Güncellemeler: Yeni özellikler ve ürün güncellemeleri için sürüm notlarına bakın.

Bu sayfa, Cloud Translation API ile çevrilmiştir.

RCS Business Messaging (RBM) için veri güvenliği

Bu dokümanda, RCS Business Messaging (RBM) veri güvenliği ve ilişkili konularla ilgili sık sorulan sorular yanıtlanmaktadır.

RBM, markaların tek kullanımlık şifreler (OTP'ler) göndermek ve işlemler, müşteri hizmetleri, promosyonlar ve daha fazlası hakkında müşterilerle iletişim kurmak için kullandığı bir mesajlaşma platformudur. RBM, Google API aracılığıyla sağlanır ve son kullanıcılara Google sunucuları üzerinden sunulur.

Genellikle markalar, RBM temsilcilerini marka adına derlemek ve sürdürmek için Google API'ye bağlanan iş ortaklarıyla (ör. operatörler, SMS toplayıcılar, CRM platformları ve bot oluşturucular) birlikte çalışır. RBM'yi API veya Business Communications Developer Console üzerinden kullanmak isteyen iş ortakları Google'ın Hizmet Şartları ve Kabul Edilebilir Kullanım Politikası'nı kabul etmelidir. Google bir Veri İşleyici olarak hareket ettiğinden, iş ortakları da Google'ın Veri İşleme Eki'ne tabidir.

Google, RBM ile ilgili özel veya tamamlayıcı sözleşmeler yapmaz.

Sertifikasyon ve uygunluk

RBM herhangi bir üçüncü tarafça sertifikalı mı?

RBM ve Google'ın RCS altyapısı, yaygın olarak bilinen kalite ve veri güvenliği standartlarına uygunluk açısından her yıl bağımsız olarak denetlenir. Hizmetlerimiz ISO 27001, SOC 2 ve SOC 3 onaylarına sahiptir. Sertifikaların kopyalarını almak istiyorsanız hesap yöneticinizle iletişime geçin.

RBM, AB Ödeme Hizmetleri Yönetmeliği 2 (PSD2) ile uyumlu mu?

Evet. RBM, Güçlü Müşteri Kimlik Doğrulaması (SCA) gerektiren PSD2'ye uygundur. RBM, son kullanıcının doğrulanmış telefon numarası ve SIM kartıyla ilişkilendirildiğinden, RBM kullanılarak gönderilen Tek Kullanımlık Şifre (OTP), Avrupa Bankacılık Kurumu tarafından açıklandığı gibi uyumlu bir SCA "sahipliği" oluşturur.

Veri işleme

Google'ın Veri İşleyici olması ne anlama gelir?

RBM ile Google bir Veri İşleyicisi, marka veya iş ortağı ise Veri Denetleyici olarak görev alır. Veri İşleme Eki, Google'ın bir Veri İşleyici olduğunu açıklar ve markalar ile iş ortakları adına veri işleme şartlarını düzenler.

DPA, RBM temsilcisi ile etkileşimde bulunan tüm son kullanıcılar için geçerli midir?

Evet. DPA, tüm son kullanıcılar ve verileri için geçerlidir. Google, RBM platformunu DPA'ya uyum sağlayacak ve tüm son kullanıcıların aynı düzeyde yüksek veri güvenliğine sahip olmasını sağlayacak şekilde geliştirdi.

İleti depolama ve şifreleme

Son kullanıcının cihazında hangi veriler saklanır?

RBM temsilcileri ve onlarla gönderilen mesajlar hakkındaki meta veriler son kullanıcının cihazında depolanır. Bu mesajlar, bir RBM temsilcisi ile paylaşılan kişisel bilgileri içerebilir.

Temsilcinin "bölgesi" ile mesaj depolama alanı arasındaki ilişki nedir?

Bir iş ortağının temsilci kurulumu sırasında belirttiği bölge, RBM'ye temsilcinin nerede bulunduğunu bildirir. Google, bu bilgileri kullanarak mesaj verilerinin nerede depolanacağını belirler ve mesaj trafiğinin temsilciye yönlendirilmesini optimize eder.

Çoğunlukla, mesajlar belirtilen bölge içindeki veri merkezlerinde depolanır (veri merkezi ve ağ güvenliği hakkında daha fazla bilgi için DPA'ya bakın). Bununla birlikte, bölgesel bir kesinti oluşursa Google mesaj trafiğini yeniden yönlendirebilir. Bu, mesaj verilerinin yalnızca temsilcinin belirtilen bölgesinde depolanamayacağı anlamına gelir.

RBM'nin mesaj mimarisi ve akışı nasıldır? Hangi öğeler şifrelenir?

Markalar ve son kullanıcılar arasında gönderilen mesajlar, Google'ın RCS Business Messaging (RBM) API'si aracılığıyla son kullanıcının cihazı ile Google'ın sunucuları arasında ve Google'ın sunucuları ile mesajlaşma iş ortağı arasında şifrelenir.

Temsilci ile RBM arasında ve RBM ile son kullanıcı arasında mesaj şifrelemesini gösteren RBM mesajlaşma akışı. Mesajlar RBM platformuna ulaştığında, kötü amaçlı yazılım ve spam olup olmadığı incelenir.

İletiler, yalnızca belirli hizmet bileşenlerinin erişebileceği anahtarlar kullanılarak Google'ın ağı genelinde şifrelenir. Şifreleme anahtarları, Google sistemlerinin politikaya uygunluk açısından incelenmesini sağlar.

Uçtan uca mesajlaşma akışına ve dahil olan tüm taraflara ait rollere genel bir bakış için İşleyiş şekli bölümüne bakın.

Depolanan mesajlar şifreleniyor mu?

Google sunucularındaki depolama alanı

Google sunucularında depolanan iletiler, aktif değilken şifrelenir. Google, şifrelenmiş iletileri son kullanıcının cihazları arasında senkronize edebilmek ve önceki mesajların yeni cihazlarda gösterilmesini sağlamak için depolar.

Depolanan mesajlara yalnızca son kullanıcının Google kimliğiyle erişebilirsiniz. Aşağıdaki iki istisnaya dikkat edin:

Son kullanıcı iletileri spam olarak bildirdiğinde, Google spam bilgilerini inceleyebilir. Spam raporlarının veri işleme hakkında daha fazla bilgi edinmek için Google markalar ve son kullanıcılar arasındaki mesajları hiç okuyor mu? bölümüne bakın.
Saklanan mesajlar, Google'ın geçerli yasayı karşılama yükümlülükleri uyarınca harici kolluk kuvvetleriyle paylaşılabilir. Daha fazla bilgi için Google'ın şeffaflık raporuna göz atın.

Mobil cihazlarda depolama alanı

Son kullanıcının cihazındaki ileti şifrelemesi, cihazı için yapılandırılmış cihaz genelinde şifrelemeye bağlıdır. Google, Google'ın Mesajlar uygulaması için mesaj verilerini korumak amacıyla cihaz üzerinde güvenlik modelleri dağıtır. Diğer istemci tedarikçileri farklı güvenlik politikaları uygulayabilir.

İletiler ne kadar süre saklanır?

Google sunucularındaki depolama alanı

RBM temsilci öğeleri (logo, ad, açıklama vb.): Küresel Google depolama alanında sürekli olarak depolanır.
Kullanıcıdan aracıya mesajlar (P2A mesajları): En fazla yedi gün boyunca depolanıp yönlendirilmiş halde tutulur. RBM temsilcisi mesajı alıp kabul eder etmez silinir.
Müşteriden kullanıcıya mesaj gönderme (A2P mesajları): Teslim edilene kadar bekletilir, 30 güne kadar. Teslim edilmemiş iletiler, teslimden önce temsilciler tarafından iptal edilebilir. Mesajlarda resim veya video gibi medya dosyaları varsa 60 gün boyunca saklanır. Şifrelenmiş A2P mesajları, spam algılama için teslimattan sonraki 14 gün boyunca Google sunucularında bekletilebilir.

Mobil cihazlarda depolama alanı

Son kullanıcı cihazındaki mesajlar, son kullanıcı silene veya depolama mekanizmasını değiştirene kadar orada depolanır.

Markalar Google'da depolanan mesajlarının şifreleme anahtarlarını kontrol edebilir mi?

Hayır, markalar şifreleme anahtarlarını kontrol edemez. Son kullanıcıları spam'e karşı korumak için Google'ın, mesajları kimlik avı ve kötü amaçlı yazılım URL'leri gibi kötü amaçlı içerikler için taraması gerekir. Google, mesajları taramak için otomatik korumalar kullanır. Son kullanıcı bir görüşmeyi spam olarak bildirmediği sürece mesaj içeriğine kullanıcılar erişemez. Ayrıntılar için Google, markalar ile son kullanıcılar arasındaki mesajları hiç okuyor mu? bölümüne göz atın.

İş ortaklarının ve markaların veri güvenliğini sağlama konusunda ne gibi sorumlulukları vardır?

RBM, toplu taşıma teknolojisidir. İletileri son kullanıcılar ve aracılar arasında taşır. RBM temsilcileri, Google dışındaki iş ortakları ve markalar tarafından geliştirildiği, işletildiği ve eriştiği için bu taraflar, veri güvenliği, gizlilik ve yerel yönetmelik gereksinimlerini karşılayan temsilcilerinden sorumludur.

RBM API güvenliği

Google, OAuth sağlayıcısı tarafından gönderilen erişim jetonlarını alabilir mi?

Hayır, Google kullanıcı kimlik doğrulaması sırasında OAuth sağlayıcısı tarafından gönderilen erişim jetonlarını hiçbir zaman almaz. OAuth 2.0, kimlik doğrulama akışının güvenliğini sağlamak için Kod Değişimi için Kanıt Anahtarı'nı (PKCE) kullanır.

Veriler, RBM geliştiricisi ile Google arasında nasıl şifrelenir?

Geliştiriciler, güvenli web işlemleri için global standart olan HTTPS üzerinden RBM API'ye erişir. RBM API, TLS 1.3'ü AES 256 ve SHA384 şifreleriyle destekler.

Sertifika zincirini, TLS sürümünü ve desteklenen şifreleri kontrol etmek için aşağıdaki komutu çalıştırın:

openssl s_client -connect rcsbusinessmessaging.googleapis.com:443

Telefon numarası doğrulama işlemi

Google, Google'ın Mesajlar uygulamasının güvenliğini sağlamak için bir telefon numarasının orijinal kullanıcısına ait olduğunu nasıl doğrular?

Telefon numarasının ilk kez doğrulanması: Google, son kullanıcının telefon numarasını (ör. MSISDN veya Mobile Station Uluslararası Abone Dizini Numarası) tanımlamak için çeşitli teknikler kullanır. Bu teknikler arasında operatörlerle doğrudan API entegrasyonu, mobil kaynaklı SMS'ler ve son kullanıcıdan telefon numarasını girmesi istenir. Telefon numarası tanımlandıktan sonra, Google görünmez bir Tek Kullanımlık Şifre (OTP) SMS'i göndererek bunu doğrulayabilir.
İlk doğrulamadan sonra güvenliği koruma: Bir operatör doğrudan API entegrasyonuna sahip olduğunda RCS'yi devre dışı bırakmak ve böylece artık etkin olmayan telefon numaraları için RBM'yi devre dışı bırakmak amacıyla düzenli olarak SIM/MSISDN devre dışı bırakma feed'i gönderebilir. Google ayrıca SIM kaldırma ve SIM etkinliği gibi cihaz sinyalleri aracılığıyla ve telefon numarasını düzenli olarak yeniden doğrulayarak telefon numarası sahipliğindeki değişiklikleri izleyebilir.

Gizlilik ve güvenlik

Google, RBM temsilcileri için ne tür raporlar sunar?

Google, son 14 günün verilerine dayanarak her temsilci için brüt son kullanıcı, mesaj ve yanıt sayısı dahili raporunu sunar. Google, bu verileri teşhisler, sistem iyileştirmeleri ve operatörler için faturalandırma raporları oluşturmak amacıyla kullanır. Mesaj içerikleri, raporlama amacıyla saklanmaz. 14 günden sonra Google, yalnızca toplu raporlama verilerini depolar. Bu depolama alanı için bir zaman sınırı yoktur. Harici olarak paylaşılan birleştirilmiş verilerin geçerlilik süresi 63 gündür.

Operatörlerin aldığı faturalandırma raporları ve etkinlik günlükleri Google'ın sunucularında 30 gün boyunca saklanır. Operatör iş ortakları bu dosyaları indirmeyi ve gerekli olduğu sürece muhafaza etmeyi tercih edebilir.

Google, RBM dışında son kullanıcı verilerini kullanıyor mu?

DPA'nın 5.2 bölümünde belirtildiği üzere Google, son kullanıcı verilerini yalnızca RBM hizmetini sunmak ve iyileştirmek için kullanır.

Örneğin Google, son kullanıcı verileriyle aşağıdakileri yapabilir:

Spam ve sahtekarlığı tespit edip önleyin.
Toplu olmayan faturalandırma raporlarını ve etkinlik günlüklerini operatör iş ortaklarıyla paylaşın.
Son kullanıcılar ve markalar için RBM performansını ölçün ve iyileştirin.
Bu çaba kapsamında Google, toplu hale getirilmiş verileri iş ortaklarıyla paylaşarak mesajlaşma deneyimini iyileştirmelerini sağlar. Ayrıntılar için Google, RBM temsilcileri hakkında nasıl raporlama yapıyor? bölümüne göz atın.

Ancak Google son kullanıcı verileriyle aşağıdakileri yapmaz:

Mesaj içeriğine göre reklam hedefleme uygulayın.
Geçerli yasanın gerektirdiği şekilde, kolluk kuvvetleri dışındakiler dışında mesaj içeriğini herhangi bir rakiple veya üçüncü taraflarla paylaşın.

Google, markalar ile son kullanıcılar arasındaki mesajları hiç okuyor mu?

Son kullanıcı bir görüşmeyi spam olarak bildirmediği sürece Google, herhangi bir mesajın içeriğine erişemez. Son kullanıcı spam bildirmeyi seçtiğinde, Google çalışanlarının ve yüklenicilerinin spam ve kötüye kullanıma karşı Google'ın korumalarını iyileştirmeye yardımcı olmak için spam bilgilerini inceleyebilecekleri konusunda bilgilendirilir. Gerçek kişi olan incelemeciler bu bilgilere erişimi 30 gün boyunca kısıtlamış ve denetlemiştir. Son kullanıcının telefon numarası, spam incelemesi için çıkartılır.

Google'ın son kullanıcı verilerini korumak için uyguladığı denetimler hakkında daha fazla bilgi edinmek için Google'ın gizlilik politikasını inceleyin.

Google, marka hakkında son kullanıcılara hangi bilgileri sağlıyor?

Google, RBM görüşmesini etkinleştirmek için görüşmede son kullanıcıyı tanımlamak amacıyla son kullanıcının telefon numarasını markayla paylaşır. Markayla başka hiçbir kişisel bilgi paylaşılmaz.

Kabul Edilebilir Kullanım Politikası'nda, Gizlilik ve Güvenlik bölümü bir markanın kendi müşterileriyle ilgili bilgileri toplama ve kullanma becerisini sınırlar mı?

Google, bir markanın müşterilerine hizmet verme olanağını kısıtlamayı amaçlamamaktadır. Son kullanıcı ile RBM API üzerinden oluşturulan marka arasındaki görüşme, kendi gizlilik politikasının şartlarına göre marka tarafından depolanabilir.

Hizmet Şartları'nda aşağıdaki ifadeler ne anlama gelmektedir? "Bu RBM Şartları kapsamında kişisel verilerin işlenmesine izin vermek için gereken tüm onayları alacak ve sürdüreceksiniz."

Google, RBM kullanan tüm markaların ilgili veri ve güvenlik düzenlemelerine (ör. GDPR) uymasını ve son kullanıcı verilerini nasıl kullandıklarını ve/veya paylaştığını açıklayan bir gizlilik politikası sunmasını bekler. Bir temsilcinin başlatma incelemesinde değerlendirilmesi için geliştiricinin gizlilik politikasını sağlaması gerekir.

Bir marka denetlendiğinde Google'ın ortak çalışması

Markamız düzenlemelere tabi olup denetlenebilir. Google uygun olacak mı?

Şirketlerinin ilgili düzenlemeleri karşıladığından emin olmak markanın sorumluluğundadır. Google yalnızca kolluk kuvvetleri ve düzenleyici kurumlardan gelen sorguları geçerli yasalara uygun olarak yanıtlar.

Olaylara müdahale

Google, veri ihlallerini nasıl ele alır?

DPA'daki Bölüm 7.2 Veri Olayları'na bakın.

Desteklenmeyen ağ özellikleri

RBM, hangi ağ özelliklerini desteklemez?

Güvenlik duvarı geçişlerine izin veren özel üstbilgiler
Google'ın hizmetlerinden sınıfsız alanlar arası yönlendirme (CIDR) engelleme aralıkları