يجيب هذا المستند عن الأسئلة الشائعة حول أمان بيانات ميزة "الرسائل من الشركات من RCS" والمواضيع ذات الصلة.
RBM هي منصة مراسلة تستخدمها الأنشطة التجارية لإرسال كلمات المرور الصالحة لمرة واحدة (OTP) والتفاعل مع العملاء في حوار حول المعاملات وخدمة العملاء والعروض الترويجية وغير ذلك. توفّر Google واجهة برمجة تطبيقات RBM لعرض الرسائل بين المؤسسات والمستخدمين النهائيين من خلال خوادم Google.
تعمل الأنشطة التجارية عادةً مع شركاء في مجال المراسلة (بما في ذلك مجمّعون وموفّرو "منصة الاتصالات كخدمة" (CPaaS) ومشغّلو شبكات وغيرهم من موفّري حلول RCS) الذين يتصلون بواجهة برمجة التطبيقات من Google لإنشاء وصيانة وكلاء RBM نيابةً عن النشاط التجاري. على الشركاء الذين يريدون استخدام RBM من خلال واجهة برمجة التطبيقات أو Business Communications Developer Console الموافقة على بنود خدمة RBM وسياسة الاستخدام المقبول من Google. بما أنّ Google تعمل بصفتها معالج بيانات، يخضع الشركاء أيضًا لملحق معالجة البيانات من Google.
الشهادات والامتثال
هل حصلت خدمة "المراسلة الغنية" على شهادة اعتماد من أي جهات خارجية؟
تخضع خدمة "المراسلة التفاعلية" وبنية RCS الأساسية من Google لعمليات تدقيق مستقلة سنويًا لضمان الامتثال لمعايير الجودة وأمان البيانات المعترف بها على نطاق واسع. تحمل خدماتنا شهادات ISO 27001 وSOC 2 وSOC 3. يُرجى التواصل مع مدير حسابك إذا كنت تريد الحصول على نُسخ من الشهادات.
هل يمتثل RBM للّائحة العامة لحماية البيانات (GDPR) في الاتحاد الأوروبي؟
مع أنّ معالجة Google للبيانات بصفتها جهة معالجة تتوافق مع "اللائحة العامة لحماية البيانات"، تقع مسؤولية الامتثال لهذه اللائحة على عاتق النشاط التجاري الفردي الذي يستخدم المنصة. كما هو الحال مع معظم قنوات التسويق، تتحمّل الأنشطة التجارية مسؤولية عملياتها الخاصة المتعلقة بجمع البيانات واستخدامها وتخزينها.
هل تتوافق ميزة "المراسلة التفاعلية" مع توجيهات خدمات الدفع 2 (PSD2) الصادرة عن الاتحاد الأوروبي؟
نعم، يتوافق RBM مع توجيه خدمات الدفع (PSD2) الذي يتطلّب المصادقة القوية للعملاء (SCA). بما أنّ RBM مرتبط برقم هاتف المستخدم النهائي الذي تم التحقّق منه وشريحة SIM، فإنّ كلمة المرور الصالحة لمرة واحدة (OTP) التي يتم إرسالها باستخدام RBM تشكّل "عنصر حيازة" متوافقًا مع المصادقة القوية للعملاء (SCA) كما هو موضح من قِبل هيئة الرقابة المصرفية الأوروبية.
معالجة البيانات
ماذا يعني أن تكون Google جهة معالجة بيانات؟
في RBM، تعمل Google كمعالج بيانات، بينما يعمل النشاط التجاري أو الشريك كمسؤول تحكّم بالبيانات. يوضّح ملحق معالجة البيانات أنّ Google هي جهة معالجة بيانات، ويحكم بنود معالجة البيانات نيابةً عن الأنشطة التجارية والشركاء.
هل ينطبق "اتفاقية معالجة البيانات" على جميع المستخدمين النهائيين الذين يتفاعلون مع وكيل RBM؟
نعم، ينطبق قانون حماية البيانات على جميع المستخدمين النهائيين وبياناتهم. صمّمت Google منصة RBM بما يتوافق مع قانون حماية البيانات (DPA) ولضمان حصول جميع المستخدمين النهائيين على المستوى نفسه من أمان البيانات العالي.
تخزين الرسائل وتشفيرها
ما هي البيانات المخزّنة على جهاز المستخدم النهائي؟
يتم تخزين البيانات الوصفية الخاصة بوكلاء RBM والرسائل المتبادلة معهم على جهاز المستخدم النهائي. قد تتضمّن هذه الرسائل معلومات شخصية تمت مشاركتها مع وكيل RBM.
كيف ترتبط "منطقة" الوكيل بتخزين الرسائل؟
تشير المنطقة التي يحدّدها الشريك أثناء إعداد الوكيل إلى الموقع الجغرافي للوكيل (أمريكا الشمالية أو أوروبا أو منطقة آسيا والمحيط الهادئ). تستخدم Google هذه المعلومات لتحديد مكان تخزين بيانات الرسائل وتحسين توجيه زيارات الرسائل إلى الوكيل.
في المنطقة المحدّدة، قد تنتقل البيانات بين مراكز بيانات Google المتعددة لضمان المرونة وقابلية التوسّع، وكما هو مطلوب لمنتج مراسلة عالمي. لأسباب تتعلّق بالأمان والخصوصية، لا تفصح Google عن المواقع الجغرافية المحدّدة لمراكز البيانات هذه. (يُرجى الرجوع إلى اتفاقية معالجة البيانات للحصول على مزيد من المعلومات حول أمان مراكز البيانات والشبكات).
في حال حدوث انقطاع كامل للخدمة في منطقة معيّنة، وهو أمر مستبعد، قد تعالج Google مؤقتًا حركة بيانات الرسائل في منطقة أخرى للحفاظ على توفّر الخدمة. هذا التبديل الاحتياطي هو إجراء مؤقت مصمّم لمنع حدوث انقطاع كامل في الخدمة وضمان تسليم الرسائل.
ما هي بنية المراسلة وتدفّقها في "مراسلة الأنشطة التجارية من خلال خدمات الاتصالات التفاعلية (RCS)"؟ ما هي العناصر التي يتم تشفيرها؟
يتم تشفير الرسائل المُرسَلة بين الأنشطة التجارية والمستخدمين النهائيين بين جهاز المستخدم النهائي وخوادم Google، وبين خوادم Google وشريك المراسلة من خلال واجهة برمجة التطبيقات "المراسلة التجارية عبر خدمات الاتصالات التفاعلية" (RBM) من Google.
يتم تشفير الرسائل على مستوى شبكة Google باستخدام مفاتيح لا يمكن الوصول إليها إلا من خلال مكونات خدمة معيّنة. تتيح مفاتيح التشفير لأنظمة Google فحص المحتوى للتأكّد من الالتزام بالسياسات.
اطّلِع على طريقة العمل للحصول على نظرة عامة حول مسار المراسلة المشفرة تمامًا بين الأطراف وأدوار جميع الجهات المعنية.
هل الرسائل المخزّنة مرمّزة؟
مساحة التخزين على خوادم Google
يتم الاحتفاظ بالرسائل من التطبيقات إلى الأشخاص (A2P) على خوادم Google إذا كان المستلِم غير متصل بالإنترنت. يمكن للمطوّر اختيار إبطال هذه الرسائل وإرسالها عبر قناة أخرى. يتم الاحتفاظ بالرسائل من شخص إلى تطبيق (P2A) على خوادم Google إذا تعذّر على الوكيل تلقّيها. تحتفظ Google بهذه الرسائل لمدة سبعة أيام قبل التخلّي عنها.
يتم تشفير الرسائل المخزّنة على خوادم Google عندما تكون ثابتة في الأجهزة.
لا يمكن لـ Google الوصول إلى الرسائل المخزّنة إلا في الحالات التالية:
- قد تعالج Google مؤقتًا محتوى الرسائل التي ترسلها المؤسسات من أجل رصد الرسائل غير المرغوب فيها وإساءة الاستخدام ومنعهما، وقد تستخدم هذه الإشارات لتدريب نماذج الذكاء الاصطناعي لتحسين ميزة منع الرسائل غير المرغوب فيها ورصدها. لمزيد من المعلومات حول طريقة التعامل مع البيانات في ما يتعلّق بتقارير الرسائل غير المرغوب فيها، يُرجى الاطّلاع على المقالة هل تقرأ Google الرسائل المتبادلة بين المؤسسات والمستخدمين النهائيين؟
- قد تتم مشاركة الرسائل المخزّنة مع وكالات إنفاذ القانون الخارجية بموجب بنود التزامات Google بالامتثال للقانون الساري. يمكنك الرجوع إلى تقرير الشفافية من Google للحصول على مزيد من المعلومات.
ما هي مدة تخزين الرسائل؟
مساحة التخزين على خوادم Google
- مواد عرض وكيل RBM (الشعار والاسم والوصف وما إلى ذلك): يتم تخزينها بشكل دائم في مساحة التخزين العالمية التابعة لـ Google.
- رسائل بين شخص وموظف دعم (رسائل P2A): يتم الاحتفاظ بها على أساس التخزين وإعادة الإرسال لمدة لا تزيد عن سبعة أيام. يتم حذف الرسالة فور أن يتلقّاها وكيل RBM ويؤكّد استلامها.
- رسائل من التطبيقات إلى الأشخاص (رسائل A2P): يتم الاحتفاظ بها إلى حين تسليمها، لمدة تصل إلى 30 يومًا. قبل انقضاء مهلة الـ 30 يومًا، يمكن للوكلاء إبطال الرسائل التي لم يتم تسليمها، والتي تتم إزالتها من قائمة انتظار التسليم وحذفها من خوادم Google. إذا كانت الرسالة التي تم تسليمها تحتوي على ملفات وسائط، يتم تخزين هذه الملفات لمدة 60 يومًا. قد يتم الاحتفاظ برسائل A2P على خوادم Google لمدة 14 يومًا بعد تسليمها لرصد الرسائل غير المرغوب فيها وإساءة الاستخدام ومنعهما.
مساحة التخزين على الأجهزة الجوّالة
يتم تخزين الرسائل على جهاز المستخدم النهائي إلى أن يحذفها أو يغيّر آلية التخزين.
هل تخضع رسائل RBM للتشفير التام بين الأطراف؟
لا، لا يوفّر RBM التشفير التام بين الأطراف. لهذا السبب، لن يظهر رمز القفل في واجهة مستخدم "الرسائل" لمحادثات RBM. ومع ذلك، تستخدم خدمة RBM التشفير من نقطة إلى نقطة لحماية الرسائل أثناء نقلها بين أجهزة المستخدمين وخوادم Google، وكذلك بين خوادم Google وشركاء المراسلة.
ما نوع التشفير المستخدَم في RBM، وهل يمكن لنشاط تجاري التحكّم في المفاتيح المرتبطة به؟
تستخدم خدمة "مراسلات المؤسسات من خلال خدمات الاتصالات التفاعلية" التشفير من نقطة إلى نقطة لحماية الرسائل أثناء انتقالها بين الأجهزة وخوادم Google. لا يمكن للمؤسسات التحكّم في مفاتيح التشفير. تتولّى Google إدارة هذه المفاتيح لأغراض أمنية، بما في ذلك فحص المحتوى الضار، مثل عناوين URL الخاصة بالتصيّد الاحتيالي والبرامج الضارة، وذلك لحماية المستخدمين من المحتوى غير المرغوب فيه. لمزيد من التفاصيل حول الوصول إلى الرسائل ومراجعتها، يُرجى الاطّلاع على المقالة هل تقرأ Google الرسائل المتبادلة بين المؤسسات والمستخدمين النهائيين؟
ما هي الجهات التي يمكنها الوصول إلى رسائل RBM؟ ما هي مسؤولية شركاء المراسلة والأنشطة التجارية ومشغّلي شبكات الجوّال في ضمان أمان البيانات؟
RBM هي تكنولوجيا نقل من Google. تنقل ميزة "مراسلة الأنشطة التجارية من خلال خدمات الاتصالات التفاعلية (RCS)" الرسائل بين المستخدمين النهائيين والوكلاء الذين يمثّلون الأنشطة التجارية. يتم إنشاء هذه الوكلاء وتشغيلهم من قِبل شركاء المراسلة والمؤسسات، وفي بعض الحالات، مشغّلي شبكات الجوّال. يمكن للجهات التي تدير وكلاء مراسلات المؤسسات من خلال خدمات الاتصالات التفاعلية (RBM)، وفي بعض الحالات مشغّلي شبكات الجوّال، الوصول إلى محتوى رسائل مراسلات المؤسسات من خلال خدمات الاتصالات التفاعلية (RBM) من أجل تسليمها، ولأغراض أخرى. يمكن لـ Google أيضًا الوصول إلى محتوى رسائل مراسلات المؤسسات من خلال خدمات الاتصالات التفاعلية (RBM) لتطبيق إجراءات الحماية من الرسائل غير المرغوب فيها وإساءة الاستخدام.
يتحمّل شركاء المراسلة والمؤسسات وشركات الاتصالات كل على حدة مسؤولية الالتزام بجميع المتطلبات ذات الصلة بأمان البيانات والخصوصية واللوائح التنظيمية المحلية.
أمان واجهة برمجة تطبيقات RBM
هل يمكن أن تحصل Google على رموز الدخول التي يرسلها مقدّم خدمة OAuth؟
لا، لا تحصل Google مطلقًا على رموز الدخول المميزة التي يرسلها موفّر OAuth أثناء مصادقة المستخدم. يستخدم بروتوكول OAuth 2.0 PKCE لتأمين عملية المصادقة.
كيف يتم تشفير البيانات بين مطوّر RBM وGoogle؟
يصل المطوّرون إلى واجهة برمجة تطبيقات RBM عبر HTTPS، وهو المعيار العالمي للمعاملات الآمنة على الويب. تتيح واجهة برمجة تطبيقات RBM استخدام بروتوكول أمان طبقة النقل (TLS) الإصدار 1.3 مع خوارزميات التشفير AES 256 وSHA384.
نفِّذ الأمر التالي للتحقّق من سلسلة الشهادات وإصدار TLS والشفرات المتوافقة:
openssl s_client -connect rcsbusinessmessaging.googleapis.com:443
التحقق من رقم الهاتف
للحفاظ على أمان تطبيق "رسائل Google"، كيف تتأكّد Google من أنّ رقم الهاتف لا يزال يخصّ المستخدم الأصلي؟
عملية التحقّق الأولية من رقم الهاتف: تستخدم Google مجموعة متنوعة من التقنيات لتحديد رقم هاتف المستخدم النهائي (أي رقم MSISDN أو رقم دليل المشتركين الدوليين في محطة الجوّال). وتشمل هذه الأساليب الدمج المباشر لواجهة برمجة التطبيقات مع شركات الاتصالات، والرسائل القصيرة SMS المرسَلة من الأجهزة الجوّالة، وطلب إدخال رقم الهاتف من المستخدم النهائي. بعد تحديد رقم الهاتف، قد ترسل Google رسالة SMS غير مرئية تتضمّن كلمة مرور صالحة لمرة واحدة (OTP) للتحقّق من الرقم.
الحفاظ على الأمان بعد عملية التحقّق الأولية: عندما يكون لدى مشغّل شبكة الجوّال عملية دمج مباشرة لواجهة برمجة التطبيقات، يمكنه إرسال خلاصة إلغاء تنشيط شريحة SIM/رقم MSISDN بشكل دوري إلى Google لإيقاف RCS، وبالتالي إيقاف RBM لأرقام الهواتف التي لم تعُد نشطة. قد تراقب Google أيضًا التغييرات في ملكية رقم الهاتف من خلال إشارات الجهاز، مثل إزالة شريحة SIM ونشاطها، ومن خلال إعادة إثبات ملكية رقم الهاتف بشكل دوري.
الخصوصية والأمان
ما هي التقارير التي تقدّمها Google عن وكلاء RBM؟
تتوفّر لدى Google تقارير داخلية حول العدد الإجمالي للمستخدمين النهائيين والرسائل والردود لكل وكيل استنادًا إلى بيانات آخر 28 يومًا. تستخدم Google هذه البيانات لأغراض التشخيص وتحسين النظام وإنشاء تقارير الفوترة لمشغّلي شبكات الجوّال. لا يتم تخزين محتوى الرسائل لأغراض إعداد التقارير. بعد مرور 28 يومًا، تخزّن Google بيانات التقارير المجمَّعة فقط، ولا يوجد حد زمني لهذا التخزين. أي بيانات مجمّعة تتم مشاركتها مع جهات خارجية تكون مدة بقائها (TTL) 63 يومًا.
يتم تخزين تقارير الفوترة وسجلات الأنشطة التي تتلقّاها شركات النقل لمدة 30 يومًا على خوادم Google. قد يختار شركاء مشغّلي شبكات الجوّال تنزيل هذه الملفات والاحتفاظ بها طالما أنّهم يرون ذلك ضروريًا.
هل تستخدم Google بيانات المستخدمين النهائيين خارج RBM؟
تستخدم Google بيانات المستخدمين النهائيين فقط لتقديم خدمة RBM وتحسينها، كما هو موضّح في الفقرة 5.2 من اتفاقية معالجة البيانات.
على سبيل المثال، قد تستخدم Google بيانات المستخدمين النهائيين في ما يلي:
- رصد الرسائل غير المرغوب فيها وعمليات الاحتيال ومنعها
- مشاركة تقارير الفوترة غير المجمّعة وسجلّات الأنشطة مع شركاء مشغّلي شبكات الجوّال
- قياس أداء "المراسلة الغنية للأعمال" وتحسينه للمستخدمين النهائيين والأنشطة التجارية
في إطار هذه الجهود، تشارك Google البيانات المجمَّعة مع الشركاء ليتمكّنوا من تحسين تجربة المراسلة. لمزيد من التفاصيل، يُرجى الاطّلاع على مقالة ما هي التقارير التي تقدّمها Google عن وكلاء RBM؟.
ولكن لن تفعل Google ما يلي ببيانات المستخدمين النهائيين:
- استهداف الإعلانات استنادًا إلى محتوى الرسائل
- مشاركة محتوى الرسائل مع أي منافسين أو جهات خارجية، باستثناء وكالات إنفاذ القانون على النحو المطلوب بموجب القانون الساري
هل تقرأ Google الرسائل بين المؤسسات والمستخدمين النهائيين؟
قد تفحص ميزة "رصد الرسائل غير المرغوب فيها ومنع ظهورها" من Google محتوى الرسائل التي ترسلها المؤسسات بحثًا عن انتهاكات سياسة الاستخدام المقبول. لا يمكن لشركة Google الوصول إلى محتوى أي رسائل يرسلها المستخدمون إلى المؤسسات. ومع ذلك، عندما يُبلغ المستخدم النهائي عن محادثة باعتبارها غير مرغوب فيها، يحدث ما يلي:
- ستتم مشاركة معلومات المُرسِل والرسائل الأخيرة التي أرسلتها المؤسسة مع Google، وقد يتم إرسالها إلى مشغّل شبكة الجوّال.
- قد تعالج مؤقتًا ميزة "رصد الرسائل غير المرغوب فيها ومنع ظهورها" من Google محتوى الرسائل التي ترسلها المؤسسات، وتُستخدم هذه الإشارات لتدريب نماذج الذكاء الاصطناعي لتحسين هذه الميزة.
- يمكن لموظفي Google والمتعاقدين معها مراجعة معلومات الرسائل غير المرغوب فيها للمساعدة في تحسين الميزات التي توفّرها Google للحماية من الرسائل غير المرغوب فيها وإساءة الاستخدام. حصل فريق المراجعين على إمكانية وصول محدود وخاضع للتدقيق إلى هذه المعلومات لمدة 30 يومًا. تم إخفاء رقم هاتف المستخدم النهائي لأغراض مراجعة المحتوى غير المرغوب فيه.
ما هي المعلومات التي تقدّمها Google إلى النشاط التجاري عن المستخدمين النهائيين؟
لتفعيل محادثة RBM، تشارك Google رقم هاتف المستخدم النهائي مع النشاط التجاري لتحديد هوية المستخدم النهائي في المحادثة. ولا تتم مشاركة أي معلومات شخصية أخرى مع النشاط التجاري.
في سياسة الاستخدام المقبول، هل يحدّ قسم "الخصوصية والأمان" من قدرة النشاط التجاري على جمع المعلومات عن عملائه واستخدامها؟
لا تنوي Google تقييد قدرة المؤسسة على تقديم الخدمات لعملائها. يمكن للنشاط التجاري تخزين محادثة بين مستخدم نهائي ونشاط تجاري تم إنشاؤها من خلال واجهة RBM API، وذلك وفقًا لبنود سياسة الخصوصية الخاصة به.
في بنود خدمة RBM، ما المقصود بما يلي؟ "عليك الحصول على أي موافقات مطلوبة والاحتفاظ بها للسماح بمعالجة البيانات الشخصية بموجب "بنود RBM" هذه".
تتوقّع Google من جميع الأنشطة التجارية التي تستخدم RBM الالتزام بلوائح البيانات والأمان ذات الصلة (مثل اللائحة العامة لحماية البيانات) وتقديم سياسة خصوصية توضّح كيفية استخدامها لبيانات المستخدمين النهائيين و/أو مشاركتها. يجب أن يقدّم المطوّر سياسة الخصوصية الخاصة به لكي تتم مراجعة الوكيل قبل إطلاقه.
كيف تحمي خدمة "المراسلة الغنية" المستخدمين النهائيين من عناوين URL الضارة؟
لحماية المستخدمين النهائيين، تستخدم خدمات الاتصالات التفاعلية (RBM) ميزة التصفّح الآمن من Google لفحص الروابط في الرسائل وحظر الرسائل التي تحتوي على برامج ضارة أو روابط تصيّد احتيالي تلقائيًا. إذا لم تحظر ميزة "التصفّح الآمن" رسالة تتضمّن رابطًا، قد ينشئ تطبيق المراسلة معاينة مصغّرة لتوضيح وجهة الرابط.
تعاون Google عند إجراء تدقيق في نشاط تجاري
يخضع نشاطنا التجاري للوائح التنظيمية وقد يتم تدقيقه. هل ستلتزم Google بذلك؟
وتقع على عاتق النشاط التجاري مسؤولية التأكّد من أنّ شركته تستوفي اللوائح التنظيمية ذات الصلة. لن تستجيب Google لاستفسارات جهات إنفاذ القانون والهيئات التنظيمية إلا وفقًا للقانون الساري.
الاستجابة للحوادث
كيف تتعامل Google مع خروقات البيانات؟
يُرجى الرجوع إلى الفقرة 7.2 "الحوادث المتعلّقة بالبيانات" في اتفاقية معالجة البيانات.
إمكانات الشبكة غير المتوافقة
ما هي إمكانات الشبكة غير المتوافقة مع RBM؟
- عناوين مخصّصة للسماح بالمرور عبر جدار الحماية
- نطاقات حظر التوجيه بين المجالات غير الفئوي (CIDR) من خدمات Google