وبصفتك مطوِّرًا تستخدم واجهة برمجة تطبيقات Data Portability API، غالبًا ما تجمع وتدير مستويات عالية البيانات الحساسة للمستخدمين. ضع في اعتبارك المبادئ الأساسية التالية لمعالجة البيانات:
- حماية الخصوصية: لا تستخدم بيانات المستخدمين لأغراض محظورة.
- التحلّي بالشفافية: يمكنك تمثيل البيانات التي تقدّمها بدقة وشرحها للمستخدمين تجمعها، وسبب جمعها، وكيف تستخدمها.
- الاحترام: احرص على حماية بيانات المستخدمين. يُرجى السماح عند الإمكان المستخدمين بنقل بياناتهم من المنتج وتلبية طلبات المستخدمين إلى حذف بياناتهم.
- الأمان: التعامل مع جميع بيانات المستخدمين بأمان وإثبات التزامك ممارسات أمان معيّنة
- كن محددًا: لا تطلب الوصول إلى بيانات لا تحتاجها. جميع البيانات يجب أن يكون الوصول لتوفير ميزات التطبيق أو الخدمة التي تقدمها فقط يستفيد منها المستخدمون.
بنود خدمة Google APIs سياسة بيانات مستخدمي خدمات Google API تحكم سياسات OAuth 2.0 استخدام جميع خدمات Google API عندما تطلب أنت، المطور، الوصول إلى بيانات المستخدم. بيانات مستخدمي Data Portability API هذه وتتضمّن "سياسة المطوّرين" معلومات إضافية تنظّم استخدامك الوصول إلى واجهة برمجة تطبيقات Data Portability API. توفّر Data Portability API للمستخدمين النهائيين في تمنح المنطقة الاقتصادية الأوروبية (EEA) قدرة أكبر على التحكّم في بياناتها من خلال تسهيل نقل البيانات من Google.
إلى جانب Google Takeout، تضمن واجهة برمجة التطبيقات Data Portability API أن يحصل المستخدمون على الوصول المباشر والدقيق إلى البيانات والتحكم فيها. مزيد من المعلومات حول سياسة خصوصية Google وعناصر التحكم في الخصوصية التي تسمح للمستخدمين بالتحكم.
يُرجى مراجعة هذه الصفحة بشكل دوري. يتم تعديل هذه السياسات من حين لآخر. من المهم مسؤولية مراقبة وضمان الامتثال لهذه السياسات على أساس منتظم. إذا لم تتمكّن من تلبية متطلبات السياسة في أي وقت متطلبات معينة، أو إذا كانت هناك مخاطر كبيرة بألا تتمكن من تلبيتها، فتوقف باستخدام خدماتنا على الفور والتواصل معنا. وتحتفظ Google الحق في إزالة أو حظر الوصول إلى بيانات مستخدم Google في حال عدم الالتزام هذه السياسة. في حال حدوث تعارض بين هذه السياسة أو أي بنود أخرى في ما يتعلق بخدمات واجهات برمجة التطبيقات، فإن سياسة المطوّرين وبيانات المستخدمين هذه في Data Portability API لها الأسبقية.
الوصول إلى البيانات واستخدامها بشكل مناسب لبيانات المستخدمين
يجب أن تكون طلبات تصدير بيانات المستخدمين واضحة ومفهومة. تشير رسالة الأشكال البيانية لا يجوز استخدام Data Portability API إلا بما يتوافق مع السياسات السارية، الأحكام والشروط، ولحالات الاستخدام التي يستفيد منها المستخدمون، كما هو منصوص عليه في . يعني ذلك أنّ المطوّرين لا يمكنهم طلب الوصول إلى الأذونات إلا في الحالات التالية: استيفاء تطبيق أو خدمة بإحدى حالات الاستخدام التي تمت الموافقة عليها.
تشمل حالات الاستخدام التي تمت الموافقة عليها للحصول على الأذونات ما يلي:
- تشمل التطبيقات أو الخدمات التي تتضمن ميزة واحدة أو أكثر فائدة للمستخدم من خلال السماح له بنقل البيانات أو نسخها أو نقلها بيانات المستخدمين من إحدى خدمات Google إلى منصة أو خدمة أخرى بالفائدة على المستخدم.
طلب الحدّ الأدنى من الأذونات ذات الصلة
ويمكن للمطوّرين طلب الوصول إلى الأذونات البالغة الأهمية تنفيذ ميزات لتطبيق أو خدمة. وهذا يعني ما يلي:
لا تطلب الوصول إلى معلومات لا تحتاج إليها. إذا كان المنتج لا تتطلب أذونات محددة، فلا تطلب ذلك الوصول إلى هذه الأذونات. لا تحاول "التخطيط للمستقبل" إذن الوصول إلى حساب المستخدم البيانات عن طريق طلب الوصول إلى المعلومات التي قد تفيد الخدمات أو الميزات التي لم يتم تنفيذها.
اطلب الأذونات حسب السياق، حيثما أمكن. طلب الوصول إلى فقط بيانات المستخدم في السياق (كلما أمكن ذلك) باستخدام التفويض التزايدي. يسمح هذا للمستخدمين بفهم سبب احتياجك إلى البيانات.
إشعار وتحكُّم شفاف ودقيق
تتعامل واجهة برمجة التطبيقات Data Portability API مع المعلومات الشخصية والحسّاسة. جميع التطبيقات والخدمات التي يجب أن تتضمّن سياسة خصوصية يجب الإفصاح عنها بشكل شامل كيفية جمع تطبيق أو خدمة ويب لبيانات المستخدمين واستخدامها ومشاركتها. هذا النمط أنواع الجهات التي تتم مشاركة بيانات المستخدمين معها وكيفية استخدامك البيانات، وكيفية تخزين البيانات وتأمينها، وما يحدث للبيانات عند إيقاف الحساب أو حذفه.
يجب أن تطلب التطبيقات والخدمات أيضًا الوصول إلى بيانات المستخدمين في السياق عن طريق استخدام التفويض المتزايد لكي يفهم المستخدمون بشكل أفضل ماهية البيانات المقدمة، ولماذا تحتاج إلى البيانات، وكيف يتم استخدامها. بالإضافة إلى متطلبات بموجب القانون الساري، عليك التقيّد أيضًا بما يلي: والمتطلبات التي تعكس سياسات OAuth 2.0 ومستخدم خدمات Google API سياسات البيانات:
- على المطوّرين الإفصاح عن تصدير البيانات أو الوصول إليها أو جمعها أو واستخدامها ومشاركتها. بيان الإفصاح:
- يجب أن تمثل هوية التطبيق بدقة أو خدمة تطلب الوصول إلى بيانات المستخدمين
- يجب أن يكون داخل الطلب إذا كان التطبيق مستندًا إلى نافذة حوار منفصلة إذا كانت مستندة إلى الويب؛
- يجب عرضه أثناء الاستخدام العادي للتطبيق إذا كان: تطبيق أو موقع ويب إذا كان يستند إلى الويب، ولا ينبغي مطالبة المستخدم بالانتقال إلى القائمة أو الإعدادات؛
- يجب تقديم معلومات واضحة ودقيقة تشرح أنواع البيانات التي يتم الوصول إليها أو طلبها أو تصديرها أو جمعها
- يجب أن يوضِّح طريقة استخدام البيانات ومشاركتها. إذا طلبت تصدير البيانات لسبب واحد، ولكن يتم استخدام البيانات أيضًا غرض ثانوي، عليك إبلاغ المستخدمين بكلتا حالات الاستخدام.
- لا يمكن الاكتفاء بعرضه ضِمن سياسة الخصوصية أو بنود الخدمة فقط. أو
- لا يمكن تضمينه مع بيانات إفصاح أخرى غير مرتبطة بالبيانات الشخصية. وجمع البيانات الحساسة.
- يجب أن يصاحب بيان الإفصاح الذي يقدِّمه المطوِّر الطلب ويسبقه مباشرةً. للحصول على موافقة المستخدم. يجب عدم البدء بجمعها قبل الحصول عليها. الموافقة الإيجابية. طلب الموافقة:
- يجب تقديم مربّع إفادة الموافقة بشكل واضح لا لبس فيه. طَرِيق
- يجب أن يشترط على المستخدم اتخاذ إجراء تأكيدي لقبول هذا تحديد القبول أو تحديد مربع اختيار أو أمر لفظي بالترتيب لقبولها
- يجب ألا تفسّر الانتقال بعيدًا عن بيان الإفصاح على أنّه الموافقة ويشمل ذلك النقر بعيدًا أو الضغط على الجهة الخلفية أو زر الشاشة الرئيسية أو
- يجب ألا يستخدم رسائل يتم إغلاقها أو تنتهي صلاحيتها تلقائيًا.
- يجب تقديم مستندات مساعدة المستخدم التي توضّح كيفية إدارة المستخدمين. وحذف بياناتهم من التطبيق
استخدام محدود لبيانات المستخدمين
عند الوصول إلى واجهة برمجة التطبيقات Data Portability API من أجل استخدام مناسب، سيتم تنفيذ ما يلي: يجب أن يلتزم استخدام المطوّر للبيانات التي يتم الحصول عليها بما يلي: متطلبات المشروع. تسري هذه المتطلبات على النطاقات الحساسة والمحظورة، والبيانات الأولية التي تم الحصول عليها من واجهة برمجة تطبيقات Data Portability API والبيانات المجمّعة ومجهولة الهوية أو مجهولة الهوية أو مشتقة من البيانات الأولية.
- تقييد استخدام البيانات لتقديم أو تحسين حالة الاستخدام المناسبة أو الميزات التي تكون مرئية وبارزة في حساب المستخدم لدى التطبيق الذي يقدّم الطلب من واجهة pyplot.
- لا يُسمح بعمليات نقل البيانات، باستثناء:
- تقديم أو تحسين حالة الاستخدام المناسبة أو الميزات الموجّهة للمستخدمين التي تكون واضحة من واجهة مستخدم التطبيق صاحب الطلب بعد الحصول على موافقة المستخدم
- لأغراض تتعلّق بالأمان مثل التحقيق في إساءة الاستخدام
- الامتثال للقوانين أو اللوائح السارية أو
- في إطار عملية دمج أصول المطوِّر أو اكتسابها أو بيعها بعد الحصول على موافقة مسبقة صريحة من المستخدم
- يُرجى عدم السماح للمستخدمين بقراءة بيانات المستخدمين، ما لم:
- أنّك حصلت على موافقة المستخدم الصريحة على قراءة وسجّلت هذه الموافقة بيانات محددة كمثال على مساعدة المستخدم على استعادة إمكانية الدخول إلى منتج أو خدمة بعد فقدان كلمة المرور
- ويتم تجميع البيانات، بما في ذلك المشتقات، واستخدامها لأغراض داخلية عملياتك بما يتوافق مع معايير الخصوصية المتطلبات القانونية للاختصاص القضائي
- وهذا الإجراء ضروري لأغراض أمنية مثل التحقيق في إساءة الاستخدام. أو
- من الضروري الامتثال للقوانين أو اللوائح السارية.
عبارة إيجابية أو عبارة أخرى مشابهة تفيد بأن التطبيق أو أن يتوافق استخدام الخدمة للبيانات مع قيود الاستخدام المحدود يتم الإفصاح عنها في التطبيق أو على موقع ويب تابع للخدمة أو التطبيق. على سبيل المثال، رابط على صفحة رئيسية يؤدي إلى صفحة مخصصة أو خصوصية تنص على ما يلي:
"يتقيّد استخدام المعلومات الواردة من واجهة برمجة تطبيقات Data Portability API ببنود بيانات المستخدمين وسياسة مطوّري البرامج في Portability API، بما في ذلك متطلبات الاستخدام المحدود".
يمكن استخدام جمل مماثلة تتوافق مع مشاركة البيانات القيود المفروضة في قسم "الاستخدام المحدود".
الحفاظ على بيئة تشغيل آمنة
يجب معالجة جميع بيانات المستخدمين بأمان. اتخاذ خطوات معقولة ومناسبة حماية جميع التطبيقات أو الأنظمة التي تستفيد من Data Portability API ضد الوصول أو الاستخدام أو التدمير أو الخسارة أو التغيير أو الإفصاح.
يجب أن تتقيّد التطبيقات التي يمكنها الوصول إلى "النطاقات المشروطة" بمعايير أمان معيّنة. التقليدية. وتشمل ممارسات الأمان الموصى بها تنفيذ نظام إدارة أمان المعلومات على النحو الموضّح في ISO/IEC 27001 والتأكد من أن التطبيق أو خدمة الويب قوية وخالية من البرامج الشائعة على النحو الموضّح في أهم 10 مخاطر أمنية في تطبيقات الويب وفقًا لبرنامج OWASP.
تشمل إجراءات الأمان المطلوبة ما يلي:
- استخدام معيار تشفير مقبول في المجال لتشفير بيانات المستخدمين التي:
- تخزين البيانات على الأجهزة المحمولة أو الوسائط الإلكترونية المحمولة
- أن يتم الاحتفاظ بها خارج أنظمة Google أو المطوّرين
- أن يتم نقلها عبر أي شبكة خارجية لا تديرها أنت وحدك أو
- في حالة عدم النشاط على أنظمة المطور.
- نقل البيانات باستخدام بروتوكولات حديثة وآمنة مثل HTTPS.
- الاحتفاظ ببيانات المستخدم وبيانات الاعتماد، وتحديدًا الرموز المميزة مثل الدخول عبر بروتوكول OAuth الرموز المميزة وإعادة التحميل، مشفرة أثناء عدم النشاط.
- ضمان إدارة المفاتيح والمواد الرئيسية بشكل مناسب، مثل تخزينها في وحدة أمان للأجهزة أو نظام إدارة مفاتيح مكافئ قوته.
تشمل إجراءات الأمان المطلوبة للنطاقات المحدودة اتّباع إعدادات Cloud تقييم أمان التطبيقات (CASA) بالإضافة إلى ذلك، قد مطلوب للسماح للتطبيق أو الخدمة بخضوع التطبيق أو الخدمة لإجراءات أمان دورية التقييم والحصول على خطاب تقييم من مؤسسة ثالثة تحدّدها Google حَفْلَة
وأنت توافق على إشعار Google فورًا عبر security@google.com بأي معلومات الاشتباه في الوصول غير المصرح به إلى الأنظمة أو الشبكات أو الحسابات أو التي يتم فيها تخزين بيانات Google. وهذا ما يسمى بالحادثة الأمنية. إِنْتَ الموافقة على التعاون بشكل كامل مع Google لتصحيح أي معلومات أمنية معروفة أو مشتبه بها الحادث، وفي أي حال من الأحوال، إرسال إشعار إلى Google على عنوان البريد الإلكتروني security@google.com قبل الإدلاء بأي تصريحات علنية بشأن أي معلومات أمنية معروفة أو مشتبه بها محاولة اختراق أمني
نطاقات OAuth 2.0
للحصول على قائمة بجميع النطاقات ومجموعات الموارد الخاصة بواجهة برمجة التطبيقات Data Portability API، يُرجى الاطّلاع على نطاقات OAuth 2.0 لواجهات Google APIs:
لمزيد من المعلومات عن النطاقات المشروطة، يُرجى الاطّلاع على قائمة النطاقات المشروطة.