Inscrever-se no Sandbox de privacidade

Para acessar as APIs de relevância e medição do Sandbox de privacidade no Chrome e no Android, os desenvolvedores precisam se inscrever no Sandbox de privacidade. Isso inclui as APIs Attribution Reporting, Protected Audience, Topics, agregação particular e armazenamento compartilhado. A inscrição de desenvolvedores oferece um mecanismo para verificar as entidades que chamam essas APIs e coletar dados específicos do desenvolvedor necessários para configurar e usar corretamente as APIs do Sandbox de privacidade. Esse processo de inscrição adiciona uma camada extra de proteção às restrições estruturais aplicadas em cada API, aumentando a transparência sobre quem está coletando dados e mitigando tentativas de uso indevido das APIs para coletar mais dados do que o pretendido. Para garantir a transparência que pode ser auditada, as informações de registro da empresa serão divulgadas. As empresas precisam planejar pelo menos cinco semanas para concluir o processo de inscrição, a partir do envio do formulário de inscrição. Isso inclui tempo para resolver problemas com o envio do formulário ou outros problemas que possam surgir. Isso não inclui o tempo de espera adicional que as empresas podem precisar para a preparação interna antes de enviar o formulário.

Antes de começar

Antes de iniciar o registro, verifique se você tem um número D-U-N-S para sua organização. É um número exclusivo de nove dígitos fornecido pela Dun & Bradstreet que é usado para identificar sua empresa e é verificado como parte do processo de verificação de inscrição na Sandbox de privacidade. Se a sua empresa recebeu vários números D-U-N-S, informe o de nível mais alto que representa sua entidade corporativa. Se a sua empresa não for uma entidade legal, não será possível receber um número D-U-N-S.

Para verificar se sua empresa já tem um número D-U-N-S atribuído ou para receber um novo, faça uma solicitação usando o formulário de inscrição. O Google tem um processo de solicitação acelerado e sem custo financeiro da Dun & Bradstreet disponível para esse fim. Depois de fazer a solicitação, vamos enviar um e-mail com um link exclusivo para acessar a página de destino específica do Google e enviar os detalhes da sua empresa. Se você não concluir o envio das informações, vai precisar solicitar outra vinculação ao Google.

Receber um número D-U-N-S como pessoa física

Se você for uma pessoa física e não estiver afiliada a uma organização ou se sua organização não conseguir um número D-U-N-S, faça a inscrição como pessoa física no formulário de inscrição. Todas as informações (exceto informações de identificação pessoal) coletadas durante o registro do desenvolvedor podem ser incluídas nos relatórios do Sandbox de privacidade. Esses relatórios vão estar disponíveis publicamente.

Como se inscrever

Para se inscrever, os desenvolvedores precisam preencher o formulário de inscrição. O formulário solicita as seguintes informações:

  • Dados de contato da empresa
  • Número D-U-N-S da organização
  • APIs que você planeja usar e informações de configuração

Os desenvolvedores também precisam concordar com os atestados sobre o uso das APIs do Sandbox de privacidade registradas.

Inscreva seu site, SDK ou app para Android

Durante o registro, é necessário fornecer um site ou SDK (ou ambos) que você vai usar para chamar as APIs.
A forma de inscrição depende de como as APIs do Sandbox de privacidade são chamadas:

  • Se você é um desenvolvedor da Web e seu site chama as APIs do Sandbox de privacidade diretamente, informe seu site na inscrição.
  • Se você é um desenvolvedor de SDK do Android, informe o nome do SDK na inscrição. Se o SDK usar as APIs Attribution Reporting, Protected Audience ou as duas, informe também o site na inscrição. Os apps que usam seu SDK não precisam se inscrever separadamente, a menos que chamem as APIs do Sandbox de privacidade diretamente do próprio código. Se você estiver testando as APIs de relatórios de atribuição no Android em grande escala imediatamente, vai precisar fornecer todas as origens que usa.
  • Se você é um desenvolvedor de apps e seu app chama as APIs Attribution Reporting, Protected Audience ou ambas diretamente, informe seu site durante o registro.
  • Se você é um desenvolvedor de apps e delega a funcionalidade de anúncios totalmente a um SDK, não precisa passar pelo processo de inscrição.

Cada site ou SDK que chama as APIs do Sandbox de privacidade exige uma inscrição exclusiva e precisa ser atestado individualmente. Os apps que chamam as APIs do Sandbox de privacidade diretamente podem ser incluídos em uma única inscrição. Se você planeja chamar várias APIs, especifique cada uma delas durante o processo de inscrição. Observação: o site em que você se inscreveu é o mesmo que será usado para recuperar as chaves de criptografia para uso do Topics no Android e a chave de assinatura para uso da API Protected Audience no Android. Mais informações sobre o endpoint de criptografia para Topics no Android e mais informações sobre chaves de assinatura para Público protegido.

Atualizar informações de inscrição

Você pode atualizar suas informações de inscrição usando o formulário de inscrição. As atualizações vão substituir as respostas anteriores.

Cronograma de inscrição

Depois que o formulário de inscrição for enviado, vamos analisar e processar sua inscrição. Depois que a análise for concluída, você vai receber um e-mail de confirmação com um ID exclusivo da conta de inscrição de desenvolvedor e um arquivo de atestado. O arquivo precisa estar disponível publicamente no caminho /.well-known do site em que foi registrado em até 30 dias após o recebimento do ID da conta e do arquivo de atestado. Os desenvolvedores do Android podem fornecer o ID de inscrição aos desenvolvedores de apps para que eles possam definir o controle de acesso granular. Para mais informações, consulte a documentação Configurar serviços de anúncios específicos da API do Android. Observação: as análises de inscrição são concluídas quando o formulário de inscrição é preenchido corretamente. Inserir as informações corretas no envio original e responder às perguntas da equipe de suporte técnico do Google em tempo hábil ajuda a acelerar o processo.

Inscrição em diferentes ambientes de desenvolvimento

Seus ambientes de preparo, Beta, QA e de teste serão inscritos automaticamente se usarem o mesmo site do ambiente de produção. É possível testar localmente sem fazer a inscrição. Para testes locais, estamos fornecendo substituições de desenvolvedor do Chrome 116 com uma flag do Chrome e um switch da CLI:

  • Flag: chrome://flags/#privacy-sandbox-enrollment-overrides
  • CLI: --privacy-sandbox-enrollment-overrides=https://example.com,https://example.co.uk,...

Limitações

Observe as seguintes limitações de registro de desenvolvedores ao determinar a estrutura de registro da sua organização:

  • Um site só pode ser vinculado a uma inscrição.
  • Uma inscrição contém apenas um site.
  • Limitações específicas do SDK:
    1. Uma inscrição pode conter vários SDKs.
    2. Um SDK só pode ser vinculado a uma inscrição.
  • Outras inscrições são permitidas, mas precisam ser para produtos ou linhas de negócios independentes que sejam claramente estabelecidos e verificáveis publicamente (ou seja, que tenham um site público correspondente que explique o produto específico). Não é possível ter várias inscrições para o mesmo produto. As declarações se aplicam a cada inscrição individualmente.
  • Com a inscrição no escopo do site, uma única inscrição pode abranger origens ilimitadas, desde que estejam no mesmo site. No entanto, o limite de taxa de uma origem de relatório por origem (Chrome, Android) significa que você geralmente é limitado a uma origem por editor.

Várias inscrições para uma única entidade

Entidades mais complexas que têm vários produtos exclusivos podem se inscrever em mais de uma inscrição. Por exemplo, se a sua empresa tiver uma linha de negócios de SSP e DSP, você poderá se qualificar para vários registros.

Cada produto precisa ter sites separados para chamar as APIs. Você vai precisar fornecer uma representação pública para cada produto que você está solicitando para se inscrever (por exemplo, um link para um site público que explique o produto).

Se você quiser inscrever mais de um site ou SDK, preencha o formulário de processo de solicitação de inscrição múltipla, além de enviar o formulário de inscrição normal para a primeira inscrição que você está solicitando. Depois de enviar, a inscrição será analisada, e você vai receber um e-mail quando o processo de análise for concluído.

Envie várias inscrições com o mesmo número D-U-N-S

Se você estiver solicitando várias inscrições usando o formulário de processo de solicitação de inscrição múltipla, poderá usar o mesmo número D-U-N-S em cada inscrição.

Redirecionamento com os Relatórios de atribuição

Considere um cenário em que o site A não está registrado, mas o site B está. O ARA vai fazer ping em URLs para redirecionamentos, mesmo que não esteja registrado. Como resultado, o redirecionamento de siteA.com para siteB.com vai funcionar. No entanto, as fontes e os acionadores só serão registrados pelas adtechs registradas.

Inscrever-se no serviço de agregação

No momento, há um processo de registro separado para elementos do servidor e as APIs do cliente (para Chrome e Android). Os dois formulários de inscrição são necessários para usar o serviço de agregação. Estamos trabalhando para simplificar os processos. Por enquanto, o serviço de agregação tem um formulário separado. Durante a inscrição no serviço de agregação, você vai se inscrever com um site que precisa ser o mesmo (esquema, eTLD+1) registrado na inscrição do desenvolvedor.

Cada inscrição do serviço de agregação precisa incluir o ID da conta da AWS ou a conta de serviço do GCP em que o serviço de agregação será implantado. As adtechs têm a flexibilidade de vincular vários sites a uma conta ou várias contas a um site para vários testes, necessidades operacionais e eficiência de custos.

Fazer upload do arquivo de atestado

Depois que você se inscrever e passar pelo processo de verificação, vamos enviar um arquivo com os atestados específicos da API para o endereço de e-mail fornecido. Você terá 30 dias para implementar o arquivo de atestado e o ID da conta a partir do recebimento. Durante esse período, você ainda poderá chamar as APIs por 30 dias. No entanto, é necessário aderir ao idioma de atestado durante esse período.

Para concluir a inscrição, disponibilize o arquivo no caminho público .well-known do site que foi registrado. Por exemplo, se você registrar https://example.com, coloque o arquivo de atestado em https://example.com/.well-known/privacy-sandbox-attestations.json. Não é possível usar redirecionamentos HTTP para enviar o arquivo de atestado. O arquivo de atestado precisa estar localizado no diretório .well-known do site. Ele não pode redirecionar para outro local (por exemplo, um subdomínio ou outro site).

Você precisa obedecer aos atestados e manter o arquivo de atestado no lugar durante a inscrição. Os arquivos de atestado são verificados rotineiramente, e a falha prolongada em mantê-los no lugar fará com que as chamadas de API falhem até que o arquivo seja restaurado.

Observações:

  • O Sandbox de privacidade vai executar um job do lado do servidor para buscar o arquivo de atestado das adtechs registradas e criar uma lista de permissões com base no conteúdo do arquivo. Essa lista de permissões será sincronizada com o navegador e o SO. Esse job vai buscar o arquivo no máximo uma vez por hora.
  • A intenção é que o arquivo de atestado esteja disponível publicamente. A adtech precisa esperar algumas solicitações de busca de partes externas, incluindo pesquisadores, reguladores e usuários (fora das solicitações de busca da infra do sandbox de privacidade). As adtechs precisam veicular o mesmo arquivo para os anunciantes que veiculam para o Google.
  • Cada chamada de API não aciona uma solicitação de busca para o arquivo de atestado.

Para atestados do Topics no Android, os desenvolvedores de apps e SDKs precisam concordar com o atestado no formulário de inscrição e não precisam colocar um arquivo de atestado no servidor, a menos que estejam usando outras APIs do Sandbox de privacidade.

Atualizar o atestado para adicionar mais APIs

Se você decidir incluir mais APIs na sua inscrição em uma data posterior, será necessário atualizar a inscrição. Como parte desse processo, você vai receber um arquivo de atestado atualizado que precisa ser disponibilizado no caminho .well-known do seu site antes de chamar as novas APIs.

Atualizar para a versão mais recente do arquivo de atestado

Todas as empresas inscritas precisam atualizar para a versão mais recente do arquivo de atestado que receberam do Google.
Os arquivos de atestado não expiram após um período definido. À medida que o framework de atestados evolui, novos arquivos ou arquivos atualizados podem ser fornecidos periodicamente. Por exemplo, novos atestados específicos da API são adicionados e assim por diante.

Erros únicos

O acesso só seria interrompido se o servidor que verifica o arquivo de atestado não conseguisse validá-lo repetidamente. Um único erro ou problema de veiculação não causa a remoção do acesso.

Para mais detalhes, consulte o GitHub sobre atestados.

Dados do desenvolvedor Android

As entidades que pretendem usar as APIs do Sandbox de privacidade no Android recebem um ID da conta de inscrição, que pode ser incluído na configuração do AdServices de um app. Isso permite que os desenvolvedores de apps tenham controle refinado sobre as adtechs com que os apps ou SDKs interagem.