Güncellemeler: Yeni özellikler ve ürün güncellemeleri için sürüm notlarına bakın.

Bu sayfa, Cloud Translation API ile çevrilmiştir.

RCS Business Messaging (RBM) için veri güvenliği

Bu dokümanda, RCS Business Messaging (RBM) veri güvenliği ve ilgili konularla ilgili sık sorulan sorular yanıtlanmaktadır.

RBM, işletmelerin tek kullanımlık şifreler (OTP'ler) göndermek ve müşterilerle işlemler, müşteri hizmetleri, promosyonlar ve daha fazlası hakkında iletişim kurmak için kullandığı bir mesajlaşma platformudur. Google, Google sunucuları üzerinden işletmeler ile son kullanıcılar arasında mesaj göndermek için bir RBM API'si sağlar.

İşletmelerin, işletme adına RBM temsilcileri oluşturup yönetmek için Google API'ye bağlanan mesajlaşma iş ortaklarıyla (toplayıcılar, Hizmet Olarak İletişim Platformu (CPaaS) sağlayıcılar, operatörler ve diğer RCS çözüm sağlayıcılar dahil) çalışması normaldir. RBM'yi API veya Business Communications Developer Console üzerinden kullanmak isteyen iş ortaklarının Google'ın RBM Hizmet Şartları'nı ve Kabul Edilebilir Kullanım Politikası'nı kabul etmesi gerekir. Google Veri İşleyen olarak hareket ettiğinden iş ortakları da Google'ın Veri İşleme Eki'ne tabidir.

Sertifika ve uygunluk

RBM herhangi bir üçüncü taraf tarafından sertifikalandırılmış mı?

RBM ve Google'ın RCS altyapısı, yaygın olarak tanınan kalite ve veri güvenliği standartlarına uygunluğu sağlamak için yıllık olarak bağımsız olarak denetlenir. Hizmetlerimiz ISO 27001, SOC 2 ve SOC 3 sertifikalarına sahiptir. Sertifikaların kopyalarını istiyorsanız hesap yöneticinizle iletişime geçin.

RBM, AB Ödeme Hizmetleri Direktifi 2 (PSD2) ile uyumlu mu?

Evet, RBM, Güçlü Müşteri Kimlik Doğrulaması'nı (SCA) gerektiren PSD2 ile uyumludur. RBM, son kullanıcının doğrulanmış telefon numarası ve SIM kartıyla ilişkili olduğundan, RBM kullanılarak gönderilen tek kullanımlık şifre (OTP), Avrupa Bankacılık Kurumu tarafından açıklandığı üzere SCA'ya uygun bir "sahiplik öğesi" oluşturur.

Veri işleme

Google'ın Veri İşleyen olması ne anlama gelir?

RBM'de Google veri işleyen, işletme veya iş ortağı ise veri denetleyici olarak hizmet eder. Veri İşleme Eki (DPA), Google'ın Veri İşleyen olduğunu açıklar ve işletmeler ile iş ortakları adına veri aktarma şartlarını yönetir.

DPA, RBM temsilcisiyle etkileşime geçen tüm son kullanıcılar için geçerli mi?

Evet, DPA tüm son kullanıcılar ve verileri için geçerlidir. Google, RBM platformunu DPA'ya uygun olacak ve tüm son kullanıcıların aynı yüksek düzeyde veri güvenliğinden yararlanmasını sağlayacak şekilde geliştirmiştir.

Mesaj depolama ve şifreleme

Son kullanıcının cihazında hangi veriler depolanır?

RBM temsilcileri ve onlarla paylaşılan mesajlarla ilgili meta veriler, son kullanıcının cihazında depolanır. Bu mesajlar, bir RBM temsilcisiyle paylaşılan kişisel bilgileri içerebilir.

Temsilcinin "bölgesi" mesaj depolama alanıyla nasıl ilişkilidir?

İş ortağının temsilci kurulumu sırasında belirttiği bölge, temsilcinin bulunduğu yeri RBM'ye bildirir. Google, ileti verilerinin nerede depolanacağını belirlemek ve ileti trafiğinin temsilciye yönlendirilmesini optimize etmek için bu bilgileri kullanır.

İletiler çoğunlukla belirtilen bölgedeki veri merkezlerinde depolanır (veri merkezi ve ağ güvenliği hakkında daha fazla bilgi için DPA'ya bakın). Ancak Google, bölgesel bir kesinti meydana gelirse ileti trafiğini yeniden yönlendirebilir. Bu, ileti verilerinin yalnızca temsilcinin belirttiği bölgede depolanamayabileceği anlamına gelir.

RBM için mesajlaşma mimarisi ve akışı nedir? Hangi öğeler şifrelenir?

İşletmeler ile son kullanıcılar arasında gönderilen mesajlar, Google'ın RCS Business Messaging (RBM) API'si aracılığıyla son kullanıcının cihazı ile Google'ın sunucuları ve Google'ın sunucuları ile mesajlaşma iş ortağı arasında şifrelenir.

Temsilci ile RBM ve RBM ile son kullanıcı arasındaki mesaj şifrelemesini gösteren RBM mesaj akışı. İletiler RBM platformuna ulaştığında kötü amaçlı yazılım ve spam olup olmadığı kontrol edilir.

Mesajlar, Google'ın ağında yalnızca belirli hizmet bileşenlerinin erişebildiği anahtarlar kullanılarak şifrelenir. Şifreleme anahtarları, Google sistemlerinin politikaya uygunluk açısından inceleme yapmasını sağlar.

Uçtan uca mesajlaşma akışına ve sürece dahil olan tüm tarafların rollerine genel bakış için İşleyiş bölümüne bakın.

Depolanan mesajlar şifrelenir mi?

Google sunucularındaki depolama alanı

Temsilciden kişiye (A2P) gönderilen mesajlar, alıcı çevrimdışıysa Google sunucularında bekletilir. Geliştirici, bu mesajları iptal edip başka bir kanal üzerinden göndermeyi seçebilir. Temsilci tarafından alınamayan kişiden uygulamaya (P2A) mesajları Google sunucularında bekletilir. Google, bu iletileri yedi gün boyunca muhafaza eder.

Google sunucularında depolanan mesajlar kullanımda değilken şifrelenir.

Google'ın depolanan iletilere erişimi yalnızca aşağıdaki durumlarda kullanılabilir:

Google, spam ve kötüye kullanımı tespit edip önlemek için işletmeler tarafından gönderilen mesajların içeriğini kısa süreli olarak işleyebilir ve bu sinyalleri, spam önleme ve tespitini iyileştirmek için yapay zeka modellerini eğitmek amacıyla kullanabilir. Spam raporları için veri işleme hakkında daha fazla bilgi edinmek isterseniz Google, işletmeler ile son kullanıcılar arasındaki mesajları okur mu? başlıklı makaleyi inceleyin.
Saklanan mesajlar, Google'ın geçerli yasalara uyma yükümlülükleri kapsamında harici kolluk kuvvetleriyle paylaşılabilir. Daha fazla bilgi için Google'ın şeffaflık raporuna bakın.

Mesajlar ne kadar süreyle saklanır?

Google sunucularındaki depolama alanı

RBM temsilcisi öğeleri (logo, ad, açıklama vb.): Küresel Google depolama alanında kalıcı olarak saklanır.
Kullanıcıdan temsilciye mesajlar (kullanıcıdan temsilciye mesajlar): En fazla yedi gün boyunca saklanıp yönlendirilir. RBM temsilcisi mesajı alır ve onaylar almaz silinir.
Müşteri temsilcisinden müşteriye mesajlar (M2M mesajları): Teslim edilene kadar 30 güne kadar bekletilir. Temsilciler, teslim edilemeyen iletileri 30 günlük sınırdan önce iptal edebilir. Bu durumda iletiler teslimat kuyruğundan kaldırılır ve Google sunucularından silinir. Teslim edilen bir ileti medya dosyaları içeriyorsa bu dosyalar 60 gün boyunca saklanır. A2P mesajları, spam ve kötüye kullanımı tespit edip önlemek için teslim edildikten sonra 14 gün boyunca Google sunucularında tutulabilir.

Mobil cihazlardaki depolama alanı

Son kullanıcının cihazındaki mesajlar, son kullanıcı bunları silene veya depolama mekanizmasını değiştirene kadar cihazda depolanır.

İşletmeler, Google'da depolanan mesajlarının şifreleme anahtarlarını kontrol edebilir mi?

Hayır, işletmeler şifreleme anahtarlarını kontrol edemez. Google'ın, son kullanıcıları spam'den korumak için RBM mesajlarını kimlik avı ve kötü amaçlı yazılım URL'leri gibi kötü amaçlı içerikler açısından taramak üzere şifreleme anahtarlarını koruması gerekir. Google, mesajları tararken otomatik korumalar kullanır. Son kullanıcı bir ileti dizisini spam olarak bildirmediği sürece mesaj içeriklerine erişilemez (Ayrıntılar için Google, işletmeler ile son kullanıcılar arasındaki mesajları okur mu? başlıklı makaleyi inceleyin).

RBM mesajlarına hangi tüzel kişiler erişebilir? Mesajlaşma iş ortakları, işletmeler ve operatörler veri güvenliğini sağlamak için ne gibi sorumluluklara sahiptir?

RBM, Google tarafından desteklenen bir toplu taşıma teknolojisidir. RBM, mesajları son kullanıcılar ile işletmeleri temsil eden temsilciler arasında taşır. Bu temsilciler mesajlaşma iş ortakları, işletmeler ve bazı durumlarda operatörler tarafından oluşturulur ve işletilir. RBM temsilcilerini işleten tüzel kişiler ve bazı durumlarda operatörler, mesaj teslimi ve diğer amaçlar için RBM mesaj içeriğine erişebilir. Google, spam ve kötüye kullanım korumalarını uygulamak için RBM mesaj içeriğine de erişebilir.

Mesajlaşma iş ortakları, işletmeler ve operatörler, ilgili tüm veri güvenliği, gizlilik ve yerel yasal şartlara uymaktan ayrı ayrı sorumludur.

RBM API güvenliği

Google, OAuth sağlayıcı tarafından gönderilen erişim jetonlarını alabilir mi?

Hayır, Google hiçbir zaman kullanıcı kimlik doğrulaması sırasında OAuth sağlayıcısı tarafından gönderilen erişim jetonlarını elde etmez. OAuth 2.0, kimlik doğrulama akışını güvence altına almak için Kod Değişimi için Kanıt Anahtarı'nı (PKCE) kullanır.

RBM geliştiricisi ile Google arasında veriler nasıl şifrelenir?

Geliştiriciler, güvenli web işlemleri için küresel standart olan HTTPS üzerinden RBM API'ye erişir. RBM API, AES 256 ve SHA384 şifreleriyle TLS 1.3'ü destekler.

Sertifika zincirini, TLS sürümünü ve desteklenen şifreleri kontrol etmek için aşağıdaki komutu çalıştırın:

openssl s_client -connect rcsbusinessmessaging.googleapis.com:443

Telefon numarası doğrulama işlemi

Google, Google Mesajlar uygulamasının güvenliğini sağlamak için bir telefon numarasının hâlâ orijinal kullanıcısına ait olduğunu nasıl doğrular?

Telefon numarasının ilk doğrulaması: Google, son kullanıcının telefon numarasını (ör. MSISDN veya Mobil İstasyon Uluslararası Abone Dizin Numarası) belirlemek için çeşitli teknikler kullanır. Bu teknikler arasında operatörlerle doğrudan API entegrasyonu, mobil cihazdan SMS gönderme ve son kullanıcıdan telefon numarasını girmesi istenmesi yer alır. Telefon numarası tanımlandıktan sonra Google, doğrulamak için görünmez bir Tek Kullanımlık Şifre (OTP) SMS'si gönderebilir.
İlk doğrulamadan sonra güvenliği koruma: Doğrudan API entegrasyonu olan operatörler, RCS'yi devre dışı bırakmak ve böylece artık etkin olmayan telefon numaraları için RBM'yi devre dışı bırakmak amacıyla Google'a düzenli olarak SIM/MSISDN devre dışı bırakma feed'i gönderebilir. Google, SIM kartın çıkarılması ve SIM etkinliği gibi cihaz sinyallerini kullanarak ve telefon numarasını düzenli olarak yeniden doğrulayarak da telefon numarasının sahipliğindeki değişiklikleri izleyebilir.

Gizlilik ve güvenlik

Google, RBM aracıları hakkında hangi raporları oluşturur?

Google, son 14 güne ait verilere göre her temsilci için brüt son kullanıcı, mesaj ve yanıt sayısıyla ilgili dahili raporlara sahiptir. Google bu verileri teşhis, sistem iyileştirmeleri ve operatörler için faturalandırma raporları oluşturmak amacıyla kullanır. Mesaj içerikleri, raporlama amacıyla saklanmaz. Google, 14 günden sonra yalnızca toplu raporlama verilerini depolar. Bu depolama alanında zaman sınırı yoktur. Harici olarak paylaşılan tüm birleştirilmiş verilerin ömrü 63 gündür.

Operatörlerin aldığı fatura raporları ve etkinlik günlükleri, Google'ın sunucularında 30 gün boyunca saklanır. Operatör iş ortakları, bu dosyaları indirmeyi ve gerekli gördükleri sürece saklamayı seçebilir.

Google, RBM dışında son kullanıcı verilerini kullanır mı?

Google, son kullanıcı verilerini yalnızca DPA'in 5.2 numaralı bölümünde belirtildiği gibi RBM hizmetini sağlamak ve iyileştirmek için kullanır.

Örneğin, Google son kullanıcı verileriyle şunları yapabilir:

Spam'i ve sahtekarlığı tespit edip önleme
Toplanmış olmayan faturalandırma raporlarını ve etkinlik günlüklerini operatör iş ortaklarıyla paylaşın.
Son kullanıcılar ve işletmeler için RBM performansını ölçün ve iyileştirin.
Google, bu çalışma kapsamında iş ortaklarının mesajlaşma deneyimini iyileştirmesi için toplu verileri iş ortaklarıyla paylaşır. Ayrıntılar için Google, RBM aracıları hakkında hangi raporları oluşturur? başlıklı makaleyi inceleyin.

Ancak Google, son kullanıcı verileriyle aşağıdakileri yapmaz:

İleti içeriklerine göre reklam hedefleme gerçekleştirin.
Geçerli yasalar uyarınca kolluk kuvvetleri hariç olmak üzere, mesaj içeriklerini rakiplerle veya üçüncü taraflarla paylaşmak.

Google, işletmeler ile son kullanıcılar arasındaki mesajları hiç okur mu?

Google spam yakalama ve önleme özelliği, işletmeler tarafından gönderilen mesajların içeriğini Kabul Edilebilir Kullanım Politikası'na yönelik ihlaller açısından tarayabilir. Google, kullanıcıların işletmelere gönderdiği mesajların içeriğine erişemez. Ancak son kullanıcı bir ileti dizisini spam olarak bildirdiğinde:

Gönderenin bilgileri ve işletme tarafından gönderilen son mesajlar Google'a iletilir ve kullanıcının operatörüne de gönderilebilir.
Google spam yakalama ve önleme özelliği, işletmeler tarafından gönderilen mesajların içeriklerini kısa süreli olarak işleyebilir ve bu sinyalleri, spam yakalama ve önleme özelliğini geliştirmek için yapay zeka modellerini eğitmek amacıyla kullanabilir.
Google çalışanları ve yüklenicileri, Google'ın spam ve kötüye kullanım korumasını geliştirmek için spam bilgilerini inceleyebilir. İnceleme uzmanları, denetleme amacıyla 30 gün boyunca bu bilgilere kısıtlı olarak erişebilir. Son kullanıcının telefon numarası, spam incelemesi amacıyla çıkartılır.

Google'ın son kullanıcı verilerini korumak için uyguladığı denetimler hakkında daha fazla bilgi edinmek için Google'ın Gizlilik Politikası'nı inceleyin.

Google, son kullanıcılar hakkında işletmeye hangi bilgileri sağlar?

Google, RBM görüşmesini etkinleştirmek için sohbetteki son kullanıcıyı tanımlamak amacıyla son kullanıcının telefon numarasını işletmeyle paylaşır. İşletmeyle başka kişisel bilgi paylaşılmaz.

Kabul Edilebilir Kullanım Politikası'ndaki Gizlilik ve Güvenlik bölümü, bir işletmenin kendi müşterileri hakkında bilgi toplama ve kullanma olanağını sınırlıyor mu?

Google, işletmelerin müşterilerine hizmet verme kapasitesini kısıtlamayı amaçlamaz. Son kullanıcı ile işletme arasında RBM API üzerinden oluşturulan bir sohbet, işletmenin kendi gizlilik politikasının şartlarına göre işletme tarafından saklanabilir.

RBM Hizmet Şartları'nda aşağıdakiler ne anlama gelir? "Bu RBM Şartları kapsamında kişisel verilerin işlenmesine izin vermek için gerekli tüm izinleri alacak ve güncel durumda tutacaksınız."

Google, RBM kullanan tüm işletmelerin ilgili veri ve güvenlik yönetmeliklerine (GDPR gibi) uymasını ve son kullanıcı verilerini nasıl kullandıklarını ve/veya paylaştıklarını açıklayan bir gizlilik politikası sunmasını bekler. Bir temsilcinin lansman incelemesi için değerlendirilmesi amacıyla geliştiricinin gizlilik politikasını sağlaması gerekir.

Google'ın, bir işletme denetlenirken işbirliği yapması

İşletmemiz yönetmeliklere tabidir ve denetlenebilir. Google bu karara uyacak mı?

Şirketin ilgili düzenlemelere uymasını sağlamak işletmenin sorumluluğundadır. Google, kolluk kuvvetlerinin ve düzenleyici kurumların sorgularına yalnızca geçerli yasalara uygun şekilde yanıt verir.

Olaylara müdahale

Google, veri ihlallerini nasıl ele alır?

DPA'teki 7.2 Veri Olayları bölümüne bakın.

Desteklenmeyen ağ özellikleri

RBM hangi ağ özelliklerini desteklemez?

Güvenlik duvarı geçişlerine izin vermek için özel üstbilgiler
Google hizmetlerindeki sınıfsız alanlar arası yönlendirme (CIDR) engelleme aralıkları