RCS Business Messaging (RBM) 数据安全

本文档解答了有关 RCS Business Messaging (RBM) 数据安全和相关主题的常见问题。

RBM 是一个消息平台,商家可通过该平台发送动态密码 (OTP),并就交易、客户服务、促销活动等话题与客户互动。Google 提供了 RBM API,可通过 Google 服务器在企业和最终用户之间传递消息。

通常,企业会与消息服务合作伙伴(包括集合商家、通信平台即服务 [CPaaS] 提供商、运营商和其他 RCS 解决方案提供商)合作,这些合作伙伴会连接到 Google API,代表企业构建和维护 RBM 代理。如需通过 API 或商家通讯开发者控制台使用 RBM,合作伙伴必须同意 Google 的 RBM 服务条款使用限制政策。由于 Google 是数据处理方,因此合作伙伴还受 Google 的数据处理附录约束。

认证和合规性

RBM 是否获得了任何第三方认证?

RBM 和 Google 的 RCS 基础架构每年都会接受独立审核,以确保符合广泛认可的质量和数据安全标准。我们的服务已获得 ISO 27001SOC 2SOC 3 认证。如果您需要证书副本,请与您的客户经理联系。

RBM 是否符合《欧盟支付服务指令 2》(PSD2) 的要求?

是的,RBM 符合 PSD2 的要求,该法案要求进行增强型客户身份验证 (SCA)。由于 RBM 与最终用户的已验证电话号码和 SIM 卡相关联,因此使用 RBM 发送的动态密码 (OTP) 构成了符合要求的 SCA“持有元素”,如 欧洲银行业管理局所述。

数据处理

Google 作为数据处理方意味着什么?

在 RBM 中,Google 充当数据处理方,企业或合作伙伴充当数据控制方。数据处理附录 (DPA) 说明了 Google 是数据处理方,并规定了代表企业和合作伙伴处理数据的条款。

DPA 是否适用于与 RBM 代理互动的所有最终用户?

是,DPA 适用于所有最终用户及其数据。Google 打造 RBM 平台是为了遵守 DPA,并确保所有最终用户都能获得同样高水平的数据安全保障。

邮件存储和加密

最终用户的设备上存储了哪些数据?

有关 RBM 代理的元数据以及与其交换的消息会存储在最终用户的设备上。这些消息可能包含与 RBM 客服人员分享的个人信息。

合作伙伴在代理设置期间指定的区域会告知 RBM 代理所在的位置。Google 会使用这些信息来确定应将消息数据存储在何处,并优化消息流量到代理的路由。

大多数情况下,消息会存储在指定区域内的数据中心中(如需详细了解数据中心和网络安全,请参阅DPA)。不过,如果发生区域性中断,Google 可能会重新路由消息流量。这意味着消息数据可能不会仅存储在代理指定的区域中。

RBM 的消息传递架构和流程是什么?哪些元素会被加密?

商家与最终用户之间发送的消息会在最终用户的设备与 Google 服务器之间以及 Google 服务器与即时通讯合作伙伴之间通过 Google 的 RCS 商务即时通讯 (RBM) API 进行加密。

RBM 消息传递流程,显示代理与 RBM 以及 RBM 与最终用户之间的消息加密。消息到达 RBM 平台后,系统会检查其中是否包含恶意软件和垃圾内容

系统会使用仅特定服务组件可以访问的密钥在 Google 网络中加密消息。借助加密密钥,Google 系统可以进行检查,以确保政策合规性。

如需大致了解端到端消息流程以及涉及的所有方的角色,请参阅运作方式

存储的消息是否会加密?

存储在 Google 服务器上

如果收件人处于离线状态,代理发送给用户 (A2P) 的消息会保留在 Google 服务器上。开发者可以选择撤消这些消息,并通过其他渠道发送。如果客服人员无法接收人与应用之间的消息 (P2A),这些消息会保留在 Google 服务器上。Google 会将这些邮件保留 7 天,然后再将其删除。

存储在 Google 服务器上的消息会经过静态加密。

只有在以下情况下,Google 才有权访问存储的消息:

  • Google 可能会暂时处理商家发送的信息内容,以检测和防范垃圾信息和滥用行为,并可能会使用这些信号训练 AI 模型,以改进垃圾信息防范和检测功能。如需详细了解 Google 如何处理垃圾内容举报中的数据,请参阅 Google 是否会读取商家与最终用户之间的消息?
  • 根据 Google 履行适用法律义务的规定,我们可能会与外部执法机构分享已存储的消息。如需了解详情,请参阅 Google 的透明度报告

消息会存储多长时间?

存储在 Google 服务器上

  • RBM 客服人员素材资源(徽标、名称、说明等):永久存储在全球 Google 存储空间中。
  • 用户与客服人员之间的消息 (P2A 消息):采用存储转发方式,最长保留 7 天。一旦 RBM 客服人员收到并确认消息,系统就会将其删除。
  • 客服人员发送给用户的消息 (A2P 消息):会被暂留,直到送达为止,最长可达 30 天。在 30 天期限之前,客服人员可以撤消未送达的消息,系统会将其从传送队列中移除并从 Google 服务器中删除。如果已传送的消息包含媒体文件,这些文件会存储 60 天。A2P 消息在递送后可能会在 Google 服务器上保留 14 天,以便检测和防范垃圾内容和滥用行为。

移动设备上的存储

在最终用户的设备上,消息会一直存储在该设备上,直到最终用户删除这些消息或更改存储机制。

商家能否控制其在 Google 上存储的消息的加密密钥?

不可以,商家无法控制加密密钥。为了保护最终用户免受垃圾内容的侵扰,Google 需要维护加密密钥,以便扫描 RBM 消息是否包含钓鱼式攻击和恶意软件网址等恶意内容。Google 在扫描消息时会使用自动保护措施。除非最终用户将对话举报为垃圾内容,否则人工无法访问消息内容(如需了解详情,请参阅Google 是否会读取商家与最终用户之间的消息?)。

哪些实体有权访问 RBM 消息?即时通讯合作伙伴、企业和运营商在确保数据安全方面有哪些责任?

RBM 是一种由 Google 提供支持的公交技术。RBM 可在最终用户和代表商家的客服人员之间传送消息。这些客服人员由信息传递合作伙伴、商家(在某些情况下,还有运营商)构建和运营。运营 RBM 代理的实体(在某些情况下,还有运营商)可以出于信息传递和其他目的访问 RBM 信息内容。Google 还可以访问 RBM 信息内容,以便应用垃圾内容和滥用行为防范措施。

即时通讯合作伙伴、企业和运营商各自负责遵守所有相关的数据安全、隐私和当地法规要求。

RBM API 安全性

Google 能否获取 OAuth 提供方发送的访问令牌?

不会,Google 绝不会获取 OAuth 提供程序在用户身份验证期间发送的访问令牌。OAuth 2.0 使用用于代码交换的证明密钥 (PKCE) 来保护身份验证流程。

RBM 开发者与 Google 之间如何加密数据?

开发者通过 HTTPS(安全网络交易的全球标准)访问 RBM API。RBM API 支持使用 AES 256 和 SHA384 加密方式的 TLS 1.3。

运行以下命令可检查证书链、TLS 版本和支持的加密算法:

openssl s_client -connect rcsbusinessmessaging.googleapis.com:443

电话号码验证

为了维护 Google 信息应用的安全性,Google 如何验证电话号码是否仍归原始用户所有?

  • 电话号码的初始验证:Google 会使用多种技术来识别最终用户的电话号码(即 MSISDN,即移动网络国际订阅者目录号)。这些方法包括与运营商直接集成 API、移动发起的短信,以及要求最终用户输入其电话号码。识别出电话号码后,Google 可能会发送一条不可见的动态密码 (OTP) 短信来验证该号码。

  • 在初始验证后维护安全性:当运营商进行直接 API 集成时,他们可以定期向 Google 发送 SIM 卡/MSISDN 停用 Feed,以停用 RCS,从而为不再活跃的电话号码停用 RBM。Google 还可能会通过 SIM 卡取出和 SIM 卡活动等设备信号,以及定期重新验证电话号码,来监控电话号码所有权的变化。

隐私权和安全

Google 会针对 RBM 代理生成哪些报告?

Google 会根据过去 14 天的数据,生成有关每位客服人员的最终用户总数、消息总数和回复总数的内部报告。Google 会使用这些数据进行诊断、改进系统,并为运营商生成结算报告。系统不会出于报告目的存储消息内容。超过 14 天后,Google 只会存储汇总报告数据;这种存储没有时间限制。任何对外分享的汇总数据的存留时间 (TTL) 均为 63 天。

运营商收到的结算报告活动日志会在 Google 的服务器上存储 30 天。运营商合作伙伴可以选择下载这些文件,并在认为必要时保留这些文件。

Google 是否会将最终用户数据用于 RBM 以外的用途?

DPA 第 5.2 节所述,Google 仅会出于提供和改进 RBM 服务的目的使用最终用户数据。

例如,Google 可能会对最终用户数据执行以下操作:

不过,Google 不会对最终用户数据执行以下操作:

  • 根据消息内容进行广告定位。
  • 与任何竞争对手或第三方分享消息内容,但适用法律要求的执法机构除外。

Google 是否会读取商家与最终用户之间的消息?

Google 垃圾信息检测和防范功能可能会扫描商家发送的信息内容,以查看是否违反了使用限制政策。Google 无权访问用户向商家发送的任何消息的内容。不过,当最终用户举报某个对话为垃圾内容时:

  • 系统会将发送者的信息和商家发送的近期信息提供给 Google,也可能会提供给用户的运营商。
  • Google 垃圾信息检测和防范功能可能会暂时处理商家发送的信息内容,并使用这些信号训练 AI 模型,以改进垃圾信息检测和防范功能。
  • Google 员工和承包商可能会审核垃圾信息,以便让 Google 能够更好地防范垃圾信息和滥用行为。人工审核员在 30 天内有权访问这些信息,但访问权限受限且需经过审核。为便于进行垃圾信息审核,我们会隐去最终用户的电话号码。

如需详细了解 Google 为保护最终用户数据而采取的控制措施,请参阅 Google 的隐私权政策

Google 会向商家提供哪些最终用户信息?

为了支持 RBM 对话,Google 会与商家分享最终用户的电话号码,以便在对话中识别最终用户。我们不会与商家分享任何其他个人信息。

可接受的使用政策中,“隐私和安全”部分是否限制了商家收集和使用其自身客户信息的行为?

Google 无意限制商家为客户提供服务。最终用户与商家之间通过 RBM API 创建的对话可以由商家存储,具体取决于商家自己的隐私权政策条款。

RBM 服务条款中,以下内容是什么意思?“您将获得并保有所有必要的同意,以允许根据这些 RBM 条款处理个人数据。”

Google 希望所有使用 RBM 的企业都遵守相关数据和安全法规(例如《一般数据保护条例》[GDPR]),并提供隐私权政策,阐明他们如何使用和/或分享最终用户数据。开发者必须提供代理的隐私权政策,我们才能考虑进行发布审核。

在对商家进行审核时,Google 的配合程度

我们的业务受法规约束,可能会接受审核。Google 是否会遵守该法案?

商家有责任确保其公司符合相关法规。Google 仅会根据适用法律回复执法机构和监管机构的询问。

事件响应

Google 如何处理数据泄露?

请参阅DPA 中的第 7.2 节“数据突发事件”。

不支持的网络功能

RBM 不支持哪些网络功能?

  • 用于允许防火墙穿透的自定义标头
  • Google 服务的无类别域间路由 (CIDR) 地址块范围