ডেটা পোর্টেবিলিটি API ব্যবহার করে একজন বিকাশকারী হিসাবে, আপনি প্রায়শই অত্যন্ত সংবেদনশীল ব্যবহারকারীর ডেটা সংগ্রহ এবং পরিচালনা করেন। এই মূল ডেটা পরিচালনা নীতিগুলি মনে রাখুন:
- গোপনীয়তা রক্ষা করুন : নিষিদ্ধ ব্যবহারের জন্য ব্যবহারকারীর ডেটা ব্যবহার করবেন না।
- স্বচ্ছ হোন : আপনি কোন ডেটা সংগ্রহ করেন, কেন আপনি এটি সংগ্রহ করেন এবং আপনি কীভাবে এটি ব্যবহার করেন তা ব্যবহারকারীদের সঠিকভাবে উপস্থাপন করুন এবং ব্যাখ্যা করুন।
- শ্রদ্ধাশীল হোন : ব্যবহারকারীর ডেটার একজন ভাল স্টুয়ার্ড হোন। যখন সম্ভব, ব্যবহারকারীদের একটি পণ্যের বাইরে তাদের ডেটা স্থানান্তর করার অনুমতি দিন এবং তাদের ডেটা মুছে ফেলার জন্য ব্যবহারকারীর অনুরোধগুলিকে সম্মান করুন৷
- সুরক্ষিত থাকুন : সমস্ত ব্যবহারকারীর ডেটা নিরাপদে পরিচালনা করুন এবং প্রদর্শন করুন যে আপনি কিছু নিরাপত্তা অনুশীলন মেনে চলেন।
- সুনির্দিষ্ট হোন : আপনার প্রয়োজন নেই এমন ডেটাতে অ্যাক্সেসের অনুরোধ করবেন না। সমস্ত ডেটা অ্যাক্সেস শুধুমাত্র আপনার অ্যাপ্লিকেশন বা পরিষেবার বৈশিষ্ট্যগুলি প্রদান করতে হবে যা ব্যবহারকারীদের উপকার করে।
Google API-এর পরিষেবার শর্তাবলী , Google API পরিষেবাগুলি ব্যবহারকারী ডেটা নীতি এবং OAuth 2.0 নীতিগুলি সমস্ত Google API পরিষেবার ব্যবহারকে নিয়ন্ত্রণ করে যখন আপনি, বিকাশকারী, ব্যবহারকারীর ডেটা অ্যাক্সেসের অনুরোধ করেন৷ এই ডেটা পোর্টেবিলিটি API ব্যবহারকারীর ডেটা এবং বিকাশকারী নীতিতে অতিরিক্ত তথ্য রয়েছে যা ডেটা পোর্টেবিলিটি API-তে আপনার ব্যবহার এবং অ্যাক্সেস নিয়ন্ত্রণ করে। এই ডেটা পোর্টেবিলিটি API ব্যবহারকারীর ডেটা এবং বিকাশকারী নীতি বা Google-এর API পরিষেবাগুলির জন্য উপযুক্ত ডেটা অ্যাক্সেস এবং ব্যবহারকারীর ডেটার ব্যবহার এবং সীমিত ব্যবহারের ধারার পার্থক্য সহ, এই ডেটা পোর্টেবিলিটি API ব্যবহারকারীর ডেটা এবং বিকাশকারী নীতির মধ্যে পার্থক্য সহ এই ডেটা পোর্টেবিলিটি API ব্যবহারকারীর ডেটা এবং বিকাশকারী নীতির মধ্যে বিরোধের ক্ষেত্রে অগ্রাধিকার নেয়।
ডেটা পোর্টেবিলিটি API ইউরোপিয়ান ইকোনমিক এরিয়া (EEA) এর শেষ ব্যবহারকারীদের Google থেকে ডেটা সরানো সহজ করে তাদের ডেটার উপর আরও নিয়ন্ত্রণ প্রদান করে। Google Takeout-এর সাথে, ডেটা পোর্টেবিলিটি API নিশ্চিত করে যে ব্যবহারকারীদের তাদের ডেটার উপর সূক্ষ্ম, সরল অ্যাক্সেস এবং নিয়ন্ত্রণ রয়েছে। Google এর গোপনীয়তা নীতি এবং গোপনীয়তা নিয়ন্ত্রণ সম্পর্কে আরও জানুন যা ব্যবহারকারীদের নিয়ন্ত্রণে রাখে।
পর্যায়ক্রমে এই পৃষ্ঠাটি পরীক্ষা করুন। এই নীতিগুলি মাঝে মাঝে আপডেট করা হয়। নিয়মিত ভিত্তিতে এই নীতিগুলির সাথে সম্মতি নিরীক্ষণ করা এবং নিশ্চিত করা বিকাশকারীর দায়িত্ব৷ যে কোনো সময়ে আপনি যদি নীতির প্রয়োজনীয়তাগুলি পূরণ করতে না পারেন, বা যদি একটি উল্লেখযোগ্য ঝুঁকি থাকে যে আপনি সেগুলি পূরণ করতে পারবেন না, অবিলম্বে আমাদের পরিষেবাগুলি ব্যবহার করা বন্ধ করুন এবং আমাদের সাথে যোগাযোগ করুন ৷ আপনি এই নীতি মেনে না চললে Google ব্যবহারকারীর ডেটাতে অ্যাক্সেস অপসারণ বা সীমাবদ্ধ করার অধিকার Google সংরক্ষণ করে৷
উপযুক্ত ডেটা অ্যাক্সেস এবং ব্যবহারকারীর ডেটা ব্যবহার
ব্যবহারকারীর ডেটা রপ্তানির অনুরোধগুলি অবশ্যই পরিষ্কার এবং বোধগম্য হতে হবে। ডেটা পোর্টেবিলিটি API শুধুমাত্র প্রযোজ্য নীতি, শর্তাবলী এবং এই নীতিতে উল্লিখিত ব্যবহারকারীদের উপকৃত করার ক্ষেত্রে ব্যবহারের ক্ষেত্রে ব্যবহার করা যেতে পারে। এর মানে হল যে ডেভেলপাররা শুধুমাত্র তখনই অনুমতিতে অ্যাক্সেসের অনুরোধ করতে পারে যখন একটি অ্যাপ্লিকেশন বা পরিষেবা অনুমোদিত ব্যবহারের ক্ষেত্রে একটি পূরণ করে।
অনুমতিগুলিতে অ্যাক্সেসের জন্য অনুমোদিত ব্যবহারের ক্ষেত্রেগুলি হল:
- ব্যবহারকারীদের সুবিধার জন্য একটি Google পরিষেবা থেকে অন্য প্ল্যাটফর্ম বা পরিষেবাতে ব্যবহারকারীর ডেটা সরাতে, অনুলিপি করতে বা স্থানান্তর করার প্রাথমিক উদ্দেশ্য রয়েছে এমন এক বা একাধিক বৈশিষ্ট্য সহ অ্যাপ্লিকেশন বা পরিষেবা৷
ন্যূনতম প্রাসঙ্গিক অনুমতির জন্য অনুরোধ করুন
বিকাশকারীরা কেবলমাত্র সেই অনুমতিগুলিতে অ্যাক্সেসের অনুরোধ করতে পারে যা কোনও অ্যাপ্লিকেশন বা পরিষেবার বৈশিষ্ট্যগুলি বাস্তবায়নের জন্য গুরুত্বপূর্ণ। এর অর্থ:
আপনার প্রয়োজন নেই এমন তথ্য অ্যাক্সেসের অনুরোধ করবেন না । যদি কোনও পণ্যের নির্দিষ্ট অনুমতিগুলিতে অ্যাক্সেসের প্রয়োজন না হয়, তাহলে আপনি অবশ্যই এই অনুমতিগুলিতে অ্যাক্সেসের অনুরোধ করবেন না। এমন তথ্যে অ্যাক্সেসের অনুরোধ করে ব্যবহারকারীর ডেটাতে "ভবিষ্যত প্রমাণ" অ্যাক্সেস করার চেষ্টা করবেন না যা পরিষেবা বা বৈশিষ্ট্যগুলিকে উপকৃত করতে পারে যা বাস্তবায়িত হয়নি৷
যেখানে সম্ভব প্রেক্ষাপটে অনুমতির অনুরোধ করুন । শুধুমাত্র ক্রমবর্ধমান অনুমোদন ব্যবহার করে (যখনই আপনি পারেন) প্রসঙ্গে ব্যবহারকারীর ডেটা অ্যাক্সেসের অনুরোধ করুন। এটি ব্যবহারকারীদের বুঝতে দেয় কেন আপনার ডেটা প্রয়োজন।
স্বচ্ছ এবং সঠিক নোটিশ এবং নিয়ন্ত্রণ
ডেটা পোর্টেবিলিটি API ব্যক্তিগত এবং সংবেদনশীল তথ্য পরিচালনা করে। সমস্ত অ্যাপ্লিকেশন এবং পরিষেবাগুলিতে অবশ্যই একটি গোপনীয়তা নীতি থাকতে হবে, যাতে একটি অ্যাপ্লিকেশন বা ওয়েব পরিষেবা কীভাবে ব্যবহারকারীর ডেটা সংগ্রহ করে, ব্যবহার করে এবং ভাগ করে তা ব্যাপকভাবে প্রকাশ করতে হবে৷ এর মধ্যে রয়েছে যে ধরনের পক্ষগুলির সাথে যে কোনও ব্যবহারকারীর ডেটা ভাগ করা হয়, আপনি কীভাবে ডেটা ব্যবহার করেন, কীভাবে আপনি ডেটা সংরক্ষণ এবং সুরক্ষিত করেন এবং একটি অ্যাকাউন্ট নিষ্ক্রিয় বা মুছে ফেলা হলে ডেটার কী ঘটে।
অ্যাপ্লিকেশন এবং পরিষেবাগুলিকে অবশ্যই ক্রমবর্ধমান অনুমোদন ব্যবহার করে প্রেক্ষাপটে ব্যবহারকারীর ডেটা অ্যাক্সেসের অনুরোধ করতে হবে যাতে ব্যবহারকারীরা আরও ভালভাবে বুঝতে পারে যে কোন ডেটা সরবরাহ করা হয়েছে, কেন আপনার ডেটা প্রয়োজন এবং ডেটা কীভাবে ব্যবহার করা হয়। প্রযোজ্য আইনের অধীনে প্রয়োজনীয়তাগুলি ছাড়াও, আপনাকে অবশ্যই নিম্নলিখিত প্রয়োজনীয়তাগুলি মেনে চলতে হবে যা আমাদের OAuth 2.0 নীতি এবং Google API পরিষেবা ব্যবহারকারী ডেটা নীতিগুলিকে প্রতিফলিত করে:
- ডেভেলপারদের অবশ্যই ডেটা রপ্তানি, অ্যাক্সেস, সংগ্রহ, ব্যবহার এবং ভাগ করে নেওয়ার একটি প্রকাশ প্রদান করতে হবে। প্রকাশ:
- ব্যবহারকারীর ডেটাতে অ্যাক্সেস চায় এমন অ্যাপ্লিকেশন বা পরিষেবার পরিচয় অবশ্যই সঠিকভাবে উপস্থাপন করতে হবে;
- অ্যাপ্লিকেশন ভিত্তিক হলে অ্যাপ্লিকেশনের মধ্যে বা ওয়েব ভিত্তিক হলে একটি পৃথক ডায়ালগ উইন্ডোতে থাকতে হবে;
- অ্যাপ্লিকেশনটির স্বাভাবিক ব্যবহারে অবশ্যই প্রদর্শিত হবে যদি এটি অ্যাপ্লিকেশন ভিত্তিক হয় বা ওয়েবসাইট যদি এটি ওয়েব ভিত্তিক হয়, এবং এটি ব্যবহারকারীকে একটি মেনু বা সেটিংস নেভিগেট করতে হবে না;
- অ্যাক্সেস করা, অনুরোধ করা, রপ্তানি করা বা সংগ্রহ করা ডেটার ধরন ব্যাখ্যা করে স্পষ্ট এবং সঠিক তথ্য প্রদান করতে হবে;
- ডেটা কীভাবে ব্যবহার এবং ভাগ করা হয় তা অবশ্যই ব্যাখ্যা করতে হবে; যদি আপনি একটি কারণে ডেটা রপ্তানি করার অনুরোধ করেন, কিন্তু ডেটাটি একটি গৌণ উদ্দেশ্যেও ব্যবহার করা হয়, তাহলে আপনাকে অবশ্যই ব্যবহারকারীদের উভয় ব্যবহারের ক্ষেত্রেই অবহিত করতে হবে;
- শুধুমাত্র একটি গোপনীয়তা নীতি বা পরিষেবার শর্তাবলীতে স্থাপন করা যাবে না; এবং
- ব্যক্তিগত এবং সংবেদনশীল ডেটা সংগ্রহের সাথে সম্পর্কিত নয় এমন অন্যান্য প্রকাশের সাথে অন্তর্ভুক্ত করা যাবে না।
- একজন বিকাশকারীর প্রকাশ অবশ্যই ব্যবহারকারীর সম্মতির জন্য অনুরোধের সাথে এবং অবিলম্বে তার আগে থাকতে হবে। আপনি অবশ্যই ইতিবাচক সম্মতি পাওয়ার আগে সংগ্রহ শুরু করবেন না। সম্মতির জন্য অনুরোধ:
- একটি স্পষ্ট এবং দ্ব্যর্থহীন ভাবে সম্মতি ডায়ালগ উপস্থাপন করতে হবে;
- গ্রহণ করার জন্য অবশ্যই একটি ইতিবাচক ব্যবহারকারীর পদক্ষেপের প্রয়োজন হবে যেমন গ্রহণ করার জন্য নির্বাচন করুন, একটি চেকবক্স চেক করা বা গ্রহণ করার জন্য একটি মৌখিক আদেশ;
- সম্মতি হিসাবে প্রকাশ থেকে দূরে নেভিগেশন ব্যাখ্যা করা উচিত নয়; এর মধ্যে রয়েছে দূরে ক্লিক করা বা পিছনের বা হোম বোতাম টিপে; এবং
- স্বয়ংক্রিয়ভাবে বরখাস্ত করা বা মেয়াদোত্তীর্ণ বার্তা ব্যবহার করা উচিত নয়।
- আপনাকে অবশ্যই ব্যবহারকারীর সহায়তার ডকুমেন্টেশন প্রদান করতে হবে যা ব্যাখ্যা করে যে ব্যবহারকারীরা কীভাবে অ্যাপ থেকে তাদের ডেটা পরিচালনা এবং মুছে ফেলতে পারে।
ব্যবহারকারীর ডেটার সীমিত ব্যবহার
আপনি যখন উপযুক্ত ব্যবহারের জন্য ডেটা পোর্টেবিলিটি API অ্যাক্সেস করেন, তখন প্রাপ্ত ডেটার বিকাশকারীর ব্যবহার নিম্নলিখিত প্রয়োজনীয়তাগুলি মেনে চলতে হবে৷ এই প্রয়োজনীয়তাগুলি সংবেদনশীল এবং সীমাবদ্ধ স্কোপের ক্ষেত্রে প্রযোজ্য, ডেটা পোর্টেবিলিটি API থেকে প্রাপ্ত কাঁচা ডেটা এবং কাঁচা ডেটা থেকে একত্রিত, বেনামী, ডি-আইডেন্টিফাইড বা প্রাপ্ত ডেটা।
- অনুরোধকারী অ্যাপ্লিকেশনের ইউজার ইন্টারফেসে দৃশ্যমান এবং বিশিষ্ট উপযুক্ত ব্যবহারের ক্ষেত্রে বা বৈশিষ্ট্যগুলি প্রদান বা উন্নত করার জন্য ডেটা ব্যবহার সীমিত করুন।
- ডেটা স্থানান্তর অনুমোদিত নয়, ব্যতীত:
- উপযুক্ত ব্যবহারের ক্ষেত্রে বা ব্যবহারকারী-মুখী বৈশিষ্ট্যগুলি প্রদান বা উন্নত করতে যা অনুরোধকারী অ্যাপ্লিকেশনের ব্যবহারকারী ইন্টারফেস থেকে স্পষ্ট এবং শুধুমাত্র ব্যবহারকারীর সম্মতিতে;
- নিরাপত্তার উদ্দেশ্যে যেমন অপব্যবহারের তদন্ত করা;
- প্রযোজ্য আইন বা প্রবিধান মেনে চলা; বা
- ব্যবহারকারীর কাছ থেকে সুস্পষ্ট পূর্ব সম্মতি পাওয়ার পরে বিকাশকারীর সম্পদের একীভূতকরণ, অধিগ্রহণ বা বিক্রয়ের অংশ হিসাবে।
- মানুষকে ব্যবহারকারীর ডেটা পড়ার অনুমতি দেবেন না, যদি না:
- আপনি নির্দিষ্ট ডেটা পড়ার জন্য ব্যবহারকারীর স্পষ্ট সম্মতি পেয়েছেন এবং নথিভুক্ত করেছেন; একটি উদাহরণ একটি ব্যবহারকারীকে তাদের পাসওয়ার্ড হারিয়ে যাওয়ার পরে পণ্য বা পরিষেবাতে অ্যাক্সেস পুনরুদ্ধার করতে সহায়তা করবে;
- ডেটা, ডেরিভেশন সহ, প্রযোজ্য গোপনীয়তা এবং অন্যান্য বিচার বিভাগীয় আইনি প্রয়োজনীয়তা অনুসারে অভ্যন্তরীণ ক্রিয়াকলাপের জন্য একত্রিত এবং ব্যবহার করা হয়;
- এটি নিরাপত্তার উদ্দেশ্যে যেমন অপব্যবহারের তদন্তের জন্য প্রয়োজনীয়; বা
- প্রযোজ্য আইন বা প্রবিধান মেনে চলা আবশ্যক।
একটি ইতিবাচক বা অন্যান্য অনুরূপ বিবৃতি যে অ্যাপ্লিকেশন বা পরিষেবার ডেটা ব্যবহার সীমিত ব্যবহারের বিধিনিষেধ মেনে চলে তা অবশ্যই অ্যাপ্লিকেশনে বা পরিষেবা বা অ্যাপ্লিকেশনের সাথে সম্পর্কিত একটি ওয়েবসাইটে প্রকাশ করতে হবে৷ উদাহরণস্বরূপ, হোমপেজে একটি উত্সর্গীকৃত পৃষ্ঠা বা গোপনীয়তা নীতির একটি লিঙ্ক যা নোট করে:
"ডেটা পোর্টেবিলিটি API থেকে প্রাপ্ত তথ্যের ব্যবহার ডেটা পোর্টেবিলিটি API ব্যবহারকারী ডেটা এবং ডেভেলপার নীতি মেনে চলে, যার মধ্যে সীমিত ব্যবহারের প্রয়োজনীয়তা রয়েছে"।
অনুরূপ বাক্য ব্যবহার করা যেতে পারে যা সীমিত ব্যবহার বিভাগে ডেটা ভাগ করে নেওয়ার বিধিনিষেধের সাথে সারিবদ্ধ।
একটি নিরাপদ অপারেটিং পরিবেশ বজায় রাখুন
আপনাকে অবশ্যই সমস্ত ব্যবহারকারীর ডেটা নিরাপদে পরিচালনা করতে হবে। অননুমোদিত বা বেআইনি অ্যাক্সেস, ব্যবহার, ধ্বংস, ক্ষতি, পরিবর্তন, বা প্রকাশের বিরুদ্ধে ডেটা পোর্টেবিলিটি API ব্যবহার করে এমন সমস্ত অ্যাপ্লিকেশন বা সিস্টেমকে রক্ষা করার জন্য যুক্তিসঙ্গত এবং উপযুক্ত পদক্ষেপ নিন।
যে অ্যাপ্লিকেশনগুলি সীমাবদ্ধ স্কোপগুলিতে অ্যাক্সেস করে সেগুলিকে অবশ্যই নির্দিষ্ট সুরক্ষা অনুশীলনগুলি মেনে চলতে হবে। প্রস্তাবিত নিরাপত্তা অনুশীলনের মধ্যে রয়েছে ISO/IEC 27001- এ বর্ণিত তথ্য সুরক্ষা ব্যবস্থাপনা সিস্টেম বাস্তবায়ন ও বজায় রাখা এবং নিশ্চিত করা যে অ্যাপ্লিকেশন বা ওয়েব পরিষেবাটি শক্তিশালী এবং সাধারণ নিরাপত্তা সমস্যাগুলি থেকে মুক্ত যেমন OWASP শীর্ষ 10 দ্বারা নির্ধারিত।
প্রয়োজনীয় নিরাপত্তা ব্যবস্থা অন্তর্ভুক্ত:
- ব্যবহারকারীর ডেটা এনক্রিপ্ট করার জন্য একটি শিল্প স্বীকৃত এনক্রিপশন মান ব্যবহার করে যা হল:
- পোর্টেবল ডিভাইস বা পোর্টেবল ইলেকট্রনিক মিডিয়াতে সংরক্ষিত;
- Google এর বা বিকাশকারীর সিস্টেমের বাইরে রক্ষণাবেক্ষণ করা হয়;
- শুধুমাত্র আপনার দ্বারা পরিচালিত নয় এমন কোনো বাহ্যিক নেটওয়ার্ক জুড়ে স্থানান্তরিত; এবং
- বিকাশকারীর সিস্টেমে বিশ্রামে।
- নিরাপদ আধুনিক প্রোটোকল যেমন HTTPS ব্যবহার করে ডেটা প্রেরণ করা।
- ব্যবহারকারীর ডেটা এবং শংসাপত্রগুলি রাখা, বিশেষত টোকেন যেমন OAuth অ্যাক্সেস এবং রিফ্রেশ টোকেন, বাকি সময়ে এনক্রিপ্ট করা।
- নিশ্চিত করা কী এবং মূল উপাদান যথাযথভাবে পরিচালিত হয়, যেমন একটি হার্ডওয়্যার নিরাপত্তা মডিউল বা সমতুল্য-শক্তি কী ব্যবস্থাপনা সিস্টেমে সংরক্ষণ করা হয়।
সীমাবদ্ধ স্কোপের জন্য প্রয়োজনীয় নিরাপত্তা ব্যবস্থার মধ্যে রয়েছে ক্লাউড অ্যাপ্লিকেশন সিকিউরিটি অ্যাসেসমেন্ট (CASA) অনুসরণ করা। এছাড়াও, আপনাকে অ্যাপ্লিকেশন বা পরিষেবাটিকে পর্যায়ক্রমিক নিরাপত্তা মূল্যায়ন করার অনুমতি দিতে হবে এবং Google-নির্ধারিত তৃতীয় পক্ষের কাছ থেকে মূল্যায়নের একটি চিঠি পেতে হবে।
সিস্টেম, নেটওয়ার্ক, অ্যাকাউন্ট, বা অন্যান্য অবস্থানে যেখানে Google ডেটা সংরক্ষণ করা হয় সেখানে আপনি যেকোন পরিচিত বা সন্দেহজনক অননুমোদিত অ্যাক্সেসের বিষয়ে নিরাপত্তা@google.com- এ অবিলম্বে Google-কে অবহিত করতে সম্মত হন। একে সিকিউরিটি ইনসিডেন্ট বলা হয়। আপনি যেকোন পরিচিত বা সন্দেহজনক নিরাপত্তা ঘটনাকে সংশোধন করার জন্য Google-এর সাথে সম্পূর্ণ সহযোগিতা করতে সম্মত হন এবং এই ধরনের যেকোন ইভেন্টে, কোনো পরিচিত বা সন্দেহজনক নিরাপত্তা ঘটনা সম্পর্কে কোনো পাবলিক বিবৃতি দেওয়ার আগে Googleকে security@google.com- এ অবহিত করতে আপনি সম্মত হন।
OAuth 2.0 স্কোপ
সমস্ত ডেটা পোর্টেবিলিটি API স্কোপ এবং সংস্থান গোষ্ঠীগুলির একটি তালিকার জন্য, ডেটা পোর্টেবিলিটির জন্য স্কোপগুলি দেখুন।
অন্যান্য সীমাবদ্ধ সুযোগ সম্পর্কে আরও তথ্যের জন্য, সীমাবদ্ধ সুযোগের তালিকা দেখুন।