Criptografia no servidor

O Firestore criptografa automaticamente todos os dados antes que eles sejam gravados no disco. Não é necessário instalação ou configuração. Também não é necessário acessar o serviço de outra maneira. Os dados são descriptografados de maneira automática e transparente quando um usuário autorizado os lê.

Gerenciamento de chaves

Com a criptografia do lado do servidor, você pode deixar o Google gerenciar as chaves criptográficas na sua ou usar chaves de criptografia gerenciadas pelo cliente (CMEK) para gerenciá-las você mesmo.

Por padrão, o Google gerencia as chaves criptográficas por você usando os mesmos sistemas robustos de gerenciamento de chaves que usamos nos nossos dados criptografados. Isso inclui auditoria e controles rígidos de acesso por chave. Cada Os dados e metadados do objeto do Firestore são criptografados, e cada chave de criptografia é criptografada por conta própria com um conjunto de chaves mestras rotacionadas regularmente.

Para informações sobre como gerenciar chaves, consulte CMEK para o Firestore (pré-lançamento).

Criptografia do lado do cliente

É possível combinar a criptografia no servidor com a criptografia no cliente. Na criptografia do lado do cliente, você gerencia suas próprias chaves de criptografia e criptografa dados antes de gravá-los no Firestore. Nesse caso, seus dados são criptografados duas vezes, uma com suas chaves e outra com as chaves do lado do servidor.

Para proteger seus dados no tráfego pela Internet durante as operações de leitura e gravação, usamos o protocolo Transport Layer Security (TLS). Para mais informações sobre quais versões do TLS são compatíveis, consulte Criptografia em trânsito no Google Cloud.

A seguir

Para mais informações sobre criptografia em repouso do Firestore e para outros produtos do Google Cloud, consulte Criptografia em repouso no Google Cloud.