Actualizaciones: Consulte las notas de la versión para conocer las funciones nuevas y las actualizaciones de productos.

Se usó la API de Cloud Translation para traducir esta página.

Seguridad de los datos para RCS Business Messaging (RBM)

En este documento, se responden preguntas comunes sobre la seguridad de los datos de RCS Business Messaging (RBM) y los temas asociados.

RBM es una plataforma de mensajería que las marcas usan para enviar contraseñas de un solo uso (OTP) y captar el interés de los clientes en las transacciones, los servicios al cliente, las promociones y mucho más. RBM se proporciona a través de una API de Google y se entrega a los usuarios finales mediante los servidores de Google.

Por lo general, las marcas trabajan con socios (como operadores, agregadores de SMS, plataformas de CRM y compiladores de bots) que se conectan a la API de Google para compilar y mantener los agentes de RBM en nombre de las marcas. Los socios que deseen usar RBM a través de la API o de la Consola para desarrolladores de Business Communications deben aceptar las Condiciones del Servicio y la Política de Uso Aceptable de Google. Debido a que Google actúa como Procesador de datos, los socios también se rigen por el Anexo de Procesamiento de Datos de Google.

Google no celebra acuerdos personalizados ni complementarios con respecto a RBM.

Certificación y cumplimiento

¿Hay terceros que tengan certificación de RBM?

La infraestructura RCS de RBM y Google se audita de manera independiente anualmente para garantizar el cumplimiento de los estándares de seguridad de datos y calidad ampliamente reconocidos. Nuestros servicios cuentan con las certificaciones ISO 27001, SOC 2 y SOC 3. Comunícate con tu administrador de cuentas si deseas obtener copias de los certificados.

¿RBM cumple con la Segunda Directiva de Servicios de Pago de la UE (PSD2)?

Sí, RBM cumple con PSD2, que requiere una autenticación reforzada de clientes (SCA). Debido a que RBM está asociado con el número de teléfono verificado y la tarjeta SIM del usuario final, una contraseña de un solo uso (OTP) que se envía mediante RBM constituye un "elemento de posesión" de cumplimiento de SCA que describe la Autoridad Bancaria Europea.

Procesamiento de datos

¿Qué significa que Google sea un procesador de datos?

Con RBM, Google actúa como procesador de datos y la marca o el socio funciona como controlador de datos. En el Anexo de Procesamiento de Datos (DPA) se explica que Google es un Procesador de Datos y rige las condiciones para el manejo de datos en nombre de marcas y socios.

¿La APD se aplica a todos los usuarios finales que interactúan con un agente de RBM?

Sí, la APD se aplica a todos los usuarios finales y sus datos. Google compiló la plataforma de RBM para cumplir con la DPA y garantizar que todos los usuarios finales reciban el mismo nivel alto de seguridad de los datos.

Almacenamiento y encriptación de mensajes

¿Qué datos se almacenan en el dispositivo del usuario final?

Los metadatos sobre los agentes de RBM y los mensajes que se intercambian se almacenan en el dispositivo del usuario final. Estos mensajes pueden incluir información personal compartida con un agente de RBM.

¿Cómo se relaciona la “región” del agente con el almacenamiento de mensajes?

La región que un socio especifica durante la configuración del agente le indica a RBM dónde se encuentra el agente. Google usa esta información para determinar dónde se deben almacenar los datos del mensaje y optimizar el enrutamiento del tráfico de mensajes al agente.

En la mayoría de los casos, los mensajes se almacenan en centros de datos dentro de la región especificada (consulta la APD para obtener más información sobre el centro de datos y la seguridad de la red). Sin embargo, Google puede redirigir el tráfico de los mensajes si se produce una interrupción regional. Esto significa que los datos de los mensajes no se pueden almacenar de forma exclusiva en la región especificada del agente.

¿Cuál es la arquitectura y el flujo de la mensajería para RBM? ¿Qué elementos están encriptados?

Los mensajes que se envían entre las marcas y los usuarios finales se encriptan entre el dispositivo del usuario final y los servidores de Google, y entre los servidores de Google y el socio de mensajería a través de la API de RCS Business Messaging (RBM) de Google.

Flujo de mensajería de RBM que muestra la encriptación de mensajes entre el agente y RBM, y entre RBM y el usuario final. Cuando los mensajes llegan a la plataforma de RBM, se inspeccionan para detectar software malicioso y spam.

Los mensajes se encriptan en la red de Google con claves a las que solo pueden acceder componentes específicos del servicio. Las claves de encriptación permiten que los sistemas de Google inspeccionen el cumplimiento de las políticas.

Consulta Cómo funciona para obtener una descripción general del flujo de mensajería de extremo a extremo y las funciones de todas las partes involucradas.

¿Los mensajes almacenados están encriptados?

Almacenamiento en servidores de Google

Los mensajes almacenados en los servidores de Google se encriptan en reposo. Google almacena los mensajes encriptados para que se puedan sincronizar entre los dispositivos del usuario final y garantizar que los mensajes anteriores se muestren en los dispositivos nuevos.

El acceso a los mensajes almacenados solo está disponible con el ID de Google del usuario final. Ten en cuenta estas dos excepciones:

Cuando el usuario final denuncia los mensajes como spam, Google puede revisar esa información. Para obtener más información sobre el manejo de datos para los informes de spam, consulta ¿Google lee mensajes entre marcas y usuarios finales?
Los mensajes almacenados se pueden compartir con agencias de orden público externas según las condiciones de las obligaciones de Google de cumplir con la ley aplicable. Consulta el Informe de transparencia de Google para obtener más información.

Almacenamiento en dispositivos móviles

La encriptación de mensajes en el dispositivo del usuario final depende de la encriptación del dispositivo que se configuró para su dispositivo. En la app de Mensajes de Google, Google implementa modelos de seguridad en el dispositivo para proteger los datos de mensajes. Otros proveedores de clientes pueden implementar políticas de seguridad diferentes.

¿Por cuánto tiempo se almacenan los mensajes?

Almacenamiento en servidores de Google

Elementos del agente de RBM (logotipo, nombre, descripción, etc.): Se almacenan de forma persistente en el almacenamiento global de Google.
Mensajes de usuario a agente (mensajes P2A): Se almacenan de forma temporal por un máximo de siete días. Una vez que el agente de RBM recibe y confirma la recepción del mensaje, se borra.
Mensajes de agente a usuario (mensajes A2P): Se mantienen hasta hasta 30 días. Los agentes que no hayan entregado los mensajes pueden revocarlos antes de la entrega. Si los mensajes contienen archivos multimedia, como imágenes o videos, estos se almacenan por 60 días. Para la detección de spam, los mensajes A2P encriptados se pueden retener en los servidores de Google durante 14 días después de la entrega.

Almacenamiento en dispositivos móviles

Los mensajes del dispositivo del usuario final se almacenan allí hasta que el usuario final los borra o cambia el mecanismo de almacenamiento.

¿Una marca puede controlar las claves de encriptación para sus mensajes almacenados en Google?

No, una marca no puede controlar las claves de encriptación. A fin de proteger a los usuarios finales del spam, Google necesita analizar los mensajes para detectar contenido malicioso, como las URL de suplantación de identidad (phishing) y software malicioso. Google usa protecciones automatizadas para analizar los mensajes. Los usuarios no pueden acceder al contenido del mensaje, a menos que el usuario final informe una conversación como spam (para obtener más información, consulta ¿Google lee mensajes entre marcas y usuarios finales?).

¿Qué responsabilidades tienen los socios y las marcas para garantizar la seguridad de los datos?

RBM es una tecnología de transporte público. Mueve los mensajes entre los usuarios finales y los agentes. Debido a que los socios y las marcas externos a Google compilan, operan y acceden a los agentes de RBM, son responsables de que sus agentes cumplan con los requisitos regulatorios, la seguridad de los datos y la privacidad.

Seguridad de la API de RBM

¿Puede Google obtener los tokens de acceso que envía el proveedor de OAuth?

No, Google nunca obtiene los tokens de acceso que envía el proveedor de OAuth durante la autenticación del usuario. OAuth 2.0 usa la clave de prueba para el intercambio de código (PKCE) a fin de proteger el flujo de autenticación.

¿Cómo se encriptan los datos entre un desarrollador de RBM y Google?

Los desarrolladores acceden a la API de RBM mediante HTTPS, el estándar global para transacciones web seguras. La API de RBM es compatible con TLS 1.3 con algoritmos de cifrado AES 256 y SHA384.

Ejecuta el siguiente comando para verificar la cadena de certificados, la versión de TLS y los algoritmos de cifrado compatibles:

openssl s_client -connect rcsbusinessmessaging.googleapis.com:443

Verificación del número de teléfono

Para mantener la seguridad de la app de Mensajes de Google, ¿cómo verifica Google que un número de teléfono aún pertenece a su usuario original?

Verificación inicial del número de teléfono: Google usa una variedad de técnicas para identificar el número de teléfono del usuario final (es decir, su número MSISDN o directorio de suscriptores internacionales de Station Station). Estas técnicas incluyen la integración directa de la API con operadores, SMS originados en dispositivos móviles y la solicitud del usuario final para que ingrese su número de teléfono. Una vez que se identifica el número de teléfono, Google puede enviar un SMS invisible de contraseña única (OTP) para verificarlo.
Mantener la seguridad después de la verificación inicial: Cuando un proveedor tiene una integración directa de la API, puede enviar periódicamente un feed de desactivación de SIM/MSISDN a Google para inhabilitar el RCS y, por lo tanto, inhabilitar el RBM para los números de teléfono que ya no estén activos. Google también puede supervisar los cambios en la propiedad del número de teléfono mediante señales del dispositivo, como la eliminación de la tarjeta SIM y la actividad de la tarjeta, y verificando de manera periódica el número de teléfono.

Privacidad y seguridad

¿Qué informe hace Google sobre los agentes de RBM?

Google tiene informes internos sobre la cantidad bruta de usuarios finales, mensajes y respuestas para cada agente en función de los datos de los últimos 14 días. Google usa estos datos para realizar diagnósticos y mejoras del sistema, y generar informes de facturación para los proveedores. El contenido del mensaje no se almacena con fines de generación de informes. Después de 14 días, Google almacena solo los datos de informes agregados; no hay límite de tiempo para este almacenamiento. Cualquier dato agregado que se comparta de forma externa tiene una vida útil de tiempo de actividad (TTL) de 63 días.

Los informes de facturación y los registros de actividad que reciben los proveedores se almacenan durante 30 días en los servidores de Google. Los socios proveedores pueden optar por descargar estos archivos y guardarlos el tiempo que consideren necesario.

¿Usa Google los datos del usuario final fuera de RBM?

Google solo usa los datos del usuario final para proporcionar y mejorar el servicio de RBM, como se indica en la sección 5.2 de la APD.

Por ejemplo, Google puede hacer lo siguiente con los datos del usuario final:

Detecta y evita el spam y el fraude.
Compartir informes de facturación y registros de actividad no agregados con los socios de la empresa de transporte
Mide y mejora el rendimiento de RBM para los usuarios finales y las marcas.
Como parte de este esfuerzo, Google comparte datos agregados con socios para que puedan mejorar la experiencia de mensajería. Consulta ¿Qué informes hace Google sobre los agentes de RBM? para obtener más detalles.

Sin embargo, Google no hará lo siguiente con los datos del usuario final:

Realice la segmentación de anuncios según el contenido del mensaje.
Compartir el contenido de los mensajes con competidores o terceros, a excepción de las agencias de orden público, según lo exija la ley aplicable

¿Alguna vez Google lee mensajes entre marcas y usuarios finales?

Google no tiene acceso al contenido de ningún mensaje, a menos que el usuario final denuncie una conversación como spam. Cuando el usuario final elige denunciar spam, recibe una notificación de que los empleados y los contratistas de Google pueden revisar su información de spam para ayudar a mejorar la protección de Google contra el spam y el abuso. Los revisores manuales han restringido y auditado el acceso a esta información durante 30 días. Se ocultó el número de teléfono del usuario final para fines de revisión de spam.

Si quieres obtener más información sobre los controles que implementa Google para proteger los datos del usuario final, consulta la Política de Privacidad de Google.

¿Qué información sobre los usuarios finales proporciona Google a la marca?

Para habilitar una conversación de RBM, Google comparte el número de teléfono del usuario final con la marca a fin de identificarlo en la conversación. No se comparte ningún otro tipo de información personal con la marca.

En la Política de Uso Aceptable, ¿la sección Privacidad y seguridad limita la capacidad de una marca para recopilar y usar información sobre sus propios clientes?

Google no pretende restringir la capacidad de una marca para atender a sus clientes. La marca puede almacenar una conversación entre un usuario final y una marca creada mediante la API de RBM, según las condiciones de su propia política de privacidad.

¿Qué significa lo siguiente en las Condiciones del Servicio? "Obtendrá y mantendrá cualquier consentimiento necesario para permitir el procesamiento de datos personales en virtud de estas Condiciones de RBM".

Google espera que todas las marcas que usan RBM cumplan con las regulaciones de seguridad y datos relevantes (como el GDPR) y proporcionen una política de privacidad que aclare cómo usan o comparten los datos del usuario final. Un desarrollador debe proporcionar su política de privacidad a fin de que un agente sea considerado para la revisión del lanzamiento.

Colaboración de Google cuando se audita una marca

Nuestra marca está sujeta a regulaciones y puede ser auditada. ¿Google la cumplirá?

Es responsabilidad de la marca asegurarse de que su empresa cumpla con las regulaciones relevantes. Google solo responderá a las consultas de las autoridades y los organismos reguladores según la ley aplicable.

Respuesta ante incidentes

¿Cómo maneja Google las violaciones de la seguridad de los datos?

Consulte el artículo 7.2: Incidentes de datos en la APD.

Capacidades de red no compatibles

¿Qué capacidades de red no son compatibles con RBM?

Encabezados personalizados para permitir la transferencia de firewalls
Rangos de bloques de enrutamiento entre dominios sin clases (CIDR) de los servicios de Google