Actualizaciones: Consulte las notas de la versión para conocer las funciones nuevas y las actualizaciones de productos.

Se usó la API de Cloud Translation para traducir esta página.

Seguridad de los datos para RCS Business Messaging (RBM)

En este documento, se responden preguntas frecuentes sobre la seguridad de los datos de los RCS Business Messaging (RBM) y los temas asociados.

La RBM es una plataforma de mensajería que las empresas usan para enviar contraseñas de un solo uso (OTP) y generar un diálogo con los clientes sobre transacciones, atención al cliente, promociones y mucho más. Google proporciona una API de RBM para entregar mensajes entre las empresas y los usuarios finales a través de los servidores de Google.

Por lo general, las empresas trabajan con socios de mensajería (incluidos agregadores, proveedores de plataformas de comunicaciones como servicio [CPaaS], operadores y otros proveedores de soluciones de RCS) que se conectan a la API de Google para compilar y mantener agentes de RBM en nombre de la empresa. Los socios que deseen usar la RBM a través de la API o la Consola de desarrollador de Comunicaciones Empresariales deben aceptar las Condiciones del Servicio de la RBM y la Política de Uso Aceptable de Google. Debido a que Google actúa como Encargado del Tratamiento de Datos, los socios también se rigen por el Anexo de Tratamiento de Datos de Google.

Certificación y cumplimiento

¿La RBM está certificada por algún tercero?

La RBM y la infraestructura de RCS de Google se auditan de forma independiente todos los años para garantizar el cumplimiento de los estándares de calidad y seguridad de los datos reconocidos. Nuestros servicios cuentan con las certificaciones ISO 27001, SOC 2 y SOC 3. Comunícate con tu administrador de cuentas si quieres obtener copias de los certificados.

¿La RBM cumple con la Segunda Directiva de Servicios de Pago de la UE (PSD2)?

Sí, RBM cumple con la PSD2, que requiere la autenticación reforzada de clientes (SCA). Debido a que la RBM está asociada con el número de teléfono y la tarjeta SIM verificados del usuario final, una contraseña de un solo uso (OTP) que se envía con la RBM constituye un "elemento de posesión" de la SCA conforme a la normativa, como lo describe la Autoridad Bancaria Europea.

Procesamiento de datos

¿Qué significa que Google sea un Encargado del Tratamiento de Datos?

Con la RBM, Google actúa como encargado del tratamiento de datos y la empresa o el socio como responsable del tratamiento de datos. En el Anexo de Tratamiento de Datos (DPA), se explica que Google es un Encargado del Tratamiento de Datos y se establecen las condiciones para el tratamiento de datos en nombre de empresas y socios.

¿El DPA se aplica a todos los usuarios finales que interactúan con un agente de RBM?

Sí, la DPA se aplica a todos los usuarios finales y sus datos. Google creó la plataforma de RBM para cumplir con el DPA y garantizar que todos los usuarios finales reciban el mismo nivel alto de seguridad de los datos.

Almacenamiento y encriptación de mensajes

¿Qué datos se almacenan en el dispositivo del usuario final?

Los metadatos sobre los agentes de RBM y los mensajes que se intercambian con ellos se almacenan en el dispositivo del usuario final. Estos mensajes pueden incluir información personal compartida con un agente de RBM.

¿Cómo se relaciona la "región" del agente con el almacenamiento de mensajes?

La región que especifica un socio durante la configuración del agente le indica a RBM dónde se encuentra el agente. Google usa esta información para determinar dónde se deben almacenar los datos de los mensajes y para optimizar el enrutamiento del tráfico de mensajes al agente.

En su mayoría, los mensajes se almacenan en centros de datos dentro de la región especificada (consulta el DPA para obtener más información sobre la seguridad de los centros de datos y las redes). Sin embargo, Google puede redireccionar el tráfico de mensajes si se produce una interrupción regional. Esto significa que los datos de los mensajes pueden no almacenarse exclusivamente en la región especificada del agente.

¿Cuál es la arquitectura y el flujo de mensajes de RBM? ¿Qué elementos están encriptados?

Los mensajes que se envían entre empresas y usuarios finales se encriptan entre el dispositivo del usuario final y los servidores de Google, y entre los servidores de Google y el socio de mensajería a través de la API de RCS Business Messaging (RBM) de Google.

Flujo de mensajes de RBM que muestra la encriptación de mensajes entre el agente y RBM, y entre RBM y el usuario final. Cuando los mensajes llegan a la plataforma de RBM, se inspeccionan en busca de software malicioso y spam.

Los mensajes se encriptan en la red de Google con claves a las que solo pueden acceder componentes de servicios específicos. Las claves de encriptación permiten que los sistemas de Google las inspeccionen para verificar el cumplimiento de las políticas.

Consulta Cómo funciona para obtener una descripción general del flujo de mensajes de extremo a extremo y los roles de todas las partes involucradas.

¿Los mensajes almacenados están encriptados?

Almacenamiento en los servidores de Google

Los mensajes de agente a persona (A2P) se retienen en los servidores de Google si el destinatario no tiene conexión. El desarrollador puede revocar estos mensajes y enviarlos a través de otro canal. Los mensajes de persona a aplicación (P2A) se retienen en los servidores de Google si el agente no puede recibirlos. Google retiene estos mensajes durante siete días antes de enviarlos.

Los mensajes almacenados en los servidores de Google se encriptan en reposo.

El acceso de Google a los mensajes almacenados solo está disponible en los siguientes casos:

Es posible que Google procese de forma efímera el contenido de los mensajes que envían las empresas para detectar y evitar el spam y el abuso, y que use esos indicadores para entrenar modelos de IA que mejoren la prevención y detección de spam. Para obtener más información sobre el manejo de datos de los informes de spam, consulta ¿Google lee los mensajes entre empresas y usuarios finales?.
Es posible que los mensajes almacenados se compartan con agencias externas de aplicación de la ley en virtud de las obligaciones de Google para cumplir con la legislación aplicable. Consulta el informe de transparencia de Google para obtener más información.

¿Durante cuánto tiempo se almacenan los mensajes?

Almacenamiento en los servidores de Google

Recursos del agente de RBM (logotipo, nombre, descripción, etcétera): Se almacenan de forma persistente en el almacenamiento global de Google.
Mensajes de persona a agente (mensajes P2A): Se almacenan y reenvían durante un máximo de siete días. En cuanto el agente de RBM recibe y confirma el mensaje, este se borra.
Mensajes de agente a persona (mensajes A2P): Se retienen hasta que se entregan, durante un máximo de 30 días. Antes del límite de 30 días, los agentes pueden revocar los mensajes no entregados, que se quitan de la cola de entrega y se borran de los servidores de Google. Si un mensaje entregado contiene archivos multimedia, estos se almacenan durante 60 días. Es posible que los mensajes A2P se retengan en los servidores de Google durante 14 días después de la entrega para detectar y evitar el spam y el abuso.

Almacenamiento en dispositivos móviles

Los mensajes del dispositivo del usuario final se almacenan allí hasta que el usuario final los borra o cambia el mecanismo de almacenamiento.

¿Puede una empresa controlar las claves de encriptación de sus mensajes almacenados en Google?

No, una empresa no puede controlar las claves de encriptación. Para proteger a los usuarios finales del spam, Google debe mantener las claves de encriptación para analizar los mensajes de RBM en busca de contenido malicioso, como URLs de phishing y software malicioso. Google usa protecciones automatizadas cuando analiza los mensajes. Los humanos no pueden acceder al contenido de los mensajes, a menos que el usuario final denuncie una conversación como spam (para obtener más información, consulta ¿Google lee los mensajes entre empresas y usuarios finales?).

¿Qué entidades tienen acceso a los mensajes de RBM? ¿Qué responsabilidad tienen los socios de mensajería, las empresas y las empresas de telecomunicaciones para garantizar la seguridad de los datos?

La RBM es una tecnología de transporte público impulsada por Google. La RBM mueve mensajes entre los usuarios finales y los agentes que representan a las empresas. Estos agentes son creados y operados por socios de mensajería, empresas y, en algunos casos, operadores. Las entidades que operan agentes de RBM y, en algunos casos, los operadores, tienen acceso al contenido de los mensajes de RBM para su entrega y otros fines. Google también tiene acceso al contenido de los mensajes de RBM para aplicar protecciones contra el spam y el abuso.

Los socios de mensajería, las empresas y las empresas de telecomunicaciones son responsables de cumplir de forma individual con todos los requisitos regulatorios locales, de privacidad y de seguridad de los datos relevantes.

Seguridad de la API de RBM

¿Puede Google obtener los tokens de acceso que envía el proveedor de OAuth?

No, Google nunca obtiene los tokens de acceso que envía el proveedor de OAuth durante la autenticación del usuario. OAuth 2.0 usa la clave de prueba para el intercambio de código (PKCE) para proteger el flujo de autenticación.

¿Cómo se encriptan los datos entre un desarrollador de RBM y Google?

Los desarrolladores acceden a la API de RBM a través de HTTPS, el estándar global para transacciones web seguras. La API de RBM admite TLS 1.3 con los algoritmos de cifrado AES 256 y SHA384.

Ejecuta el siguiente comando para verificar la cadena de certificados, la versión de TLS y los algoritmos de cifrado compatibles:

openssl s_client -connect rcsbusinessmessaging.googleapis.com:443

Verificación del número de teléfono

Para mantener la seguridad de la app de Mensajes de Google, ¿cómo verifica Google que un número de teléfono siga perteneciendo a su usuario original?

Verificación inicial del número de teléfono: Google usa una variedad de técnicas para identificar el número de teléfono del usuario final (es decir, su MSISDN o número de directorio de abonados internacionales de estaciones móviles). Estas técnicas incluyen la integración directa de la API con operadores, SMS originados desde dispositivos móviles y pedirle al usuario final que ingrese su número de teléfono. Una vez que se identifique el número de teléfono, es posible que Google envíe un SMS invisible de contraseña de un solo uso (OTP) para verificarlo.
Mantener la seguridad después de la verificación inicial: Cuando un operador tiene una integración directa de la API, puede enviar periódicamente un feed de desactivación de SIM/MSISDN a Google para inhabilitar los RCS y, de esta manera, inhabilitar la RBM para los números de teléfono que ya no están activos. Google también puede supervisar los cambios en la propiedad del número de teléfono a través de indicadores del dispositivo, como la extracción y la actividad de la SIM, y mediante la verificación periódica del número de teléfono.

Privacidad y seguridad

¿Qué informes genera Google sobre los agentes de RBM?

Google tiene informes internos sobre la cantidad total de usuarios finales, mensajes y respuestas de cada agente según los datos de los últimos 14 días. Google usa estos datos para realizar diagnósticos, realizar mejoras en el sistema y generar informes de facturación para las empresas de telecomunicaciones. El contenido de los mensajes no se almacena para generar informes. Después de 14 días, Google solo almacena datos de informes agregados, y no hay límite de tiempo para este almacenamiento. Los datos agregados que se comparten de forma externa tienen un tiempo de actividad (TTL) de 63 días.

Los informes de facturación y los registros de actividad que reciben los operadores se almacenan durante 30 días en los servidores de Google. Los socios operadores pueden descargar estos archivos y mantenerlos durante el tiempo que consideren necesario.

¿Google usa datos de usuarios finales fuera de la RBM?

Google usa los datos del usuario final solo para proporcionar y mejorar el servicio de RBM, como se indica en el artículo 5.2 del DPA.

Por ejemplo, Google puede hacer lo siguiente con los datos del usuario final:

Detecta y evita el spam y el fraude.
Comparte informes de facturación y registros de actividad no agregados con los socios operadores.
Mide y mejora el rendimiento de la RBM para los usuarios finales y las empresas.
Como parte de este esfuerzo, Google comparte datos agregados con los socios para que puedan mejorar la experiencia de mensajería. Consulta ¿Qué informes genera Google sobre los agentes de RBM? para obtener más información.

Sin embargo, Google no hará lo siguiente con los datos de los usuarios finales:

Realizar la segmentación de anuncios en función del contenido de los mensajes
Compartir el contenido de los mensajes con competidores o terceros, a excepción de las agencias de orden público, según lo exija la ley aplicable

¿Google lee los mensajes entre empresas y usuarios finales?

Es posible que la detección y prevención de spam de Google analice el contenido de los mensajes que envían las empresas en busca de incumplimientos de la Política de Uso Aceptable. Google no tiene acceso al contenido de los mensajes que los usuarios envían a las empresas. Sin embargo, cuando el usuario final denuncia una conversación como spam, sucede lo siguiente:

La información del remitente y los mensajes recientes que envió la empresa se enviarán a Google y podrían enviarse al operador del usuario.
Es posible que la detección y prevención de spam de Google procese de forma efímera el contenido de los mensajes que envían las empresas y use esos indicadores para entrenar modelos de IA que mejoren la detección y prevención de spam.
Es posible que los empleados y contratistas de Google revisen la información de spam para ayudar a mejorar las protecciones de Google contra el spam y el abuso. Los revisores humanos restringieron y auditaron el acceso a esta información durante 30 días. El número de teléfono del usuario final se oculta para la revisión de spam.

Para obtener más información sobre los controles que Google tiene implementados para proteger los datos del usuario final, consulta la política de privacidad de Google.

¿Qué información sobre los usuarios finales proporciona Google a la empresa?

Para habilitar una conversación de RBM, Google comparte el número de teléfono del usuario final con la empresa para identificarlo en la conversación. No se comparte información personal con la empresa.

En la Política de Uso Aceptable, ¿la sección Privacidad y Seguridad limita la capacidad de una empresa de recopilar y usar información sobre sus propios clientes?

Google no tiene la intención de restringir la capacidad de una empresa para atender a sus clientes. La empresa puede almacenar una conversación entre un usuario final y una empresa que se crea a través de la API de RBM, de acuerdo con los términos de su propia política de privacidad.

En las Condiciones del Servicio de RBM, ¿qué significa lo siguiente? "Obtendrá y mantendrá todos los consentimientos necesarios para permitir el tratamiento de datos personales en virtud de estas Condiciones de la RBM".

Google espera que todas las empresas que usan la RBM cumplan con las reglamentaciones de datos y seguridad relevantes (como el GDPR) y proporcionen una política de privacidad que aclare cómo usan o comparten los datos del usuario final. Un desarrollador debe proporcionar su política de privacidad para que un agente se considere para la revisión de lanzamiento.

Cooperación de Google cuando se audita una empresa

Nuestra empresa está sujeta a reglamentaciones y puede ser auditada. ¿Google cumplirá con la resolución?

Es responsabilidad de la empresa asegurarse de que cumpla con las reglamentaciones relevantes. Google solo responderá las consultas de las autoridades y los reguladores de acuerdo con la ley aplicable.

Respuesta ante incidentes

¿Cómo maneja Google las violaciones de la seguridad de los datos?

Consulta la sección 7.2 Incidentes de datos en el DPA.

Capacidades de red no admitidas

¿Qué funciones de red no son compatibles con RBM?

Encabezados personalizados para permitir transferencias de firewall
Rangos de bloques de enrutamiento entre dominios sin clases (CIDR) de los servicios de Google