RCS Business Messaging (RBM) için veri güvenliği

Bu belgede, RCS Business Messaging (RBM) veri güvenliği ve ilgili konular hakkında sık sorulan sorular yanıtlanmaktadır.

RBM, işletmelerin tek kullanımlık şifreler (OTP'ler) göndermek ve müşterilerle işlemler, müşteri hizmetleri, promosyonlar ve daha fazlası hakkında diyalog kurmak için kullandığı bir mesajlaşma platformudur. Google, Google sunucuları aracılığıyla işletmeler ve son kullanıcılar arasında mesaj göndermek için bir RBM API'si sağlar.

Genellikle işletmeler, Google API'sine bağlanarak işletme adına RBM aracıları oluşturup bunları korumak için mesajlaşma iş ortaklarıyla (toplayıcılar, hizmet olarak iletişim platformu (CPaaS) sağlayıcıları, operatörler ve diğer RCS çözümü sağlayıcıları dahil) çalışır. API veya Business Communications Developer Console üzerinden RBM'yi kullanmak isteyen iş ortaklarının Google'ın RBM Hizmet Şartları ve Kabul Edilebilir Kullanım Politikası'nı kabul etmesi gerekir. Google Veri İşleyen olarak hareket ettiğinden iş ortakları da Google'ın Veri İşleme Eki'ne tabidir.

Sertifika ve uygunluk

RBM, üçüncü taraflarca onaylanmış mı?

RBM ve Google'ın RCS altyapısı, yaygın olarak tanınan kalite ve veri güvenliği standartlarına uygunluğu sağlamak için her yıl bağımsız olarak denetlenir. Hizmetlerimiz ISO 27001, SOC 2 ve SOC 3 sertifikalarına sahiptir. Sertifikaların kopyalarını istiyorsanız hesap yöneticinizle iletişime geçin.

RBM, AB'nin Genel Veri Koruma Yönetmeliği'ne (GDPR) uygun mu?

Google'ın veri işleyen olarak verileri işlemesi GDPR'ye uygun olsa da GDPR'ye uygunluk, platformu kullanan bireysel işletmenin sorumluluğundadır. Çoğu pazarlama kanalında olduğu gibi, işletmeler de veri toplama, veri kullanımı ve veri depolama ile ilgili kendi süreçlerinden sorumludur.

RBM, AB Ödeme Hizmetleri Direktifi 2 (PSD2) ile uyumlu mu?

Evet, RBM, Güçlü Müşteri Kimlik Doğrulaması (SCA) gerektiren PSD2 ile uyumludur. RBM, son kullanıcının doğrulanmış telefon numarası ve SIM kartıyla ilişkili olduğundan RBM kullanılarak gönderilen tek kullanımlık şifre (OTP), Avrupa Bankacılık Otoritesi tarafından tanımlanan, SCA'ya uygun bir "sahip olma unsuru" olarak kabul edilir.

Veri işleme

Google'ın Veri İşleyen olması ne anlama gelir?

RBM ile Google, Veri İşleyen, işletme veya iş ortağı ise Veri Denetleyici olarak hareket eder. Veri İşleme Eki (DPA), Google'ın bir Veri İşleyen olduğunu açıklar ve işletmeler ile iş ortakları adına verilerin işlenmesiyle ilgili şartları düzenler.

Sözleşme, bir RBM temsilcisiyle etkileşimde bulunan tüm son kullanıcılar için geçerli mi?

Evet, DPA tüm son kullanıcılar ve verileri için geçerlidir. Google, RBM platformunu DPA'ya uygun olacak ve tüm son kullanıcıların aynı yüksek düzeyde veri güvenliğine sahip olmasını sağlayacak şekilde oluşturdu.

İleti depolama ve şifreleme

Son kullanıcının cihazında hangi veriler depolanır?

RBM temsilcileri ve onlarla yapılan mesaj alışverişiyle ilgili meta veriler, son kullanıcının cihazında depolanır. Bu mesajlar, bir RBM temsilcisiyle paylaşılan kişisel bilgileri içerebilir.

Temsilcinin "bölgesi" ile ileti depolama arasında nasıl bir ilişki vardır?

İş ortağının temsilci kurulumu sırasında belirttiği bölge, RBM'ye temsilcinin bulunduğu yeri (Kuzey Amerika, Avrupa veya Asya Pasifik) bildirir. Google, bu bilgileri mesaj verilerinin nerede depolanması gerektiğini belirlemek ve mesaj trafiğinin aracıya yönlendirilmesini optimize etmek için kullanır.

Belirtilen bölgede veriler, esneklik, ölçeklenebilirlik ve küresel bir mesajlaşma ürünü için gerektiği şekilde Google'ın birden fazla veri merkezi arasında taşınabilir. Google, güvenlik ve gizlilik nedenleriyle bu veri merkezlerinin konumlarını paylaşmaz. (Veri merkezi ve ağ güvenliği hakkında daha fazla bilgi için DPA'ya bakın.)

Bölgesel olarak tamamen kesinti yaşandığı olağanüstü durumlarda Google, hizmetin kullanılabilirliğini korumak için mesaj trafiğini geçici olarak başka bir bölgede işleyebilir. Bu yük devretme, hizmette tamamen kesinti yaşanmasını önlemek ve iletilerin teslim edilmesini sağlamak için tasarlanmış geçici bir önlemdir.

RBM'nin mesajlaşma mimarisi ve akışı nedir? Hangi öğeler şifrelenir?

İşletmeler ve son kullanıcılar arasında gönderilen mesajlar, son kullanıcının cihazı ile Google'ın sunucuları arasında ve Google'ın RCS Business Messaging (RBM) API'si aracılığıyla Google'ın sunucuları ile mesajlaşma iş ortağı arasında şifrelenir.

Mesajlar, yalnızca belirli hizmet bileşenlerinin erişebildiği anahtarlar kullanılarak Google'ın ağında şifrelenir. Şifreleme anahtarları, Google sistemlerinin politika uyumluluğu için inceleme yapmasına olanak tanır.

Uçtan uca mesajlaşma akışına ve ilgili tüm tarafların rollerine genel bakış için Nasıl çalışır? başlıklı makaleyi inceleyin.

Saklanan iletiler şifrelenir mi?

Google sunucularındaki depolama alanı

Alıcı çevrimdışıysa aracıdan kişiye (A2P) mesajları Google sunucularında tutulur. Geliştirici, bu mesajları iptal edip başka bir kanal üzerinden göndermeyi seçebilir. Temsilci, kişiden uygulamaya (P2A) mesajlarını alamıyorsa bu mesajlar Google sunucularında tutulur. Google, bu iletileri bırakmadan önce yedi gün boyunca bekletir.

Google sunucularında depolanan mesajlar kullanımda değilken şifrelenir.

Google'ın depolanmış iletilere erişimi yalnızca aşağıdaki durumlarda mümkündür:

• Google, spam ve kötüye kullanımı tespit edip önlemek için işletmeler tarafından gönderilen mesajların içeriğini kısa süreli olarak işleyebilir ve bu sinyalleri, spam önleme ve yakalama özelliğini geliştirmek için yapay zeka modellerini eğitmek amacıyla kullanabilir. Spam raporlarıyla ilgili veri işleme hakkında daha fazla bilgi edinmek için Google, işletmeler ve son kullanıcılar arasındaki mesajları okur mu? başlıklı makaleyi inceleyin.
• Saklanan mesajlar, Google'ın geçerli yasalara uyma yükümlülükleri kapsamında harici kolluk kuvvetleriyle paylaşılabilir. Daha fazla bilgi için Google'ın Şeffaflık Raporu'na bakın.

İletiler ne kadar süreyle saklanır?

Google sunucularındaki depolama alanı

• RBM temsilcisi öğeleri (logo, ad, açıklama vb.): Global Google depolama alanında kalıcı olarak saklanır.
• Kullanıcıdan temsilciye iletiler (P2A iletileri): Yedi günden uzun süre olmamak üzere sakla ve ilet (store-and-forward) temelinde tutulur. Mesaj, RBM temsilcisi tarafından alındığı ve onaylandığı anda silinir.
• Temsilciden kişiye mesajlar (A2P mesajları): Teslim edilene kadar en fazla 30 gün boyunca bekletilir. 30 günlük sınırdan önce temsilciler, teslim edilmemiş iletileri iptal edebilir. Bu iletiler teslimat sırasından kaldırılır ve Google sunucularından silinir. Teslim edilen bir ileti medya dosyaları içeriyorsa bu dosyalar 60 gün boyunca saklanır. A2P mesajları, spam ve kötüye kullanımı tespit edip önlemek için teslim edildikten sonra 14 gün boyunca Google sunucularında tutulabilir.

Mobil cihazlarda depolama alanı

Son kullanıcının cihazındaki mesajlar, son kullanıcı tarafından silinene veya depolama mekanizması değiştirilene kadar cihazda saklanır.

RBM uçtan uca şifreleniyor mu?

Hayır, RBM uçtan uca şifreleme sunmaz. Bu nedenle, RBM görüşmeleri için Mesajlar kullanıcı arayüzünde kilit simgesi gösterilmez. Ancak RBM, kullanıcı cihazları ile Google'ın sunucuları arasında ve Google'ın sunucuları ile mesajlaşma iş ortakları arasında iletilerin korunması için uçtan uca şifreleme kullanır.

RBM için hangi şifreleme türü kullanılır ve işletmeler ilişkili anahtarları kontrol edebilir mi?

RBM, cihazlar ile Google'ın sunucuları arasında iletilen mesajları korumak için uçtan uca şifreleme kullanır. İşletmeler şifreleme anahtarlarını kontrol edemez. Google, kullanıcıları spam'den korumak için bu anahtarları yönetir. Bu kapsamda, kimlik avı ve kötü amaçlı yazılım URL'leri gibi kötü amaçlı içeriklerin taranması da dahil olmak üzere güvenlik amaçlı işlemler gerçekleştirilir. Mesaj erişimi ve incelemesi hakkında daha fazla bilgi için Google, işletmeler ve son kullanıcılar arasındaki mesajları okur mu? başlıklı makaleyi inceleyin.

Hangi tüzel kişiler RBM mesajlarına erişebilir? Mesajlaşma iş ortakları, işletmeler ve operatörler veri güvenliğini sağlamak için hangi sorumluluklara sahiptir?

RBM, Google tarafından desteklenen bir toplu taşıma teknolojisidir. RBM, son kullanıcılar ile işletmeleri temsil eden temsilciler arasındaki mesajları taşır. Bu temsilciler; mesajlaşma iş ortakları, işletmeler ve bazı durumlarda operatörler tarafından oluşturulup işletilir. RBM aracılarını işleten tüzel kişiler ve bazı durumlarda operatörler, mesaj teslimi ve diğer amaçlar için RBM mesaj içeriğine erişebilir. Google, spam ve kötüye kullanım korumalarını uygulamak için RBM mesaj içeriğine de erişebilir.

Mesajlaşma iş ortakları, işletmeler ve operatörler, ilgili tüm veri güvenliği, gizlilik ve yerel düzenleyici şartlara uymakla ayrı ayrı sorumludur.

RBM API güvenliği

Google, OAuth sağlayıcı tarafından gönderilen erişim jetonlarını alabilir mi?

Hayır, Google, kullanıcı kimlik doğrulaması sırasında OAuth sağlayıcı tarafından gönderilen erişim jetonlarını hiçbir zaman almaz. OAuth 2.0, kimlik doğrulama akışını güvenli hale getirmek için Proof Key for Code Exchange (PKCE) kullanır.

RBM geliştiricisi ile Google arasındaki veriler nasıl şifrelenir?

Geliştiriciler, güvenli web işlemleri için küresel standart olan HTTPS üzerinden RBM API'ye erişir. RBM API, AES 256 ve SHA384 şifreleriyle TLS 1.3'ü destekler.

Sertifika zincirini, TLS sürümünü ve desteklenen şifreleri kontrol etmek için aşağıdaki komutu çalıştırın:

openssl s_client -connect rcsbusinessmessaging.googleapis.com:443

Telefon numarası doğrulama işlemi

Google, Google Mesajlar uygulamasının güvenliğini korumak için telefon numarasının orijinal kullanıcısına ait olduğunu nasıl doğrular?

• Telefon numarasının ilk doğrulaması: Google, son kullanıcının telefon numarasını (ör. MSISDN veya Mobil İstasyon Uluslararası Abone Dizini Numarası) belirlemek için çeşitli teknikler kullanır. Bu teknikler arasında operatörlerle doğrudan API entegrasyonu, cep telefonundan gönderilen SMS ve son kullanıcıdan telefon numarasını girmesini isteme yer alır. Telefon numarası tanımlandıktan sonra Google, numarayı doğrulamak için görünmez bir tek kullanımlık şifre (OTP) SMS'i gönderebilir.

• İlk doğrulamanın ardından güvenliği koruma: Bir operatörün doğrudan API entegrasyonu varsa RCS'yi devre dışı bırakmak ve dolayısıyla artık etkin olmayan telefon numaraları için RBM'yi devre dışı bırakmak üzere Google'a düzenli olarak bir SIM/MSISDN devre dışı bırakma feed'i gönderebilir. Google, SIM kartın çıkarılması ve SIM kart etkinliği gibi cihaz sinyalleri aracılığıyla ve telefon numarasını düzenli olarak yeniden doğrulayarak telefon numarası sahipliğindeki değişiklikleri de izleyebilir.

Gizlilik ve güvenlik

Google, RBM aracıları hakkında hangi raporları oluşturur?

Google, son 28 günün verilerine göre her temsilci için brüt son kullanıcı, mesaj ve yanıt sayısıyla ilgili dahili raporlar oluşturur. Google bu verileri teşhis, sistem iyileştirmeleri ve operatörler için faturalandırma raporları oluşturmak amacıyla kullanır. İleti içerikleri, raporlama amacıyla saklanmaz. Google, 28 günden sonra yalnızca toplu raporlama verilerini depolar. Bu depolama için zaman sınırı yoktur. Harici olarak paylaşılan tüm toplu verilerin geçerlilik süresi (TTL) 63 gündür.

Operatörlerin aldığı faturalandırma raporları ve etkinlik günlükleri Google'ın sunucularında 30 gün boyunca saklanır. Mobil operatör iş ortakları, bu dosyaları indirip gerekli gördükleri süre boyunca saklamayı seçebilir.

Google, son kullanıcı verilerini RBM dışında kullanır mı?

Google, DSÖ'nün 5.2 bölümünde belirtildiği gibi, son kullanıcı verilerini yalnızca RBM hizmetini sağlamak ve iyileştirmek için kullanır.

Örneğin, Google, son kullanıcı verileriyle ilgili olarak aşağıdakileri yapabilir:

• Spam ve sahtekarlığı tespit edip önleme
• Toplanmamış faturalandırma raporlarını ve etkinlik günlüklerini operatör iş ortaklarıyla paylaşırız.
• Son kullanıcılar ve işletmeler için RBM performansını ölçün ve iyileştirin.
  Google, bu çaba kapsamında, mesajlaşma deneyimini iyileştirebilmeleri için iş ortaklarıyla birleştirilmiş verileri paylaşır. Ayrıntılar için Google, RBM aracıları hakkında hangi raporları oluşturur? başlıklı makaleyi inceleyin.

Ancak Google, son kullanıcı verileriyle ilgili olarak aşağıdakileri yapmaz:

• İleti içeriklerine göre reklam hedefleme gerçekleştirme
• Geçerli yasaların gerektirdiği durumlar dışında, mesaj içeriklerini rakiplerle veya üçüncü taraflarla (kolluk kuvvetleri hariç) paylaşmamalıdır.

Google, işletmeler ile son kullanıcılar arasındaki mesajları okur mu?

Google spam yakalama ve önleme özelliği, işletmeler tarafından gönderilen mesajların içeriğini Kabul Edilebilir Kullanım Politikası'nı ihlal edip etmediğini belirlemek için tarayabilir. Google, kullanıcıların işletmelere gönderdiği mesajların içeriklerine erişemez. Ancak son kullanıcı bir ileti dizisini spam olarak bildirdiğinde:

• Gönderenin bilgileri ve işletme tarafından gönderilen son mesajlar Google'a iletilir ve kullanıcının operatörüne de gönderilebilir.
• Google spam yakalama ve önleme özelliği, işletmeler tarafından gönderilen mesajların içeriklerini kısa süreli olarak işleyebilir ve bu sinyalleri, spam yakalama ve önleme özelliğini geliştirmek için yapay zeka modellerini eğitmek amacıyla kullanabilir.
• Google çalışanları ve yüklenicileri, Google'ın spam ve kötüye kullanım korumasını geliştirmek için spam bilgilerini inceleyebilir. İnceleme uzmanları, denetleme amacıyla 30 gün boyunca bu bilgilere kısıtlı olarak erişebilir. Son kullanıcının telefon numarası, spam incelemesi amacıyla çıkartılır.

Google, işletmeye son kullanıcılar hakkında hangi bilgileri sağlar?

Google, RBM görüşmesini etkinleştirmek için son kullanıcının telefon numarasını işletmeyle paylaşır. Böylece işletme, görüşmedeki son kullanıcıyı tanımlayabilir. İşletmeyle başka kişisel bilgiler paylaşılmaz.

Kabul Edilebilir Kullanım Politikası'ndaki Gizlilik ve Güvenlik bölümü, bir işletmenin kendi müşterileriyle ilgili bilgileri toplama ve kullanma becerisini sınırlıyor mu?

Google, bir işletmenin müşterilerine hizmet verme olanağını kısıtlamak istemez. RBM API aracılığıyla oluşturulan, son kullanıcı ile işletme arasındaki görüşmeler, işletmenin kendi gizlilik politikası şartlarına göre işletme tarafından saklanabilir.

RBM Hizmet Şartları'nda aşağıdakiler ne anlama gelir? "Bu RBM Şartları uyarınca kişisel verilerin işlenmesine izin vermek için gerekli olan tüm izinleri alacak ve güncel durumda tutacaksınız."

Google, RBM'yi kullanan tüm işletmelerin ilgili veri ve güvenlik yönetmeliklerine (ör. GDPR) uymasını ve son kullanıcı verilerini nasıl kullandıklarını ve/veya paylaştıklarını açıklayan bir gizlilik politikası sunmasını bekler. Bir temsilcinin başlatma incelemesine alınması için geliştiricinin gizlilik politikasını sağlaması gerekir.

RBM, son kullanıcıları kötü amaçlı URL'lerden nasıl korur?

RBM, son kullanıcıları korumak için iletilerdeki bağlantıları taramak üzere Google Güvenli Tarama'yı kullanır ve kötü amaçlı yazılım veya kimlik avı bağlantıları içeren iletileri otomatik olarak engeller. Bağlantı içeren bir mesaj, Güvenli Tarama tarafından engellenmezse mesajlaşma uygulaması, bağlantının nereye yönlendirdiğini göstermek için küçük resim önizlemesi oluşturabilir.

Bir işletme denetlenirken Google'ın işbirliği

İşletmemiz yönetmeliklere tabidir ve denetlenebilir. Google bu talebe uyar mı?

İşletmeler, şirketlerinin ilgili düzenlemelere uymasını sağlamakla sorumludur. Google, yalnızca yürürlükteki yasalara uygun olarak emniyet yetkililerinin ve düzenleyici kurumların sorularına yanıt verir.

Olaylara müdahale

Google, veri ihlallerini nasıl ele alır?

DPA'daki 7.2 Veri Olayları bölümüne bakın.

Desteklenmeyen ağ özellikleri

RBM hangi ağ özelliklerini desteklemez?

• Güvenlik duvarı geçişlerine izin vermek için özel üstbilgiler
• Google'ın hizmetlerindeki sınıfsız alanlar arası yönlendirme (CIDR) blok aralıkları