizar seus dados usando o formulário de inscrição. As atualizações vão substituir as respostas anteriores.

Cronograma de inscrição

Após o envio do formulário de inscrição, analisaremos e processaremos sua inscrição. Quando a revisão for concluída, você vai receber um e-mail de confirmação com um ID exclusivo da conta de registro de desenvolvedor e um arquivo de atestado. O arquivo precisa ser disponibilizado publicamente no caminho /.well-known do site em que foi registrado em até 30 dias após o recebimento do ID da conta e do arquivo de atestado. Os desenvolvedores Android podem fornecer o ID de inscrição aos desenvolvedores de apps para que eles possam definir o controle de acesso granular. Para mais informações, consulte a documentação Configurar serviços de publicidade específicos da API do Android. Observação: as análises de inscrição serão concluídas quando o formulário de inscrição for totalmente preenchido corretamente. Digitar as informações corretas no envio original e responder às perguntas da equipe de suporte técnico do Google em tempo hábil ajuda a acelerar o processo.

Registro em diferentes ambientes de desenvolvimento

Os ambientes de preparação, beta, de controle de qualidade e de teste serão inscritos automaticamente se usarem o mesmo site que seu ambiente de produção. É possível testar localmente sem precisar fazer a inscrição. Para testes locais, estamos fornecendo substituições para os desenvolvedores do Chrome 116 com uma flag do Chrome e uma chave da CLI:

  • Sinalização: chrome://flags/#privacy-sandbox-enrollment-overrides
  • CLI: --privacy-sandbox-enrollment-overrides=https://example.com,https://example.co.uk,...

Limitações

Observe as seguintes limitações de inscrição de desenvolvedores ao determinar a estrutura de inscrição da sua organização:

  • Um site só pode ser vinculado a um registro.
  • Um registro contém apenas um site.
  • Limitações específicas do SDK:
    1. Um registro pode conter vários SDKs.
    2. Um SDK específico só pode ser vinculado a uma inscrição.
  • Inscrições adicionais são permitidas, mas elas precisam ser para produtos ou linhas de negócios independentes que sejam claramente estabelecidos e verificáveis publicamente (ou seja, haja um site público correspondente que explique o produto específico). Não é possível ter vários registros para o mesmo produto. Os atestados se aplicam a cada registro individualmente.
  • Com o registro no escopo do site, um único registro pode abranger origens ilimitadas, desde que sejam no mesmo site. No entanto, uma origem de relatórios por limite de taxa de origem (Chrome, Android) significa que geralmente há um limite de uma origem por editor.

Vários registros para uma única entidade

Entidades mais complexas com vários produtos exclusivos podem se inscrever para mais de um registro. Por exemplo, se sua empresa tem uma linha de negócios de SSP e de DSP, você pode se qualificar para várias inscrições.

Cada produto precisa ter sites separados para chamar as APIs. Você precisará fornecer representação pública para cada produto que estiver pedindo para registrar (por exemplo, incluir um link para um site público que explique o produto).

Se você quiser inscrever mais de um site ou SDK, preencha o formulário de pedido de inscrição múltipla e envie o formulário normal para a primeira inscrição. Após o envio, a inscrição será analisada, e você vai receber um e-mail quando esse processo for concluído.

Envie várias inscrições com o mesmo número D-U-N-S

Se você estiver solicitando várias inscrições usando o formulário do Processo de solicitação de várias inscrições, poderá usar o mesmo número D-U-N-S em cada inscrição.

Redirecionar com a API Attribution Reporting

Considere um cenário em que o site A não está inscrito, mas o site B. A ARA dará um ping nos URLs em busca de redirecionamentos mesmo que não estejam registrados. Como resultado, o redirecionamento de siteA.com para siteB.com funcionará. No entanto, as origens e os acionadores serão registrados apenas por adtechs registradas.

Inscrever-se no serviço de agregação

No momento, existe um processo de inscrição separado para elementos do servidor e APIs de cliente (para Chrome e Android). Os dois formulários de inscrição são necessários para usar o serviço de agregação. Queremos agilizar os processos. Por enquanto, o serviço de agregação tem um formulário separado. Durante a inscrição no serviço de agregação, você se inscreverá em um site que precisa ser o mesmo (esquema, eTLD+1) registrado na inscrição de desenvolvedor.

Cada inscrição no serviço de agregação precisa incluir o ID da conta da AWS ou do projeto do GCP em que o serviço de agregação será implantado. Cada conta da AWS ou do GCP só pode ser vinculada a uma inscrição do serviço de agregação.

Fazer upload do arquivo de atestado

Depois que você se inscrever e for aprovado no processo de verificação, vamos enviar um arquivo com os atestados específicos da API para o endereço de e-mail fornecido. Você terá um período de implementação de 30 dias a partir do momento em que receber o ID da conta e o arquivo de atestado para finalizar o posicionamento do arquivo de atestado. Durante esse período, você ainda poderá chamar as APIs por 30 dias, mas é esperado que você siga a linguagem de atestado durante esse período.

Para concluir a inscrição, disponibilize o arquivo do caminho .well-known público no site registrado. Por exemplo, se você registrar https://example.com, coloque o arquivo de atestado em https://example.com/.well-known/privacy-sandbox-attestations.json. Não é possível usar redirecionamentos HTTP para exibir o arquivo de atestado. O arquivo de atestado precisa estar localizado no diretório .well-known do seu site. Ele não pode redirecionar para outro local (por exemplo, um subdomínio ou outro site).

Você precisa respeitar os atestados e manter o arquivo correspondente durante o período da inscrição. Os arquivos de atestado são verificados regularmente. A falha prolongada para mantê-los ativos fará com que as chamadas de API falhem até que o arquivo seja restaurado.

Observações:

  • O Sandbox de privacidade vai executar um job do lado do servidor para buscar o arquivo de atestado das adtechs registradas e criar uma lista de permissões com base no conteúdo do arquivo. Essa lista de permissões será sincronizada com o navegador e o sistema operacional. Esse job buscará o arquivo no máximo uma vez por hora.
  • A intenção é que o arquivo de atestado esteja disponível publicamente. A adtech vai receber algumas solicitações de busca de partes externas, incluindo pesquisadores, reguladores e usuários, além das solicitações de busca da infraestrutura do Sandbox de privacidade. As adtechs precisam veicular para elas o mesmo arquivo que veiculam no Google.
  • Cada chamada de API não vai acionar uma solicitação de busca para o arquivo de atestado.

Para atestados da API Topics no Android, os desenvolvedores de apps e SDKs precisam concordar com o atestado no formulário de inscrição e não precisam colocar um arquivo de atestado no servidor, a menos que estejam usando outras APIs do Sandbox de privacidade.

Atualizar o atestado para adicionar mais APIs

Se você decidir incluir mais APIs em uma data posterior, precisará atualizar sua inscrição. Como parte desse processo, você vai receber um arquivo de atestado atualizado que precisa ser disponibilizado pelo caminho .well-known no seu site antes de chamar as novas APIs.

Atualizar para a versão mais recente do arquivo de atestado

Todas as empresas inscritas precisam atualizar o arquivo de atestado que receberam do Google para a versão mais recente.
Os arquivos de atestado não expiram após um determinado período. Arquivos de atestado novos ou atualizados podem ser fornecidos periodicamente à medida que o framework de atestado evolui (por exemplo, novos atestados específicos da API são adicionados e assim por diante).

Erros únicos

O acesso será interrompido somente se o servidor que estiver verificando o arquivo de atestado não conseguir validá-lo repetidamente. Um único erro ou problema de veiculação não faz com que o acesso seja removido.

Para saber mais, consulte o GitHub sobre atestados.

Dados do desenvolvedor Android

As entidades que pretendem usar as APIs do Sandbox de privacidade no Android recebem um ID da conta de registro, que pode ser incluído na configuração do AdServices de um app. Isso permite que os desenvolvedores de apps tenham um controle preciso sobre as adtechs com que o app ou os SDKs interagem.