Organízate con las colecciones
Guarda y clasifica el contenido según tus preferencias.
Firestore en el modo de Datastore cifra automáticamente todos los datos antes de que se escriban en el disco.
No es necesario configurar nada ni modificar la forma en que accedes al servicio. Los datos se descifran de forma automática y transparente cuando los lee un usuario autorizado.
Gestión de claves
Con el cifrado del lado del servidor, puedes dejar que Google gestione las claves criptográficas en tu nombre o usar claves de cifrado gestionadas por el cliente (CMEK) para gestionar las claves tú mismo.
De forma predeterminada, Google gestiona las claves criptográficas en tu nombre con los mismos sistemas reforzados de gestión de claves que utilizamos para proteger nuestros propios datos cifrados, incluidos controles estrictos de acceso a las claves y auditorías. Los datos y los metadatos de cada objeto del modo Datastore se cifran, y cada clave de cifrado se cifra a su vez con un conjunto de claves maestras de almacén de claves que rota de forma periódica.
El cifrado del lado del servidor se puede usar junto con el cifrado del lado del cliente.
En la encriptación del lado del cliente, gestionas tus propias claves de encriptado y encriptas los datos antes de escribirlos en tu base de datos. En este caso, tus datos se cifran dos veces: una con tus claves y otra con las claves del lado del servidor.
Para proteger tus datos mientras viajan por Internet durante las operaciones de lectura y escritura, utilizamos el protocolo Seguridad en la capa de transporte (TLS). Para obtener más información sobre las versiones de TLS admitidas, consulta Cifrado en tránsito en Google Cloud.
Siguientes pasos
Para obtener más información sobre el cifrado en reposo de Firestore en modo Datastore y otros Google Cloud productos, consulta Cifrado en reposo en Google Cloud.
[[["Es fácil de entender","easyToUnderstand","thumb-up"],["Me ofreció una solución al problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Es difícil de entender","hardToUnderstand","thumb-down"],["La información o el código de muestra no son correctos","incorrectInformationOrSampleCode","thumb-down"],["Me faltan las muestras o la información que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-08-21 (UTC)."],[[["\u003cp\u003eFirestore in Datastore mode automatically encrypts all data before writing it to disk, without requiring any setup or configuration.\u003c/p\u003e\n"],["\u003cp\u003eServer-side encryption allows for either Google-managed cryptographic keys or customer-managed encryption keys (CMEK), providing flexibility in key management.\u003c/p\u003e\n"],["\u003cp\u003eClient-side encryption can be used in combination with server-side encryption, resulting in double encryption, but it necessitates secure management of user's own encryption keys.\u003c/p\u003e\n"],["\u003cp\u003eData in transit is protected using Transport Layer Security (TLS) during read and write operations.\u003c/p\u003e\n"],["\u003cp\u003eEach Datastore object's data and metadata are encrypted, and each encryption key is further encrypted with a regularly rotated set of keystore master keys.\u003c/p\u003e\n"]]],[],null,["# Server-Side Encryption\n\nFirestore in Datastore mode automatically encrypts all data before it is written to disk.\nThere is no setup or configuration required and no need to modify the way you\naccess the service. The data is automatically and transparently decrypted when\nread by an authorized user.\n\nKey management\n--------------\n\nWith server-side encryption, you can either let Google manage cryptographic keys on your\nbehalf or use customer-managed encryption keys (CMEK) to manage the keys\nyourself.\n\nBy default, Google manages cryptographic keys on your behalf using the same\nhardened key management systems that we use for our own encrypted data,\nincluding strict key access controls and auditing. Each Datastore mode\nobject's data and metadata is [encrypted](/security/encryption/default-encryption) and each encryption key is itself\nencrypted with a regularly rotated set of keystore master keys.\n\nFor information about managing the keys yourself, see\n[CMEK for Datastore](/datastore/docs/cmek).\n\nClient-side encryption\n----------------------\n\nServer-side encryption can be used in combination with client-side encryption.\nIn client-side encryption, you manage your own encryption keys and encrypt data\nbefore writing it to your database. In this case, your data is\nencrypted twice, once with your keys and once with the server-side keys.\n| **Warning:** Firestore in Datastore mode does not know if your data has already been encrypted client-side, nor does Datastore mode have any knowledge of your client-side encryption keys. If you use client-side encryption, you must securely manage your encryption keys.\n\nTo protect your data as it travels over the Internet during read and write\noperations, we use Transport Layer Security (TLS). For more information about\nthe supported TLS versions, see [Encryption in transit in Google Cloud](/docs/security/encryption-in-transit#user_to_google_front_end_encryption).\n\nWhat's next\n-----------\n\nFor more information about encryption at rest for Firestore in Datastore mode and\nother Google Cloud products, see\n[Encryption at Rest in Google Cloud](/security/encryption/default-encryption)."]]
