Inscrever-se no Sandbox de privacidade

Para acessar as APIs de relevância e medição do Sandbox de privacidade no Chrome e no Android, os desenvolvedores precisam se inscrever no Sandbox de privacidade. Isso inclui a API Attribution Reporting, a API Protected Audience, a Topics, a Agregação particular e o Armazenamento compartilhado. A inscrição do desenvolvedor oferece um mecanismo para verificar as entidades que chamam essas APIs e coletar os dados específicos do desenvolvedor necessários para configurar e usar corretamente as APIs do Sandbox de privacidade. Esse processo de registro adiciona uma camada extra de proteção às restrições estruturais aplicadas em cada API, adicionando transparência sobre quem está coletando dados e mitigando tentativas de uso indevido das APIs para coletar mais dados do que o pretendido. Para oferecer transparência auditável, as informações de inscrição sobre a empresa serão disponibilizadas para o público. As empresas precisam planejar pelo menos cinco semanas para concluir o processo de inscrição a partir do envio do formulário. Isso inclui tempo para resolver problemas com o envio do formulário ou outros problemas que possam surgir. Isso não inclui nenhum tempo de lead adicional que as empresas possam precisar para preparação interna antes de enviar o formulário.

Antes de começar

Antes de iniciar a inscrição, verifique se você tem um número DUNS para sua organização. Esse é um número exclusivo de nove dígitos fornecido pela Dun & Bradstreet que é usado para identificar sua empresa e verificado como parte do processo de verificação de registro do Sandbox de privacidade. Se a sua empresa recebeu vários números D-U-N-S, informe o número mais alto que representa sua entidade corporativa geral. Se sua empresa não for uma pessoa jurídica, você não poderá obter um número D-U-N-S.

Para verificar se a sua empresa já tem um número D-U-N-S atribuído ou para conseguir um novo, faça uma solicitação usando o formulário de inscrição. O Google tem um processo de solicitação rápido e complementar da Dun & Bradstreet disponível para essa finalidade. Depois que você fizer a solicitação, enviaremos um e-mail com um link exclusivo para acessar a página de destino específica do Google e enviar os detalhes da sua empresa. Se você não enviar suas informações, precisará solicitar outro link ao Google.

Receber um número D-U-N-S como pessoa física

Se você for uma pessoa física e não for afiliada a uma organização ou se a organização não conseguir um número D-U-N-S, você poderá fazer a inscrição como pessoa física no formulário. Todas as informações (exceto as de identificação pessoal) coletadas durante a inscrição do desenvolvedor podem ser incluídas nos relatórios do Sandbox de privacidade. Esses relatórios vão ficar disponíveis publicamente.

Como se inscrever

Para fazer a inscrição, os desenvolvedores precisam preencher o formulário de inscrição. As seguintes informações são solicitadas no formulário:

  • Dados de contato da empresa
  • Número D-U-N-S da sua organização
  • APIs que você planeja usar e informações de configuração delas

Os desenvolvedores também precisam concordar com atestados sobre o uso das APIs registradas do Sandbox de privacidade.

Registrar seu site, SDK do Android ou app para Android

Durante a inscrição, você precisa fornecer um site ou SDK (ou ambos) para chamar as APIs.
A forma de registro depende de como as APIs do Sandbox de privacidade são chamadas:

  • Se você é um desenvolvedor da Web e seu site chama as APIs do Sandbox de privacidade diretamente, informe seu site na inscrição.
  • Se você desenvolve SDKs para Android, informe o nome do SDK na inscrição. Se o SDK usa a API Attribution Reporting, a API Protected Audience ou as duas APIs, forneça o registro do seu site também. Os apps que usam seu SDK não precisam ser registrados separadamente, a menos que chamem as APIs do Sandbox de privacidade diretamente do código deles. Se você estiver testando as APIs Attribution Reporting no Android imediatamente e em grande escala, vai ser necessário informar todas as origens usadas.
  • Se você é um desenvolvedor de apps e seu app chama a API Attribution Reporting, a API Protected Audience ou as duas APIs diretamente, informe seu site durante a inscrição.
  • Se você desenvolve apps e delega a funcionalidade de anúncios totalmente a um SDK, não precisa passar pelo processo de inscrição.

Cada site ou SDK que chama as APIs do Sandbox de privacidade exige um registro exclusivo e precisa ser atestado individualmente. Os apps que chamam as APIs do Sandbox de privacidade diretamente podem ser incluídos em um único registro. Se você planeja chamar várias APIs, especifique cada uma durante o processo de registro. Observação: o site em que você se inscrever é o mesmo usado para recuperar as chaves de criptografia para uso da API Topics no Android e a chave de assinatura para usar a API Protected Audience no Android. Mais informações sobre o endpoint de criptografia da Topics on Android e mais informações sobre as chaves de assinatura da Protected Audience.

Atualizar informações de registro

Use o formulário de inscrição para atualizar suas informações. As atualizações vão substituir as respostas anteriores.

Cronograma de registro

Depois do envio do formulário de inscrição, analisaremos e processaremos sua inscrição. Quando a revisão for concluída, você vai receber um e-mail de confirmação com um ID da conta de inscrição de desenvolvedor e um arquivo de atestado exclusivos. O arquivo precisa ser disponibilizado publicamente no caminho do /.well-known do site em que foi registrado até 30 dias após o recebimento do ID da conta e do arquivo de atestado. Os desenvolvedores Android podem fornecer o ID de inscrição aos desenvolvedores de apps para que os apps possam definir um controle de acesso granular. Para mais informações, consulte a documentação Configurar serviços de publicidade específicos de APIs do Android. Observação: as análises de inscrição são concluídas quando o formulário de inscrição é totalmente preenchido. Inserir as informações corretas no envio original e responder a todas as consultas da equipe de suporte técnico do Google em tempo hábil ajuda a acelerar o processo.

Registro em diferentes ambientes de desenvolvimento

Seus ambientes de teste, versão Beta, controle de qualidade e teste serão registrados automaticamente se usarem o mesmo site que o ambiente de produção. É possível testar localmente sem precisar fazer a inscrição. Para testes locais, estamos oferecendo substituições de desenvolvedores do Chrome 116 com uma flag do Chrome e um switch de CLI:

  • Sinalizar: chrome://flags/#privacy-sandbox-enrollment-overrides
  • CLI: --privacy-sandbox-enrollment-overrides=https://example.com,https://example.co.uk,...

Limitações

Observe as seguintes limitações de inscrição de desenvolvedor ao determinar a estrutura de registro da sua organização:

  • Só é possível vincular um site a uma inscrição.
  • Uma inscrição contém apenas um site.
  • Limitações específicas do SDK:
    1. Um registro pode conter vários SDKs.
    2. Cada SDK só pode ser vinculado a um registro.
  • Mais inscrições são permitidas, mas precisam ser para produtos ou linhas de negócios independentes que estejam claramente estabelecidas e verificáveis publicamente. Ou seja, há um site público correspondente que explique o produto específico. Não é possível ter várias inscrições para o mesmo produto. Os atestados se aplicam a cada registro individualmente.
  • Com o registro no escopo do site, um único registro pode abranger origens ilimitadas, desde que sejam no mesmo site. No entanto, a única origem do relatório por limite de taxa de origem (Chrome, Android) significa que geralmente há o limite de uma origem por editor.

Vários registros para uma única entidade

Entidades mais complexas que têm vários produtos exclusivos podem solicitar mais de uma inscrição. Por exemplo, se sua empresa tiver uma linha de negócios SSP e DSP, você poderá se qualificar para várias inscrições.

Cada produto precisa ter sites separados para chamar as APIs. Você vai precisar apresentar representação pública para cada produto que pedir para inscrever (por exemplo, incluir um link para um site público que explique o produto).

Para inscrever mais de um site ou SDK, preencha o formulário de processo de solicitação de vários registros, além de enviar o formulário de inscrição normal para a primeira inscrição solicitada. Após o envio, a inscrição será analisada, e você vai receber um e-mail quando o processo de análise for concluído.

Enviar várias inscrições com o mesmo número DUNS

Se você estiver solicitando várias inscrições usando o formulário do processo de vários registros, poderá usar o mesmo número DUNS em cada uma delas.

Redirecionar com a API Attribution Reporting

Considere um cenário em que o site A não está inscrito, mas o site B está inscrito. A ARA dará um ping nos URLs para redirecionamentos mesmo que eles não estejam registrados. Como resultado, o redirecionamento de siteA.com para siteB.com funcionará. No entanto, as origens e os acionadores só vão ser registrados por adtechs registradas.

Inscrever-se no serviço de agregação

Atualmente, há um processo de registro separado para elementos de servidor e APIs de cliente (para Chrome e Android). Os dois formulários de registro são necessários para usar o serviço de agregação. Queremos simplificar os processos. Por enquanto, o serviço de agregação tem um formulário separado. Você vai definir uma origem (esquema, nome do host) durante a inscrição no serviço de agregação, que precisa fazer parte do mesmo site (esquema, eTLD+1) registrado durante a inscrição do desenvolvedor.

Cada registro do serviço de agregação precisa incluir o ID da conta da AWS em que o serviço será implantado. Cada conta da AWS só pode ser vinculada a um registro do serviço de agregação.

Fazer upload do arquivo de atestado

Depois que você se inscrever e passar no processo de verificação, enviaremos um arquivo com as certificações específicas da API para o endereço de e-mail fornecido. Você vai ter um período de implementação de 30 dias a partir do recebimento do ID da conta e do arquivo de atestado para finalizar o posicionamento do arquivo. Durante esse período, você ainda poderá chamar as APIs por 30 dias, mas é esperado que você siga o idioma de atestado.

Para concluir o registro, é necessário disponibilizar o arquivo no caminho público do .well-known no site inscrito. Por exemplo, se você registrar https://example.com, coloque o arquivo de atestado em https://example.com/.well-known/privacy-sandbox-attestations.json. Não é possível usar redirecionamentos HTTP para disponibilizar o arquivo de atestado. O arquivo de atestado precisa estar localizado no diretório .well-known do seu site. Ele não pode redirecionar para outro local (por exemplo, um subdomínio ou outro site).

Você precisa respeitar os atestados e manter o arquivo de atestado ativo durante o período do registro. Os arquivos de atestado são verificados rotineiramente, e uma falha prolongada no local vai causar falhas nas chamadas de API até que o arquivo seja restaurado.

Observações:

  • O Sandbox de privacidade vai executar um job do lado do servidor para buscar o arquivo de atestado das adtechs registradas e criar uma lista de permissões com base no conteúdo do arquivo. Essa lista será sincronizada com o navegador e o SO. Esse job buscará o arquivo no máximo uma vez por hora.
  • A intenção é que o arquivo de atestado seja disponibilizado publicamente. A adtech precisa esperar algumas solicitações de busca de partes externas, incluindo pesquisadores, reguladores e usuários (fora das solicitações de busca da infraestrutura do Sandbox de privacidade). As adtechs precisam veicular o mesmo arquivo para o Google.
  • As chamadas de API não acionam uma solicitação de busca para o arquivo de atestado.

Para a API Topics sobre atestados do Android, os desenvolvedores de apps e SDKs precisam concordar com o atestado no formulário de inscrição e não precisam colocar um arquivo de atestado no servidor, a menos que estejam usando outras APIs do Sandbox de privacidade.

Atualize o atestado para adicionar mais APIs

Se você decidir incluir mais APIs no seu registro no futuro, precisará atualizar sua inscrição. Como parte desse processo, você receberá um arquivo de atestado atualizado que precisa ser disponibilizado no caminho do .well-known no seu site antes de chamar as novas APIs.

Atualize para a versão mais recente do arquivo de atestado

Todas as empresas inscritas precisam atualizar para a versão mais recente do arquivo de atestado que receberam do Google.
Os arquivos de atestado não expiram após um período definido. Arquivos de atestado novos ou atualizados podem ser fornecidos de tempos em tempos, à medida que o framework de atestado evolui. Por exemplo, novos atestados específicos da API são adicionados e assim por diante.

Erros únicos

O acesso será interrompido apenas se o servidor que está verificando o arquivo de atestado não conseguir validá-lo repetidamente. Um único erro ou problema de veiculação não causa a remoção do acesso.

Para saber mais, consulte a página GitHub sobre atestados.

Dados do desenvolvedor Android

As entidades que pretendem usar as APIs do Sandbox de privacidade no Android recebem um ID da conta de registro, que pode ser incluído na configuração do AdServices de um app. Isso permite que os desenvolvedores de apps tenham um controle detalhado sobre as adtechs com que o app ou os SDKs interagem.