This page describes how Meta provides Cloud API as a standalone service for businesses to message users at scale via WhatsApp. Meta also offers additional optional services that businesses can choose to use with Cloud API. For example, a business can leverage Meta’s AI capabilities to converse with customers via Cloud API. When a business chooses to use these services, different terms could apply. Please consult the applicable documentation for additional details on how Meta processes data for these services.
When a user sends a message to one of these businesses, the message travels end-to-end encrypted between the user and the Cloud API. As per the Signal protocol, the user and the Cloud API, on behalf of the business, negotiate encryption keys and establish a secure communication channel. WhatsApp cannot access any message content exchanged between users and businesses.
Once a message is received by the Cloud API, it gets decrypted and forwarded to the Business. Messages are only temporarily stored by the Cloud API as required to provide the base API functionality.
Messages from a business to a user flow on the reverse path. Businesses send messages to Cloud API. The Cloud API service stores the messages temporarily and takes on the task to send the message to the WhatsApp platform. Messages are stored for any necessary retransmissions.
All messages are encrypted by the Cloud API before being sent to WhatsApp using the Signal protocol with keys negotiated with the user (recipient).
WhatsApp acts as the transport service. It provides the message forwarding software; both client and server. It has no visibility into the message content being sent. It protects the users by detecting unusual messaging patterns (like a business trying to message all users) or collecting spam reports from users.
Cloud API, operated by Meta, acts as the intermediary between WhatsApp and the Cloud API businesses. In other words, those businesses have given Cloud API the power to operate on their behalf. Because of this, WhatsApp forwards all messages destined for those businesses to Cloud API. WhatsApp also expects to receive from Cloud API all messages from those businesses. This is the same client behavior that the On-Premise client has.
Meta, in providing the Cloud API service, acts as a Data Processor on behalf of the business. As such, the businesses have requested Meta to provide programmatic access to the WhatsApp Business Platform.
Cloud API receives from WhatsApp the messages destined for the businesses that use Cloud API. Cloud API also sends to WhatsApp the messages sent by those businesses. Other parts of Meta (other than Cloud API) do not have access to the Cloud API business communications, including message content. Meta does not use any Cloud API data for advertising.
All data collected, stored and accessed by Cloud API is controlled and monitored to ensure proper usage and maintain the high level of privacy expected from a WhatsApp client.
Information about the businesses, including their business phone numbers, business address, etc. is maintained by Meta and the Business Manager product and is subject to the terms of service set by Meta. Cloud API relies on Business Manager and other Meta systems to identify any access to Cloud API on behalf of the business.
Messages sent or received via Cloud API are only accessed by Cloud API, no other part of Meta can use this information. Messages have a maximum retention period of 30 days in order to provide the base features and functionality of the Cloud API service; for example, retransmissions. After 30 days, these features and functionality are no longer available.
Cloud API does not rely on any information about the user (customer/consumer) the business is communicating with other than the phone number used to identify the account. This information is only used to deliver the messages via the WhatsApp client code. User phone numbers are used as sources or destinations of individual messages; as such they are deleted when messages are deleted. No other part of Meta other than Cloud API has access to this information.
No message content is shared or sent to WhatsApp at any time and no WhatsApp employee has access to any message content.
Cloud API Data | System | Available to the rest of Meta? | Available to WhatsApp? |
---|---|---|---|
Message content | Cloud API | No | No |
Consumer phone number | Cloud API | No | Yes |
Non-identifiable statistics | Cloud API | Yes | Yes |
Integrity signals - per business | WhatsApp Client | No | Yes |
Business information | Business Manager | Yes | Yes |
Billing - per business | Yes | Yes |
Meta จะไม่ใช้ข้อความบน WhatsApp ในการกำหนดลักษณะโฆษณาที่บุคคลรายหนึ่งๆ จะเห็น อย่างไรก็ตาม ธุรกิจสามารถใช้ข้อความที่ตนได้รับเพื่อวัตถุประสงค์ทางการตลาดของตนได้ตามปกติ ซึ่งอาจรวมถึงการโฆษณาบน Facebook หรือช่องทางอื่นๆ เช่น อีเมลหรือโทรทัศน์
Cloud API ดำเนินการอยู่ในศูนย์ข้อมูลของ Meta เว้นแต่ธุรกิจจะเลือกใช้พื้นที่เก็บข้อมูลภายในสำหรับ Cloud API ทั้งนี้ Meta มีศูนย์ข้อมูลอยู่ในอเมริกาเหนือและสหภาพยุโรป
ข้อความที่จัดเก็บจะถูกเข้ารหัส และจะถูกลบโดยอัตโนมัติหลังจาก 30 วัน
เช่นเดียวกับพาร์ทเนอร์โซลูชั่น WhatsApp Business API อื่นๆ ทุกราย Meta จัดการคีย์การเข้ารหัสและการถอดรหัสในนามของธุรกิจ Cloud API จะจัดการคีย์การเข้ารหัส/ถอดรหัสในนามของธุรกิจ เพื่อให้สามารถส่งและรับข้อความผ่าน Cloud API ได้ Meta บริหารจัดการ Cloud API และข้อกำหนดของ Meta ก็จำกัดการใช้งานในการให้บริการนี้ไว้ที่การส่งข้อความเท่านั้น WhatsApp จะไม่สามารถเข้าถึงคีย์หรือข้อความได้
เราได้รับรายงาน SOC 2 ประเภท II โปรดไปที่ ศูนย์การปฏิบัติตามข้อกำหนดด้านการส่งข้อความสำหรับธุรกิจของ Meta เพื่อเรียนรู้เพิ่มเติม
Meta เข้มงวดกับการคุ้มครองข้อมูลและความเป็นส่วนตัวของผู้คนอย่างมาก และเรามุ่งมั่นที่จะปฏิบัติตามกฎหมายการคุ้มครองข้อมูลอย่างต่อเนื่องต่อไป Cloud API ช่วยให้ลูกค้าของเราสามารถปฏิบัติตามข้อผูกพันของตนภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคล (GDPR) ต่อไปได้ Meta ปฏิบัติตามข้อกำหนดด้านกฎหมาย อุตสาหกรรม และการกำกับดูแลที่มีผลบังคับใช้ ตลอดจนหลักปฏิบัติที่ดีที่สุดของอุตสาหกรรม ดูเพิ่มเติม.
Meta และ WhatsApp ใช้กลไกการถ่ายโอนที่เหมาะสมตาม GDPR เมื่อดำเนินการถ่ายโอนข้อมูลจากสหภาพยุโรปและ/หรือสหราชอาณาจักรไปยังสหรัฐฯ
ดูข้อมูลเพิ่มเติมจากข้อกำหนดทางกฎหมายต่อไปนี้
ดูข้อกำหนดการประมวลผลข้อมูลของ WhatsApp Business ที่มีผลบังคับใช้ หรือ ข้อกำหนดการโฮสต์สำหรับ Cloud API ของ Meta เพื่อดูรายชื่อผู้ประมวลผลรายย่อยที่เกี่ยวข้อง
เราจะตรวจสอบให้แน่ใจว่าธุรกิจและพาร์ทเนอร์ของเราสามารถใช้โซลูชั่นธุรกิจต่อไปได้อย่างราบรื่น พร้อมกับรักษาข้อมูลของธุรกิจและพาร์ทเนอร์ให้ปลอดภัยและมั่นคง