비즈니스용 RCS의 데이터 보안

이 문서에서는 비즈니스용 RCS 데이터 보안 및 관련 주제에 관해 자주 묻는 질문에 답변합니다.

RBM은 비즈니스에서 일회용 비밀번호(OTP)를 전송하고 거래, 고객 서비스, 프로모션 등에 관한 대화에 고객을 참여시키는 데 사용하는 메시지 플랫폼입니다. Google은 Google 서버를 통해 비즈니스와 최종 사용자 간에 메시지를 전달하는 RBM API를 제공합니다.

일반적으로 비즈니스는 Google API에 연결하여 비즈니스를 대신하여 RBM 에이전트를 빌드하고 유지관리하는 메시지 파트너 (집계업체, CPaaS (Communications Platform as a Service) 제공업체, 이동통신사, 기타 RCS 솔루션 제공업체 포함)와 협력합니다. API 또는 비즈니스용 RCS 개발자 콘솔을 통해 RBM을 사용하려는 파트너는 Google의 RBM 서비스 약관서비스이용 정책에 동의해야 합니다. Google은 데이터 처리자 역할을 하므로 파트너는 Google의 데이터 처리 추가 조항의 적용을 받습니다.

인증 및 규정 준수

RBM은 서드 파티의 인증을 받았나요?

RBM 및 Google의 RCS 인프라는 널리 알려진 품질 및 데이터 보안 표준을 준수하기 위해 매년 독립적으로 감사를 받습니다. Google 서비스는 ISO 27001, SOC 2, 및 SOC 3 인증을 보유하고 있습니다. 인증서 사본을 원하시면 계정 관리자에게 문의하세요.

RBM은 EU의 개인정보 보호법 (GDPR)을 준수하나요?

Google의 데이터 처리는 처리자로서 GDPR을 준수하지만 GDPR 준수는 플랫폼을 사용하는 개별 비즈니스의 책임입니다. 대부분의 마케팅 채널과 마찬가지로 비즈니스는 데이터 수집, 데이터 사용, 데이터 저장과 관련된 자체 프로세스를 책임집니다.

RBM은 EU 결제 서비스 지침 2 (PSD2)를 준수하나요?

예, RBM은 강력한 고객 인증(SCA)을 요구하는 PSD2를 준수합니다. RBM은 최종 사용자의 인증된 전화번호 및 SIM 카드와 연결되어 있으므로 RBM을 사용하여 전송된 일회용 비밀번호 (OTP)는 유럽 은행 감독청에서 설명하는 준수 SCA '소유 요소'를 구성합니다.

RBM은 HIPAA를 준수하나요?

아니요, RBM은 HIPAA를 준수하지 않습니다.

제한된 콘텐츠 및 사용 사례

RBM에서 지원되는 헬스케어 사용 사례는 어떤 유형인가요?

RBM은 보호 건강 정보 (PHI)가 이러한 메시지에서 제외되는 경우 헬스케어 관련 사용 사례를 지원합니다. 예를 들어 예약 알림 또는 보안 환자 포털에 로그인할 수 있는 링크가 포함된 알림을 전송하는 것이 지원됩니다. PHI를 포함하거나 제한된 헬스케어 제품을 홍보하는 메시지는 금지됩니다. 제한된 헬스케어 관련 제품 및 서비스 목록은 서비스이용 정책에서 확인할 수 있습니다.

데이터 처리

Google이 데이터 처리자라는 것은 무슨 의미인가요?

RBM에서 Google은 데이터 처리자 역할을 하고 비즈니스 또는 파트너는 데이터 관리자 역할을 합니다. 데이터 처리 추가 조항 (DPA)은 Google이 데이터 처리자이며 비즈니스 및 파트너를 대신하여 데이터를 처리하는 약관을 규정한다고 설명합니다.

DPA는 RBM 에이전트와 상호작용하는 모든 최종 사용자에게 적용되나요?

예, DPA는 모든 최종 사용자 및 해당 데이터에 적용됩니다. Google은 DPA를 준수하고 모든 최종 사용자에게 동일한 높은 수준의 데이터 보안을 제공하기 위해 RBM 플랫폼을 빌드했습니다.

메시지 저장 및 암호화

최종 사용자 기기에 어떤 데이터가 저장되나요?

RBM 에이전트 및 에이전트와 주고받은 메시지에 관한 메타데이터는 최종 사용자 기기에 저장됩니다. 이러한 메시지에는 RBM 에이전트와 공유된 개인 정보가 포함될 수 있습니다.

파트너가 에이전트 설정 중에 지정하는 리전 은 RBM에 에이전트가 있는 위치 (북미, 유럽 또는 아시아 태평양)를 알려줍니다. Google은 이 정보를 사용하여 메시지 데이터를 저장할 위치를 결정하고 에이전트로의 메시지 트래픽 라우팅을 최적화합니다.

지정된 리전 내에서 데이터는 복원력, 확장성, 전역 메시지 제품에 필요한 경우 Google의 여러 데이터 센터 간에 이동할 수 있습니다. 보안 및 개인 정보 보호상의 이유로 Google은 이러한 데이터 센터의 구체적인 위치를 공개하지 않습니다. (데이터 센터 및 네트워크 보안에 관한 자세한 내용은 DPA 를 참고하세요.)

전체 리전 중단이라는 예외적인 경우 Google은 서비스 가용성을 유지하기 위해 다른 리전에서 메시지 트래픽을 일시적으로 처리할 수 있습니다. 이 장애 조치는 전체 서비스 중단을 방지하고 메시지 전달을 보장하기 위해 설계된 임시 조치입니다.

비즈니스용 RCS의 메시지 아키텍처 및 흐름은 무엇인가요? 어떤 요소가 암호화되나요?

비즈니스와 최종 사용자 간에 전송되는 메시지는 최종 사용자 기기와 Google 서버 간, Google 서버와 Google의 RCS Business Messaging API를 통한 메시지 파트너 간에 암호화됩니다.

에이전트와 RBM 간, RBM과 최종 사용자 간의 메시지 암호화를 보여주는 RBM 메시지 흐름 메일이 RBM 플랫폼에 도달하면 멀웨어 및 스팸 여부를 검사합니다.

메시지는 특정 서비스 구성요소만 액세스할 수 있는 키를 사용하여 Google 네트워크 전반에서 암호화됩니다. 암호화 키를 사용하면 Google 시스템에서 정책 준수 여부를 검사할 수 있습니다.

엔드 투 엔드 메시지 흐름 및 관련된 모든 당사자의 역할에 관한 개요는 작동 방식 을 참고하세요.

저장된 메시지는 암호화되나요?

Google 서버의 저장용량

수신자가 오프라인인 경우 에이전트-사용자 (A2P) 메시지는 Google 서버에 보관됩니다. 개발자는 이러한 메시지를 취소하고 다른 채널을 통해 전송할 수 있습니다. 에이전트가 수신할 수 없는 경우 사용자-애플리케이션 (P2A) 메시지는 Google 서버에 보관됩니다. Google은 이러한 메시지를 7일 동안 보관한 후 삭제합니다.

Google 서버에 저장된 메시지는 암호화되어 저장됩니다.

저장된 메시지에 대한 Google의 액세스는 다음과 같은 경우에만 가능합니다.

  • Google은 비즈니스에서 전송한 메시지 내용을 일시적으로 처리하여 스팸 및 악용을 감지하고 방지할 수 있으며, 이러한 신호를 사용하여 AI 모델을 학습시켜 스팸 방지 및 감지 기능을 개선할 수 있습니다. 스팸 신고의 데이터 처리에 관한 자세한 내용은 Google에서 비즈니스와 최종 사용자 간의 메시지를 읽은 적이 있나요?를 참고하세요.
  • 저장된 메시지는 관련 법규를 준수하기 위한 Google의 의무에 따라 외부 법 집행 기관과 공유될 수 있습니다. 자세한 내용은 Google의 투명성 보고서 를 참고하세요.

메시지는 얼마 동안 저장되나요?

Google 서버의 저장용량

  • RBM 에이전트 애셋 (로고, 이름, 설명 등): 전역 Google 저장소에 영구적으로 저장됩니다.
  • 사용자-에이전트 메시지 (P2A 메시지): 최대 7일 동안 저장 후 전달 방식으로 보관됩니다. RBM 에이전트가 메시지를 수신하고 확인하는 즉시 삭제됩니다.
  • 에이전트-사용자 메시지 (A2P 메시지): 전달될 때까지 최대 30일 동안 보관됩니다. 30일 제한 전에 에이전트는 전달되지 않은 메시지를 취소할 수 있으며, 이러한 메시지는 전달 대기열에서 삭제되고 Google 서버에서 삭제됩니다. 전달된 메시지에 미디어 파일이 포함되어 있으면 이러한 파일은 60일 동안 저장됩니다. A2P 메시지는 스팸 및 악용을 감지하고 방지하기 위해 전달 후 14일 동안 Google 서버에 보관될 수 있습니다.

휴대기기의 저장용량

최종 사용자 기기의 메시지는 최종 사용자가 삭제하거나 저장 메커니즘을 변경할 때까지 기기에 저장됩니다.

RBM은 엔드 투 엔드 암호화되나요?

아니요, RBM은 엔드 투 엔드 암호화를 제공하지 않습니다. 이러한 이유로 RBM 대화의 메시지 UI 내에 자물쇠 아이콘이 표시되지 않습니다. 하지만 RBM은 사용자 기기와 Google 서버 간, Google 서버와 메시지 파트너 간에 이동할 때 메시지를 보호하기 위해 지점 간 암호화를 사용합니다.

RBM에 사용되는 암호화 유형은 무엇이며 비즈니스에서 관련 키를 제어할 수 있나요?

RBM은 기기와 Google 서버 간에 이동할 때 메시지를 보호하기 위해 지점 간 암호화를 사용합니다. 비즈니스는 암호화 키를 제어할 수 없습니다. Google은 스팸으로부터 사용자를 보호하기 위해 피싱 및 멀웨어 URL과 같은 악성 콘텐츠를 검사하는 등 보안 목적으로 이러한 키를 관리합니다. 메시지 액세스 및 검토에 관한 자세한 내용은 Google에서 비즈니스와 최종 사용자 간의 메시지를 읽은 적이 있나요?를 참고하세요.

어떤 기관이 RBM 메시지에 액세스할 수 있나요? 메시지 파트너, 비즈니스, 이동통신사는 데이터 보안을 보장하기 위해 어떤 책임을 지고 있나요?

RBM은 Google에서 제공하는 전송 기술입니다. RBM은 최종 사용자와 비즈니스를 대표하는 에이전트 간에 메시지를 이동합니다. 이러한 에이전트는 메시지 파트너, 비즈니스, 경우에 따라 이동통신사에서 빌드하고 운영합니다. RBM 에이전트를 운영하는 기관과 경우에 따라 이동통신사는 메시지 전달 및 기타 목적으로 RBM 메시지 내용에 액세스할 수 있습니다. 또한 Google은 스팸 및 악용 방지 기능을 적용하기 위해 RBM 메시지 내용에 액세스할 수 있습니다.

메시지 파트너, 비즈니스, 이동통신사는 모든 관련 데이터 보안, 개인 정보 보호, 현지 규제 요구사항을 준수할 책임이 개별적으로 있습니다.

RBM API 보안

Google에서 OAuth 제공업체가 보낸 액세스 토큰을 가져올 수 있나요?

아니요, Google은 사용자 인증 중에 OAuth 제공업체가 보낸 액세스 토큰 을 가져오지 않습니다. OAuth 2.0은 코드 교환용 증명 키 (PKCE) 를 사용하여 인증 흐름을 보호합니다.

RBM 개발자와 Google 간에 데이터는 어떻게 암호화되나요?

개발자는 보안 웹 거래의 전역 표준인 HTTPS를 통해 RBM API에 액세스합니다. RBM API는 AES 256 및 SHA384 암호화로 TLS 1.3을 지원합니다.

다음 명령어를 실행하여 인증서 체인, TLS 버전, 지원되는 암호화를 확인합니다.

openssl s_client -connect rcsbusinessmessaging.googleapis.com:443

전화번호 인증

Google 메시지 앱의 보안을 유지하기 위해 Google은 전화번호가 여전히 원래 사용자에게 속하는지 어떻게 확인하나요?

  • 전화번호의 초기 인증: Google은 다양한 기술을 사용하여 최종 사용자의 전화번호 (예: MSISDN 또는 이동국 국제 가입자 디렉터리 번호)를 식별합니다. 이러한 기술에는 이동통신사와의 직접 API 통합, 모바일 발신 SMS, 최종 사용자에게 전화번호를 입력하도록 요청하는 것이 포함됩니다. 전화번호가 식별되면 Google은 이를 확인하기 위해 보이지 않는 일회용 비밀번호 (OTP) SMS를 전송할 수 있습니다.

  • 초기 인증 후 보안 유지: 이동통신사에 직접 API 통합이 있는 경우 이동통신사는 SIM/MSISDN 비활성화 피드를 Google에 주기적으로 전송하여 RCS를 사용 중지하고 더 이상 활성 상태가 아닌 전화번호의 RBM을 사용 중지할 수 있습니다. Google은 SIM 제거 및 SIM 활동과 같은 기기 신호를 통해 전화번호 소유권 변경을 모니터링하고 전화번호를 주기적으로 다시 확인할 수도 있습니다.

개인 정보 보호 및 보안

Google은 RBM 에이전트에 관해 어떤 보고를 하나요?

Google은 지난 28일간의 데이터를 기반으로 각 에이전트의 총 최종 사용자 수, 메시지 수, 응답에 관한 내부 보고를 합니다. Google은 진단, 시스템 개선, 이동통신사의 청구 보고서 생성에 이 데이터를 사용합니다. 메시지 내용은 보고 목적으로 저장되지 않습니다. 28일이 지나면 Google은 집계 보고 데이터만 저장하며 이 저장에는 시간 제한이 없습니다. 외부적으로 공유되는 모든 집계 데이터의 수명은 63일입니다.

이동통신사가 수신하는 청구 보고서활동 로그 는 Google 서버에 63일 동안 저장됩니다. 이동통신사 파트너는 이러한 파일을 다운로드하여 필요하다고 판단되는 기간 동안 보관할 수 있습니다.

Google은 RBM 외부에서 최종 사용자 데이터를 사용하나요?

Google은 DPA의 5.2항에 명시된 대로 RBM 서비스를 제공하고 개선하기 위해서만 최종 사용자 데이터를 사용합니다.

예를 들어 Google은 최종 사용자 데이터로 다음 작업을 할 수 있습니다.

하지만 Google은 최종 사용자 데이터로 다음 작업을 하지 않습니다.

  • 메시지 내용을 기반으로 광고 타겟팅 실행
  • 관련 법규에서 요구하는 법 집행 기관을 제외하고 경쟁업체 또는 서드 파티와 메시지 내용 공유

Google에서 비즈니스와 최종 사용자 간의 메시지를 읽은 적이 있나요?

Google 스팸 감지 및 방지 기능은 허용 가능한 사용 정책 위반 여부를 확인하기 위해 비즈니스에서 전송한 메시지 내용을 검사할 수 있습니다. Google은 사용자가 비즈니스에 보낸 메시지 내용에 액세스할 수 없습니다. 하지만 최종 사용자가 대화를 스팸으로 신고하는 경우 다음 안내를 따르세요.

  • 발신자의 정보와 해당 업체에서 보낸 최근 메시지가 Google로 전송되며, 사용자의 이동통신사로도 전송될 수 있습니다.
  • Google 스팸 감지 및 방지 기능은 비즈니스에서 전송한 메시지 내용을 일시적으로 처리하고, 이러한 신호를 사용하여 AI 모델을 학습시켜 스팸 감지 및 방지 기능을 개선할 수 있습니다.
  • Google 직원 및 계약자는 스팸 및 악용에 대한 Google의 보호 기능을 개선하기 위해 스팸 정보를 검토할 수 있습니다. 검토자는 이 정보에 대한 액세스를 30일 동안 제한하고 감사합니다. 스팸 검토를 위해 최종 사용자의 전화번호는 삭제됩니다.

Google은 비즈니스에 최종 사용자에 관한 어떤 정보를 제공하나요?

RBM 대화를 사용 설정하기 위해 Google은 대화에서 최종 사용자를 식별할 수 있도록 최종 사용자의 전화번호를 비즈니스와 공유합니다. 다른 개인 정보는 비즈니스와 공유되지 않습니다.

서비스이용 정책에서 개인 정보 보호 및 보안 섹션은 비즈니스가 자체 고객에 관한 정보를 수집하고 사용하는 기능을 제한하나요?

Google은 비즈니스가 고객에게 서비스를 제공하는 기능을 제한할 의도가 없습니다. RBM API를 통해 생성된 최종 사용자와 비즈니스 간의 대화는 비즈니스의 자체 개인정보처리방침에 따라 비즈니스에서 저장할 수 있습니다.

RBM 서비스 약관에서 다음은 무엇을 의미하나요? '이러한 RBM 약관에 따라 개인 정보 처리를 허용하는 데 필요한 모든 동의를 얻고 유지해야 합니다.'

Google은 RBM을 사용하는 모든 비즈니스가 관련 데이터 및 보안 규정 (예: GDPR)을 준수하고 최종 사용자 데이터를 사용하거나 공유하는 방법을 명확히 설명하는 개인정보처리방침을 제공할 것으로 기대합니다. 개발자는 출시 검토를 위해 에이전트의 개인정보처리방침을 제공해야 합니다.

RBM은 악성 URL로부터 최종 사용자를 어떻게 보호하나요?

최종 사용자를 보호하기 위해 RBM은 Google 세이프 브라우징을 사용하여 메시지의 링크를 검사하고 멀웨어 또는 피싱 링크가 포함된 메시지를 자동으로 차단합니다. 링크가 포함된 메시지가 세이프 브라우징에 의해 차단되지 않으면 메시지 앱에서 링크가 연결되는 위치를 보여주는 썸네일 미리보기를 생성할 수 있습니다.

비즈니스가 감사를 받을 때 Google의 협력

비즈니스는 규정의 적용을 받으며 감사를 받을 수 있습니다. Google은 규정을 준수하나요?

회사가 관련 규정을 준수하는지 확인하는 것은 비즈니스의 책임입니다. Google은 관련 법규에 따라 법 집행 기관 및 규제 기관의 문의에만 답변합니다.

사고 대응

Google은 데이터 유출을 어떻게 처리하나요?

DPA의 7.2항 데이터 사고를 참고하세요.

지원되지 않는 네트워크 기능

RBM에서 지원되지 않는 네트워크 기능은 무엇인가요?

  • 방화벽 통과를 허용하는 커스텀 헤더
  • Google 서비스의 클래스 없는 도메인 간 라우팅 (CIDR) 블록 범위