Actualizaciones: Consulte las notas de la versión para conocer las funciones nuevas y las actualizaciones de productos.

Se usó la API de Cloud Translation para traducir esta página.

Seguridad de los datos para RCS Business Messaging (RBM)

En este documento, se responden preguntas comunes sobre la seguridad de los datos de RCS Business Messaging (RBM) y los temas asociados.

RBM es una plataforma de mensajería que usan las marcas para enviar contraseñas de un solo uso (OTP) y atraer a los clientes en diálogos sobre transacciones, atención al cliente, promociones y mucho más. RBM se proporciona a través de una API de Google y se entrega a los usuarios finales a través de los servidores de Google.

Por lo general, las marcas trabajan con socios (como operadores, agregadores de SMS, plataformas de CRM y creadores de bots) que se conectan a la API de Google para crear y mantener agentes de RBM en nombre de las marcas. Los socios que deseen usar RBM a través de la API o de Business Communications Developer Console deben aceptar las Condiciones del Servicio y la Política de Uso Aceptable de Google. Debido a que Google actúa como encargado del tratamiento de datos, los socios también se rigen por el Anexo de Procesamiento de Datos de Google.

Google no celebra acuerdos personalizados o complementarios sobre RBM.

Certificación y cumplimiento

¿RBM está certificado por terceros?

Las RBM y la infraestructura de RCS de Google se auditan de forma independiente todos los años para garantizar el cumplimiento de los estándares de calidad y seguridad de los datos ampliamente reconocidos. Nuestros servicios cuentan con las certificaciones ISO 27001, SOC 2 y SOC 3. Si deseas recibir copias de los certificados, comunícate con tu administrador de cuentas.

¿RBM cumple con la Directiva 2 de Servicios de Pago (PSD2) de la UE?

Sí, RBM cumple con la PSD2, que requiere una autenticación sólida de clientes (SCA). Debido a que RBM está asociado con el número de teléfono verificado y la tarjeta SIM del usuario final, una contraseña de un solo uso (OTP) que se envía mediante RBM constituye un "elemento de posesión" de SCA compatible, según lo describe la Autoridad Bancaria Europea.

Procesamiento de datos

¿Qué significa que Google sea un Procesador de Datos?

Con RBM, Google actúa como procesador de datos, y la marca o el socio actúa como controlador de datos. En el Anexo de Tratamiento de Datos (DPA), se explica que Google es un procesador de datos y se rigen las condiciones para transferir datos en nombre de marcas y socios.

¿El APD se aplica a todos los usuarios finales que interactúan con un agente de RBM?

Sí, el DPA se aplica a todos los usuarios finales y sus datos. Google compiló la plataforma de RBM para cumplir con la DPA y garantizar que todos los usuarios finales reciban el mismo nivel de seguridad de los datos.

Almacenamiento y encriptación de mensajes

¿Qué datos se almacenan en el dispositivo del usuario final?

Los metadatos sobre los agentes de RBM y los mensajes que se intercambian con ellos se almacenan en el dispositivo del usuario final. Estos mensajes pueden incluir información personal compartida con un agente de RBM.

¿Cómo se relaciona la “región” del agente con el almacenamiento de mensajes?

La región que especifica un socio durante la configuración del agente le indica a RBM dónde se encuentra el agente. Google usa esta información para determinar dónde se deben almacenar los datos de mensajes y optimizar el enrutamiento del tráfico de mensajes al agente.

En general, los mensajes se almacenan en centros de datos dentro de la región especificada (consulta la DPA para obtener más información sobre los centros de datos y la seguridad de las redes). Sin embargo, Google puede redirigir el tráfico de mensajes si se produce una interrupción regional. Esto significa que los datos del mensaje no se pueden almacenar exclusivamente en la región especificada del agente.

¿Cuál es la arquitectura y el flujo de mensajería de RBM? ¿Qué elementos se encriptan?

Los mensajes que se envían entre las marcas y los usuarios finales se encriptan entre el dispositivo del usuario final y los servidores de Google, así como entre los servidores de Google y el socio de mensajería mediante la API de RCS Business Messaging (RBM) de Google.

Flujo de mensajes de RBM que muestra la encriptación de mensajes entre el agente y RBM, y entre RBM y el usuario final Cuando los mensajes llegan a la plataforma de RBM, se inspeccionan en busca de software malicioso y spam.

Los mensajes se encriptan en toda la red de Google con claves a las que solo pueden acceder componentes específicos del servicio. Las claves de encriptación permiten que los sistemas de Google inspeccionen el cumplimiento de las políticas.

Consulta Cómo funciona para obtener una descripción general del flujo de mensajes de extremo a extremo y las funciones de todas las partes involucradas.

¿Los mensajes almacenados están encriptados?

Almacenamiento en servidores de Google

Los mensajes almacenados en los servidores de Google se encriptan en reposo. Google almacena los mensajes encriptados para que se puedan sincronizar en los dispositivos del usuario final y para garantizar que los mensajes anteriores se muestren en dispositivos nuevos.

El acceso a los mensajes almacenados solo está disponible con el ID de Google del usuario final. Ten en cuenta estas dos excepciones:

Cuando el usuario final denuncia mensajes como spam, Google puede revisar la información correspondiente. Para obtener más información sobre el manejo de datos de informes de spam, consulta ¿Google alguna vez lee mensajes entre marcas y usuarios finales?
Los mensajes almacenados se pueden compartir con agencias de orden público externas de conformidad con las condiciones de las obligaciones de Google de cumplir con las leyes aplicables. Consulta el informe de transparencia de Google para obtener más información.

Almacenamiento en dispositivos móviles

La encriptación de mensajes en el dispositivo del usuario final depende de la encriptación de todo el dispositivo configurada para su dispositivo. En el caso de la app de Mensajes de Google, Google implementa modelos de seguridad en el dispositivo para proteger los datos de los mensajes. Otros proveedores cliente pueden implementar políticas de seguridad diferentes.

¿Por cuánto tiempo se almacenan los mensajes?

Almacenamiento en servidores de Google

Recursos de RBM (logotipo, nombre, descripción, etc.): Se almacenan de forma persistente en el almacenamiento global de Google.
Mensajes de usuario a agente (mensajes P2A): Se conservan y reenvían por no más de siete días. En cuanto el agente de RBM recibe y confirma el mensaje, se borra.
Mensajes de agente a usuario (mensajes A2P): Se conservan hasta la entrega por un máximo de 30 días. Los agentes pueden revocar los mensajes no entregados antes de la entrega. Si los mensajes contienen archivos multimedia, como imágenes o videos, estos se almacenan durante 60 días. Para la detección de spam, los mensajes A2P encriptados pueden retenerse en los servidores de Google durante 14 días después de la entrega.

Almacenamiento en dispositivos móviles

Los mensajes en el dispositivo del usuario final se almacenan allí hasta que este los borra o cambia el mecanismo de almacenamiento.

¿Una marca puede controlar las claves de encriptación para sus mensajes almacenados en Google?

No, las marcas no pueden controlar las claves de encriptación. Para proteger a los usuarios finales del spam, Google debe analizar los mensajes en busca de contenido malicioso, como URLs de suplantación de identidad (phishing) y de software malicioso. Google usa protecciones automáticas para analizar los mensajes. Las personas no pueden acceder al contenido del mensaje, a menos que el usuario final denuncia una conversación como spam (para obtener más información, consulta ¿Google alguna vez lee mensajes entre marcas y usuarios finales?).

¿Qué responsabilidad tienen los socios y las marcas de garantizar la seguridad de los datos?

RBM es una tecnología de transporte público. Mueve mensajes entre usuarios finales y agentes. Debido a que los socios y las marcas fuera de Google compilan y operan los agentes de RBM, y también acceden a ellos, estas partes son responsables de que sus agentes cumplan con los requisitos normativos locales, de seguridad de los datos y de privacidad.

Seguridad de la API de RBM

¿Puede Google obtener los tokens de acceso que envía el proveedor de OAuth?

No, Google nunca obtiene los tokens de acceso que envía el proveedor de OAuth durante la autenticación del usuario. OAuth 2.0 usa la clave de prueba para el intercambio de código (PKCE) a fin de proteger el flujo de autenticación.

¿Cómo se encriptan los datos entre un desarrollador de RBM y Google?

Los desarrolladores acceden a la API de RBM a través de HTTPS, el estándar global para las transacciones web seguras. La API de RBM admite TLS 1.3 con algoritmos de cifrado AES 256 y SHA384.

Ejecuta el siguiente comando para verificar la cadena de certificados, la versión de TLS y los algoritmos de cifrado compatibles:

openssl s_client -connect rcsbusinessmessaging.googleapis.com:443

Verificación del número de teléfono

Para mantener la seguridad de la app de Mensajes de Google, ¿cómo verifica Google que un número de teléfono aún pertenezca a su usuario original?

Verificación inicial del número de teléfono: Google utiliza una variedad de técnicas para identificar el número de teléfono del usuario final (es decir, su MSISDN o el número de directorio de suscriptor internacional de Mobile Station). Estas técnicas incluyen la integración directa de las APIs con operadores, SMSs originados en dispositivos móviles y pedirles al usuario final que ingrese su número de teléfono. Una vez que se identifica el número de teléfono, Google puede enviar un SMS invisible de contraseña de un solo uso (OTP) para verificarlo.
Mantener la seguridad después de la verificación inicial: Cuando un operador tiene una integración directa de la API, puede enviar periódicamente un feed de desactivación de SIM/MSISDN a Google para inhabilitar los RCS y, por lo tanto, inhabilitar RBM para los números de teléfono que ya no están activos. Google también puede supervisar los cambios en la propiedad del número de teléfono mediante señales del dispositivo, como la eliminación y la actividad de la SIM, y mediante una nueva verificación periódica del número de teléfono.

Privacidad y seguridad

¿Qué informes realiza Google sobre los agentes de RBM?

Google tiene informes internos sobre la cantidad bruta de usuarios finales, mensajes y respuestas para cada agente, según los datos de los últimos 14 días. Google usa estos datos para realizar diagnósticos, mejorar el sistema y generar informes de facturación para los proveedores. El contenido de los mensajes no se almacena para la generación de informes. Después de los 14 días, Google solo almacena los datos de informes agregados; no hay límite de tiempo para este almacenamiento. Cualquier dato agregado que se comparta de forma externa tiene una vida útil del tiempo de actividad (TTL) de 63 días.

Los informes de facturación y los registros de actividad que reciben los operadores se almacenan durante 30 días en los servidores de Google. Los socios proveedores pueden optar por descargar estos archivos y conservarlos el tiempo que consideren necesarios.

¿Google usa datos del usuario final fuera de RBM?

Google usa los datos del usuario final solo para proporcionar y mejorar el servicio de RBM, como se indica en la sección 5.2 del DPA.

Por ejemplo, Google puede hacer lo siguiente con los datos del usuario final:

Detectar y evitar el spam y el fraude
Comparte informes de facturación y registros de actividad no agregados con los proveedores asociados.
Mide y mejora el rendimiento de RBM para los usuarios finales y las marcas.
Como parte de este esfuerzo, Google comparte datos agregados con los socios para que puedan mejorar la experiencia de mensajería. Consulta ¿Qué informes realiza Google sobre los agentes de RBM? para obtener más información.

Sin embargo, Google no hará lo siguiente con los datos del usuario final:

Utilice la segmentación de anuncios según el contenido del mensaje.
Comparte el contenido del mensaje con competidores o terceros, a excepción de las agencias de orden público, según lo exija la ley aplicable.

¿Google alguna vez lee mensajes entre marcas y usuarios finales?

Google no tiene acceso al contenido de ningún mensaje, a menos que el usuario final denuncie una conversación como spam. Cuando el usuario final elige denunciar spam, se le notifica que los empleados y contratistas de Google pueden revisar su información sobre spam para mejorar la protección de Google contra el spam y el abuso. Los revisores manuales restringieron y auditaron el acceso a esta información durante 30 días. El número de teléfono del usuario final se oculta para los fines de la revisión de spam.

Si quieres obtener más información sobre los controles que implementa Google para proteger los datos del usuario final, consulta la Política de Privacidad de Google.

¿Qué información sobre los usuarios finales le proporciona Google a la marca?

Para habilitar una conversación de RBM, Google comparte el número de teléfono del usuario final con la marca para identificar al usuario final en la conversación. No se comparte información personal con la marca.

En la Política de Uso Aceptable, ¿la sección Privacidad y Seguridad limita la capacidad de una marca para recopilar y usar información sobre sus propios clientes?

Google no pretende restringir la capacidad de una marca para servir a sus clientes. La marca puede almacenar una conversación entre un usuario final y una marca que se crea a través de la API de RBM, según los términos de su propia política de privacidad.

En las Condiciones del Servicio, ¿qué significa lo siguiente? "Usted obtendrá y mantendrá los consentimientos necesarios para permitir el procesamiento de datos personales en virtud de estas Condiciones de RBM".

Google espera que todas las marcas que usan RBM cumplan con las reglamentaciones de seguridad y datos relevantes (como el GDPR) y que proporcionen una política de privacidad que aclare cómo usan o comparten los datos de los usuarios finales. Un desarrollador debe proporcionar su política de privacidad para que se considere a un agente para la revisión del lanzamiento.

La cooperación de Google durante las auditorías de una marca

Nuestra marca está sujeta a regulaciones y puede ser auditada. ¿Google cumplirá con la política?

Es responsabilidad de la marca asegurarse de que su empresa cumpla con las normativas pertinentes. Google solo responderá a las consultas de las autoridades y los reguladores de conformidad con las leyes aplicables.

Respuesta ante incidentes

¿Cómo maneja Google las violaciones de la seguridad de los datos?

Consulta la sección 7.2 Incidentes de datos en el DPA.

Capacidades de red no compatibles

¿Qué capacidades de red no son compatibles con RBM?

Encabezados personalizados para permitir la transferencia de firewall
Rangos de bloques de enrutamiento entre dominios sin clases (CIDR) de los servicios de Google