به‌روزرسانی‌ها : یادداشت‌های انتشار را برای ویژگی‌های جدید و به‌روزرسانی‌های محصول بررسی کنید. ، روز رسانی : یادداشت های انتشار را برای ویژگی های جدید و به روز رسانی محصول بررسی کنید.

این صفحه به‌وسیله ‏Cloud Translation API‏ ترجمه شده است.

امنیت داده برای RCS Business Messaging (RBM)

این سند به سوالات رایج در مورد امنیت داده پیام‌رسانی تجاری RCS (RBM) و موضوعات مرتبط پاسخ می‌دهد.

RBM یک پلت فرم پیام رسانی است که کسب و کارها از آن برای ارسال گذرواژه های یکبار مصرف (OTP) و تعامل با مشتریان در گفتگو در مورد تراکنش ها، خدمات مشتری، تبلیغات و موارد دیگر استفاده می کنند. Google یک API RBM برای ارسال پیام بین مشاغل و کاربران نهایی از طریق سرورهای Google ارائه می دهد.

معمولاً، کسب‌وکارها با شرکای پیام‌رسان (از جمله جمع‌آوران، ارائه‌دهندگان پلتفرم ارتباطات به‌عنوان سرویس (CPaaS)، شرکت‌های مخابراتی، و سایر ارائه‌دهندگان راه‌حل RCS) کار می‌کنند که به Google API متصل می‌شوند تا عوامل RBM را از طرف کسب‌وکار بسازند و نگهداری کنند. شرکایی که می‌خواهند از RBM از طریق API یا کنسول توسعه‌دهنده ارتباطات تجاری استفاده کنند، باید با شرایط خدمات RBM و خط‌مشی استفاده قابل قبول Google موافقت کنند. از آنجایی که Google به‌عنوان یک پردازشگر داده عمل می‌کند، شرکا نیز توسط ضمیمه پردازش داده‌های Google کنترل می‌شوند.

صدور گواهینامه و انطباق

آیا RBM توسط اشخاص ثالث تایید شده است؟

RBM و زیرساخت RCS Google به طور مستقل به صورت سالانه مورد بازرسی قرار می گیرند تا از انطباق با استانداردهای کیفیت و امنیت داده به طور گسترده به رسمیت شناخته شده اطمینان حاصل شود. خدمات ما دارای گواهینامه های ISO 27001 ، SOC 2 و SOC 3 هستند. در صورت تمایل به کپی از گواهینامه ها با مدیر حساب خود تماس بگیرید.

آیا RBM با دستورالعمل 2 خدمات پرداخت اتحادیه اروپا (PSD2) مطابقت دارد؟

بله، RBM با PSD2 سازگار است که به تأیید اعتبار مشتری قوی (SCA) نیاز دارد. از آنجایی که RBM با شماره تلفن و سیم کارت تأیید شده کاربر نهایی مرتبط است، یک رمز عبور یکبار مصرف (OTP) ارسال شده با استفاده از RBM یک «عنصر مالکیت» مطابق با SCA است که توسط سازمان بانکداری اروپا توصیف شده است.

پردازش داده ها

پردازشگر داده بودن گوگل به چه معناست؟

با RBM، Google به عنوان یک پردازشگر داده و کسب و کار یا شریک به عنوان یک کنترل کننده داده عمل می کند. ضمیمه پردازش داده (DPA) توضیح می‌دهد که Google یک پردازشگر داده است و شرایط ارائه داده‌ها از طرف کسب‌وکارها و شرکا را کنترل می‌کند.

آیا DPA برای همه کاربران نهایی که با یک عامل RBM تعامل دارند اعمال می شود؟

بله، DPA برای همه کاربران نهایی و داده های آنها اعمال می شود. گوگل پلتفرم RBM را برای مطابقت با DPA و اطمینان از اینکه همه کاربران نهایی سطح بالایی از امنیت داده را دریافت می کنند، ساخته است.

ذخیره سازی پیام و رمزگذاری

چه داده هایی در دستگاه کاربر نهایی ذخیره می شود؟

فراداده در مورد عوامل RBM و پیام های مبادله شده با آنها در دستگاه کاربر نهایی ذخیره می شود. این پیام ها ممکن است شامل اطلاعات شخصی به اشتراک گذاشته شده با یک عامل RBM باشد.

ارتباط "منطقه" عامل با ذخیره پیام چیست؟

منطقه ای که یک شریک در هنگام تنظیم عامل مشخص می کند به RBM می گوید که عامل در کجا قرار دارد. Google از این اطلاعات برای تعیین محل ذخیره داده های پیام و بهینه سازی مسیریابی ترافیک پیام به نماینده استفاده می کند.

در بیشتر موارد، پیام ها در مراکز داده در منطقه مشخص شده ذخیره می شوند (برای اطلاعات بیشتر در مورد مرکز داده و امنیت شبکه به DPA مراجعه کنید). با این حال، اگر قطعی منطقه ای رخ دهد، Google ممکن است ترافیک پیام را تغییر مسیر دهد. این بدان معنی است که داده های پیام ممکن است منحصراً در منطقه مشخص شده عامل ذخیره نشود.

معماری و جریان پیام رسانی برای RBM چیست؟ کدام عناصر رمزگذاری شده اند؟

پیام‌هایی که بین کسب‌وکارها و کاربران نهایی ارسال می‌شوند، بین دستگاه کاربر نهایی و سرورهای Google و بین سرورهای Google و شریک پیام‌رسان از طریق API RCS Business Messaging (RBM) Google رمزگذاری می‌شوند.

جریان پیام RBM که رمزگذاری پیام را بین عامل و RBM و بین RBM و کاربر نهایی نشان می دهد. هنگامی که پیام ها به پلتفرم RBM می رسند، از نظر بدافزار و هرزنامه بررسی می شوند

پیام‌ها در سراسر شبکه Google با استفاده از کلیدهایی رمزگذاری می‌شوند که فقط برای مؤلفه‌های خدمات خاصی قابل دسترسی هستند. کلیدهای رمزگذاری بازرسی توسط سیستم های Google را برای مطابقت با خط مشی امکان پذیر می کنند.

برای مروری بر جریان پیام سرتاسر و نقش همه طرف‌های درگیر، به نحوه کارکرد آن مراجعه کنید.

آیا پیام های ذخیره شده رمزگذاری شده اند؟

ذخیره سازی در سرورهای گوگل

اگر گیرنده آفلاین باشد، پیام‌های نماینده به فرد (A2P) در سرورهای Google نگهداری می‌شوند. برنامه‌نویس ممکن است تصمیم بگیرد این پیام‌ها را لغو کند و از طریق کانال دیگری ارسال کند. پیام‌های شخص به برنامه (P2A) در صورتی که نماینده نتواند آنها را دریافت کند در سرورهای Google نگهداری می‌شوند. گوگل این پیام‌ها را به مدت هفت روز قبل از ارسال آن‌ها نگه می‌دارد.

پیام‌های ذخیره شده در سرورهای Google در حالت استراحت رمزگذاری می‌شوند.

دسترسی Google به پیام های ذخیره شده فقط در موارد زیر در دسترس است:

Google ممکن است محتوای پیام‌های ارسال‌شده توسط کسب‌وکارها را برای شناسایی و جلوگیری از هرزنامه و سوء استفاده به‌صورت موقت پردازش کند و ممکن است از این سیگنال‌ها برای آموزش مدل‌های هوش مصنوعی برای بهبود پیشگیری و تشخیص هرزنامه استفاده کند. برای کسب اطلاعات بیشتر در مورد مدیریت داده‌ها برای گزارش‌های هرزنامه، ببینید آیا Google هرگز پیام‌های بین کسب‌وکارها و کاربران نهایی را می‌خواند؟ .
پیام‌های ذخیره‌شده ممکن است با سازمان‌های مجری قانون خارجی بر اساس شرایط تعهدات Google برای رعایت قوانین قابل اجرا به اشتراک گذاشته شود. برای اطلاعات بیشتر به گزارش شفافیت گوگل مراجعه کنید.

پیام ها برای چه مدت ذخیره می شوند؟

ذخیره سازی در سرورهای گوگل

دارایی های عامل RBM (لوگو، نام، توضیحات و غیره): به طور دائم در فضای ذخیره سازی جهانی Google ذخیره می شود.
پیام های شخص به نماینده (پیام های P2A): بیش از هفت روز به صورت ذخیره و باز ارسال می شود. به محض اینکه عامل RBM پیام را دریافت و تأیید کرد، آن پیام حذف می شود.
پیام های نماینده به شخص (پیام های A2P): تا زمان تحویل، حداکثر تا 30 روز نگهداری می شود. قبل از محدودیت 30 روزه، نمایندگان می‌توانند پیام‌های تحویل‌نشده را که از صف تحویل حذف شده و از سرورهای Google حذف می‌شوند، باطل کنند . اگر پیام ارسال شده حاوی فایل های رسانه ای باشد، این فایل ها به مدت 60 روز ذخیره می شوند. پیام‌های A2P ممکن است به مدت 14 روز پس از تحویل در سرورهای Google نگهداری شوند تا هرزنامه و سوء استفاده شناسایی و جلوگیری شود.

ذخیره سازی در دستگاه های تلفن همراه

پیام‌های دستگاه کاربر نهایی در آنجا ذخیره می‌شوند تا زمانی که کاربر نهایی آنها را حذف کند یا مکانیسم ذخیره‌سازی را تغییر دهد.

آیا یک کسب و کار می تواند کلیدهای رمزگذاری پیام های ذخیره شده در Google را کنترل کند؟

نه، یک کسب و کار نمی تواند کلیدهای رمزگذاری را کنترل کند. برای محافظت از کاربران نهایی در برابر هرزنامه، Google باید کلیدهای رمزگذاری را حفظ کند تا پیام‌های RBM را برای یافتن محتوای مخرب اسکن کند، مانند آدرس‌های اینترنتی فیشینگ و بدافزار. Google هنگام اسکن پیام‌ها از محافظ‌های خودکار استفاده می‌کند. محتوای پیام برای انسان قابل دسترسی نیست مگر اینکه کاربر نهایی یک مکالمه را به‌عنوان هرزنامه گزارش کند (برای جزئیات، ببینید آیا Google هرگز پیام‌های بین کسب‌وکارها و کاربران نهایی را می‌خواند؟ ).

کدام نهادها به پیام های RBM دسترسی دارند؟ شرکای پیام‌رسان، کسب‌وکارها و اپراتورها چه مسئولیتی برای تضمین امنیت داده‌ها دارند؟

RBM یک فناوری حمل و نقل است که توسط Google طراحی شده است. RBM پیام‌ها را بین کاربران نهایی و نمایندگانی که کسب‌وکارها را نمایندگی می‌کنند منتقل می‌کند. این نمایندگی‌ها توسط شرکای پیام‌رسان، کسب‌وکارها و در برخی موارد شرکت‌های مخابراتی ساخته و اداره می‌شوند. نهادهایی که عامل‌های RBM و در برخی موارد حامل‌ها را اداره می‌کنند، برای تحویل پیام و اهداف دیگر به محتوای پیام RBM دسترسی دارند. Google همچنین به محتوای پیام RBM دسترسی دارد تا از هرزنامه و سوء استفاده محافظت کند.

شرکای پیام‌رسان، کسب‌وکارها و شرکت‌های مخابراتی به‌طور جداگانه مسئول رعایت تمامی الزامات مربوط به امنیت داده، حریم خصوصی و مقررات محلی هستند.

امنیت RBM API

آیا Google می‌تواند نشانه‌های دسترسی ارسال شده توسط ارائه‌دهنده OAuth را دریافت کند؟

نه، Google هرگز نشانه‌های دسترسی ارسال شده توسط ارائه‌دهنده OAuth را در حین احراز هویت کاربر به دست نمی‌آورد. OAuth 2.0 از Proof Key for Code Exchange ( PKCE ) برای ایمن سازی جریان احراز هویت استفاده می کند.

چگونه داده ها بین یک توسعه دهنده RBM و Google رمزگذاری می شوند؟

توسعه دهندگان به API RBM از طریق HTTPS، استاندارد جهانی برای تراکنش های وب ایمن، دسترسی دارند. RBM API از TLS 1.3 با رمزهای AES 256 و SHA384 پشتیبانی می کند.

دستور زیر را برای بررسی زنجیره گواهی، نسخه TLS و رمزهای پشتیبانی شده اجرا کنید:

openssl s_client -connect rcsbusinessmessaging.googleapis.com:443

تایید شماره تلفن

برای حفظ امنیت برنامه پیام‌های Google، Google چگونه تأیید می‌کند که شماره تلفن همچنان به کاربر اصلی آن تعلق دارد؟

راستی‌آزمایی اولیه شماره تلفن: Google از تکنیک‌های مختلفی برای شناسایی شماره تلفن کاربر نهایی (یعنی MSISDN یا شماره فهرست راهنمای مشترکین بین‌المللی ایستگاه موبایل) استفاده می‌کند. این تکنیک‌ها شامل ادغام مستقیم API با اپراتورها، پیامک‌های منشأ تلفن همراه و درخواست از کاربر نهایی برای وارد کردن شماره تلفن خود است. پس از شناسایی شماره تلفن، Google ممکن است یک پیامک نامرئی رمز عبور یک بار مصرف (OTP) برای تأیید آن ارسال کند.
حفظ امنیت پس از تأیید اولیه: هنگامی که یک شرکت مخابراتی دارای یکپارچگی مستقیم API است، می‌تواند به صورت دوره‌ای یک فید غیرفعال‌سازی SIM/MSISDN به Google ارسال کند تا RCS را غیرفعال کند و در نتیجه RBM را برای شماره‌های تلفنی که دیگر فعال نیستند غیرفعال کند. Google همچنین ممکن است تغییرات مالکیت شماره تلفن را از طریق سیگنال‌های دستگاه مانند حذف سیم‌کارت و فعالیت سیم‌کارت و با تأیید مجدد دوره‌ای شماره تلفن نظارت کند.

حریم خصوصی و امنیت

گوگل چه گزارشی در مورد عوامل RBM انجام می دهد؟

Google گزارش‌های داخلی در مورد تعداد ناخالص کاربران نهایی، پیام‌ها و پاسخ‌ها برای هر نماینده بر اساس داده‌های ۱۴ روز گذشته دارد. Google از این داده‌ها برای تشخیص، بهبود سیستم و تولید گزارش‌های صورت‌حساب برای شرکت‌های مخابراتی استفاده می‌کند. محتوای پیام برای مقاصد گزارش ذخیره نمی شود. بیش از 14 روز، Google فقط داده های گزارش انبوه را ذخیره می کند. هیچ محدودیت زمانی در این ذخیره سازی وجود ندارد. هر داده انبوهی که به صورت خارجی به اشتراک گذاشته می شود، دارای طول عمر TTL (Time to Live) 63 روز است.

گزارش‌های صورت‌حساب و گزارش‌های فعالیتی که شرکت‌های مخابراتی دریافت می‌کنند به مدت 30 روز در سرورهای Google ذخیره می‌شوند. شرکای شرکت مخابراتی ممکن است انتخاب کنند که این فایل ها را دانلود کنند و تا زمانی که لازم بدانند آنها را نگه دارند.

آیا Google از داده های کاربر نهایی خارج از RBM استفاده می کند؟

همانطور که در بخش 5.2 DPA بیان شده است، Google از داده های کاربر نهایی فقط برای ارائه و بهبود سرویس RBM استفاده می کند.

به عنوان مثال، Google ممکن است با داده های کاربر نهایی کارهای زیر را انجام دهد:

شناسایی و جلوگیری از هرزنامه و کلاهبرداری.
گزارش‌های صورت‌حساب تجمیع‌نشده و گزارش‌های فعالیت را با شرکای شرکت مخابراتی به اشتراک بگذارید.
اندازه گیری و بهبود عملکرد RBM برای کاربران نهایی و مشاغل.
به عنوان بخشی از این تلاش، Google داده های جمع آوری شده را با شرکا به اشتراک می گذارد تا آنها بتوانند تجربه پیام رسانی را بهبود بخشند. ببینید گوگل چه گزارش‌هایی در مورد عوامل RBM انجام می‌دهد؟ برای جزئیات

اما گوگل با داده های کاربر نهایی کارهای زیر را انجام نمی دهد:

هدف گذاری تبلیغات را بر اساس محتوای پیام انجام دهید.
محتوای پیام را با هر رقیب یا شخص ثالثی به اشتراک بگذارید، به استثنای سازمان های مجری قانون که طبق قانون قابل اجرا الزامی است.

آیا گوگل تا به حال پیام های بین کسب و کارها و کاربران نهایی را می خواند؟

تشخیص و پیشگیری از هرزنامه Google ممکن است محتوای پیام‌های ارسال شده توسط کسب‌وکارها را برای نقض خط‌مشی استفاده قابل قبول اسکن کند. Google به محتوای هیچ پیامی که کاربران برای کسب و کار ارسال می کنند، دسترسی ندارد. با این حال، وقتی کاربر نهایی یک مکالمه را به عنوان هرزنامه گزارش می‌کند :

اطلاعات فرستنده و پیام‌های اخیر ارسال شده توسط کسب‌وکار به Google می‌رود و ممکن است به شرکت مخابراتی کاربر برود.
تشخیص و پیشگیری از هرزنامه Google ممکن است محتویات پیام‌های ارسال شده توسط کسب‌وکارها را به‌طور موقت پردازش کند و از این سیگنال‌ها برای آموزش مدل‌های هوش مصنوعی برای بهبود تشخیص و پیشگیری از هرزنامه استفاده کند.
کارمندان و پیمانکاران Google ممکن است اطلاعات هرزنامه را بررسی کنند تا به بهبود محافظت Google در برابر هرزنامه و سوء استفاده کمک کنند. بازبینان انسانی دسترسی به این اطلاعات را به مدت 30 روز محدود و ممیزی کرده اند. شماره تلفن کاربر نهایی به منظور بررسی هرزنامه ویرایش شده است.

برای اطلاعات بیشتر درباره کنترل‌هایی که Google برای محافظت از داده‌های کاربر نهایی در نظر گرفته است، به خط‌مشی رازداری Google مراجعه کنید.

گوگل چه اطلاعاتی در مورد کاربران نهایی به کسب و کار ارائه می دهد؟

برای فعال کردن مکالمه RBM، Google شماره تلفن کاربر نهایی را با کسب و کار به اشتراک می گذارد تا کاربر نهایی را در مکالمه شناسایی کند. هیچ اطلاعات شخصی دیگری با کسب و کار به اشتراک گذاشته نمی شود.

در خط مشی استفاده قابل قبول ، آیا بخش حریم خصوصی و امنیت توانایی کسب و کار برای جمع آوری و استفاده از اطلاعات مشتریان خود را محدود می کند؟

گوگل قصد ندارد توانایی کسب و کار را برای ارائه خدمات به مشتریانش محدود کند. مکالمه بین کاربر نهایی و کسب‌وکاری که از طریق RBM API ایجاد می‌شود، می‌تواند توسط کسب‌وکار طبق شرایط خط‌مشی رازداری خودش ذخیره شود.

در شرایط خدمات RBM ، موارد زیر به چه معناست؟ "شما هر گونه رضایت لازم برای اجازه پردازش داده های شخصی تحت این شرایط RBM را دریافت کرده و حفظ خواهید کرد."

Google انتظار دارد همه مشاغلی که از RBM استفاده می کنند به داده ها و مقررات امنیتی مرتبط (مانند GDPR) پایبند باشند و یک خط مشی رازداری ارائه کنند که نحوه استفاده و/یا به اشتراک گذاری داده های کاربر نهایی را روشن کند. یک توسعه‌دهنده باید خط‌مشی رازداری خود را ارائه کند تا عاملی برای بررسی راه‌اندازی در نظر گرفته شود.

همکاری Google در ممیزی کسب و کار

کسب و کار ما تابع مقررات است و ممکن است حسابرسی شود. آیا گوگل رعایت خواهد کرد؟

این مسئولیت کسب و کار است که اطمینان حاصل کند که شرکت آنها مقررات مربوطه را رعایت می کند. Google فقط به درخواست‌های مجری قانون و تنظیم‌کننده مطابق با قانون قابل اجرا پاسخ می‌دهد.

پاسخ حادثه

گوگل چگونه با نقض داده ها برخورد می کند؟

به بخش 7.2 حوادث داده در DPA مراجعه کنید.

قابلیت های شبکه پشتیبانی نشده

چه قابلیت های شبکه ای توسط RBM پشتیبانی نمی شوند؟

هدرهای سفارشی برای اجازه عبور از فایروال
محدوده بلوک مسیریابی بین دامنه‌ای بدون کلاس (CIDR) از سرویس‌های Google است