WhatsApp уделяет огромное внимание безопасности своих API, особенно WhatsApp Business API (WABA) и Cloud API, которые используются компаниями для взаимодействия с клиентами. Защита API критически важна, поскольку через них обрабатываются миллиарды сообщений и конфиденциальные данные.
Вот основные методы, с помощью которых WhatsApp защищает свои API:
1. Сквозное шифрование (End-to-End Encryption, E2EE):
Принцип Signal Protocol: Все сообщения, отправляемые через WhatsApp Business API, как и обычные сообщения WhatsApp, защищены сквозным шифрованием на основе Signal Protocol. Это означает, что сообщения шифруются на устройстве отправителя (или на сервере WhatsApp Cloud API, действующем от имени бизнеса) и расшифровываются только на устройстве получателя.
Отсутствие доступа к содержимому: WhatsApp (Meta) не имеет доступа к содержимому сообщений, передаваемых через API. Это гарантирует, что даже если злоумышленник перехватит трафик API, он не сможет прочитать или подменить сообщения.
Шифрование при хранении: Сообщения, хранящиеся на серверах Cloud API (например, для временной буферизации до доставки), также шифруются. Они автоматически удаляются через 30 дней.
2. Строгая аутентификация и авторизация:
Проверка бизнеса: Для использования WhatsApp Business API компании База данных whatsapp в Парагвае должны пройти процесс проверки Meta Business Manager, который включает предоставление документов и подтверждение легитимности бизнеса. Это помогает предотвратить использование API мошенниками.
Токены доступа и ключи API: Доступ к API предоставляется через защищенные токены доступа и ключи API. Эти токены генерируются после успешной проверки бизнеса и должны храниться в строгой конфиденциальности. WhatsApp требует использования HTTPS для всех запросов к API, что обеспечивает шифрование данных при передаче и защиту токенов.
OAuth 2.0: Для интеграции с различными платформами и CRM-системами используется стандарт OAuth 2.0, обеспечивающий безопасный и контролируемый доступ к API от имени пользователя или приложения.
3. Политики использования и модерация:
Предварительное одобрение шаблонов сообщений: Компании не могут просто так отправлять любые сообщения клиентам. WhatsApp требует, чтобы все исходящие сообщения (особенно те, которые инициированы бизнесом, а не в ответ на запрос клиента) были заранее одобрены в виде "шаблонов сообщений". Эти шаблоны проверяются на соответствие политике WhatsApp в отношении контента, чтобы предотвратить спам, фишинг и нежелательную рекламу.
Окна общения (24-часовое окно): WhatsApp ввел "24-часовое окно обслуживания". Бизнес может свободно общаться с клиентом в течение 24 часов с момента последнего сообщения клиента. По истечении этого окна, для возобновления диалога бизнес должен использовать заранее одобренный шаблон сообщения. Это предотвращает рассылку нежелательных сообщений.
Мониторинг качества аккаунта: WhatsApp активно отслеживает рейтинг качества бизнес-аккаунтов на основе отзывов пользователей (блокировки, жалобы на спам). Низкий рейтинг качества может привести к ограничению возможностей аккаунта или даже к его блокировке, что стимулирует компании использовать API ответственно.
Контроль за спамом и злоупотреблениями: WhatsApp использует автоматизированные системы для обнаружения аномального поведения и паттернов рассылки, которые могут указывать на спам или злоупотребление API.
4. Безопасность инфраструктуры и операционная безопасность:
Хостинг Cloud API: Cloud API размещается в дата-центрах Meta, которые используют многоуровневую защиту (Defense in Depth), включая физическую безопасность, сетевую безопасность, защиту от DDoS-атак и т.д.
Сертификации и аудиты: Meta, как оператор Cloud API, проходит регулярные аудиты безопасности и получает такие сертификации, как SOC 2 Type II, подтверждающие соответствие высоким стандартам безопасности и конфиденциальности.
Защита данных при хранении: Несмотря на то, что сообщения не хранятся на серверах WhatsApp постоянно, временное хранение для целей доставки (например, в течение 30 дней) также осуществляется с применением шифрования и строгих контролей доступа.
Разделение данных: Meta утверждает, что данные, обрабатываемые Cloud API, контролируются и мониторятся, и никакие другие подразделения Meta не имеют доступа к содержимому сообщений, чтобы использовать их для таргетирования рекламы.