업데이트: 출시 노트에서 새로운 기능 및 제품 업데이트를 확인하세요.

이 페이지는 Cloud Translation API를 통해 번역되었습니다.

RCS Business Messaging (RBM)의 데이터 보안

이 문서에서는 RCS Business Messaging (RBM) 데이터 보안 및 관련 주제에 관한 일반적인 질문에 대한 답변을 제공합니다.

RBM은 브랜드에서 일회용 비밀번호 (OTP)를 전송하고 거래, 고객 서비스, 프로모션 등에 관한 대화에 고객을 참여시키기 위해 사용하는 메시지 플랫폼입니다. RBM은 Google API를 통해 제공되며 Google 서버를 통해 최종 사용자에게 제공됩니다.

일반적으로 브랜드는 Google API에 연결하여 브랜드를 대신하여 RBM 에이전트를 빌드하고 유지관리하는 파트너 (예: 이동통신사, SMS 애그리게이터, CRM 플랫폼, 봇 빌더)와 협력합니다. API 또는 비즈니스 커뮤니케이션 개발자 콘솔을 통해 RBM을 사용하려는 파트너는 Google의 서비스 약관 및 서비스이용 정책에 동의해야 합니다. Google이 데이터 프로세서 역할을 하므로 파트너에게도 Google의 데이터 처리 추가 조항이 적용됩니다.

Google은 RBM과 관련하여 맞춤 또는 추가 계약을 체결하지 않습니다.

인증 및 규정 준수

RBM은 서드 파티의 인증을 받았나요?

RBM과 Google의 RCS 인프라는 매년 독립적으로 감사를 받아 널리 인정받는 품질 및 데이터 보안 표준을 준수합니다. Google 서비스는 ISO 27001, SOC 2, SOC 3 인증을 취득했습니다. 인증서 사본을 원하는 경우 계정 관리자에게 문의하세요.

RBM은 EU 결제 서비스 지침 2 (PSD2)를 준수하나요?

예, RBM은 강력한 고객 인증(SCA)이 필요한 PSD2를 준수합니다. RBM은 최종 사용자의 인증된 전화번호 및 SIM 카드와 연결되어 있으므로 RBM을 사용하여 전송된 일회용 비밀번호 (OTP)는 유럽 은행 당국에서 설명한 대로 규정을 준수하는 SCA '소유 요소'로 간주됩니다.

데이터 처리

Google이 데이터 프로세서라는 것은 무엇을 의미하나요?

RBM의 경우 Google이 데이터 프로세서 역할을 하고 브랜드 또는 파트너가 데이터 컨트롤러 역할을 합니다. 데이터 처리 추가 조항(DPA)에는 Google이 데이터 프로세서이며 브랜드 및 파트너를 대신하여 데이터를 처리하는 약관이 적용됩니다.

DPA는 RBM 상담사와 상호작용하는 모든 최종 사용자에게 적용되나요?

예. DPA는 모든 최종 사용자 및 최종 사용자 데이터에 적용됩니다. Google은 DPA를 준수하고 모든 최종 사용자에게 동일한 높은 수준의 데이터 보안이 적용되도록 RBM 플랫폼을 구축했습니다.

메시지 저장 및 암호화

최종 사용자의 기기에는 어떤 데이터가 저장되나요?

RBM 에이전트 및 RBM 에이전트와 주고받은 메시지에 관한 메타데이터는 최종 사용자의 기기에 저장됩니다. 이러한 메시지에는 RBM 에이전트와 공유된 개인 정보가 포함될 수 있습니다.

에이전트의 '리전'은 메시지 스토리지와 어떤 관련이 있나요?

에이전트 설정 중에 파트너가 지정하는 리전은 에이전트의 위치를 RBM에 알려줍니다. Google은 이 정보를 사용하여 메시지 데이터를 저장할 위치를 결정하고 에이전트에 대한 메시지 트래픽의 라우팅을 최적화합니다.

대부분의 경우 메시지는 지정된 리전 내 데이터 센터에 저장됩니다 (데이터 센터 및 네트워크 보안에 대한 자세한 내용은 DPA 참조). 하지만 리전별 서비스 중단이 발생하면 Google은 메시지 트래픽의 경로를 변경할 수 있습니다. 즉, 메시지 데이터가 에이전트의 지정된 리전에만 저장되지 않을 수 있습니다.

RBM의 메시지 아키텍처와 흐름은 무엇인가요? 어떤 요소가 암호화되나요?

브랜드와 최종 사용자 간에 전송되는 메시지는 최종 사용자 기기와 Google 서버 간에, Google 서버와 메시지 파트너 간에 Google의 RCS Business Messaging (RBM) API를 통해 암호화됩니다.

에이전트와 RBM, RBM과 최종 사용자 간의 메시지 암호화를 보여주는 RBM 메시지 흐름 메시지가 RBM 플랫폼에 도달하면 멀웨어 및 스팸 검사를 거칩니다.

메시지는 특정 서비스 구성요소에서만 액세스할 수 있는 키를 사용하여 Google 네트워크에서 암호화됩니다. 암호화 키를 사용하면 Google 시스템에서 정책 준수 여부를 검사할 수 있습니다.

엔드 투 엔드 메시지 흐름 및 관련된 모든 당사자의 역할에 대한 개요는 작동 방식을 참조하세요.

저장된 메시지는 암호화되나요?

Google 서버의 스토리지

Google 서버에 저장된 메시지는 암호화되어 저장됩니다. Google은 암호화된 메시지를 저장하여 최종 사용자의 기기 간에 동기화하고 이전 메시지가 새 기기에 표시되도록 합니다.

최종 사용자의 Google ID가 있어야 저장된 메시지에 액세스할 수 있습니다. 다음 두 가지 예외에 유의하세요.

최종 사용자가 메시지를 스팸으로 신고하면 Google에서 스팸 정보를 검토할 수 있습니다. 스팸 신고를 위한 데이터 처리에 관한 자세한 내용은 Google에서 브랜드와 최종 사용자 간의 메시지를 읽나요?를 참고하세요.
저장된 메시지는 관련 법 준수에 대한 Google의 의무 조항에 따라 외부 법 집행 기관과 공유될 수 있습니다. 자세한 내용은 Google의 투명성 보고서를 참조하세요.

휴대기기의 저장용량

최종 사용자 기기의 메시지 암호화는 기기에 구성된 기기 전체 암호화에 따라 달라집니다. Google 메시지 앱의 경우 Google은 메시지 데이터를 보호하기 위해 기기 내 보안 모델을 배포합니다. 다른 클라이언트 공급업체는 다른 보안 정책을 구현할 수 있습니다.

메시지는 얼마 동안 저장되나요?

Google 서버의 스토리지

RBM 에이전트 애셋 (로고, 이름, 설명 등): 전역 Google 스토리지에 영구적으로 저장됩니다.
사용자-에이전트 메시지 (P2A 메시지): 저장 후 전달 방식으로 7일 이상 보관됩니다. RBM 에이전트가 메시지를 수신하고 확인하는 즉시 삭제됩니다.
상담사와 사용자 간 메시지 (A2P 메시지): 전송될 때까지 최대 30일 동안 보류됩니다. 전송되지 않은 메시지는 전달 전에 상담사가 취소할 수 있습니다. 메시지에 이미지 또는 동영상과 같은 미디어 파일이 포함된 경우 이러한 파일은 60일 동안 저장됩니다. 스팸 감지를 위해 암호화된 A2P 메시지는 전송 후 14일 동안 Google 서버에 보관할 수 있습니다.

휴대기기의 저장용량

최종 사용자 기기의 메시지는 최종 사용자가 삭제하거나 저장 메커니즘을 변경할 때까지 기기에 저장됩니다.

브랜드가 Google에 저장된 메일의 암호화 키를 관리할 수 있나요?

아니요. 브랜드는 암호화 키를 제어할 수 없습니다. 최종 사용자를 스팸으로부터 보호하기 위해 Google은 메시지에 피싱 및 멀웨어 URL과 같은 악성 콘텐츠가 있는지 검사해야 합니다. Google은 자동 보호 기능을 사용하여 메시지를 검사합니다. 최종 사용자가 대화를 스팸으로 신고하지 않는 한 사람이 메시지 내용에 액세스할 수 없습니다. 자세한 내용은 Google에서 브랜드와 최종 사용자 간의 메시지를 읽나요?를 참고하세요.

데이터 보안을 보장하기 위해 파트너와 브랜드는 어떤 책임을 져야 할까요?

RBM은 운송 기술입니다. 최종 사용자와 상담사 간에 메시지를 이동합니다. RBM 에이전트는 Google 외부의 파트너 및 브랜드에 의해 빌드, 운영, 액세스되므로 데이터 보안, 개인 정보 보호, 현지 규제 요구사항을 충족하는 에이전트의 책임입니다.

RBM API 보안

OAuth 제공업체에서 보낸 액세스 토큰을 Google이 가져올 수 있나요?

아니요. Google은 사용자 인증 시 OAuth 제공업체에서 보낸 액세스 토큰을 받지 않습니다. OAuth 2.0은 PKCE (Proof Key for Code Exchange)를 사용하여 인증 흐름을 보호합니다.

RBM 개발자와 Google 간에 데이터를 어떻게 암호화하나요?

개발자는 안전한 웹 트랜잭션을 위한 글로벌 표준인 HTTPS를 통해 RBM API에 액세스합니다. RBM API는 AES 256 및 SHA384 암호화를 사용하는 TLS 1.3을 지원합니다.

다음 명령어를 실행하여 인증서 체인, TLS 버전, 지원되는 암호화를 확인합니다.

openssl s_client -connect rcsbusinessmessaging.googleapis.com:443

전화번호 확인

Google 메시지 앱의 보안을 유지하기 위해 Google에서는 전화번호가 여전히 원래 사용자의 것인지 어떻게 확인하나요?

전화번호 초기 인증: Google은 다양한 기술을 사용하여 최종 사용자의 전화번호를 식별합니다 (MSIDN 또는 모바일 스테이션 국제 가입자 디렉터리 번호 등). 이러한 기법에는 이동통신사와의 직접 API 통합, 모바일에서 시작된 SMS, 최종 사용자에게 전화번호를 입력하도록 요청하는 기능 등이 있습니다. 전화번호가 식별되면 Google은 표시되지 않는 일회용 비밀번호 (OTP) SMS를 전송하여 이를 확인할 수 있습니다.
초기 인증 후 보안 유지: 이동통신사가 직접 API 통합을 제공하는 경우 주기적으로 Google에 SIM/MSISDN 비활성화 피드를 전송하여 RCS를 사용 중지하고 더 이상 활성 상태가 아닌 전화번호의 RBM을 사용 중지할 수 있습니다. 또한 Google은 SIM 제거 및 SIM 활동과 같은 기기 신호를 통해, 그리고 주기적으로 전화번호를 재인증하여 전화번호 소유권의 변경사항을 모니터링할 수도 있습니다.

개인 정보 보호 및 보안

Google은 RBM 상담사에 대해 어떤 보고를 하나요?

Google은 지난 14일 동안의 데이터를 기반으로 각 에이전트의 최종 사용자, 메시지, 응답의 총수에 관한 내부 보고를 제공합니다. Google은 이 데이터를 진단, 시스템 개선, 이동통신사 결제 보고서 생성에 사용합니다. 메시지 콘텐츠는 보고 목적으로 저장되지 않습니다. 14일이 지나면 Google은 집계 보고 데이터만 저장합니다. 이 저장에는 시간 제한이 없습니다. 외부에 공유되는 모든 집계 데이터의 TTL (수명) 수명은 63일입니다.

이동통신사가 수신하는 결제 보고서 및 활동 로그는 Google 서버에 30일 동안 저장됩니다. 이동통신사 파트너는 이러한 파일을 다운로드하여 필요한 기간 동안 보관할 수 있습니다.

Google은 RBM 외부에서 최종 사용자 데이터를 사용하나요?

Google은 DPA의 5.2항에 명시된 바와 같이 RBM 서비스를 제공하고 개선하기 위한 목적으로만 최종 사용자 데이터를 사용합니다.

예를 들어 Google은 최종 사용자 데이터로 다음을 할 수 있습니다.

스팸 및 사기를 감지하고 방지합니다.
집계되지 않은 결제 보고서 및 활동 로그를 이동통신사 파트너와 공유합니다.
최종 사용자 및 브랜드의 RBM 실적을 측정하고 개선합니다.
이러한 노력의 일환으로 Google에서는 파트너가 메시지 환경을 개선할 수 있도록 집계 데이터를 파트너와 공유합니다. 자세한 내용은 Google은 RBM 상담사에 대해 어떤 보고를 하나요?를 참고하세요.

하지만 Google은 최종 사용자 데이터로 다음 작업을 하지 않습니다.

메시지 콘텐츠에 따라 광고 타겟팅을 수행합니다.
관련 법규에서 요구하는 법 집행 기관을 제외하고 경쟁업체 또는 제3자와 메시지 콘텐츠를 공유합니다.

Google은 브랜드와 최종 사용자가 주고받은 메시지를 확인하나요?

최종 사용자가 대화를 스팸으로 신고하지 않는 한 Google은 메시지 내용에 액세스할 수 없습니다. 최종 사용자가 스팸 신고를 선택하면 Google 직원 및 계약자가 스팸 정보를 검토하여 스팸 및 악용으로부터 Google을 보호할 수 있다는 알림이 전송됩니다. 검토자는 이 정보에 대한 액세스를 30일 동안 제한하고 감사했습니다. 최종 사용자의 전화번호는 스팸 검토를 위해 수정됩니다.

Google에서 최종 사용자 데이터를 보호하기 위해 취하는 제어에 관한 자세한 내용은 Google의 개인정보처리방침을 참고하세요.

Google은 브랜드에 최종 사용자에 대해 어떤 정보를 제공하나요?

RBM 대화를 지원하기 위해 Google은 대화에서 최종 사용자를 식별할 수 있도록 최종 사용자의 전화번호를 브랜드와 공유합니다. 그 밖의 개인 정보는 브랜드와 공유되지 않습니다.

서비스이용 정책에서 개인 정보 보호 및 보안 섹션은 브랜드가 자체 고객에 대한 정보를 수집하고 사용할 수 있는 기능을 제한하나요?

Google은 브랜드가 고객에게 서비스를 제공하는 데 제한을 두지 않습니다. 브랜드는 자체 개인정보처리방침의 약관에 따라 RBM API를 통해 생성된 최종 사용자와 브랜드 간의 대화를 저장할 수 있습니다.

서비스 약관에서 다음은 무엇을 의미하나요? '귀하는 본 'RBM 약관'에 따라 개인 정보 처리를 허용하는 데 필요한 모든 동의를 얻고 유지합니다.

Google에서는 RBM을 사용하는 모든 브랜드가 관련 데이터 및 보안 규정 (예: GDPR)을 준수하고 최종 사용자 데이터의 사용 및 공유 방식을 명확하게 설명하는 개인정보처리방침을 제공해야 합니다. 개발자는 에이전트가 출시 검토를 위해 고려될 수 있도록 개인정보처리방침을 제공해야 합니다.

브랜드 감사 시 Google의 협력

Google 브랜드는 규정의 적용을 받으며 감사 대상이 될 수 있습니다. Google은 이 정책을 준수하나요?

회사가 관련 규정을 준수하도록 하는 것은 브랜드의 책임입니다. Google은 관련 법률에 따라 법 집행 및 규제 기관의 문의에만 응답합니다.

이슈 대응

Google에서는 정보 유출을 어떻게 처리하나요?

DPA의 7.2항 데이터 이슈를 참고하세요.

지원되지 않는 네트워크 기능

RBM에서 지원하지 않는 네트워크 기능은 무엇인가요?

방화벽 패스 스루를 허용하는 커스텀 헤더
Google 서비스의 클래스 없는 도메인 간 라우팅 (CIDR) 차단 범위