הרשמה לארגז החול לפרטיות

כדי לגשת לממשקי ה-API של ארגז החול לפרטיות למדידת ביצועים ולקביעת רלוונטיות ב-Chrome וב-Android, המפתחים צריכים להירשם ל'ארגז החול לפרטיות'. התכונות האלה כוללות דיווח שיוך (Attribution), קהל מוגן, Topics, צבירת נתונים פרטית ואחסון משותף. ההרשמה של המפתחים מאמתת את הישויות שמבצעות קריאות לממשקי ה-API האלה, ואוספת את הנתונים הנדרשים כדי להגדיר את ממשקי ה-API ולהשתמש בהם בצורה תקינה. ההרשמה מוסיפה שכבת הגנה נוספת ושקיפות נוספת לגבי מי אוסף את הנתונים, ומפחיתה את הניסיונות לנצל לרעה את ממשקי ה-API כדי לאסוף נתונים לא חיוניים. כדי לשמור על שקיפות שניתן לבדוק, פרטי ההרשמה של החברה גלויים לכולם. חברות צריכות לתכנן לפחות חמישה שבועות כדי להשלים את תהליך ההרשמה. הזמן הזה כולל זמן לטיפול בבעיות בלתי צפויות שעשויות להתרחש בשליחת הבקשה במסוף או בבעיות אחרות שעשויות להתרחש. הזמן הזה לא כולל את זמן ההכנה הפנימי הנוסף שעשוי להידרש לחברות לפני שליחת הטופס.

לפני שמתחילים

לפני שמתחילים את תהליך ההרשמה, צריך ליצור חשבון באמצעות מסוף ארגז החול לפרטיות. מידע נוסף על יצירת חשבון

איך להירשם

כדי להירשם, המפתחים צריכים להשתמש במסוף Privacy Sandbox. עליכם לספק את הפרטים הבאים:

  • מידע על העסק
    • כולל כתובת אימייל ליצירת קשר וקישורים למדיניות הפרטיות שלכם
  • ממשקי ה-API והשירותים שבהם אתם מתכננים להשתמש
    • בשירותים מסוימים נדרשים פרטים נוספים, כמו פרטים על ספק הענן
  • האתר או השם של ערכות ה-SDK שרוצים לרשום
    • כאן תתבצע הקריאה לממשקי ה-API
  • אימותים לגבי השימוש שלכם בממשקי ה-API
    • אם רוצים לרשום אתר, צריך להעלות קובץ אימות לשרת

הרשמה של האתר, Android SDK או אפליקציית Android

במהלך ההרשמה, צריך לציין אתר או SDK (או שניהם) שבהם תשתמשו כדי לבצע קריאה לממשקי ה-API.
אופן ההרשמה תלוי באופן הקריאה לממשקי ה-API של ארגז החול לפרטיות:

  • אם אתם מפתחי אינטרנט והאתר שלכם קורא לממשקי ה-API של ארגז החול לפרטיות ישירות, עליכם לציין את האתר שלכם במהלך ההרשמה.
  • אם אתם מפתחים של Android SDK, עליכם לציין את שם ה-SDK שלכם במהלך ההרשמה. אם ה-SDK שלכם משתמש בממשקי ה-API של Attribution Reporting או של Protected Audience, או בשניהם, עליכם לציין את האתר גם במהלך ההרשמה. אפליקציות שמשתמשות ב-SDK שלכם לא צריכות להירשם בנפרד, אלא אם הן קוראות לממשקי ה-API של ארגז החול לפרטיות ישירות מהקוד שלהן. אם אתם רוצים לבדוק את Attribution Reporting API ב-Android בקנה מידה רחב באופן מיידי, תצטרכו לספק את כל המקורות שבהם אתם משתמשים.
  • אם אתם מפתחי אפליקציות והאפליקציה שלכם קוראת ישירות לממשקי ה-API של Attribution Reporting,‏ Protected Audience או לשניהם, עליכם לספק את האתר שלכם במהלך ההרשמה.
  • אם אתם מפתחי אפליקציות ומעבירים את הפונקציונליות של המודעות שלכם באופן מלא ל-SDK, אתם לא צריכים לעבור את תהליך ההרשמה.

כל אתר או SDK שמפעילים את ממשקי ה-API של ארגז החול לפרטיות צריכים הרשמה ייחודית ואימות בנפרד. אפליקציות שמבצעות קריאה ישירה לממשקי ה-API של ארגז החול לפרטיות יכולות להיכלל בהרשמה אחת. אם אתם מתכננים לבצע קריאות לכמה ממשקי API, עליכם לציין כל אחד מהם במהלך תהליך ההרשמה. הערה: האתר שבו תירשמו הוא אותו אתר שבו נעשה שימוש כדי לאחזר את מפתחות ההצפנה לשימוש ב-Topics ב-Android ואת מפתח החתימה לשימוש ב-Protected Audience ב-Android. מידע נוסף על נקודת הקצה להצפנה ב-Topics ב-Android ומידע נוסף על מפתחות חתימה ל-קהל מוגן.

עדכון פרטי ההרשמה

אחרי שההרשמה תושלם, תוכלו לעדכן את פרטי ההרשמה דרך המסוף. ההרשמה הקיימת שלכם תישאר פעילה בזמן שהשינויים נמצאים בבדיקה.

אם יש שינוי באחד מהפרטים הבאים, תצטרכו להעלות מחדש גרסה חדשה של קובץ האימות:

  • קישורים למדיניות הפרטיות
  • פרטי אתר
  • ממשקי ה-API שנבחרו

סטטוסים של הרשמה

אחרי שליחת הבקשה להרשמה, אלה שלבי ההתקדמות שעשויים להופיע:

  • בדיקה
    • אנחנו בודקים את ההרשמה שלך. לא נדרשת כל פעולה.
  • הגדרת קובץ אימות
    • ההרשמה שלך אושרה. לגבי אתרים, צריך להגדיר קובץ אימות תוך 30 יום.
  • ההרשמה הושלמה
    • רשמתם את קובץ האימות והגדרתם אותו (אם צריך). אין צורך לבצע פעולה נוספת.
  • שגיאות בקובצי אימות
    • קובץ האימות נמצא במקום הלא נכון
      • לא הצלחנו לאתר את קובץ האימות של האתר שלך במהלך חלון הזמנים של 30 הימים.
    • ההרשמה הושעתה
      • קובץ האימות לא הוגדר בצורה נכונה במהלך חלון הזמן הראשוני של 30 יום, או שהוא לא נמצא יותר אחרי הרשמה מוצלחת בעבר. מידע נוסף זמין בכתובת privacy-sandbox-enrollment@google.com.

ציר הזמן להרשמה

אחרי שליחת הבקשה להרשמה, נבדוק אותה ונעבד אותה. בסיום הבדיקה, תוצג לכם אישור במסוף ותוכלו לגשת לקובץ האימות לצורך הגדרה. הקובץ צריך להיות זמין לכולם מהנתיב /.well-known באתר שאליו הוא נרשם, תוך 30 יום ממועד אישור ההרשמה. מפתחי Android יכולים לספק את מזהה ההרשמה למפתחי האפליקציות כדי שהאפליקציות יוכלו להגדיר בקרת גישה מפורטת. מידע נוסף זמין במסמכי העזרה של Android בנושא הגדרת שירותי מודעות ספציפיים ל-API. הערה: כדי לזרז את התהליך, חשוב להזין מידע נכון בטופס המקורי ולהגיב במהירות לפניות מצוות התמיכה הטכנית של Google.

הרשמה לסביבות פיתוח שונות

סביבות ה-staging, הבטא, בקרת האיכות והבדיקה ייכללו באופן אוטומטי אם הן משתמשות באותו אתר שבו משתמשת סביבת הייצור. אפשר לבדוק את הקוד ברמה המקומית בלי להירשם. לצורך בדיקה מקומית, אנחנו מספקים למפתחים אפשרות לשינוי מברירת המחדל מ-Chrome 116 באמצעות דגל Chrome ומפנה CLI:

  • דגל: chrome://flags/#privacy-sandbox-enrollment-overrides
  • CLI: ‏ --privacy-sandbox-enrollment-overrides=https://example.com,https://example.co.uk,...

מגבלות

חשוב לזכור את המגבלות הבאות על הרשמת מפתחים כשמגדירים את מבנה ההרשמה של הארגון:

  • אפשר לקשר אתר אחד רק להרשמה אחת.
  • הרשמה אחת מכילה רק אתר אחד.
  • מגבלות ספציפיות ל-SDK:
    1. הרשמה אחת יכולה להכיל כמה ערכות SDK.
    2. אפשר לקשר כל SDK רק להרשמה אחת.
  • מותר להירשם לתוכנית כמה פעמים, אבל ההרשמות צריכות להיות למוצרים או לתחומי עסק עצמאיים שהוקמו בצורה ברורה וניתנים לאימות באופן ציבורי (כלומר, יש אתר ציבורי תואם שמסביר על המוצר הספציפי). אי אפשר להירשם כמה פעמים לאותו מוצר. האימותים חלים על כל הרשמה בנפרד.
  • כשרוצים להירשם ברמת האתר, הרשמה אחת יכולה לכסות מספר בלתי מוגבל של מקורות, כל עוד הם נמצאים באותו אתר. עם זאת, מגבלת הקצב של דיווח על מקור אחד לכל מקור (Chrome, ‏ Android) מובילה בדרך כלל למגבלה של מקור אחד לכל בעל תוכן דיגיטלי.

מספר הרשמות לישות אחת

ישויות מורכבות יותר שיש להן כמה מוצרים ייחודיים יכולות להגיש בקשה לכמה הרשמות. לדוגמה, אם לחברה שלכם יש פעילות של SSP ופעילות של DSP, יכול להיות שאתם זכאים להירשם לכמה תוכניות.

לכל מוצר צריכים להיות אתרים נפרדים שמהם אפשר לבצע קריאה ל-API. תצטרכו לספק ייצוג ציבורי לכל מוצר שאתם מבקשים להירשם אליו (לדוגמה, קישור לאתר גלוי לכולם שמסביר על המוצר).

אם רוצים להירשם יותר מאתר אחד או יותר מ-SDK אחד, עוברים לכרטיסייה 'הרשמות' בתפריט הניווט של המסוף. אחרי שההרשמה הראשונה תאושר, תוכלו לבחור באפשרות 'בקשת הרשמות' כדי לבקש להוסיף עוד הרשמות. לאחר שליחת הבקשה, היא תעבור בדיקה. בסיום תהליך הבדיקה, נשלח לך אימייל והסטטוס יופיע במסוף.

הפניה אוטומטית עם דוחות שיוך (Attribution)

ניקח לדוגמה תרחיש שבו אתר א' לא רשום אבל אתר ב' רשום. ARA תשלח פינג לכתובות URL של הפניות אוטומטיות גם אם לא תירשמו לתוכנית. כתוצאה מכך, ההפניה האוטומטית מ-siteA.com אל siteB.com תפעל. עם זאת, מקורות וטריגרים ירשמו רק מ-AdTechs רשומים.

הרשמה ל-Aggregation Service

ההרשמה לשירות הצבירה היא חלק מתהליך ההרשמה למסוף. כל הרשמה ל-Aggregation Service חייבת לכלול את מזהה חשבון AWS או את חשבון השירות ב-Google Cloud שבו יתבצע הפריסה של Aggregation Service. טכנאי הפרסום יכולים לקשר כמה אתרים לחשבון אחד, או כמה חשבונות לאתר אחד, לצורכי בדיקה, לצורכי תפעול ולצורך חיסכון בעלויות.

העלאת קובץ האימות

אחרי ההרשמה והשלמת תהליך האימות, תוכלו לגשת לקובץ האימות במסוף. יהיו לכם 30 יום ממועד קבלת קובץ האימות כדי להשלים את מיקום קובץ האימות. במהלך התקופה הזו, עדיין תוכלו להפעיל את ממשקי ה-API למשך 30 יום, אבל לא מומלץ להירשם אלא אם אתם יכולים לפעול בהתאם לשפת האימות במהלך תקופת ההטמעה של 30 הימים.

כדי להשלים את ההרשמה, צריך להפוך את הקובץ לזמין מהנתיב הציבורי .well-known באתר שנרשם. לדוגמה, אם רושמים את https://example.com, צריך למקם את קובץ האימות ב-https://example.com/.well-known/privacy-sandbox-attestations.json. אפשר גם להשתמש בהפניות אוטומטיות של HTTP רק לתת-דומיינים של האתר המורשם כדי להציג את קובץ האימות.

עליכם לפעול בהתאם לאישורים ולשמור את קובץ האימות במיקום שלו למשך כל תקופת ההרשמה. קובצי האימות מאומתים באופן שוטף, וכשל ארוך טווח בשמירה עליהם יוביל לכישלון של קריאות ל-API עד שהקובץ ישוחזר.

חשוב לזכור:

  • ארגז החול לפרטיות יאחזר את קובץ האימות מטכנולוגיות הפרסום שנרשמו. המשימה הזו תאחזר את הקובץ לא יותר מפעם בשעה. קריאות ל-API לא יפעילו בקשת אחזור של קובץ האימות.
  • הכוונה היא שקובץ האימות יהיה זמין לכולם. טכנולוגיית הפרסום אמורה לצפות לקבל כמה בקשות אחזור מגורמים חיצוניים, כולל חוקרים, רשויות רגולטוריות ומשתמשים (מעבר לבקשות האחזור מהתשתית של ארגז החול לפרטיות). טכנולוגיות הפרסום צריכות להציג להם את אותו קובץ שהן מציגות ל-Google.

בנוגע לאימות של Topics ב-Android, מפתחי אפליקציות ו-SDK צריכים לאשר את האימות בטופס ההרשמה במסוף, ולא צריכים להציב קובץ אימות בשרת שלהם, אלא אם הם משתמשים ב-API אחרים של ארגז החול לפרטיות.

עדכון האימות כדי להוסיף ממשקי API

אם תחליטו לכלול ממשקי API נוספים בהרשמה במועד מאוחר יותר, תצטרכו לעדכן את ההרשמה. כחלק מהתהליך הזה, תקבלו קובץ אימות מעודכן שצריך להפוך לזמין מהנתיב .well-known באתר שלכם, לפני שתוכלו לבצע קריאה לממשקי ה-API החדשים.

עדכון לקובץ האימות (attestation) בגרסה האחרונה

כל החברות שנרשמו לתוכנית צריכות לעדכן את קובץ האימות לגרסה האחרונה שקיבלו מ-Google.
תוקף קובצי האימות לא פג אחרי פרק זמן מסוים. יכול להיות שיוצגו מדי פעם קובצי אימות חדשים או מעודכנים, בהתאם להתפתחות של מסגרת האימות (לדוגמה, נוספים אימותים חדשים ספציפיים ל-API).

כשלים באימות האימות (attestation)

הגישה תיחסם רק אם השרת שבודק את קובץ האימות לא יוכל לאמת אותו שוב ושוב. שגיאה אחת או בעיה אחת בהצגה לא יגרמו להשעיית הגישה.

פרטים נוספים זמינים במאמר GitHub on attestations.

נתונים של מפתחי Android

ישויות שרוצות להשתמש בממשקי ה-API של Sandbox הפרטיות ב-Android יכולות לגשת למזהה ההרשמה שלהן דרך ממשק המשתמש של המסוף, שאפשר לכלול בהגדרת AdServices של האפליקציה. כך למפתחי האפליקציות יש שליטה מפורטת על טכנולוגיות הפרסום שאיתן האפליקציה או ערכות ה-SDK שלהם יוצרים אינטראקציה.