Güncellemeler: Yeni özellikler ve ürün güncellemeleri için sürüm notlarına bakın.

Bu sayfa, Cloud Translation API ile çevrilmiştir.

RCS Business Messaging (RBM) için veri güvenliği

Bu belgede, RCS Business Messaging (RBM) veri güvenliği ve bununla ilişkili konular hakkında sık sorulan sorular yanıtlanmaktadır.

RBM, markaların Tek Kullanımlık Şifre (OTP) göndermek ve müşterilerle işlemler, müşteri hizmetleri, promosyonlar vb. hakkında iletişim kurmak için kullandığı bir mesajlaşma platformudur. RBM, bir Google API'si aracılığıyla sağlanır ve Google sunucuları aracılığıyla son kullanıcılara yayınlanır.

Genellikle markalar, marka adına RBM aracıları oluşturup sürdürmek için Google API'ye bağlanan iş ortaklarıyla (ör. operatörler, SMS toplayıcılar, CRM platformları ve bot oluşturucular) çalışır. RBM'yi API veya İş İletişimleri Geliştirici Konsolu aracılığıyla kullanmak isteyen iş ortakları, Google'ın Hizmet Şartları'nı ve Kabul Edilebilir Kullanım Politikası'nı kabul etmelidir. Google bir Veri İşleyici olarak hareket ettiğinden, iş ortakları Google'ın Veri İşleme Eki'ne de tabidir.

Google, RBM ile ilgili özel veya ek sözleşmeler yapmaz.

Sertifikasyon ve uygunluk

RBM üçüncü taraflarca onaylandı mı?

RBM ve Google'ın RCS altyapısı, geniş çapta kabul görmüş kalite ve veri güvenliği standartlarına uygunluğu sağlamak için yıllık olarak bağımsız şekilde denetlenir. Hizmetlerimiz ISO 27001, SOC 2 ve SOC 3 sertifikalarına sahiptir. Sertifikaların kopyalarını almak istiyorsanız hesap yöneticinizle iletişime geçin.

RBM, AB Ödeme Hizmetleri Direktifi 2 (PSD2) ile uyumlu mu?

Evet, RBM, Güçlü Müşteri Kimlik Doğrulaması (SCA) gerektiren PSD2 ile uyumludur. RBM, son kullanıcının doğrulanmış telefon numarası ve SIM kartıyla ilişkilendirildiğinden, RBM kullanılarak gönderilen Tek Kullanımlık Şifre (OTP), Avrupa Bankacılık Kurumu tarafından açıklandığı şekilde uyumlu bir SCA "sahiplik öğesi" teşkil eder.

Veri işleme

Google'ın Veri İşleyici olması ne anlama geliyor?

RBM ile Google, Veri İşleyici, marka veya iş ortağı ise Veri Denetleyici görevi görür. Veri İşleme Eki (DPA), Google'ın bir Veri İşleyici olduğunu ve markalar ve iş ortakları adına veri aktarımı şartlarının geçerli olduğunu açıklar.

DPA, bir RBM temsilcisiyle etkileşimde bulunan tüm son kullanıcılar için geçerli midir?

Evet, DPA tüm son kullanıcılar ve verileri için geçerlidir. Google, RBM platformunu DPA ile uyumlu olacak ve tüm son kullanıcıların aynı yüksek düzeyde veri güvenliğine sahip olmasını sağlayacak şekilde oluşturmuştur.

İleti depolama ve şifreleme

Son kullanıcının cihazında hangi veriler saklanır?

RBM aracılarıyla ilgili meta veriler ve bu temsilcilerle iletilen mesajlar son kullanıcının cihazında depolanır. Bu mesajlar, bir RBM temsilcisiyle paylaşılan kişisel bilgileri içerebilir.

Temsilcinin "bölgesi" ile ileti depolama alanının ilişkisi nedir?

Bir iş ortağının temsilci kurulumu sırasında belirttiği bölge, RBM'ye temsilcinin nerede bulunduğunu bildirir. Google, bu bilgileri mesaj verilerinin nerede depolanacağını belirlemek ve mesaj trafiğinin aracıya yönlendirilmesini optimize etmek için kullanır.

Çoğunlukla, mesajlar belirtilen bölgedeki veri merkezlerinde depolanır (veri merkezi ve ağ güvenliği hakkında daha fazla bilgi için DPA'ya bakın). Ancak bölgesel bir kesinti olursa Google, mesaj trafiğini yeniden yönlendirebilir. Yani mesaj verileri, yalnızca temsilcinin belirttiği bölgede depolanamayabilir.

RBM için mesajlaşma mimarisi ve akışı nasıldır? Hangi öğeler şifrelenir?

Markalar ve son kullanıcılar arasında gönderilen mesajlar, Google'ın RCS Business Messaging (RBM) API'si aracılığıyla son kullanıcının cihazı ile Google sunucuları ve Google'ın sunucuları ile mesajlaşma iş ortağı arasında şifrelenir.

Temsilci ile RBM ve RBM ile son kullanıcı arasındaki mesaj şifrelemesini gösteren RBM mesajlaşma akışı. Mesajlar RBM platformuna ulaştığında
kötü amaçlı yazılım ve spam için incelenir.

İletiler, yalnızca belirli hizmet bileşenleri tarafından erişilebilen anahtarlar kullanılarak Google'ın ağı genelinde şifrelenir. Şifreleme anahtarları, Google sistemlerinin politika uyumluluğu için denetlenmesini sağlar.

Uçtan uca mesajlaşma akışına ve ilgili tüm tarafların rollerine genel bir bakış için İşleyiş şekli'ne bakın.

Depolanan iletiler şifreleniyor mu?

Google sunucularında depolama

Google sunucularında depolanan iletiler kullanımda değilken şifrelenir. Google, şifrelenmiş mesajları son kullanıcının cihazları arasında senkronize edebilmek ve önceki mesajların yeni cihazlarda gösterilmesini sağlamak için depolar.

Depolanan mesajlara yalnızca son kullanıcının Google Kimliği ile erişilebilir. Şu iki istisnaya dikkat edin:

Son kullanıcı mesajları spam olarak bildirdiğinde Google, spam bilgilerini inceleyebilir. Spam raporları için verilerin işlenmesi hakkında daha fazla bilgi edinmek üzere Google, markalar ve son kullanıcılar arasındaki mesajları hiç okudu mu? bölümüne göz atın.
Depolanan mesajlar, Google'ın geçerli yasalara uyma konusundaki yükümlülükleri uyarınca harici kolluk kuvvetleriyle paylaşılabilir. Daha fazla bilgi için Google'ın şeffaflık raporuna bakın.

Mobil cihazlarda depolama

Son kullanıcının cihazındaki mesaj şifreleme, cihaz için yapılandırılmış cihaz genelindeki şifrelemeye bağlıdır. Google, Google'ın Mesajlar uygulamasında mesaj verilerini korumak için cihaz üzerinde güvenlik modelleri dağıtır. Diğer istemci tedarikçileri farklı güvenlik politikaları uygulayabilir.

İletiler ne kadar süreyle saklanır?

Google sunucularında depolama

RBM aracısı öğeleri (logo, ad, açıklama vb.): Global Google depolama alanında kalıcı olarak depolanır.
Kullanıcıdan temsilciye mesajlar (P2A mesajları): En fazla yedi gün boyunca depo ve yönlendir bazında saklanır. RBM temsilcisi mesajı alıp onayladığı anda mesaj silinir.
Temsilciden kullanıcıya mesajlar (A2P mesajları): Teslim edilene kadar, 30 güne kadar bekletilir. Teslim edilmeyen iletiler, temsilciler tarafından teslim edilmeden önce geri alınabilir. İletilerde resim veya video gibi medya dosyaları varsa bu dosyalar 60 gün boyunca depolanır. Spam algılamak için, şifrelenmiş A2P mesajları teslimden sonraki 14 gün boyunca Google sunucularında tutulabilir.

Mobil cihazlarda depolama

Son kullanıcının cihazındaki mesajlar, son kullanıcı bunları silene veya depolama mekanizmasını değiştirene kadar orada depolanır.

Markalar Google'da depolanan mesajları için şifreleme anahtarlarını kontrol edebilir mi?

Hayır, markalar şifreleme anahtarlarını kontrol edemez. Son kullanıcıları spam'den korumak için Google'ın, iletileri kimlik avı ve kötü amaçlı yazılım URL'leri gibi kötü amaçlı içerik açısından taraması gerekir. Google, iletileri taramak için otomatik korumalar kullanır. Son kullanıcı bir görüşmeyi spam olarak bildirmediği sürece mesaj içeriğine kullanıcılar erişemez (ayrıntılar için Google, markalar ile son kullanıcılar arasındaki mesajları okuyor mu? bölümüne göz atın).

İş ortakları ve markalar veri güvenliğini sağlamak için ne gibi sorumluluklara sahiptir?

RBM, bir toplu taşıma teknolojisidir. Mesajları son kullanıcılar ve aracılar arasında taşır. RBM aracıları Google dışındaki iş ortakları ve markalar tarafından oluşturulur, işletilir ve bunlara erişilir. Bu nedenle, bu taraflar veri güvenliği, gizlilik ve yerel yönetmelik gereksinimlerini karşılayan temsilcilerden sorumludur.

RBM API güvenliği

Google, OAuth sağlayıcısı tarafından gönderilen erişim jetonlarını alabilir mi?

Hayır, Google hiçbir zaman kullanıcı kimlik doğrulaması sırasında OAuth sağlayıcısı tarafından gönderilen erişim jetonlarını almaz. OAuth 2.0, kimlik doğrulama akışının güvenliğini sağlamak için Kod Değişimi İçin Kanıt Anahtarı (PKCE) kullanır.

Veriler RBM geliştiricisi ile Google arasında nasıl şifrelenir?

Geliştiriciler RBM API'ye güvenli web işlemleri için küresel standart olan HTTPS üzerinden erişir. RBM API'si, AES 256 ve SHA384 şifreleriyle TLS 1.3'ü destekler.

Sertifika zincirini, TLS sürümünü ve desteklenen şifreleri kontrol etmek için aşağıdaki komutu çalıştırın:

openssl s_client -connect rcsbusinessmessaging.googleapis.com:443

Telefon numarası doğrulama işlemi

Google, Mesajlar uygulamasının güvenliğini sağlamak için telefon numarasının hâlâ orijinal kullanıcısına ait olduğunu nasıl doğrular?

Telefon numarasının ilk doğrulaması: Google, son kullanıcının telefon numarasını tanımlamak için çeşitli teknikler kullanır (ör. MSISDN veya Mobile Station Uluslararası Abone Dizin Numarası). Bu teknikler, operatörlerle doğrudan API entegrasyonu, mobil kaynaklı SMS ve son kullanıcıdan telefon numarasını girmesini istemeyi içerir. Telefon numarası tanımlandıktan sonra, Google bunu doğrulamak için görünmez bir Tek Kullanımlık Şifre (OTP) SMS'i gönderebilir.
İlk doğrulamadan sonra güvenliği koruma: Doğrudan API entegrasyonuna sahip bir operatör, RCS'yi devre dışı bırakmak ve böylece artık etkin olmayan telefon numaraları için RBM'yi devre dışı bırakmak için düzenli olarak Google'a SIM/MSISDN devre dışı bırakma feed'i gönderebilir. Google ayrıca, SIM çıkarma ve SIM etkinliği gibi cihaz sinyalleriyle ve telefon numarasını düzenli olarak yeniden doğrulayarak telefon numarası sahipliğindeki değişiklikleri izleyebilir.

Gizlilik ve güvenlik

Google, RBM temsilcileriyle ilgili hangi raporları yapar?

Google, son 14 günün verilerine dayanarak her temsilci için brüt son kullanıcı, mesaj ve yanıt sayısıyla ilgili dahili raporlama sunar. Google bu verileri teşhis, sistem iyileştirmeleri ve operatörler için faturalandırma raporları oluşturmak amacıyla kullanır. İleti içerikleri, raporlama amacıyla saklanmaz. 14 günden sonra, Google yalnızca toplu raporlama verilerini depolar. Bu depolama alanıyla ilgili herhangi bir zaman sınırı yoktur. Harici olarak paylaşılan birleştirilmiş verilerin Geçerlilik Süresi (TTL) 63 gündür.

Operatörlerin aldığı faturalandırma raporları ve etkinlik günlükleri 30 gün boyunca Google sunucularında saklanır. Operatör iş ortakları bu dosyaları indirmeyi ve gerekli gördükleri süre boyunca bekletmeyi tercih edebilir.

Google, son kullanıcı verilerini RBM dışında kullanıyor mu?

DPA bölüm 5.2'de belirtildiği gibi Google, son kullanıcı verilerini yalnızca RBM hizmetini sağlamak ve iyileştirmek için kullanır.

Örneğin, Google son kullanıcı verileriyle aşağıdakileri yapabilir:

Spam ve sahtekarlığı tespit edip önleyin.
Birleştirilmemiş faturalandırma raporlarını ve etkinlik günlüklerini operatör iş ortaklarıyla paylaşın.
Son kullanıcılar ve markalar için RBM performansını ölçün ve iyileştirin.
Bu çalışmalar kapsamında Google, mesajlaşma deneyimini iyileştirebilmeleri için birleştirilmiş verileri iş ortaklarıyla paylaşmaktadır. Ayrıntılar için Google, RBM müşteri temsilcileriyle ilgili hangi raporları yapıyor? bölümüne bakın.

Ancak Google, son kullanıcı verileriyle aşağıdakileri yapmaz:

Mesaj içeriğine dayalı reklam hedeflemesi gerçekleştirme.
Mesaj içeriğini, yürürlükteki yasaların gerektirdiği şekilde kolluk kuvvetleri haricinde tüm rakiplerle veya üçüncü taraflarla paylaşma

Google, markalar ile son kullanıcılar arasındaki mesajları okuyor mu?

Son kullanıcı bir görüşmeyi spam olarak bildirmediği sürece Google, hiçbir mesajın içeriğine erişemez. Son kullanıcılar spam bildirmeyi seçtiğinde, Google'ın spam ve kötüye kullanıma karşı korumalarını iyileştirmek amacıyla Google çalışanları ve yüklenicilerinin spam bilgilerini inceleyebilecekleri konusunda kendilerine bildirim gönderilir. Gerçek kişi olan incelemeciler 30 gün boyunca bu bilgilere erişimi kısıtlamış ve denetlerler. Son kullanıcının telefon numarası, spam incelemesi amacıyla çıkartılır.

Google'ın son kullanıcı verilerini korumak amacıyla uyguladığı denetimler hakkında daha fazla bilgi edinmek için Google'ın gizlilik politikasını inceleyin.

Google markaya son kullanıcılarla ilgili hangi bilgileri sağlıyor?

Google, RBM görüşmesini etkinleştirmek için görüşmedeki son kullanıcıyı belirlemek amacıyla son kullanıcının telefon numarasını markayla paylaşır. Başka hiçbir kişisel bilgi markayla paylaşılmaz.

Kabul Edilebilir Kullanım Politikası'ndaki Gizlilik ve Güvenlik bölümü, bir markanın kendi müşterileri hakkında bilgi toplama ve bu bilgileri kullanma yeteneğini sınırlandırıyor mu?

Google, bir markanın müşterilerine hizmet sunma olanağını kısıtlamayı amaçlamaz. Son kullanıcı ile RBM API üzerinden oluşturulan marka arasındaki konuşmalar, markanın kendi gizlilik politikası şartlarına göre depolanabilir.

Hizmet Şartları'nda belirtilen bunlar ne anlama geliyor? "Bu RBM Şartları kapsamında kişisel verilerin işlenmesine izin vermek için gereken tüm izinleri alacak ve sürdüreceksiniz."

Google, RBM kullanan tüm markaların, ilgili veri ve güvenlik düzenlemelerine (ör. GDPR) uymasını ve son kullanıcı verilerini nasıl kullandığını ve/veya paylaştığını açıklayan bir gizlilik politikası sunmasını bekler. Temsilcinin lansman incelemesi için değerlendirilebilmesi için geliştiricinin gizlilik politikasını sağlaması gerekir.

Bir marka denetlendiğinde Google'ın işbirliği

Markamız düzenlemelere tabidir ve denetlenebilir. Google uyum sağlayacak mı?

Şirketinin ilgili düzenlemelere uygun olmasını sağlamak markanın sorumluluğundadır. Google, kolluk kuvvetleri ve düzenleyici kurumların sorgularına yalnızca geçerli yasaya uygun olarak yanıt verir.

Olaylara müdahale

Google, veri ihlallerini nasıl ele alır?

DPA'daki 7.2 numaralı Veri Olayları bölümüne bakın.

Desteklenmeyen ağ özellikleri

RBM hangi ağ özelliklerini desteklemez?

Güvenlik duvarı geçişlerine izin veren özel üstbilgiler
Google hizmetlerinden gelen sınıfsız alan adları arası yönlendirme (CIDR) engelleme aralıkları