अपडेट: नई सुविधाओं और प्रॉडक्ट के अपडेट के लिए, प्रॉडक्ट की जानकारी देखें.

इस पेज का अनुवाद Cloud Translation API से किया गया है.

आरसीएस बिज़नेस मैसेजिंग (आरबीएम) के लिए डेटा सुरक्षा

इस दस्तावेज़ में, आरसीएस बिज़नेस मैसेजिंग (आरबीएम) डेटा सुरक्षा और इससे जुड़े विषयों के बारे में अक्सर पूछे जाने वाले सवालों के जवाब दिए गए हैं.

आरबीएम एक मैसेज सेवा प्लैटफ़ॉर्म है. इसका इस्तेमाल ब्रैंड, एक बार इस्तेमाल होने वाले पासवर्ड (ओटीपी) भेजने के लिए करते हैं. साथ ही, यह लेन-देन, ग्राहक सेवा, और प्रमोशन वगैरह के बारे में बातचीत करने में, ग्राहकों की मदद करता है. आरबीएम को Google API के ज़रिए उपलब्ध कराया जाता है. साथ ही, यह असली उपयोगकर्ताओं को Google के सर्वर के ज़रिए उपलब्ध कराया जाता है.

आम तौर पर, ब्रैंड ऐसे पार्टनर के साथ काम करते हैं जो ब्रैंड की तरफ़ से आरबीएम एजेंट बनाने और उनका रखरखाव करने के लिए Google API से कनेक्ट करते हैं. इन पार्टनर में मोबाइल और इंटरनेट सेवा देने वाली कंपनियां, एसएमएस एग्रीगेटर, सीआरएम, और बॉट बिल्डर शामिल हैं. वे पार्टनर जो एपीआई या बिज़नेस कम्यूनिकेशन डेवलपर कंसोल के ज़रिए आरबीएम का इस्तेमाल करना चाहते हैं, उन्हें Google की सेवा की शर्तों और उचित इस्तेमाल की नीति के लिए सहमति देनी होगी. Google, डेटा प्रोसेसर के तौर पर काम कर रहा है. इसलिए, पार्टनर पर भी Google की डेटा प्रोसेसिंग अडेंडम लागू होती है.

Google, आरबीएम से जुड़े कस्टम या पूरक समझौतों में शामिल नहीं होता है.

सर्टिफ़िकेशन और अनुपालन

क्या आरबीएम किसी तीसरे पक्ष से सर्टिफ़ाइड है?

आरबीएम और Google के आरसीएस इंफ़्रास्ट्रक्चर को साल में एक बार स्वतंत्र रूप से ऑडिट किया जाता है, ताकि यह पक्का किया जा सके कि वे क्वालिटी और डेटा सुरक्षा के मान्यता वाले मानकों को पूरा करते हैं. हमारी सेवाओं के पास ISO 27001, SOC 2, और SOC 3 की मान्यताएं हैं. अगर आपको सर्टिफ़िकेट की कॉपी चाहिए, तो अपने खाता मैनेजर से संपर्क करें.

क्या आरबीएम, ईयू भुगतान सेवाओं के निर्देश 2 (PSD2) का पालन करता है?

हां, आरबीएम पीएसडी2 के मुताबिक है. इसके लिए, स्ट्रॉन्ग कस्टमर ऑथेंटिकेशन (एससीए) की ज़रूरत होती है. आरबीएम की जानकारी, असली उपयोगकर्ता के पुष्टि किए गए फ़ोन नंबर और सिम कार्ड से जुड़ी होती है. आरबीएम का इस्तेमाल करके भेजा गया एक बार इस्तेमाल होने वाला पासवर्ड (ओटीपी) , यूरोपियन बैंकिंग अथॉरिटी की नीतियों के मुताबिक एससीए "सेशन एलिमेंट" बनाता है.

डेटा प्रोसेसिंग

Google के लिए डेटा प्रोसेसर होने का क्या मतलब है?

आरबीएम के साथ, Google एक डेटा प्रोसेसर के तौर पर काम करता है और ब्रैंड या पार्टनर, डेटा कंट्रोलर के तौर पर काम करता है. डेटा प्रोसेसिंग अडेंडम (डीपीए) में बताया गया है कि Google, डेटा प्रोसेसर है और यह ब्रैंड और पार्टनर के डेटा को मैनेज करने की शर्तों को कंट्रोल करता है.

क्या डीपीए उन सभी असली उपयोगकर्ताओं पर लागू होता है जो आरबीएम एजेंट से इंटरैक्ट करते हैं?

हां, डीपीए सभी असली उपयोगकर्ताओं और उनके डेटा पर लागू होता है. Google ने आरबीएम प्लैटफ़ॉर्म बनाया है, जो डीपीए का पालन करता है. साथ ही, यह भी पक्का करता है कि सभी असली उपयोगकर्ताओं को एक जैसा बेहतरीन डेटा सुरक्षा मिले.

मैसेज का स्टोरेज और एन्क्रिप्ट (सुरक्षित) करना

असली उपयोगकर्ता के डिवाइस पर कौनसा डेटा सेव किया जाता है?

आरबीएम एजेंट से जुड़ा मेटाडेटा और उनसे भेजे गए मैसेज, असली उपयोगकर्ता के डिवाइस में सेव किए जाते हैं. इन मैसेज में, आरबीएम एजेंट से शेयर की गई निजी जानकारी शामिल हो सकती है.

एजेंट के "क्षेत्र" का, मैसेज के स्टोरेज से क्या संबंध है?

एजेंट सेट अप करते समय पार्टनर की तय की गई जगह की जानकारी आरबीएम की मदद से मिलती है. Google इस जानकारी का इस्तेमाल यह तय करने के लिए करता है कि मैसेज का डेटा कहां सेव किया जाए और एजेंट के लिए मैसेज के ट्रैफ़िक के रूटिंग को ऑप्टिमाइज़ किया जाए.

ज़्यादातर मामलों में, मैसेज को बताई गई जगह के डेटा सेंटर में सेव किया जाता है. डेटा सेंटर और नेटवर्क सुरक्षा के बारे में ज़्यादा जानकारी के लिए, डीपीए देखें. हालांकि, किसी इलाके के कुछ समय के लिए सेवा उपलब्ध न होने पर Google, मैसेज ट्रैफ़िक को फिर से रूट कर सकता है. इसका मतलब है कि मैसेज का डेटा, खास तौर पर एजेंट के बताए गए इलाके में सेव नहीं किया जा सकता.

आरबीएम के लिए मैसेज का आर्किटेक्चर और फ़्लो क्या है? किन एलिमेंट को एन्क्रिप्ट (सुरक्षित) किया गया है?

ब्रैंड और असली उपयोगकर्ताओं के बीच भेजे गए मैसेज, असली उपयोगकर्ता के डिवाइस, Google के सर्वर, और Google के आरसीएस बिज़नेस मैसेजिंग (आरबीएम) एपीआई की मदद से मैसेज करने वाले पार्टनर के बीच एन्क्रिप्ट (सुरक्षित) किए जाते हैं.

आरबीएम मैसेज के फ़्लो में, एजेंट और आरबीएम के साथ-साथ आरबीएम और असली उपयोगकर्ता के बीच मैसेज को एन्क्रिप्ट (सुरक्षित) करने की सुविधा दिखाई जाती है. जब आरबीएम प्लैटफ़ॉर्म पर मैसेज भेजे जाते हैं, तो वे
मैलवेयर और स्पैम का पता लगाते हैं.

Google के नेटवर्क पर मैसेज को उन कुंजियों से सुरक्षित किया जाता है जिन्हें सिर्फ़ सेवा के खास कॉम्पोनेंट से ऐक्सेस किया जा सकता है. एन्क्रिप्शन कुंजियों से Google सिस्टम की नीति का अनुपालन करने के लिए जांच करना सक्षम हो जाता है.

एंड-टू-एंड मैसेजिंग फ़्लो और खास तौर पर शामिल सभी पार्टियों की भूमिकाओं के बारे में जानने के लिए, यह कैसे काम करता है देखें.

क्या सेव किए गए मैसेज एन्क्रिप्ट (सुरक्षित) किए गए हैं?

Google के सर्वर पर स्टोरेज

Google के सर्वर में स्टोर किए गए मैसेज, इस्तेमाल न होने के दौरान भी एन्क्रिप्ट (सुरक्षित) किए जाते हैं. Google, एन्क्रिप्ट (सुरक्षित) किए गए मैसेज को सेव करता है, ताकि उन्हें असली उपयोगकर्ता के सभी डिवाइसों पर सिंक किया जा सके. साथ ही, यह भी पक्का किया जा सके कि पुराने मैसेज नए डिवाइसों पर दिखें.

सेव किए गए मैसेज का ऐक्सेस, सिर्फ़ असली उपयोगकर्ता के Google आईडी के साथ मिलता है. इन दो अपवादों पर ध्यान दें:

जब असली उपयोगकर्ता, ईमेल को स्पैम के तौर पर रिपोर्ट करता है, तो Google स्पैम से जुड़ी जानकारी की समीक्षा कर सकता है. स्पैम रिपोर्ट के डेटा को मैनेज करने के बारे में ज़्यादा जानने के लिए, क्या Google कभी ब्रैंड और असली उपयोगकर्ताओं के मैसेज पढ़ता है? देखें.
सेव किए गए मैसेज, बाहरी कानून लागू करवाने वाली एजेंसियों के साथ शेयर किए जा सकते हैं. यह डेटा, लागू कानून का पालन करने की Google की जवाबदेही के तहत होता है. ज़्यादा जानकारी के लिए, Google की पारदर्शिता रिपोर्ट देखें.

मोबाइल डिवाइसों का स्टोरेज

असली उपयोगकर्ता के डिवाइस पर मैसेज को एन्क्रिप्ट (सुरक्षित) करने का तरीका, पूरे डिवाइस में एन्क्रिप्शन को ध्यान में रखकर तय किया जाता है. Google के Messages ऐप्लिकेशन में, मैसेज से जुड़े डेटा की सुरक्षा के लिए, Google, डिवाइस में मौजूद सुरक्षा मॉडल का इस्तेमाल करता है. दूसरे क्लाइंट वेंडर अलग-अलग सुरक्षा नीतियां लागू कर सकते हैं.

मैसेज कितने समय तक सेव रखे जाते हैं?

Google के सर्वर पर स्टोरेज

आरबीएम एजेंट की एसेट (लोगो, नाम, ब्यौरा वगैरह): यह Google के दुनिया भर के स्टोरेज में हमेशा मौजूद रहता है.
उपयोगकर्ता-से-एजेंट मैसेज (P2A मैसेज): उन्हें सात दिन से ज़्यादा समय के लिए, स्टोर और फ़ॉरवर्ड करने की सुविधा पर होल्ड किया जाता है. जैसे ही आरबीएम एजेंट को मैसेज मिलता है और वह स्वीकार हो जाता है, वह मिट जाता है.
एजेंट-टू-यूज़र मैसेज (A2P मैसेज): ये मैसेज 30 दिन तक डिलीवर किए जाते हैं. जिन मैसेज को डिलीवर नहीं किया गया है उन्हें डिलीवरी से पहले निरस्त किया जा सकता है. अगर मैसेज में मीडिया फ़ाइलें होती हैं, जैसे कि इमेज या वीडियो, तो वे 60 दिनों के लिए सेव की जाती हैं. स्पैम का पता लगाने के लिए, एन्क्रिप्ट किए गए A2P मैसेज को डिलीवरी के 14 दिनों बाद तक, Google के सर्वर पर सेव करके रखा जा सकता है.

मोबाइल डिवाइसों का स्टोरेज

असली उपयोगकर्ता के डिवाइस में मैसेज तब तक सेव रहते हैं, जब तक असली उपयोगकर्ता उन्हें मिटा नहीं देता या डिवाइस के स्टोरेज के तरीके में बदलाव नहीं करता.

क्या कोई ब्रैंड, Google पर सेव किए गए अपने मैसेज के लिए एन्क्रिप्शन कुंजियों को कंट्रोल कर सकता है?

नहीं, ब्रैंड एन्क्रिप्ट (सुरक्षित) करने की कुंजियों को कंट्रोल नहीं कर सकता. असली उपयोगकर्ताओं को स्पैम से बचाने के लिए, Google को फ़िशिंग और मैलवेयर वाले यूआरएल जैसे नुकसान पहुंचाने वाले कॉन्टेंट के लिए मैसेज को स्कैन करना पड़ता है. Google, मैसेज को स्कैन करने के लिए अपने-आप काम करने वाली सुरक्षा सुविधाओं का इस्तेमाल करता है. जब तक असली उपयोगकर्ता किसी बातचीत की शिकायत स्पैम के तौर पर नहीं करता, तब तक मैसेज के कॉन्टेंट को लोग नहीं देख सकते. ज़्यादा जानकारी के लिए, क्या Google ने कभी ब्रैंड और असली उपयोगकर्ताओं के मैसेज पढ़े हैं? देखें.

पार्टनर और ब्रैंड, डेटा की सुरक्षा कैसे करते हैं?

आरबीएम एक ट्रांज़िट टेक्नोलॉजी है. यह मैसेज को असली उपयोगकर्ताओं और एजेंट के बीच ले जाता है. आरबीएम एजेंट, Google से बाहर के पार्टनर और ब्रैंड ने बनाए, चलाए, और ऐक्सेस किए. इसलिए, ये एजेंट डेटा की सुरक्षा, निजता, और स्थानीय नियमों से जुड़ी ज़रूरी शर्तों को पूरा करने वाले अपने एजेंट के लिए ज़िम्मेदार हैं.

आरबीएम एपीआई सुरक्षा

क्या Google, OAuth सेवा देने वाली कंपनी से मिले ऐक्सेस टोकन पा सकता है?

नहीं, उपयोगकर्ता की पुष्टि करने के दौरान Google को कभी भी ऐक्सेस टोकन नहीं मिलता है. OAuth 2.0, पुष्टि करने के तरीके को सुरक्षित रखने के लिए, कोड एक्सचेंज के लिए प्रूफ़ कुंजी PKCE का इस्तेमाल करता है.

आरबीएम डेवलपर और Google के बीच डेटा कैसे एन्क्रिप्ट किया जाता है?

डेवलपर, एचटीटीपीएस पर आरबीएम एपीआई को ऐक्सेस करते हैं. यह सुरक्षित वेब लेन-देन का ग्लोबल स्टैंडर्ड है. RBM API, AES 256 और SHA384 साइफ़र के साथ TLS 1.3 के साथ काम करता है.

सर्टिफ़िकेट चेन, TLS वर्शन, और इस्तेमाल किए जा सकने वाले साइफ़र को देखने के लिए, नीचे दिया गया कमांड रन करें:

openssl s_client -connect rcsbusinessmessaging.googleapis.com:443

फ़ोन नंबर का सत्यापन

Google के Messages ऐप्लिकेशन की सुरक्षा को बनाए रखने के लिए, Google यह कैसे पुष्टि करता है कि कोई फ़ोन नंबर अब भी उसके मूल उपयोगकर्ता का है?

फ़ोन नंबर की शुरुआती पुष्टि: Google असली उपयोगकर्ता के फ़ोन नंबर की पहचान करने के लिए, कई तरीकों का इस्तेमाल करता है. जैसे, उनका MSISDN या मोबाइल स्टेशन इंटरनैशनल सब्सक्राइबर डायरेक्ट्री नंबर. इन तकनीकों में मोबाइल और इंटरनेट सेवा देने वाली कंपनियों के साथ डायरेक्ट एपीआई इंटिग्रेशन शामिल है. साथ ही, असली उपयोगकर्ता से उनका फ़ोन नंबर डालने के लिए कहा गया है. फ़ोन नंबर की पहचान हो जाने के बाद, Google उसकी पुष्टि करने के लिए एक बार इस्तेमाल होने वाला पासवर्ड (OTP) मैसेज भेज सकता है.
शुरुआती पुष्टि के बाद सुरक्षा बनाए रखना: जब किसी मोबाइल और इंटरनेट सेवा देने वाली कंपनी का डायरेक्ट एपीआई इंटिग्रेशन होता है, तो वह समय-समय पर Google को सिम/MSISDN बंद करने के लिए फ़ीड भेज सकता है, ताकि आरसीएस बंद किया जा सके और आरबीएम को ऐसे फ़ोन नंबर के लिए बंद किया जा सके जो अब चालू नहीं हैं. Google, सिम निकालने और सिम गतिविधि जैसे डिवाइस सिग्नल के ज़रिए फ़ोन नंबर के मालिकाना हक पर भी नज़र रख सकता है. इसके लिए समय-समय पर फ़ोन नंबर की फिर से पुष्टि कर सकता है.

निजता और सुरक्षा

आरबीएम एजेंट पर Google किस तरह की रिपोर्टिंग करता है?

Google के पास पिछले 14 दिनों के डेटा के आधार पर, असली एजेंट की कुल संख्या, मैसेज, और हर एजेंट के लिए रिस्पॉन्स के बारे में अंदरूनी रिपोर्टिंग होती है. Google इस डेटा का इस्तेमाल गड़बड़ी की जानकारी, सिस्टम को बेहतर बनाने, और मोबाइल और इंटरनेट सेवा देने वाली कंपनियों के लिए बिलिंग रिपोर्ट जनरेट करने के लिए करता है. मैसेज का कॉन्टेंट, रिपोर्टिंग के लिए सेव नहीं किया जाता. Google 14 दिन के बाद, सिर्फ़ रिपोर्टिंग डेटा को एक साथ रखता है. इस स्टोरेज की कोई समयसीमा नहीं है. संगठन से बाहर शेयर किए गए किसी भी डेटा में, कुल समय (टीटीएल) की अवधि 63 दिन होती है.

मोबाइल और इंटरनेट सेवा देने वाली कंपनियों को मिलने वाली बिलिंग रिपोर्ट और गतिविधि लॉग को Google के सर्वर पर, 30 दिनों के लिए सेव किया जाता है. मोबाइल और इंटरनेट सेवा देने वाली कंपनियां, इन फ़ाइलों को डाउनलोड कर सकती हैं और ज़रूरत पड़ने पर, उन्हें डाउनलोड कर सकती हैं.

क्या Google, असली उपयोगकर्ता के डेटा का इस्तेमाल आरबीएम से बाहर करता है?

Google, असली उपयोगकर्ता के डेटा का इस्तेमाल सिर्फ़ आरबीएम सेवा देने और उसे बेहतर बनाने के लिए करता है, जैसा कि डीपीए के सेक्शन 5.2 में बताया गया है.

उदाहरण के लिए, Google असली उपयोगकर्ता के डेटा के साथ ये काम कर सकता है:

स्पैम और धोखाधड़ी को पहचानें और उसे रोकें.
कैरियर कंपनियों के साथ एग्रीगेट न की गई बिलिंग रिपोर्ट और गतिविधि लॉग शेयर करें.
असली उपयोगकर्ताओं और ब्रैंड के लिए, आरबीएम की परफ़ॉर्मेंस को मेज़र करना और बेहतर बनाना.
इस प्रोसेस के तहत, Google अपने पार्टनर के साथ एग्रीगेट किया गया डेटा शेयर करता है, ताकि वे मैसेज सेवा को बेहतर बना सकें. ज़्यादा जानकारी के लिए, आरबीएम एजेंट पर Google किस तरह की रिपोर्टिंग करता है? देखें.

हालांकि, असली उपयोगकर्ता के डेटा के साथ Google ये काम नहीं करेगा:

मैसेज के कॉन्टेंट के आधार पर विज्ञापन टारगेटिंग करें.
लागू कानून के अनुसार कानून प्रवर्तन एजेंसियों के अपवाद के साथ, किसी भी प्रतिस्पर्धी या तीसरे पक्ष के साथ मैसेज की सामग्री शेयर करें.

क्या Google कभी ब्रैंड और असली उपयोगकर्ताओं के मैसेज पढ़ता है?

Google के पास किसी भी मैसेज का कॉन्टेंट तब तक ऐक्सेस नहीं करता, जब तक असली उपयोगकर्ता किसी बातचीत की स्पैम के तौर पर शिकायत नहीं करता. जब असली उपयोगकर्ता स्पैम की शिकायत करने का विकल्प चुनता है, तो उसे सूचना दी जाती है कि Google के कर्मचारी और ठेकेदार, स्पैम की जानकारी की समीक्षा कर सकते हैं. इससे, स्पैम और बुरे बर्ताव से Google की सुरक्षा को बेहतर बनाने में मदद मिलती है. मानवीय समीक्षा करने वाले लोगों ने 30 दिन तक इस जानकारी को ऐक्सेस करने पर पाबंदी लगा दी है और उसका ऑडिट किया है. स्पैम की समीक्षा करने के लिए, असली उपयोगकर्ता के फ़ोन नंबर को छिपाने के लिए बदलाव किया जाता है.

असली उपयोगकर्ता के डेटा की सुरक्षा के लिए Google के पास मौजूद कंट्रोल के बारे में ज़्यादा जानने के लिए, Google की निजता नीति देखें.

Google, ब्रैंड को असली उपयोगकर्ताओं से जुड़ी क्या जानकारी देता है?

आरबीएम बातचीत को चालू करने के लिए, Google असली उपयोगकर्ता की पहचान करने के लिए, उसका ब्रैंड नंबर ब्रैंड के साथ शेयर करता है. कोई अन्य निजी जानकारी ब्रैंड के साथ शेयर नहीं की जाती है.

स्वीकार किए जाने वाले इस्तेमाल की नीति के तहत, निजता और सुरक्षा वाले सेक्शन में, ब्रैंड अपने ग्राहकों की जानकारी इकट्ठा कर सकता है और उसका इस्तेमाल कर सकता है?

Google का मकसद किसी ब्रैंड के लिए, ग्राहकों की सेवा करने पर पाबंदी लगाना नहीं है. आरबीएम एपीआई से बनाए गए ब्रैंड और असली उपयोगकर्ता के बीच होने वाली बातचीत को उसकी निजता नीति के मुताबिक सेव किया जा सकता है.

सेवा की शर्तों में, इनका क्या मतलब है? "आरबीएम की इन शर्तों के तहत, निजी डेटा को प्रोसेस करने के लिए ज़रूरी सहमति ली जाएगी. साथ ही, उसे जारी रखा जाएगा."

Google उम्मीद करता है कि आरबीएम का इस्तेमाल करने वाले सभी ब्रैंड, काम के डेटा और सुरक्षा नियमों (जैसे, जीडीपीआर) का पालन करें. साथ ही, एक ऐसी निजता नीति बनाएं जिसमें यह साफ़ तौर पर बताया गया हो कि वे असली उपयोगकर्ता का डेटा कैसे इस्तेमाल और/या शेयर करते हैं. किसी डेवलपर को अपनी निजता नीति ज़रूर उपलब्ध करानी होगी, ताकि वह लॉन्च की समीक्षा कर सके.

किसी ब्रैंड का ऑडिट होने पर Google का सहयोग

हमारे ब्रैंड पर नियमों का पालन किया जाता है और ऑडिट किया जा सकता है. क्या Google इन नीतियों का पालन करेगा?

यह पक्का करना ब्रैंड की ज़िम्मेदारी है कि ब्रैंड, उससे जुड़े नियमों का पालन करता है. Google सिर्फ़ लागू कानून के मुताबिक कानून लागू कराने वाली कंपनियों और नियमों के पालन से जुड़ी पूछताछ का जवाब देगा.

डेटा से जुड़े मामलों पर कार्रवाई

Google, डेटा के गलत इस्तेमाल को कैसे मैनेज करता है?

डीपीए में सेक्शन 7.2 डेटा इंसिडेंट देखें.

असमर्थित नेटवर्क क्षमताएं

आरबीएम किन नेटवर्क सुविधाओं के साथ काम नहीं करता?

फ़ायरवॉल के पास-थ्रू की अनुमति देने के लिए कस्टम हेडर
क्लासलेस इंटर-डोमेन रूटिंग (सीआईडीआर), Google की सेवाओं को ब्लॉक करता है