امنیت داده برای RCS برای تجارت

این سند به سوالات رایج در مورد امنیت داده‌های RCS برای کسب‌وکارها و موضوعات مرتبط پاسخ می‌دهد.

RBM یک پلتفرم پیام‌رسان است که کسب‌وکارها از آن برای ارسال رمزهای عبور یکبار مصرف (OTP) و تعامل با مشتریان در گفتگو درباره تراکنش‌ها، خدمات مشتری، تبلیغات و موارد دیگر استفاده می‌کنند. گوگل یک API RBM برای ارسال پیام‌ها بین کسب‌وکارها و کاربران نهایی از طریق سرورهای گوگل ارائه می‌دهد.

معمولاً کسب‌وکارها با شرکای پیام‌رسانی (از جمله تجمیع‌کننده‌ها، ارائه‌دهندگان پلتفرم ارتباطی به عنوان سرویس (CPaaS)، اپراتورها و سایر ارائه‌دهندگان راه‌حل RCS) همکاری می‌کنند که به API گوگل متصل می‌شوند تا از طرف کسب‌وکار، RBM را ایجاد و نگهداری کنند. شرکایی که می‌خواهند از RBM از طریق API یا کنسول توسعه‌دهندگان RCS برای کسب‌وکار استفاده کنند، باید با شرایط خدمات و خط‌مشی استفاده قابل قبول RBM گوگل موافقت کنند. از آنجا که گوگل به عنوان یک پردازنده داده عمل می‌کند، شرکا نیز تحت نظارت ضمیمه پردازش داده گوگل هستند.

صدور گواهینامه و انطباق

آیا RBM توسط اشخاص ثالثی تأیید شده است؟

زیرساخت RBM و RCS گوگل سالانه به طور مستقل مورد حسابرسی قرار می‌گیرند تا از انطباق با استانداردهای کیفیت و امنیت داده‌های شناخته شده اطمینان حاصل شود. خدمات ما دارای گواهینامه‌های ISO 27001 ، SOC 2 و SOC 3 هستند. در صورت تمایل به دریافت کپی گواهینامه‌ها، با مدیر حساب خود تماس بگیرید.

آیا RBM با مقررات عمومی حفاظت از داده‌های اتحادیه اروپا (GDPR) مطابقت دارد؟

اگرچه پردازش داده‌ها توسط گوگل به عنوان یک پردازنده با GDPR سازگار است، اما رعایت GDPR مسئولیت هر کسب‌وکاری است که از این پلتفرم استفاده می‌کند. همانند اکثر کانال‌های بازاریابی، کسب‌وکارها مسئول فرآیندهای خود در زمینه جمع‌آوری داده‌ها، استفاده از داده‌ها و ذخیره‌سازی داده‌ها هستند.

آیا RBM با دستورالعمل خدمات پرداخت اتحادیه اروپا ۲ (PSD2) مطابقت دارد؟

بله، RBM با PSD2 که مستلزم احراز هویت قوی مشتری (SCA) است، سازگار است. از آنجا که RBM با شماره تلفن و سیم کارت تأیید شده کاربر نهایی مرتبط است، رمز عبور یکبار مصرف (OTP) ارسال شده با استفاده از RBM، یک «عنصر مالکیت» مطابق با SCA را تشکیل می‌دهد، همانطور که توسط سازمان بانکداری اروپا شرح داده شده است.

آیا RBM با HIPAA سازگار است؟

خیر، RBM با HIPAA مطابقت ندارد.

محتوای محدود و موارد استفاده

چه نوع موارد استفاده از خدمات درمانی در RBM پشتیبانی می‌شوند؟

RBM از موارد استفاده مرتبط با مراقبت‌های بهداشتی پشتیبانی می‌کند، مشروط بر اینکه اطلاعات سلامت محافظت‌شده (PHI) از چنین پیام‌هایی مستثنی باشد. به عنوان مثال، ارسال یادآوری قرار ملاقات یا اعلانی با پیوندی برای ورود به پورتال امن بیمار پشتیبانی می‌شود. پیام‌های حاوی PHI یا تبلیغ محصولات مراقبت‌های بهداشتی محدود ممنوع است. لیست محصولات و خدمات مرتبط با مراقبت‌های بهداشتی محدود را می‌توانید در سیاست استفاده قابل قبول بیابید.

پردازش داده‌ها

منظور از اینکه گوگل یک پردازشگر داده است چیست؟

با RBM، گوگل به عنوان پردازنده داده و کسب و کار یا شریک به عنوان کنترل کننده داده عمل می‌کند. ضمیمه پردازش داده (DPA) توضیح می‌دهد که گوگل یک پردازنده داده است و شرایط ارائه داده‌ها را از طرف کسب و کارها و شرکا تعیین می‌کند.

آیا DPA برای همه کاربران نهایی که با یک عامل RBM تعامل دارند، اعمال می‌شود؟

بله، DPA برای همه کاربران نهایی و داده‌های آنها اعمال می‌شود. گوگل پلتفرم RBM را برای رعایت DPA و اطمینان از اینکه همه کاربران نهایی سطح بالایی از امنیت داده‌ها را دریافت می‌کنند، ساخته است.

ذخیره‌سازی و رمزگذاری پیام

چه داده‌هایی در دستگاه کاربر نهایی ذخیره می‌شود؟

فراداده‌های مربوط به عامل‌های RBM و پیام‌های رد و بدل شده با آنها در دستگاه کاربر نهایی ذخیره می‌شوند. این پیام‌ها ممکن است شامل اطلاعات شخصی به اشتراک گذاشته شده با یک عامل RBM باشند.

«منطقه» عامل چگونه با ذخیره‌سازی پیام مرتبط است؟

منطقه‌ای که یک شریک در طول راه‌اندازی عامل مشخص می‌کند، به RBM می‌گوید که عامل در کجا قرار دارد (آمریکای شمالی، اروپا یا آسیا و اقیانوسیه). گوگل از این اطلاعات برای تعیین محل ذخیره داده‌های پیام و بهینه‌سازی مسیریابی ترافیک پیام به عامل استفاده می‌کند.

در منطقه مشخص‌شده، داده‌ها ممکن است برای انعطاف‌پذیری، مقیاس‌پذیری و در صورت نیاز برای یک محصول پیام‌رسان جهانی، بین مراکز داده متعدد گوگل جابجا شوند. به دلایل امنیتی و حریم خصوصی، گوگل مکان‌های خاص این مراکز داده را فاش نمی‌کند. (برای اطلاعات بیشتر در مورد امنیت مرکز داده و شبکه به DPA مراجعه کنید.)

در موارد استثنایی قطع کامل منطقه‌ای، گوگل ممکن است به طور موقت ترافیک پیام را در منطقه دیگری پردازش کند تا در دسترس بودن سرویس را حفظ کند. این failover یک اقدام موقت است که برای جلوگیری از اختلال کامل سرویس و اطمینان از تحویل پیام طراحی شده است.

معماری و جریان پیام‌رسانی RCS برای کسب‌وکارها چگونه است؟ کدام عناصر رمزگذاری شده‌اند؟

پیام‌های ارسالی بین کسب‌وکارها و کاربران نهایی، بین دستگاه کاربر نهایی و سرورهای گوگل و بین سرورهای گوگل و شریک پیام‌رسان از طریق API پیام‌رسان تجاری RCS گوگل رمزگذاری می‌شوند.

پیام‌ها در سراسر شبکه گوگل با استفاده از کلیدهایی که فقط برای اجزای خاص سرویس قابل دسترسی هستند، رمزگذاری می‌شوند. کلیدهای رمزگذاری، بازرسی سیستم‌های گوگل را برای انطباق با خط‌مشی‌ها امکان‌پذیر می‌کنند.

برای مرور کلی جریان پیام‌رسانی سرتاسری و نقش‌های همه طرف‌های درگیر، به «نحوه عملکرد» مراجعه کنید.

آیا پیام‌های ذخیره شده رمزگذاری می‌شوند؟

ذخیره سازی در سرورهای گوگل

پیام‌های عامل به شخص (A2P) در صورتی که گیرنده آفلاین باشد، در سرورهای گوگل نگهداری می‌شوند. توسعه‌دهنده می‌تواند این پیام‌ها را لغو کرده و از طریق کانال دیگری ارسال کند. پیام‌های شخص به برنامه (P2A) در صورتی که عامل قادر به دریافت آنها نباشد، در سرورهای گوگل نگهداری می‌شوند. گوگل این پیام‌ها را به مدت هفت روز قبل از حذف آنها نگه می‌دارد.

پیام‌های ذخیره‌شده در سرورهای گوگل در حالت استراحت رمزگذاری می‌شوند.

دسترسی گوگل به پیام‌های ذخیره‌شده فقط در موارد زیر امکان‌پذیر است:

• گوگل ممکن است محتوای پیام‌های ارسالی توسط کسب‌وکارها را برای شناسایی و جلوگیری از هرزنامه و سوءاستفاده به طور موقت پردازش کند و ممکن است از این سیگنال‌ها برای آموزش مدل‌های هوش مصنوعی جهت بهبود پیشگیری و تشخیص هرزنامه استفاده کند. برای کسب اطلاعات بیشتر در مورد مدیریت داده‌ها برای گزارش‌های هرزنامه، به «آیا گوگل تا به حال پیام‌های بین کسب‌وکارها و کاربران نهایی را خوانده است؟» مراجعه کنید.
• پیام‌های ذخیره‌شده ممکن است طبق تعهدات گوگل برای رعایت قوانین مربوطه، با سازمان‌های اجرای قانون خارجی به اشتراک گذاشته شوند. برای اطلاعات بیشتر به گزارش شفافیت گوگل مراجعه کنید.

پیام‌ها تا چه مدت ذخیره می‌شوند؟

ذخیره سازی در سرورهای گوگل

• دارایی‌های عامل RBM (لوگو، نام، توضیحات و غیره): به طور مداوم در فضای ذخیره‌سازی جهانی گوگل ذخیره می‌شوند.
• پیام‌های شخص به نماینده (پیام‌های P2A): به صورت ذخیره و ارسال حداکثر به مدت هفت روز نگهداری می‌شوند. به محض اینکه نماینده RBM پیام را دریافت و تأیید کند، حذف می‌شود.
• پیام‌های عامل به شخص (پیام‌های A2P): تا زمان تحویل، تا 30 روز نگهداری می‌شوند. قبل از محدودیت 30 روزه، عامل‌ها می‌توانند پیام‌های تحویل نشده را لغو کنند که از صف تحویل حذف شده و از سرورهای گوگل حذف می‌شوند. اگر پیام تحویل داده شده حاوی فایل‌های رسانه‌ای باشد، این فایل‌ها به مدت 60 روز ذخیره می‌شوند. پیام‌های A2P ممکن است به مدت 14 روز پس از تحویل در سرورهای گوگل نگهداری شوند تا هرزنامه و سوءاستفاده شناسایی و از آنها جلوگیری شود.

ذخیره‌سازی در دستگاه‌های تلفن همراه

پیام‌های موجود در دستگاه کاربر نهایی تا زمانی که کاربر نهایی آنها را حذف کند یا مکانیزم ذخیره‌سازی را تغییر دهد، در آنجا ذخیره می‌شوند.

آیا RBM به صورت سرتاسری رمزگذاری شده است؟

خیر، RBM رمزگذاری سرتاسری ارائه نمی‌دهد. به همین دلیل است که در رابط کاربری پیام‌ها برای مکالمات RBM، نماد قفل نمایش داده نمی‌شود. با این حال، RBM از رمزگذاری نقطه به نقطه برای محافظت از پیام‌ها هنگام انتقال بین دستگاه‌های کاربر و سرورهای گوگل و همچنین بین سرورهای گوگل و شرکای پیام‌رسان استفاده می‌کند.

چه نوع رمزگذاری برای RBM استفاده می‌شود و آیا یک کسب و کار می‌تواند کلیدهای مرتبط را کنترل کند؟

RBM از رمزگذاری نقطه به نقطه برای محافظت از پیام‌ها هنگام انتقال بین دستگاه‌ها و سرورهای گوگل استفاده می‌کند. کسب‌وکارها نمی‌توانند کلیدهای رمزگذاری را کنترل کنند. گوگل این کلیدها را برای اهداف امنیتی، از جمله اسکن محتوای مخرب مانند فیشینگ و URLهای بدافزار، مدیریت می‌کند تا کاربران را از هرزنامه محافظت کند. برای جزئیات بیشتر در مورد دسترسی به پیام و بررسی آن، به «آیا گوگل تا به حال پیام‌های بین کسب‌وکارها و کاربران نهایی را می‌خواند؟» مراجعه کنید.

کدام نهادها به پیام‌های RBM دسترسی دارند؟ شرکای پیام‌رسان، کسب‌وکارها و اپراتورها چه مسئولیتی در قبال تضمین امنیت داده‌ها دارند؟

RBM یک فناوری حمل و نقل است که توسط گوگل ارائه می‌شود. RBM پیام‌ها را بین کاربران نهایی و نمایندگان کسب‌وکارها جابجا می‌کند. این نمایندگان توسط شرکای پیام‌رسانی، کسب‌وکارها و در برخی موارد اپراتورها ساخته و اداره می‌شوند. نهادهایی که نمایندگان RBM و در برخی موارد اپراتورها را اداره می‌کنند، به محتوای پیام RBM برای ارسال پیام و سایر اهداف دسترسی دارند. گوگل همچنین برای اعمال محافظت در برابر هرزنامه و سوءاستفاده به محتوای پیام RBM دسترسی دارد.

شرکای پیام‌رسان، کسب‌وکارها و اپراتورهای تلفن همراه، به‌طور جداگانه مسئول رعایت کلیه الزامات مربوط به امنیت داده‌ها، حریم خصوصی و مقررات محلی هستند.

امنیت API RBM

آیا گوگل می‌تواند توکن‌های دسترسی ارسال شده توسط ارائه‌دهنده OAuth را دریافت کند؟

خیر، گوگل هرگز توکن‌های دسترسی ارسال شده توسط ارائه‌دهنده OAuth را در طول احراز هویت کاربر دریافت نمی‌کند. OAuth 2.0 از کلید اثبات برای تبادل کد ( PKCE ) برای ایمن‌سازی جریان احراز هویت استفاده می‌کند.

چگونه داده‌ها بین یک توسعه‌دهنده RBM و گوگل رمزگذاری می‌شوند؟

توسعه‌دهندگان از طریق HTTPS، استاندارد جهانی برای تراکنش‌های امن وب، به RBM API دسترسی دارند. RBM API از TLS 1.3 با رمزنگاری‌های AES 256 و SHA384 پشتیبانی می‌کند.

دستور زیر را برای بررسی زنجیره گواهی، نسخه TLS و رمزهای پشتیبانی شده اجرا کنید:

openssl s_client -connect rcsbusinessmessaging.googleapis.com:443

تأیید شماره تلفن

برای حفظ امنیت برنامه پیام‌رسان گوگل، گوگل چگونه تأیید می‌کند که یک شماره تلفن هنوز متعلق به کاربر اصلی آن است؟

• تأیید اولیه شماره تلفن: گوگل از تکنیک‌های متنوعی برای شناسایی شماره تلفن کاربر نهایی (یعنی شماره MSISDN یا شماره راهنمای مشترکین بین‌المللی ایستگاه موبایل) استفاده می‌کند. این تکنیک‌ها شامل ادغام مستقیم API با اپراتورها، پیامک‌های ارسالی از طریق موبایل و درخواست از کاربر نهایی برای وارد کردن شماره تلفن خود است. پس از شناسایی شماره تلفن، گوگل ممکن است یک پیامک نامرئی رمز عبور یکبار مصرف (OTP) برای تأیید آن ارسال کند.

• حفظ امنیت پس از تأیید اولیه: وقتی یک اپراتور با API ادغام مستقیم دارد، می‌تواند به صورت دوره‌ای یک فید غیرفعال‌سازی SIM/MSISDN به گوگل ارسال کند تا RCS را غیرفعال کند و در نتیجه RBM را برای شماره تلفن‌هایی که دیگر فعال نیستند، غیرفعال کند. گوگل همچنین ممکن است تغییرات در مالکیت شماره تلفن را از طریق سیگنال‌های دستگاه مانند حذف سیم‌کارت و فعالیت سیم‌کارت و با تأیید مجدد دوره‌ای شماره تلفن، رصد کند.

حریم خصوصی و امنیت

گوگل چه گزارشی در مورد نمایندگان RBM ارائه می‌دهد؟

گوگل بر اساس داده‌های ۲۸ روز گذشته، گزارش‌های داخلی در مورد تعداد کل کاربران نهایی، پیام‌ها و پاسخ‌ها برای هر اپراتور دارد. گوگل از این داده‌ها برای تشخیص، بهبود سیستم و ایجاد گزارش‌های صورتحساب برای اپراتورها استفاده می‌کند. محتوای پیام‌ها برای اهداف گزارش‌دهی ذخیره نمی‌شوند. پس از ۲۸ روز، گوگل فقط داده‌های گزارش‌دهی تجمیعی را ذخیره می‌کند؛ هیچ محدودیت زمانی برای این ذخیره‌سازی وجود ندارد. هر داده تجمیعی که به صورت خارجی به اشتراک گذاشته شود، دارای طول عمر ۶۳ روزه (TTL) است.

گزارش‌های صورتحساب و گزارش‌های فعالیتی که اپراتورها دریافت می‌کنند، به مدت ۶۳ روز در سرورهای گوگل ذخیره می‌شوند. شرکای اپراتور می‌توانند این فایل‌ها را دانلود کرده و تا زمانی که لازم بدانند، نگه دارند.

آیا گوگل از داده‌های کاربر نهایی خارج از RBM استفاده می‌کند؟

گوگل از داده‌های کاربر نهایی فقط برای ارائه و بهبود سرویس RBM استفاده می‌کند، همانطور که در بخش ۵.۲ از DPA آمده است.

برای مثال، گوگل ممکن است موارد زیر را با داده‌های کاربر نهایی انجام دهد:

• شناسایی و جلوگیری از هرزنامه‌ها و کلاهبرداری‌ها.
• گزارش‌های صورتحساب و گزارش‌های فعالیت تجمیع‌نشده را با شرکای اپراتور به اشتراک بگذارید.
• اندازه‌گیری و بهبود عملکرد RBM برای کاربران نهایی و کسب‌وکارها.
  به عنوان بخشی از این تلاش، گوگل داده‌های جمع‌آوری‌شده را با شرکا به اشتراک می‌گذارد تا آنها بتوانند تجربه پیام‌رسانی را بهبود بخشند. برای جزئیات بیشتر به بخش «گوگل در مورد نمایندگان RBM چه گزارش‌هایی می‌دهد؟» مراجعه کنید.

اما گوگل موارد زیر را با داده‌های کاربر نهایی انجام نخواهد داد:

• هدف‌گیری تبلیغات را بر اساس محتوای پیام انجام دهید.
• محتوای پیام را با رقبا یا اشخاص ثالث به اشتراک نگذارید، به استثنای سازمان‌های اجرای قانون که طبق قانون مربوطه ملزم به رعایت آن هستند.

آیا گوگل تا به حال پیام‌های رد و بدل شده بین کسب‌وکارها و کاربران نهایی را می‌خواند؟

سیستم تشخیص و پیشگیری از هرزنامه گوگل ممکن است محتوای پیام‌های ارسالی توسط کسب‌وکارها را برای یافتن نقض خط‌مشی استفاده قابل قبول اسکن کند. گوگل به محتوای هیچ پیامی که توسط کاربران به کسب‌وکارها ارسال می‌شود دسترسی ندارد. با این حال، هنگامی که کاربر نهایی مکالمه‌ای را به عنوان هرزنامه گزارش می‌دهد :

• اطلاعات فرستنده و پیام‌های اخیر ارسال‌شده توسط کسب‌وکار به گوگل ارسال می‌شود و ممکن است به اپراتور کاربر نیز ارسال شود.
• تشخیص و پیشگیری از هرزنامه گوگل ممکن است به طور موقت محتوای پیام‌های ارسالی توسط کسب‌وکارها را پردازش کند و از آن سیگنال‌ها برای آموزش مدل‌های هوش مصنوعی جهت بهبود تشخیص و پیشگیری از هرزنامه استفاده کند.
• کارمندان و پیمانکاران گوگل ممکن است اطلاعات هرزنامه را برای کمک به بهبود محافظت‌های گوگل در برابر هرزنامه و سوءاستفاده بررسی کنند. بررسی‌کنندگان انسانی دسترسی به این اطلاعات را به مدت 30 روز محدود و حسابرسی کرده‌اند. شماره تلفن کاربر نهایی به منظور بررسی هرزنامه حذف شده است.

گوگل چه اطلاعاتی درباره کاربران نهایی در اختیار کسب‌وکارها قرار می‌دهد؟

برای فعال کردن مکالمه RBM، گوگل شماره تلفن کاربر نهایی را با کسب و کار به اشتراک می‌گذارد تا کاربر نهایی در مکالمه شناسایی شود. هیچ اطلاعات شخصی دیگری با کسب و کار به اشتراک گذاشته نمی‌شود.

آیا در سیاست استفاده قابل قبول ، بخش حریم خصوصی و امنیت، توانایی یک کسب و کار را در جمع‌آوری و استفاده از اطلاعات مشتریان خود محدود می‌کند؟

گوگل قصد ندارد توانایی یک کسب‌وکار را در خدمت‌رسانی به مشتریانش محدود کند. مکالمه‌ای که بین کاربر نهایی و یک کسب‌وکار از طریق RBM API ایجاد می‌شود، می‌تواند طبق شرایط سیاست حفظ حریم خصوصی خود کسب‌وکار، توسط آن کسب‌وکار ذخیره شود.

در شرایط خدمات RBM ، عبارت زیر به چه معناست؟ «شما هرگونه رضایت لازم برای پردازش داده‌های شخصی تحت این شرایط RBM را کسب و حفظ خواهید کرد.»

گوگل از همه کسب‌وکارهایی که از RBM استفاده می‌کنند انتظار دارد که به مقررات مربوط به داده‌ها و امنیت (مانند GDPR) پایبند باشند و یک سیاست حفظ حریم خصوصی ارائه دهند که نحوه استفاده و/یا اشتراک‌گذاری داده‌های کاربر نهایی را روشن کند. یک توسعه‌دهنده باید سیاست حفظ حریم خصوصی خود را ارائه دهد تا یک نماینده برای بررسی راه‌اندازی در نظر گرفته شود.

چگونه RBM از کاربران نهایی در برابر URL های مخرب محافظت می‌کند؟

برای محافظت از کاربران نهایی، RBM از مرور ایمن گوگل برای اسکن لینک‌های موجود در پیام‌ها و مسدود کردن خودکار پیام‌های حاوی بدافزار یا لینک‌های فیشینگ استفاده می‌کند. اگر پیامی حاوی لینک توسط مرور ایمن مسدود نشود، برنامه پیام‌رسان ممکن است یک پیش‌نمایش کوچک ایجاد کند تا نشان دهد لینک به کجا منتهی می‌شود.

همکاری گوگل هنگام حسابرسی یک کسب و کار

کسب و کار ما تابع مقررات است و ممکن است مورد حسابرسی قرار گیرد. آیا گوگل از این مقررات پیروی خواهد کرد؟

این مسئولیت کسب و کار است که اطمینان حاصل کند شرکت آنها مقررات مربوطه را رعایت می‌کند. گوگل فقط مطابق با قوانین مربوطه به سوالات مجریان قانون و نهادهای نظارتی پاسخ خواهد داد.

پاسخ به حادثه

گوگل چگونه با نقض داده‌ها برخورد می‌کند؟

به بخش ۷.۲ رویدادهای داده‌ای در DPA مراجعه کنید.

قابلیت‌های شبکه پشتیبانی نشده

چه قابلیت‌های شبکه‌ای توسط RBM پشتیبانی نمی‌شوند؟

• هدرهای سفارشی برای اجازه عبور از فایروال
• محدوده‌های بلوک مسیریابی بین دامنه‌ای بدون کلاس (CIDR) از سرویس‌های گوگل