अपडेट: नई सुविधाओं और प्रॉडक्ट के अपडेट के लिए, प्रॉडक्ट की जानकारी देखें.

इस पेज का अनुवाद Cloud Translation API से किया गया है.

आरसीएस बिज़नेस मैसेजिंग (आरबीएम) के लिए डेटा की सुरक्षा

इस दस्तावेज़ में, आरसीएस बिज़नेस मैसेजिंग (आरबीएम) की डेटा सुरक्षा और इससे जुड़े विषयों के बारे में सामान्य सवालों के जवाब दिए गए हैं.

आरबीएम एक मैसेजिंग प्लैटफ़ॉर्म है. ब्रैंड इसका इस्तेमाल, एक बार इस्तेमाल होने वाले पासवर्ड (ओटीपी) भेजने और ग्राहकों को लेन-देन, ग्राहक सेवा, प्रमोशन वगैरह के बारे में बातचीत करने के लिए करते हैं. आरबीएम, Google API की मदद से दिया जाता है और असली उपयोगकर्ताओं को Google के सर्वर की मदद से डिलीवर किया जाता है.

आम तौर पर, ब्रैंड उन पार्टनर (जैसे कि कैरियर, एसएमएस एग्रीगेटर, सीआरएम प्लैटफ़ॉर्म, और बॉट बिल्डर) के साथ काम करते हैं जो ब्रैंड के लिए आरबीएम एजेंट बनाने और उनका रखरखाव करने के लिए Google API से कनेक्ट करते हैं. ऐसे पार्टनर जो एपीआई या Business Communications डेवलपर कंसोल के ज़रिए आरबीएम का इस्तेमाल करना चाहते हैं उन्हें Google की सेवा की शर्तों और उचित इस्तेमाल की नीति से सहमत होना होगा. Google, डेटा प्रोसेसर के तौर पर काम कर रहा है. इसलिए, पार्टनर पर Google की डेटा प्रोसेसिंग अडेंडम भी लागू होती है.

Google, आरबीएम से जुड़े कस्टम या पूरक समझौते में शामिल नहीं होता.

सर्टिफ़िकेशन और अनुपालन

क्या आरबीएम किसी तीसरे पक्ष से सर्टिफ़ाइड है?

आरबीएम और Google के आरसीएस इन्फ़्रास्ट्रक्चर का सालाना ऑडिट किया जाता है, ताकि यह पक्का किया जा सके कि क्वालिटी और डेटा की सुरक्षा से जुड़े मान्यता प्राप्त मानकों का पालन हो रहा है. हमारी सेवाओं के पास ISO 27001, एसओसी 2, और एसओसी 3 के सर्टिफ़िकेशन हैं. अगर आपको सर्टिफ़िकेट की कॉपी चाहिए, तो अपने खाता मैनेजर से संपर्क करें.

क्या आरबीएम, ईयू पेमेंट सर्विसेज़ डायरेक्टिव 2 (PSD2) का पालन करता है?

हां, आरबीएम, PSD2 के मुताबिक है, जिसके लिए कस्टमर ऑथेंटिकेशन (SCA) का मज़बूत ऐक्सेस ज़रूरी है. आरबीएम, असली उपयोगकर्ता के पुष्टि किए गए फ़ोन नंबर और सिम कार्ड से जुड़ा है. इसलिए, आरबीएम का इस्तेमाल करके भेजा गया एक बार इस्तेमाल होने वाला पासवर्ड (ओटीपी) यूरोपियन बैंकिंग अथॉरिटी की दी गई जानकारी के मुताबिक, SCA के "ऑज़िशन एलिमेंट" के मुताबिक होता है.

डेटा प्रोसेसिंग

Google के डेटा प्रोसेसर होने का क्या मतलब है?

आरबीएम के साथ, Google डेटा प्रोसेसर के तौर पर काम करता है और ब्रैंड या पार्टनर, डेटा कंट्रोलर के तौर पर काम करता है. डेटा प्रोसेसिंग अडेंडम (डीपीए) में बताया गया है कि Google, एक डेटा प्रोसेसर है. साथ ही, यह ब्रैंड और पार्टनर की ओर से डेटा मैनेज करने की शर्तों को कंट्रोल करता है.

क्या डीपीए, आरबीएम एजेंट से इंटरैक्ट करने वाले सभी असली उपयोगकर्ताओं पर लागू होता है?

हां, डीपीए सभी असली उपयोगकर्ताओं और उनके डेटा पर लागू होता है. Google ने डीपीए का पालन करने के लिए आरबीएम प्लैटफ़ॉर्म बनाया है. इससे यह पक्का किया जा सके कि सभी असली उपयोगकर्ताओं को एक जैसी डेटा सुरक्षा मिले.

मैसेज स्टोरेज और एन्क्रिप्ट (सुरक्षित) करने का तरीका

असली उपयोगकर्ता के डिवाइस पर कौनसा डेटा सेव किया जाता है?

आरबीएम एजेंट से जुड़ा मेटाडेटा और उनसे भेजे गए मैसेज, उपयोगकर्ता के डिवाइस पर सेव किए जाते हैं. इन मैसेज में आरबीएम एजेंट के साथ शेयर की गई निजी जानकारी शामिल हो सकती है.

एजेंट के "क्षेत्र", मैसेज स्टोरेज से कैसे जुड़ा है?

एजेंट सेटअप करने के दौरान, पार्टनर जिस क्षेत्र की जानकारी देता है वह आरबीएम को बताता है कि एजेंट कहां मौजूद है. Google इस जानकारी का इस्तेमाल यह तय करने के लिए करता है कि मैसेज का डेटा कहां सेव किया जाए. साथ ही, इसका इस्तेमाल एजेंट को मैसेज ट्रैफ़िक के रूट को ऑप्टिमाइज़ करने के लिए भी किया जाता है.

ज़्यादातर मैसेज, बताए गए क्षेत्र में मौजूद डेटा सेंटर में सेव किए जाते हैं (डेटा सेंटर और नेटवर्क की सुरक्षा के बारे में ज़्यादा जानकारी के लिए डीपीए देखें). हालांकि, किसी इलाके के कुछ समय के लिए नेटवर्क उपलब्ध न होने पर, Google मैसेज के ट्रैफ़िक को दोबारा रूट कर सकता है. इसका मतलब है कि मैसेज का डेटा, खास तौर पर एजेंट के बताए गए इलाके में सेव नहीं किया जा सकता.

आरबीएम का मैसेजिंग आर्किटेक्चर और फ़्लो क्या है? कौनसे एलिमेंट एन्क्रिप्ट (सुरक्षित) किए गए हैं?

ब्रैंड और असली उपयोगकर्ताओं के बीच भेजे गए मैसेज को, असली उपयोगकर्ता के डिवाइस और Google के सर्वर के बीच एन्क्रिप्ट (सुरक्षित) किया जाता है. साथ ही, Google के सर्वर और मैसेजिंग पार्टनर के बीच Google के आरसीएस बिज़नेस मैसेजिंग (आरबीएम) एपीआई की मदद से मैसेज एन्क्रिप्ट (सुरक्षित) किए जाते हैं.

आरबीएम मैसेज सेवा, जिसमें एजेंट और आरबीएम के साथ-साथ आरबीएम और असली उपयोगकर्ता के बीच मैसेज एन्क्रिप्ट (सुरक्षित) करने का तरीका दिखाया गया है. आरबीएम प्लैटफ़ॉर्म पर मैसेज पहुंचने पर, मैलवेयर और स्पैम के लिए उनकी जांच की जाती है.

मैसेज को Google के सभी नेटवर्क पर एन्क्रिप्ट (सुरक्षित) किया जाता है. इसके लिए, कुंजियों का इस्तेमाल किया जाता है. इन कुंजियों का इस्तेमाल, सेवा देने वाले चुनिंदा कॉम्पोनेंट पर किया जाता है. एन्क्रिप्ट (सुरक्षित) करने वाली कुंजियां, Google के सिस्टम से नीति के पालन की जांच करने की सुविधा देती हैं.

मैसेज सेवा के शुरू से अंत तक के फ़्लो और इसमें शामिल सभी पक्षों की भूमिकाओं की खास जानकारी के लिए, यह कैसे काम करता है देखें.

क्या स्टोर किए गए मैसेज एन्क्रिप्ट (सुरक्षित) किए गए हैं?

Google सर्वर पर स्टोरेज

Google के सर्वर पर सेव किए गए मैसेज, इस्तेमाल न होने के दौरान भी एन्क्रिप्ट (सुरक्षित) किए जाते हैं. Google, एन्क्रिप्ट (सुरक्षित) किए गए मैसेज सेव करता है, ताकि उन्हें असली उपयोगकर्ता के सभी डिवाइसों पर सिंक किया जा सके. इससे यह पक्का किया जा सकेगा कि पुराने मैसेज नए डिवाइसों पर दिखें.

सेव किए गए मैसेज को ऐक्सेस करने की सुविधा, सिर्फ़ असली उपयोगकर्ता के Google आईडी के पास होती है. ध्यान दें कि ये दो अपवाद हैं:

जब असली उपयोगकर्ता किसी मैसेज को स्पैम के तौर पर रिपोर्ट करता है, तो Google उस स्पैम से जुड़ी जानकारी की समीक्षा कर सकता है. स्पैम रिपोर्ट के लिए डेटा मैनेज करने के तरीके के बारे में ज़्यादा जानने के लिए, क्या Google कभी ब्रैंड और असली उपयोगकर्ताओं के बीच के मैसेज को पढ़ता है? देखें.
लागू कानून का पालन करने के लिए Google की जवाबदेही के तहत, सेव किए गए मैसेज बाहरी कानून प्रवर्तन एजेंसियों के साथ शेयर किए जा सकते हैं. ज़्यादा जानकारी के लिए, Google की पारदर्शिता रिपोर्ट देखें.

मोबाइल डिवाइसों का स्टोरेज

असली उपयोगकर्ता के डिवाइस पर मैसेज एन्क्रिप्ट (सुरक्षित) करने का तरीका, उसके डिवाइस के लिए कॉन्फ़िगर किए गए डिवाइस के एन्क्रिप्शन पर निर्भर करता है. Google के Messages ऐप्लिकेशन के लिए, Google मैसेज के डेटा को सुरक्षित रखने के लिए, डिवाइस पर मौजूद सुरक्षा मॉडल को डिप्लॉय करता है. दूसरे क्लाइंट वेंडर, अलग-अलग सुरक्षा नीतियां लागू कर सकते हैं.

मैसेज कितने समय तक सेव रहते हैं?

Google सर्वर पर स्टोरेज

आरबीएम एजेंट की एसेट (लोगो, नाम, ब्यौरा वगैरह): Google के ग्लोबल स्टोरेज में हमेशा के लिए सेव की जाती हैं.
उपयोगकर्ता-से-एजेंट के मैसेज (P2A मैसेज): इन्हें स्टोर-और-फ़ॉरवर्ड के आधार पर, सात दिनों से ज़्यादा नहीं रखा जाता. आरबीएम एजेंट को जैसे ही मैसेज मिलता है और वह उसे स्वीकार करता है, उसे मिटा दिया जाता है.
एजेंट-टू-उपयोगकर्ता मैसेज (A2P मैसेज): डिलीवर होने तक, 30 दिनों तक रखे जाते हैं. डिलीवर नहीं किए गए मैसेज को डिलीवरी से पहले एजेंट, रद्द कर सकते हैं. अगर मैसेज में इमेज या वीडियो जैसी मीडिया फ़ाइलें हैं, तो ये फ़ाइलें 60 दिनों तक सेव रहती हैं. स्पैम का पता लगाने के लिए, एन्क्रिप्ट किए गए A2P मैसेज को डिलीवरी के 14 दिनों तक Google के सर्वर पर रखा जा सकता है.

मोबाइल डिवाइसों का स्टोरेज

असली उपयोगकर्ता के डिवाइस पर मैसेज तब तक सेव रहते हैं, जब तक कि असली उपयोगकर्ता उन्हें मिटा नहीं देता या स्टोरेज का तरीका नहीं बदलता.

क्या कोई ब्रैंड, Google पर सेव किए गए अपने मैसेज के लिए, एन्क्रिप्ट (सुरक्षित) करने वाली कुंजियों को कंट्रोल कर सकता है?

नहीं, कोई ब्रैंड, एन्क्रिप्शन कुंजियों को कंट्रोल नहीं कर सकता. असली उपयोगकर्ताओं को स्पैम से बचाने के लिए Google को, नुकसान पहुंचाने वाले कॉन्टेंट, जैसे कि फ़िशिंग और मैलवेयर वाले यूआरएल का पता लगाने के लिए मैसेज स्कैन करने होते हैं. Google, मैसेज को स्कैन करने के लिए अपने-आप काम करने वाली सुरक्षा सुविधाओं का इस्तेमाल करता है. कोई व्यक्ति मैसेज के कॉन्टेंट को तब तक ऐक्सेस नहीं कर सकता, जब तक कि असली उपयोगकर्ता किसी बातचीत को स्पैम के तौर पर रिपोर्ट न करता हो. ज़्यादा जानकारी के लिए, क्या Google कभी ब्रैंड और असली उपयोगकर्ताओं के बीच के मैसेज पढ़ता है? देखें.

डेटा को सुरक्षित रखने के लिए पार्टनर और ब्रैंड की क्या ज़िम्मेदारी होती है?

आरबीएम एक सार्वजनिक परिवहन टेक्नोलॉजी है. यह मैसेज को असली उपयोगकर्ताओं और एजेंट के बीच ट्रांसफ़र करता है. आरबीएम एजेंट, Google के बाहर के पार्टनर और ब्रैंड बनाते हैं, ऑपरेट करते हैं, और उन्हें ऐक्सेस करते हैं. इसलिए, ये पार्टियां डेटा की सुरक्षा, निजता, और स्थानीय कानूनी शर्तों को पूरा करने के लिए अपने एजेंट की ज़िम्मेदार हैं.

आरबीएम एपीआई की सुरक्षा

क्या Google, OAuth की सेवा देने वाली कंपनी से भेजे गए ऐक्सेस टोकन ले सकता है?

नहीं, Google को उपयोगकर्ता की पुष्टि करने के दौरान OAuth की सेवा देने वाली कंपनी से भेजे गए ऐक्सेस टोकन कभी नहीं मिलते. OAuth 2.0, पुष्टि करने के फ़्लो को सुरक्षित रखने के लिए, कोड एक्सचेंज के लिए सबूत कुंजी (PKCE) का इस्तेमाल करता है.

आरबीएम डेवलपर और Google के बीच डेटा कैसे एन्क्रिप्ट (सुरक्षित) किया जाता है?

डेवलपर, एचटीटीपीएस पर RBM API (एपीआई) को ऐक्सेस करते हैं, जो सुरक्षित वेब लेन-देन के लिए वैश्विक मानक है. आरबीएम एपीआई, AES 256 और SHA384 साइफ़र वाले TLS 1.3 के साथ काम करता है.

सर्टिफ़िकेट चेन, TLS वर्शन, और साथ काम करने वाले साइफ़र की जांच करने के लिए, नीचे दिया गया कमांड चलाएं:

openssl s_client -connect rcsbusinessmessaging.googleapis.com:443

फ़ोन नंबर का सत्यापन

Google के Messages ऐप्लिकेशन की सुरक्षा बनाए रखने के लिए, Google यह कैसे पुष्टि करता है कि कोई फ़ोन नंबर अब भी उसके मूल उपयोगकर्ता का है?

फ़ोन नंबर की शुरुआती पुष्टि करना: असली उपयोगकर्ता के फ़ोन नंबर की पहचान करने के लिए, Google कई तरह की तकनीकों का इस्तेमाल करता है. जैसे, उनका SDKSDN या मोबाइल स्टेशन इंटरनैशनल सब्सक्राइबर डायरेक्ट्री नंबर. इन तकनीकों में मोबाइल और इंटरनेट सेवा देने वाली कंपनियों के साथ डायरेक्ट एपीआई इंटिग्रेशन, मोबाइल से जनरेट किए गए एसएमएस, और असली उपयोगकर्ता से उनका फ़ोन नंबर डालने के लिए कहना शामिल है. फ़ोन नंबर की पहचान हो जाने के बाद, Google उसकी पुष्टि के लिए एक ऐसा मैसेज (एसएमएस) भेज सकता है जो नहीं दिखता. हालांकि, इसके लिए एक बार इस्तेमाल होने वाला पासवर्ड (ओटीपी) भेजा जाता है.
शुरुआती पुष्टि के बाद सुरक्षा बनाए रखना: अगर मोबाइल और इंटरनेट सेवा देने वाली किसी कंपनी के पास डायरेक्ट एपीआई इंटिग्रेशन है, तो वह समय-समय पर Google को सिम/MSISDN बंद करने वाला फ़ीड भेज सकता है, ताकि आरसीएस को बंद किया जा सके. इससे उन फ़ोन नंबर के लिए आरबीएम बंद हो जाएंगे जो अब चालू नहीं हैं. Google, फ़ोन नंबर के मालिकाना हक में होने वाले बदलावों की निगरानी भी कर सकता है. इसके लिए, डिवाइस से मिले सिग्नल की मदद से, सिम निकालने की प्रक्रिया और सिम की गतिविधि की जानकारी ली जाती है. साथ ही, समय-समय पर फ़ोन नंबर की फिर से पुष्टि की जाती है.

निजता और सुरक्षा

Google, आरबीएम एजेंट पर कौनसी रिपोर्टिंग करता है?

Google के पास पिछले 14 दिनों के डेटा के आधार पर, हर एजेंट के लिए असली उपयोगकर्ताओं, मैसेज, और जवाबों की कुल संख्या से जुड़ी अंदरूनी रिपोर्ट होती है. Google इस डेटा का इस्तेमाल गड़बड़ी की जानकारी, सिस्टम को बेहतर बनाने, और मोबाइल और इंटरनेट सेवा देने वाली कंपनियों के लिए बिलिंग रिपोर्ट जनरेट करने के लिए करता है. मैसेज की सामग्री को शिकायत करने के लिए सेव नहीं किया जाता. 14 दिनों के बाद, Google सिर्फ़ कुल रिपोर्टिंग डेटा सेव करता है. इस स्टोरेज के लिए कोई समयसीमा नहीं दी जाती है. संगठन से बाहर शेयर किए गए किसी भी डेटा की समयसीमा 63 दिन होती है.

मोबाइल और इंटरनेट सेवा देने वाली कंपनियों को मिलने वाली बिलिंग रिपोर्ट और गतिविधि लॉग, Google के सर्वर पर 30 दिनों तक सेव रहते हैं. कैरियर पार्टनर इन फ़ाइलों को डाउनलोड कर सकते हैं और ज़रूरत पड़ने पर इन्हें रोककर रख सकते हैं.

क्या Google, असली उपयोगकर्ता के डेटा का इस्तेमाल आरबीएम के बाहर करता है?

Google, असली उपयोगकर्ता का डेटा सिर्फ़ आरबीएम सेवा देने और उसे बेहतर बनाने के लिए इस्तेमाल करता है, जैसा कि डीपीए के सेक्शन 5.2 में बताया गया है.

उदाहरण के लिए, Google असली उपयोगकर्ता के डेटा के साथ ये काम कर सकता है:

स्पैम और धोखाधड़ी का पता लगाने और रोकने के लिए.
मोबाइल और इंटरनेट सेवा देने वाली कंपनी के पार्टनर के साथ, एग्रीगेट नहीं की गई बिलिंग रिपोर्ट और ऐक्टिविटी लॉग शेयर करें.
असली उपयोगकर्ताओं और ब्रैंड के लिए, आरबीएम परफ़ॉर्मेंस का आकलन करने और उसमें सुधार करने के लिए.
इसके तहत, Google, इकट्ठा किया गया डेटा अपने पार्टनर के साथ शेयर करता है, ताकि वे मैसेज सेवा को बेहतर बना सकें. ज़्यादा जानकारी के लिए, आरबीएम एजेंट पर Google कौनसी रिपोर्टिंग करता है? देखें.

हालांकि, Google, असली उपयोगकर्ता के डेटा के साथ ये काम नहीं करेगा:

मैसेज के कॉन्टेंट के आधार पर विज्ञापन टारगेटिंग करें.
लागू कानून के मुताबिक, कानून प्रवर्तन एजेंसियों के अपवाद के साथ, किसी भी प्रतिस्पर्धी या तीसरे पक्ष के साथ मैसेज का कॉन्टेंट शेयर करें.

क्या Google कभी ब्रैंड और असली उपयोगकर्ताओं के बीच के मैसेज को पढ़ता है?

Google के पास किसी भी मैसेज के कॉन्टेंट का ऐक्सेस तब तक नहीं होता, जब तक कि असली उपयोगकर्ता किसी बातचीत को स्पैम के तौर पर रिपोर्ट नहीं करता. जब असली उपयोगकर्ता स्पैम के तौर पर शिकायत करता है, तो उसे सूचना दी जाती है कि Google के कर्मचारी और कॉन्ट्रैक्टर, स्पैम से जुड़ी जानकारी की समीक्षा कर सकते हैं. इससे Google को स्पैम और बुरे बर्ताव से बचाने में मदद मिलती है. समीक्षा करने वाले लोगों ने 30 दिनों के लिए इस जानकारी के ऐक्सेस पर पाबंदी लगाई है और ऑडिट किया है. स्पैम की समीक्षा के लिए, असली उपयोगकर्ता के फ़ोन नंबर को छिपाने के लिए उसमें बदलाव किया जाता है.

असली उपयोगकर्ता के डेटा की सुरक्षा के लिए Google ने जो कंट्रोल लागू किए हैं उनके बारे में ज़्यादा जानने के लिए, Google की निजता नीति देखें.

Google, असली उपयोगकर्ताओं के बारे में ब्रैंड को कौनसी जानकारी देता है?

आरबीएम बातचीत चालू करने के लिए Google, असली उपयोगकर्ता का टेलीफ़ोन नंबर ब्रैंड के साथ शेयर करता है, ताकि बातचीत में मौजूद असली उपयोगकर्ता की पहचान की जा सके. ब्रैंड के साथ कोई और निजी जानकारी शेयर नहीं की जाती.

उचित इस्तेमाल की नीति के मुताबिक, क्या निजता और सुरक्षा सेक्शन, किसी ब्रैंड के अपने ग्राहकों की जानकारी इकट्ठा करने और उसका इस्तेमाल करने की सुविधा को सीमित करता है?

Google नहीं चाहता कि वह किसी ब्रैंड को खरीदारों को विज्ञापन दिखाने से रोक सके. असली उपयोगकर्ता और आरबीएम एपीआई की मदद से बनाई गई ब्रैंड के बीच हुई बातचीत को ब्रैंड, अपनी निजता नीति की शर्तों के मुताबिक सेव कर सकता है.

सेवा की शर्तों में, नीचे दी गई बातों का क्या मतलब है? “आरबीएम की इन शर्तों के तहत, निजी डेटा को प्रोसेस करने के लिए सभी ज़रूरी सहमति आपको मिल जाएंगी और आप उन्हें बनाए रखेंगे."

Google चाहता है कि आरबीएम का इस्तेमाल करने वाले सभी ब्रैंड, ज़रूरी डेटा और सुरक्षा से जुड़े नियमों (जैसे कि जीडीपीआर) का पालन करें. साथ ही, एक ऐसी निजता नीति उपलब्ध कराएं जिससे साफ़ तौर पर पता चल पाए कि वे असली उपयोगकर्ता के डेटा का इस्तेमाल और/या शेयर कैसे करेंगे. डेवलपर को अपनी निजता नीति उपलब्ध करानी होगी, ताकि किसी एजेंट को लॉन्च की समीक्षा के लिए भेजा जा सके.

किसी ब्रैंड का ऑडिट होने में Google की मदद

हमारा ब्रैंड, नियमों पर निर्भर है और इसका ऑडिट किया जा सकता है. क्या Google नीति का पालन करेगा?

यह पक्का करना ब्रैंड की ज़िम्मेदारी है कि उसकी कंपनी, कानूनों का पालन करे. Google, लागू कानून के दायरे में आने वाले और नियम लागू करने वाले सवालों का जवाब देगा.

घटना से निपटना

Google, डेटा के गलत इस्तेमाल के मामलों से कैसे निपटता है?

डीपीए में सेक्शन 7.2 डेटा इंसिडेंट देखें.

असमर्थित नेटवर्क क्षमताएं

आरबीएम के साथ नेटवर्क की कौनसी सुविधाएं काम नहीं करती हैं?

फ़ायरवॉल पास-थ्रू की अनुमति देने के लिए कस्टम हेडर
बिना क्लास वाले इंटर-डोमेन रूटिंग (सीआईडीआर) ब्लॉक की रेंज, Google की सेवाओं से ली जाती है