הרשמה לארגז החול לפרטיות

כדי לקבל גישה לממשקי ה-API של הרלוונטיות והמדידה של ארגז החול לפרטיות ב-Chrome וב-Android, המפתחים צריכים להירשם ל-Sandbox. התכונות האלה כוללות דוחות שיוך (Attribution), קהל מוגן, נושאים, צבירה פרטית ואחסון משותף. ההרשמה למפתחים מספקת מנגנון לאימות הישויות שמתקשרות לממשקי ה-API האלה, ולאיסוף הנתונים הספציפיים למפתחים שדרושים לצורך הגדרה נכונה של ממשקי ה-API של ארגז החול לפרטיות ושימוש בהם. תהליך ההרשמה הזה מוסיף עוד שכבת הגנות להגבלות המבניות שנאפות בכל API. החסימה הזו מאפשרת להוסיף שקיפות לגבי איסוף הנתונים ולצמצם את מספר הניסיונות לעשות שימוש לרעה בממשקי ה-API כדי לאסוף יותר נתונים ממה שהתכוונת. כדי לספק שקיפות ביקורתית, פרטי ההרשמה לגבי החברה יהיו גלויים לכולם. חברות צריכות לתכנן חמישה שבועות לפחות להשלמת תהליך ההרשמה, מרגע שליחת טופס ההרשמה. הזמן הזה כולל זמן לטפל בבעיות בשליחת הטופס או בבעיות אחרות שעשויות להתעורר. הוא לא כולל זמני אספקה נוספים שחברות יצטרכו לבצע הכנה פנימית לפני שליחת הטופס.

לפני שמתחילים

לפני שמתחילים את ההרשמה, חשוב לוודא שיש לארגון מספר D-U-N-S. זהו מספר ייחודי בן תשע ספרות שסופק על ידי Dun & Bradstreet ומשמש לזיהוי העסק שלכם, ונבדק כחלק מתהליך אימות ההרשמה לארגז החול לפרטיות. אם לחברה שלכם הונפקו כמה מספרי D-U-N-S, צריך לציין את המספר ברמה הגבוהה ביותר שמייצג את הישות התאגידית הכוללת. אם העסק שלכם הוא לא ישות משפטית, לא תוכלו לקבל מספר D-U-N-S.

כדי לבדוק אם כבר הוקצה לחברה שלכם מספר D-U-N-S או כדי לקבל מספר D-U-N-S חדש, צריך לשלוח בקשה באמצעות טופס ההרשמה. ל-Google יש תהליך בקשה מזורז ומקיף של Dun & Bradstreet שזמין למטרה הזו. לאחר שתשלח את הבקשה, נשלח לך אימייל עם קישור ייחודי וחד-פעמי לביקור בדף הנחיתה הספציפי ל-Google לצורך שליחת פרטי העסק שלך. אם לא השלמת את שליחת הפרטים, יהיה עליך לבקש קישור נוסף מ-Google.

קבלת מספר D-U-N-S בתור אדם פרטי

אנשים פרטיים שלא משויכים לארגון, או לארגון שלהם אין אפשרות לקבל מספר D-U-N-S, יכולים להירשם כאנשים פרטיים בטופס ההרשמה. כל המידע (למעט פרטים אישיים מזהים) שנאסף במהלך ההרשמה של המפתח עשוי להיכלל בדוחות של ארגז החול לפרטיות. הדוחות האלה יהיו גלויים לכולם.

איך נרשמים

כדי להירשם, המפתחים צריכים למלא את טופס ההרשמה. הטופס מבקש את הפרטים הבאים:

  • פרטים ליצירת קשר עם העסק
  • מספר D-U-N-S של הארגון
  • ממשקי ה-API שבהם אתם מתכוונים להשתמש ומידע על הגדרת ה-API

בנוסף, המפתחים צריכים להסכים להצהרות לגבי השימוש שלהם בממשקי ה-API הרשומים של ארגז החול לפרטיות.

רישום האתר, ה-SDK ל-Android או האפליקציה ל-Android

במהלך ההרשמה תצטרכו לספק אתר או SDK (או את שניהם) שתשתמשו בהם כדי לקרוא לממשקי ה-API.
אופן ההרשמה תלוי בשם של ממשקי ה-API של ארגז החול לפרטיות:

  • אם אתם מפתחי אתרים והאתר שלכם מבצע קריאה ישירה לממשקי ה-API של ארגז החול לפרטיות, עליכם לציין את האתר בתהליך ההרשמה.
  • אם את/ה מפתח/ת SDK ל-Android, עליך לציין את שם ה-SDK שלך בהרשמה. אם ערכת ה-SDK שלך משתמשת ב-Attribution Reporting, ב-Protected Audience או בשני ממשקי ה-API, עליך לציין גם את האתר שלך ברישום. אפליקציות שמשתמשות ב-SDK לא צריכות להירשם בנפרד, אלא אם הן מבצעות קריאה לממשקי API של ארגז החול לפרטיות ישירות מהקוד שלהן. אם בודקים באופן מיידי את ממשקי ה-API של Attribution Reporting ב-Android ב-Android, צריך לציין את כל המקורות שבהם אתם משתמשים.
  • אם אתם מפתחי אפליקציות והאפליקציה שלכם מפעילה את Attribution Reporting, Protected Audience או שני ממשקי ה-API ישירות, עליכם לספק את האתר במהלך ההרשמה.
  • אם אתם מפתחי אפליקציות ואתם מעניקים גישה מלאה לפונקציונליות המודעות שלכם ל-SDK, לא תצטרכו להשלים את תהליך ההרשמה.

לכל אתר או SDK שמבצעים קריאה לממשקי ה-API של ארגז החול לפרטיות נדרשת הרשמה ייחודית, והם צריכים לבצע אימות בנפרד. יכול להיות שאפליקציות שקוראות ישירות לממשקי ה-API של ארגז החול לפרטיות ייכללו בהרשמה יחידה. אם אתם מתכננים לקרוא למספר ממשקי API, עליכם לציין כל אחד מהם בתהליך ההרשמה. הערה: האתר שאליו נרשמים הוא אותו האתר שישמש לאחזור מפתחות ההצפנה לשימוש ב-Topics ב-Android ומפתח החתימה לשימוש ב-Protected Audience ב-Android. מידע נוסף על נקודת הקצה להצפנה עבור Topics on Android ומידע נוסף על חתימת מפתחות ב-Protected Audience

עדכון פרטי ההרשמה

אפשר לעדכן את פרטי ההרשמה באמצעות טופס ההרשמה. העדכונים יחליפו את התשובות הקודמות.

ציר הזמן להרשמה

אחרי שתשלחו את טופס ההרשמה, נבדוק את הבקשה ונעבד אותה. אחרי שהבדיקה תושלם, תישלח לך הודעת אישור באימייל עם מספר ייחודי של חשבון הרשמה למפתחים וקובץ אימות. הקובץ צריך להיות גלוי לכולם דרך הנתיב /.well-known באתר שעבורו הוא נרשם, תוך 30 ימים מקבלת מספר החשבון וקובץ האימות. מפתחי Android יכולים לספק את מזהה הרישום למפתחי אפליקציות כדי שאפליקציות יוכלו להגדיר בקרת גישה מפורטת. למידע נוסף, ניתן לעיין במסמכי התיעוד של Android בנושא הגדרת שירותי מודעות ספציפיים ל-API. הערה: תהליך הבדיקה של ההרשמה יושלם במלואו טופס ההרשמה שמולא במלואו. כדי לזרז את התהליך, חשוב להזין את המידע הנכון לגבי הטופס המקורי ולהגיב לפניות מצוות התמיכה הטכנית של Google במהירות.

הרשמה לסביבות פיתוח שונות

סביבות ה-Staging, הבטא, בקרת האיכות והבדיקה יירשמו באופן אוטומטי אם הן משתמשות באותו אתר שבו מתארחת סביבת הייצור. אפשר לבצע בדיקה באופן מקומי בלי להירשם. לצורך בדיקה מקומית, אנחנו מספקים שינויים מברירת המחדל למפתחים מ-Chrome 116 עם דגל Chrome ומתג CLI של Chrome:

  • דגל: chrome://flags/#privacy-sandbox-enrollment-overrides
  • CLI: --privacy-sandbox-enrollment-overrides=https://example.com,https://example.co.uk,...

הגבלות

חשוב לשים לב למגבלות הבאות לרישום מפתחים בעת קביעת מבנה ההרשמה של הארגון:

  • אפשר לקשר אתר אחד להרשמה אחת בלבד.
  • הרשמה אחת מכילה אתר אחד בלבד.
  • מגבלות ספציפיות ל-SDK:
    1. הרשמה אחת יכולה להכיל כמה ערכות SDK.
    2. ניתן לקשר ערכת SDK מסוימת להרשמה אחת בלבד.
  • מותר לבצע הרשמות נוספות, אבל הן צריכות להתבצע עבור מוצרים עצמאיים או ענפים כלכליים מוגדרים ומאומתים באופן ציבורי (כלומר, יש אתר ציבורי תואם שמסביר את המוצר הספציפי). אי אפשר להירשם לאותו מוצר יותר מפעם אחת. האימותים חלים על כל הרשמה בנפרד.
  • באמצעות הרשמה ברמת האתר, רישום יחיד יכול לכלול מספר בלתי מוגבל של מקורות, כל עוד הם מאותו האתר. עם זאת, המשמעות של ההגבלה על מקור הדיווח לכל מקור (Chrome, Android) היא שבדרך כלל החשבון שלכם מוגבל למקור אחד לכל בעל תוכן דיגיטלי.

הרשמות מרובות לישות אחת

ישויות מורכבות יותר שיש להן כמה מוצרים ייחודיים יכולות לבקש יותר מהרשמה אחת. לדוגמה, אם לחברה שלך יש SSP ותחום פעילות עסקית מסוג DSP, יכול להיות שתהיה זכאי להרשמות מרובות.

לכל מוצר צריך להיות אתרים נפרדים שניתן לקרוא מהם לממשקי ה-API. תידרשו לספק ייצוג ציבורי לכל מוצר שאתם מבקשים לרשום (לדוגמה, קישור לאתר ציבורי שמספק הסברים על המוצר).

אם רוצים לרשום יותר מאתר אחד או יותר מ-SDK אחד, צריך למלא את טופס הבקשה להרשמה מרובת משתתפים בנוסף לשליחת טופס ההרשמה הרגיל עבור ההרשמה הראשונה שמבקשת. לאחר השליחה, הבקשה תיבדק ותקבלו אימייל כשתהליך הבדיקה יסתיים.

שליחה של מספר הרשמות עם אותו מספר D-U-N-S

אם אתם מגישים בקשה למספר הרשמות באמצעות טופס הבקשה לתהליך הרשמה מרובה, אפשר להשתמש באותו מספר D-U-N-S בכל הרשמה.

הפניה לכתובת URL אחרת באמצעות דיווח שיוך

נבחן תרחיש שבו אתר א' לא רשום אבל אתר ב' נרשם. ARA יבצע ping לכתובות URL להפניה אוטומטית, גם אם הן לא רשומות. כתוצאה מכך, ההפניה האוטומטית מ-siteA.com אל siteB.com תעבוד. עם זאת, מקורות וטריגרים יירשמו רק מטכנולוגיות פרסום רשומות.

הרשמה לשירות צבירה

יש כרגע תהליך רישום נפרד לרכיבי שרת ולממשקי API של הלקוח (ל-Chrome ול-Android). כדי להשתמש בשירות הצבירה, חובה להשתמש בשני טופסי ההרשמה. אנחנו רוצים לייעל את התהליכים. בשלב זה, לשירות הצבירה יש טופס נפרד. במהלך ההרשמה לשירות הצבירה יתבצע רישום של מקור (סכימה, שם מארח), והוא צריך להשתייך לאותו אתר (סכימה, eTLD+1) שרשום באמצעות הרישום למפתחים.

כל הרשמה לשירות צבירה צריכה לכלול את המזהה של חשבון AWS, שבו יופץ שירות הצבירה. אפשר לקשר כל חשבון AWS רק להרשמה אחת לשירות צבירה.

העלאת קובץ האימות (attestation)

אחרי שתירשמו ותעברו את תהליך האימות, נשלח לכתובת האימייל שסיפקתם קובץ שמכיל את האימותים הספציפיים ל-API. אחרי שמקבלים את מספר החשבון ואת קובץ האימות, צריך להמתין 30 יום להשלמת המיקום של קובץ האימות. במהלך התקופה הזו, עדיין תהיה לך אפשרות להפעיל את ממשקי ה-API במשך 30 יום, אבל במהלך התקופה הזו צפוי לפעול בהתאם לשפת האימות.

כדי להשלים את ההרשמה, צריך להגדיר את הקובץ כזמין מהנתיב הציבורי של .well-known באתר שנרשם. לדוגמה, אם רושמים את https://example.com, צריך למקם את קובץ האימות בכתובת https://example.com/.well-known/privacy-sandbox-attestations.json. אי אפשר להשתמש בהפניות אוטומטיות מסוג HTTP כדי להציג את קובץ האימות. קובץ האימות צריך להיות ממוקם בספרייה .well-known באתר. היא לא יכולה להפנות אוטומטית למיקום אחר (לדוגמה, לתת-דומיין או לאתר אחר).

צריך לפעול בהתאם לאימותים ולשמור את קובץ האימות במקום במהלך ההרשמה. קובצי אימות מאומתים באופן סדיר, ואם הם לא נשארים בתוקף לאורך זמן, קריאות ל-API ייכשלו עד שהקובץ ישוחזר.

הערה:

  • 'ארגז החול לפרטיות' יפעיל משימה בצד השרת כדי לאחזר את קובץ האימות מטכנולוגיות פרסום רשומות, ולבנות רשימת היתרים על סמך תוכן הקובץ. לאחר מכן, רשימת ההיתרים הזו תסונכרן עם הדפדפן ועם מערכת ההפעלה. הקובץ יאוחזר פעם בשעה לכל היותר במסגרת המשימה הזו.
  • הכוונה היא שקובץ האימות יהיה זמין לציבור. טכנולוגיות הפרסום צריכות לצפות לחלק מבקשות האחזור מגורמים חיצוניים, כולל חוקרים, רגולטורים ומשתמשים (מלבד בקשות האחזור מארגז החול לפרטיות בתשתית של ארגז החול לפרטיות). טכנולוגיות הפרסום חייבות להגיש להן את אותו הקובץ שהן מציגות ל-Google.
  • כל קריאה ל-API לא מפעילה בקשת אחזור לקובץ האימות.

כדי להשתמש ב-Topics API באימות (attestation) ל-Android, מפתחי האפליקציות וה-SDK צריכים לאשר את האימות בטופס ההרשמה. הם גם לא צריכים להציב קובץ אימות בשרת שלהם, אלא אם הם משתמשים בממשקי API אחרים של ארגז החול לפרטיות.

יש לעדכן את האימות (attestation) כדי להוסיף עוד ממשקי API

אם בשלב מאוחר יותר תחליטו לכלול עוד ממשקי API בהרשמה, תצטרכו לעדכן את ההרשמה. כחלק מהתהליך הזה, נשלח לך קובץ אימות מעודכן שצריך להיות זמין מהנתיב .well-known באתר שלך, לפני שתהיה אפשרות לקרוא לממשקי ה-API החדשים.

עדכון לגרסה האחרונה של קובץ האימות

כל החברות הרשומות צריכות לעדכן לגרסה האחרונה של קובץ האימות שקיבלו מ-Google.
התוקף של קובצי האימות לא פג אחרי פרק זמן מוגדר. מדי פעם אנחנו עשויים לספק קובצי אימות חדשים או מעודכנים ככל שמסגרת האימות מתפתחת (לדוגמה, מוסיפים אימותים חדשים שהם ספציפיים ל-API וכו').

שגיאות חד-פעמיות

הגישה תיקטע רק אם השרת שבודק את קובץ האימות לא מצליח לאמת אותו שוב ושוב. שגיאה אחת או בעיה אחת בהצגה לא יגרמו להסרת הגישה.

פרטים נוספים זמינים במאמר GitHub על אימותים.

נתונים של מפתח Android

לישויות שמתכוונות להשתמש בממשקי ה-API של ארגז החול לפרטיות ב-Android, נשלח מספר חשבון הרשמה. המספר הזה יכול להיכלל בהגדרה של AdServices של האפליקציה. כך מפתחי אפליקציות יכולים לקבל שליטה מדויקת על טכנולוגיות הפרסום שהאפליקציה או ערכות ה-SDK שלהם פועלות איתן.