Inscrever-se no Sandbox de privacidade

Para acessar as APIs de relevância e medição no Chrome e no Android, os desenvolvedores precisam se inscrever no Sandbox de privacidade. Isso inclui as APIs Attribution Reporting, Protected Audience, Topics, agregação particular e armazenamento compartilhado. A inscrição de desenvolvedores oferece um mecanismo para verificar as entidades que chamam essas APIs e coletar os dados específicos do desenvolvedor necessários para configurar e usar corretamente as APIs do Sandbox de privacidade. Esse processo de inscrição adiciona uma camada extra de proteção às restrições estruturais aplicadas em cada API, aumentando a transparência sobre quem está coletando dados e mitigando tentativas de uso indevido das APIs para coletar mais dados do que o pretendido. Para garantir a transparência que pode ser auditada, as informações de registro da empresa serão divulgadas. As empresas devem planejar pelo menos cinco semanas para concluir o processo de inscrição a partir do momento do envio do formulário. Isso inclui tempo para resolver problemas com o envio do formulário ou outros problemas que possam surgir. Isso não inclui nenhum tempo de lead adicional que as empresas possam precisar para preparação interna antes do envio do formulário.

Antes de começar

Antes de começar a inscrição, verifique se você tem um número D-U-N-S para sua organização. Ele é um número exclusivo de nove dígitos informado pela Dun &Bradstreet que é usado para identificar sua empresa e verificado como parte do processo de inscrição no Sandbox de privacidade. Se a empresa tiver vários números D-U-N-S, informe o de nível mais alto que representa a entidade corporativa. Se a sua empresa não for uma entidade legal, não será possível receber um número D-U-N-S.

Para verificar se sua empresa já tem um número D-U-N-S atribuído ou para receber um novo, faça uma solicitação usando o formulário de inscrição. O Google tem um processo de solicitação acelerado e gratuito da Dun & Bradstreet disponível para esse fim. Depois de fazer a solicitação, enviaremos um e-mail com um link único e exclusivo para acessar a página de destino específica do Google e enviar os detalhes da sua empresa. Se você não concluir o envio das informações, vai precisar solicitar outro link do Google.

Receber um número D-U-N-S como pessoa física

Se você é uma pessoa física e não é afiliado a uma organização, ou sua organização não consegue ter um número D-U-N-S, você pode se inscrever como pessoa física no formulário. Todas as informações (exceto informações de identificação pessoal) coletadas durante o registro do desenvolvedor podem ser incluídas nos relatórios do Sandbox de privacidade. Esses relatórios vão estar disponíveis publicamente.

Como se inscrever

Para se inscrever, os desenvolvedores precisam preencher o formulário de inscrição. O formulário solicita as seguintes informações:

  • Dados de contato da empresa
  • Número D-U-N-S da organização
  • APIs que você planeja usar e informações de configuração da API

Os desenvolvedores também precisam concordar com atestados sobre o uso das APIs registradas do Sandbox de privacidade.

Inscreva seu site, SDK ou app para Android

Durante o registro, é necessário fornecer um site ou SDK (ou ambos) que você vai usar para chamar as APIs.
A forma de registro depende de como as APIs do Sandbox de privacidade são chamadas:

  • Se você é um desenvolvedor da Web e seu site chama as APIs do Sandbox de privacidade diretamente, informe seu site na inscrição.
  • Se você for um desenvolvedor de SDK do Android, forneça o nome do SDK na inscrição. Se o SDK usar as APIs Attribution Reporting, Protected Audience ou as duas, informe também o site na inscrição. Os apps que usam o SDK não precisam se registrar separadamente, a menos que chamem as APIs do Sandbox de privacidade diretamente do próprio código. Se você estiver testando as APIs Attribution Reporting no Android em grande escala imediatamente, será necessário informar todas as origens usadas.
  • Se você é um desenvolvedor de apps e seu app chama as APIs Attribution Reporting, Protected Audience ou ambas diretamente, informe seu site durante o registro.
  • Se você é um desenvolvedor de apps e delega totalmente a funcionalidade dos seus anúncios a um SDK, não é necessário passar pelo processo de inscrição.

Cada site ou SDK que chama as APIs do Sandbox de privacidade exige um registro único e precisa de uma confirmação individual. Os apps que chamam as APIs do Sandbox de privacidade diretamente podem ser incluídos em um único registro. Se você planeja chamar várias APIs, especifique cada uma delas durante o processo de inscrição. Observação: o site em que você se inscrever é o mesmo usado para recuperar as chaves de criptografia para uso da API Topics no Android e a chave de assinatura para uso da API Protected Audience no Android. Mais informações sobre o endpoint de criptografia para Topics no Android e mais informações sobre chaves de assinatura para Público-alvo protegido.

Atualizar informações de inscrição

Você pode atualizar suas informações de inscrição usando o formulário de inscrição. As atualizações vão substituir as respostas anteriores.

Cronograma de inscrição

Após o envio do formulário de inscrição, analisaremos e processaremos sua inscrição. Depois que a análise for concluída, você vai receber um e-mail de confirmação com um ID exclusivo da conta de inscrição de desenvolvedor e um arquivo de atestado. O arquivo precisa ser disponibilizado publicamente no caminho /.well-known do site em que foi registrado em até 30 dias após o recebimento do ID da conta e do arquivo de atestado. Os desenvolvedores Android podem fornecer o ID de inscrição aos desenvolvedores de apps para que eles possam definir o controle de acesso granular. Para mais informações, consulte a documentação Configurar serviços de publicidade específicos da API do Android. Observação: as análises de inscrição serão concluídas quando o formulário de inscrição for totalmente preenchido corretamente. Inserir as informações corretas no envio original e responder às perguntas da equipe de suporte técnico do Google em tempo hábil ajuda a acelerar o processo.

Inscrição em diferentes ambientes de desenvolvimento

Os ambientes de preparação, beta, de controle de qualidade e de teste serão inscritos automaticamente se usarem o mesmo site que seu ambiente de produção. É possível testar localmente sem fazer a inscrição. Para testes locais, estamos fornecendo substituições para os desenvolvedores do Chrome 116 com uma flag do Chrome e uma chave da CLI:

  • Sinalização: chrome://flags/#privacy-sandbox-enrollment-overrides
  • CLI: --privacy-sandbox-enrollment-overrides=https://example.com,https://example.co.uk,...

Limitações

Observe as seguintes limitações de inscrição de desenvolvedores ao determinar a estrutura de inscrição da sua organização:

  • Um site só pode ser vinculado a uma inscrição.
  • Uma inscrição contém apenas um site.
  • Limitações específicas do SDK:
    1. Um registro pode conter vários SDKs.
    2. Um SDK específico só pode ser vinculado a uma inscrição.
  • Inscrições adicionais são permitidas, mas elas precisam ser para produtos ou linhas de negócios independentes que sejam claramente estabelecidos e verificáveis publicamente (ou seja, haja um site público correspondente que explique o produto específico). Não é possível ter várias inscrições para o mesmo produto. Os atestados se aplicam a cada registro individualmente.
  • Com a inscrição no escopo do site, uma única inscrição pode abranger origens ilimitadas, desde que estejam no mesmo site. No entanto, o limite de taxa de uma origem de relatório por origem (Chrome, Android) significa que você geralmente é limitado a uma origem por editor.

Várias inscrições para uma única entidade

Entidades mais complexas que têm vários produtos exclusivos podem se inscrever em mais de uma inscrição. Por exemplo, se sua empresa tem uma linha de negócios de SSP e de DSP, você pode se qualificar para várias inscrições.

Cada produto precisa ter sites separados para chamar as APIs. Você precisará fornecer representação pública para cada produto que estiver pedindo para registrar (por exemplo, incluir um link para um site público que explique o produto).

Se você quiser inscrever mais de um site ou SDK, preencha o formulário de pedido de inscrição múltipla e envie o formulário de inscrição normal para a primeira inscrição. Após o envio, a inscrição será analisada, e você vai receber um e-mail quando o processo for concluído.

Envie várias inscrições com o mesmo número D-U-N-S

Se você estiver solicitando várias inscrições usando o formulário do Processo de solicitação de várias inscrições, poderá usar o mesmo número D-U-N-S em cada inscrição.

Redirecionar com a API Attribution Reporting

Considere um cenário em que o site A não está registrado, mas o site B está. O ARA vai fazer ping em URLs para redirecionamentos, mesmo que não esteja registrado. Como resultado, o redirecionamento de siteA.com para siteB.com vai funcionar. No entanto, as origens e os acionadores só vão ser registrados por adtechs registradas.

Inscrever-se no serviço de agregação

No momento, há um processo de registro separado para elementos do servidor e as APIs do cliente (para Chrome e Android). É necessário preencher os dois formulários de inscrição para usar o serviço de agregação. Estamos trabalhando para simplificar os processos. Por enquanto, o serviço de agregação tem um formulário separado. Durante a inscrição no serviço de agregação, você vai se inscrever com um site que precisa ser o mesmo site (esquema, eTLD+1) registrado na inscrição do desenvolvedor.

Cada inscrição no serviço de agregação precisa incluir o ID da conta da AWS ou a conta de serviço do GCP em que o serviço de agregação será implantado. As adtechs têm a flexibilidade de vincular vários sites a uma conta ou várias contas a um site para diversos testes, necessidades operacionais e eficiência de custos.

Fazer upload do arquivo de atestado

Depois que você se inscrever e for aprovado no processo de verificação, vamos enviar um arquivo com os atestados específicos da API para o endereço de e-mail fornecido. Você terá um período de implementação de 30 dias a partir do momento em que receber o ID da conta e o arquivo de atestado para finalizar o posicionamento do arquivo de atestado. Durante esse período, ainda será possível chamar as APIs por 30 dias, mas é esperado que você siga a linguagem de atestado.

Para concluir a inscrição, disponibilize o arquivo do caminho .well-known público no site registrado. Por exemplo, se você registrar https://example.com, coloque o arquivo de atestado em https://example.com/.well-known/privacy-sandbox-attestations.json. Não é possível usar redirecionamentos HTTP para exibir o arquivo de atestado. O arquivo de atestado precisa estar localizado no diretório .well-known do site. Ele não pode redirecionar para outro local (por exemplo, um subdomínio ou outro site).

Você precisa respeitar os atestados e manter o arquivo correspondente durante o período da inscrição. Os arquivos de atestado são verificados regularmente. A falha prolongada para mantê-los ativos fará com que as chamadas de API falhem até que o arquivo seja restaurado.

Observações:

  • O Sandbox de privacidade vai executar um job do lado do servidor para buscar o arquivo de atestado das adtechs registradas e criar uma lista de permissões com base no conteúdo do arquivo. Essa lista de permissões será sincronizada com o navegador e o sistema operacional. Esse job buscará o arquivo no máximo uma vez por hora.
  • A intenção é que o arquivo de atestado esteja disponível publicamente. A adtech vai receber algumas solicitações de busca de partes externas, incluindo pesquisadores, reguladores e usuários, além das solicitações de busca da infraestrutura do Sandbox de privacidade. As adtechs precisam veicular o mesmo arquivo para eles que veiculam para o Google.
  • Cada chamada de API não vai acionar uma solicitação de busca para o arquivo de atestado.

Para atestados da API Topics no Android, os desenvolvedores de apps e SDKs precisam concordar com o atestado no formulário de inscrição e não precisam colocar um arquivo de atestado no servidor, a menos que estejam usando outras APIs do Sandbox de privacidade.

Atualizar o atestado para adicionar mais APIs

Se você decidir incluir mais APIs na sua inscrição em uma data posterior, será necessário atualizar a inscrição. Como parte desse processo, você vai receber um arquivo de atestado atualizado que precisa ser disponibilizado no caminho .well-known do seu site antes de chamar as novas APIs.

Atualizar para a versão mais recente do arquivo de atestado

Todas as empresas inscritas precisam atualizar o arquivo de atestado que receberam do Google para a versão mais recente.
Os arquivos de atestado não expiram após um período definido. À medida que o framework de atestados evolui, novos arquivos ou arquivos atualizados podem ser fornecidos periodicamente. Por exemplo, novos atestados específicos da API são adicionados e assim por diante.

Erros únicos

O acesso será interrompido apenas se o servidor que estiver verificando o arquivo de atestado não conseguir validá-lo repetidamente. Um único erro ou problema de veiculação não faz com que o acesso seja removido.

Para saber mais, consulte o GitHub sobre atestados.

Dados de desenvolvedores Android

As entidades que pretendem usar as APIs do Sandbox de privacidade no Android recebem um ID da conta de registro, que pode ser incluído na configuração do AdServices de um app. Isso permite que os desenvolvedores de apps tenham controle refinado sobre as adtechs com que os apps ou SDKs interagem.