تمت ترجمة هذه الصفحة بواسطة Cloud Translation API‏.

سياسة المطوّرين وبيانات المستخدمين في Workspace API

بصفتك مطوّرًا يستخدم واجهات برمجة تطبيقات Google Workspace، غالبًا ما تجمع ويدير بيانات المستخدمين الحسّاسة. يُرجى مراعاة المبادئ الأساسية التالية:

حماية الخصوصية: لا تستخدِم بيانات مستخدمي Workspace لأغراض محظورة. ونحظر على الاطّراف الخارجية بيع بيانات المستخدمين أو استخدامها لأغراض إعلانية.
الشفافية: يجب أن تقدّم للمستخدمين وصفًا دقيقًا للبيانات التي ستجمعها وسبب جمعها وكيفية استخدامها.
الالتزام بالاحترام: يجب احترام طلبات المستخدمين بحذف بياناتهم.
توفير أمان كافٍ: يجب التعامل مع جميع بيانات المستخدمين بأمان وإثبات التزامك بممارسات أمان معيّنة.
تحديد البيانات المطلوبة بدقة: لا تطلب الوصول إلى بيانات لا تحتاج إليها. يجب أن يكون الوصول إلى كل البيانات بهدف توفير الميزات التي تفيد المستخدم في تطبيقك أو خدمتك فقط.

سياسة بيانات المستخدمين في خدمات Workspace API

تخضع استخدام جميع خدمات Google API لـ سياسة بيانات المستخدمين في خدمات Google API عندما تطلب أنت كمطوّر برمجي الوصول إلى بيانات المستخدمين. تتضمّن سياسة بيانات المستخدمين ومطوّري البرامج في خدمات Workspace API معلومات إضافية تحكم استخدامك ووصولك إلى واجهات برمجة تطبيقات Workspace، بما في ذلك Gmail وChat وDrive و"جداول بيانات Google" ومنتجات Google Workspace الأخرى، عند طلب الوصول إلى بيانات المستخدمين.

بالإضافة إلى السياسة أدناه، تخضع أيضًا بنود خدمة Google APIs وسياسة الاستخدام المقبول في Google Chat ودليل مطوّري Google Chat وبنود خدمة Google Drive API وسياسات برنامج Google Drive ودليل مطوّري Google Drive وسياسات برنامج Gmail ودليل مطوّري Gmail وبنود خدمة Google Apps Script وسياسات OAuth 2.0 لاستخدامك لواجهات برمجة تطبيقات Workspace والوصول إليها وإلى بيانات المستخدمين المرتبطة بها. وقد يخضع استخدامك أيضًا لأحكام اتفاقية المطوّرين في Google Workspace Marketplace. نطلب منك أيضًا الالتزام بجميع القوانين واللوائح السارية.

يُرجى زيارة هذه الصفحة من حين لآخر، لأنّنا قد نعدّل هذه السياسات أحيانًا. وتقع على عاتقك مسؤولية مراقبة مدى التزامك بهذه السياسات والتأكّد منه بشكل منتظم. إذا تعذّر عليك في أي وقت استيفاء متطلبات سياساتنا (أو إذا كان هناك خطر كبير بعدم التمكّن من استيفائها)، يُرجى التوقف فورًا عن استخدام خدماتنا والتواصل معنا. تحتفظ Google بحق إزالة بيانات مستخدمي Google أو حظر الوصول إليها في حال عدم امتثالك لهذه السياسة.

ملاحظة: تخضع بعض نطاقات Google OAuth API (التي يُشار إليها باسم "النطاقات المقيّدة") لمتطلبات إضافية كما هو موضّح في هذا الإرشاد. هناك أيضًا استثناءات لعملية إثبات الهوية وننصحك بمراجعتها. إذا كان التطبيق يستخدمه فقط المستخدمون داخل مؤسستك، لن تنطبق هذه المتطلبات الإضافية. بالإضافة إلى ذلك، يمكن لمشرفي Google Workspace التحكّم في الوصول إلى التطبيقات المتصلة من خلال القائمة المسموح بها. اطّلِع على مزيد من المعلومات عن أفضل الممارسات لإدارة منظومة OAuth المتكاملة للمؤسسات. يمكنك الاطّلاع على مزيد من المعلومات حول متطلبات التقييم للحصول على إذن الوصول (أو الاحتفاظ به) إلى النطاقات المحظورة في الأسئلة الشائعة حول إثبات ملكية تطبيق OAuth.

الوصول الملائم إلى واجهات برمجة تطبيقات Google Gmail واستخدامها

يجب أن تكون طلبات الوصول إلى بيانات المستخدمين واضحة ومفهومة. لا يمكن استخدام واجهات برمجة تطبيقات Google Workspace إلا وفقًا للسياسات والأحكام والشروط السارية لحالات الاستخدام الموافَق عليها على النحو الموضّح في هذه السياسة. وهذا يعني أنّه لا يمكنك طلب الوصول إلى الأذونات إلا عندما يستوفي تطبيقك أو خدمتك أحد حالات الاستخدام الموافَق عليها. لا تطلب الوصول إلى واجهات برمجة تطبيقات Workspace إلا عندما يتوافق تطبيقك أو خدمتك مع إحدى حالات الاستخدام الموافَق عليها.

في ما يلي حالات الاستخدام التي تمت الموافقة عليها للوصول إلى أذونات نطاقات واجهة برمجة التطبيقات Gmail API:

برامج البريد الإلكتروني المضمّنة وبرامج البريد الإلكتروني على الويب التي تسمح للمستخدمين بإنشاء الرسائل الإلكترونية وإرسالها وقراءتها ومعالجتها من خلال واجهة مستخدم
التطبيقات التي تحتفظ بنسخة احتياطية من الرسائل الإلكترونية تلقائيًا
التطبيقات التي تحسِّن تجربة البريد الإلكتروني لأغراض الإنتاجية (مثل تطبيقات إدارة علاقات العملاء أو إرسال الرسائل الإلكترونية بعد فترة أو دمج البريد أو تقديم ملخّصات من خلال الذكاء الاصطناعي التوليدي)
التطبيقات التي تستخدم معلومات من الرسائل الإلكترونية لتقديم خدمات إعداد التقارير أو التتبّع لمصلحة المستخدمين الذين يحسّنون تجربتهم في استخدام البريد الإلكتروني (مثل التطبيقات التي تُبرمِج برامج رحلات السفر أو تتبّع رحلات الطيران أو حالات تسليم الطرود)

في ما يلي أمثلة على أنواع التطبيقات التي لم تتم الموافقة على وصولها إلى نطاقات واجهة برمجة التطبيقات Gmail API. ويشمل هذا، على سبيل المثال لا الحصر:

لوحات المفاتيح على الأجهزة الجوّالة
التطبيقات التي تُصدِّر الرسائل الإلكترونية لمرة واحدة أو يدويًا
التطبيقات التي تخزِّن بيانات غير رسائل البريد الإلكتروني أو تُنشئ نُسخًا احتياطية منها في Gmail
التطبيقات التي تستخدم حسابات متعدّدة لإساءة استخدام سياسات Google أو تجاوز قيود حساب Gmail أو التحايل على الفلاتر والمحتوى غير المرغوب فيه أو التحايل على القيود بأي شكل آخر
التطبيقات التي توزّع رسائل غير مرغوب فيها أو بريدًا تجاريًا غير مرغوب فيه على سبيل المثال، تتم الموافقة على التطبيقات التي تُرسِل بريدًا تجاريًا مجمّعًا، مثل إدارة علاقات العملاء، ما دام المستخدم قد وافق على تلقّي الرسائل الإلكترونية.

الوصول المناسب إلى واجهات برمجة تطبيقات Google Drive واستخدامها

لا تطلب الوصول إلى واجهات برمجة تطبيقات Google Drive إلا عندما يستوفي تطبيقك أو خدمتك أحد حالات الاستخدام الموافَق عليها.

في ما يلي حالات الاستخدام التي تمت الموافقة عليها للوصول إلى أذونات نطاقات Google Drive API:

التطبيقات المضمّنة وتطبيقات الويب التي توفّر مزامنة محلية أو الاحتفاظ بنسخة احتياطية تلقائية منملفّات Drive الخاصة بالمستخدمين
تطبيقات الإنتاجية والتعليمية (مثل تطبيقات إدارة المهام وأخذ الملاحظات واتصالات مجموعات العمل والتعاون في الصف الدراسي ) التي تستخدم النطاقات المحظورة فقط لمعالجة ملفات Drive (أو بياناتها الوصفية أو أذوناتها) من خلال واجهة مستخدم التطبيق
تطبيقات إعداد التقارير والأمان التي تقدّم إحصاءات للمستخدمين أو العملاء بشأن كيفية مشاركة الملفات أو الوصول إليها

لا يُسمح باستخدام Google Drive API في حالات استخدام معيّنة، بما في ذلك موارد العميل التالية:

الاحتفاظ بنسخة احتياطية من محتوى المستخدم أو التطبيق من تطبيق أو مشروع المطوِّر على Drive
تعدين العملات المشفّرة
توزيع الفيديوهات على نطاق واسع أو نشر المحتوى المحمي بحقوق الطبع والنشر بدون إذن
استخدام Drive كبديل لشبكة توصيل محتوى (CDN) على نطاق واسع
أدوات استنساخ الملفات التي تتيح تقسيم مساحة تخزين المستخدم و/أو التحايل على حدود مساحة التخزين في Drive
التطبيقات التي تستخدم حسابات متعدّدة لإساءة استخدام سياسات Google أو تجاوز قيود حساب Google Drive أو إسقاط القيود بطريقة أخرى
التطبيقات التي توزّع رسائل غير مرغوب فيها أو رسائل تجارية غير مرغوب فيها على سبيل المثال، تتم الموافقة على التطبيقات التي ترسل رسائل تجارية مجمّعة، مثل إدارة علاقات العملاء، طالما أنّ المستخدم وافق على تلقّي الرسائل.

الوصول المناسب إلى واجهات برمجة تطبيقات Google Chat واستخدامها

لا تطلب الوصول إلى واجهات برمجة تطبيقات Google Chat إلا عندما يستوفي تطبيقك أو خدمتك إحدى حالات الاستخدام الموافَق عليها.

في ما يلي حالات الاستخدام التي تمت الموافقة عليها للوصول إلى أذونات نطاقات Google Chat API:

التطبيقات المضمّنة وتطبيقات الويب التي تسمح للمستخدمين بإنشاء رسائل Chat أو رسائل مشابهة وإرسالها وقراءتها ومعالجتها من خلال واجهة مستخدم
التطبيقات التي تحسِّن تجربة Chat لأغراض زيادة الإنتاجية (مثل تطبيق Google Chat لإدارة المهام يتيح لك تعيين المهام إلى الأعضاء الآخرين في المساحة)
التطبيقات التي تستخدم معلومات من رسائل Chat لتقديم خدمات إعداد التقارير أو التتبّع لمصلحة المستخدمين (على سبيل المثال، تطبيق يُعلم المستخدمين بأنّ أحد الزملاء في إجازة)
التطبيقات التي تستورد الرسائل أو الاشتراكات أو المجموعات أو وظائف مماثلة أخرى في Google Chat
التطبيقات التي تتبادل البيانات التي يتم الحصول عليها من خلال واجهات برمجة تطبيقات Google Chat وتستخدمها للتفاعل مع منتجات أو خدمات أو ميزات مراسلة أخرى

لا يُسمح باستخدام Google Chat API في بعض حالات الاستخدام، بما في ذلك موارد العميل التالية:

استخدام Chat كبديل لشبكة توصيل محتوى (CDN) على نطاق واسع
التطبيقات التي تستخدم حسابات متعدّدة لإساءة استخدام سياسات Google أو تجاوز قيود حساب Google Chat أو إسقاط القيود بطريقة أخرى
التطبيقات التي توزّع رسائل غير مرغوب فيها أو رسائل تجارية غير مرغوب فيها على سبيل المثال، تتم الموافقة على التطبيقات التي ترسل رسائل تجارية مجمّعة، مثل إدارة علاقات العميل، طالما أنّ المستخدم وافق على تلقّي الرسائل.

طلب الحد الأدنى من الأذونات ذات الصلة

ولا يمكنك طلب الوصول إلى الأذونات إلا إذا كانت ضرورية لتنفيذ وظائف تطبيقك أو خدمتك. وهذا يعني ما يلي:

لا تطلب الوصول إلى معلومات لا تحتاج إليها. يجب طلب الوصول فقط إلى الأذونات اللازمة لتنفيذ ميزات تطبيقك أو خدماته. إذا كان تطبيقك لا يتطلب الوصول إلى أذونات معيّنة، يجب عدم طلب الوصول إلى هذه الأذونات. يجب عدم محاولة "تلبية متطلبات المستقبل " من خلال طلب الوصول إلى معلومات قد تعود بالفائدة على خدمات أو ميزات لم يتم تطبيقها بعد.

طلب الأذونات في السياق كلما أمكن ذلك لا تطلب الوصول إلى بيانات المستخدمين في السياق (من خلال المصادقة المتزايدة) إلا عندما يكون ذلك ضروريًا، حتى يعرف المستخدمون سبب احتياجك إلى البيانات.

إشعارات وعناصر تحكّم شفافة ودقيقة

يجب أن تتضمّن سياسة الخصوصية لديك معلومات حول كيفية جمع تطبيقك أو خدمة الويب لبيانات المستخدمين واستخدامها ومشاركتها.

يجب أن تطلب التطبيقات والخدمات أيضًا الوصول إلى بيانات المستخدمين في السياق (من خلال المصادقة المتزايدة) سبب احتياجك إلى البيانات وكيفية استخدامها. بالإضافة إلى المتطلّبات بموجب القانون الساري، عليك أيضًا الالتزام بالمتطلّبات التالية التي تعكس سياستَي OAuth 2.0 وبيانات المستخدمين في خدمات Google API:

يجب أن توفّر بيان إفصاح عن إمكانية وصول تطبيقك إلى البيانات وجمعه واستخدامه ومشاركته. يجب أن يتضمّن بيان الإفصاح ما يلي:
1. يجب أن يمثّل بدقة هوية التطبيق أو الخدمة التي تسعى للحصول على إذن بالوصول إلى بيانات المستخدمين.
2. يجب أن يكون داخل التطبيق نفسه إذا كان مستندًا إلى التطبيق أو في نافذة مربّع حوار منفصلة إذا كان مستندًا إلى الويب.
3. يجب أن يُعرض أثناء الاستخدام العادي للتطبيق إذا كان مستندًا إلى التطبيق أو الموقع الإلكتروني إذا كان مستندًا إلى الويب، وألا يطلب من المستخدم الانتقال إلى قائمة أو إعدادات.
4. يجب أن يقدّم بيان الإفصاح معلومات واضحة ودقيقة توضّح أنواع البيانات التي يتم الوصول إليها و/أو طلبها و/أو جمعها.
5. يجب أن يوضِّح طريقة استخدام البيانات و/أو مشاركتها: إذا طلبت بيانات لسبب معيّن، ولكن سيتم استخدام البيانات أيضًا لأغراض ثانوية، يجب إبلاغ المستخدمين بكلتا حالتَي الاستخدام.
6. لا يمكن الاكتفاء بعرضه ضمن سياسة الخصوصية أو بنود الخدمة.
7. لا يمكن تضمينه مع بيانات إفصاح أخرى غير مرتبطة بجمع البيانات الشخصية والحساسة.
يجب أن يصحب بيان الإفصاح طلب موافقة المستخدم ويسبقه مباشرةً. يجب عدم بدء عملية جمع البيانات قبل الحصول على موافقة إيجابية. يجب أن يلتزم طلب الموافقة بالمعايير التالية:
1. يجب أن يظهر مربّع إفادة الموافقة بوضوح.
2. يجب أن يشترط التطبيق على المستخدم اتخاذ إجراء تأكيدي (مثل النقر للقبول أو وضع علامة في مربّع اختيار أو أمر شفهي أو غير ذلك) لإبداء الموافقة.
3. يجب ألا يفسّر التطبيق الانتقال إلى موضع آخر خارج بيان الإفصاح على أنّه موافقة (ويشمل ذلك النقر في مكان آخر أو الضغط على زر "رجوع" أو زر "الشاشة الرئيسية").
4. يجب ألّا يستخدم رسائل يتم إغلاقها أو تنتهي صلاحيتها تلقائيًا.
يجب أن توفِّر مستندات مساعدة للمستخدمين توضّح كيفية إدارة وحذف بياناتهم من تطبيقك أو خدمتك.

استخدام محدود لبيانات المستخدمين

عند الوصول إلى واجهات برمجة تطبيقات Workspace لاستخدام ملائم، يجب أن يكون استخدامك للبيانات المُحصَّلة متوافقًا مع المتطلبات التالية. تنطبق هذه المتطلبات على البيانات المستمدة من النطاقَين الحسّاس والمحظور.

يجب حصر استخدام البيانات في توفير أو تحسين حالة الاستخدام المناسبة أو الميزات الظاهرة والبارزة في واجهة مستخدم التطبيق الذي يطلب الوصول إلى البيانات.
لا يُسمح بنقل البيانات، باستثناء:
1. لتقديم أو تحسين حالة الاستخدام المناسبة أو الميزات الموجّهة للمستخدمين التي تكون مرئية وواضحة في واجهة مستخدم التطبيق الذي يقدّم الطلب وبموافقة المستخدم فقط
2. لأغراض الأمان (على سبيل المثال، التحقيق في حالات إساءة الاستخدام)
3. للامتثال للقوانين و/أو اللوائح التنظيمية السارية
4. كجزء من عملية اندماج أو اكتساب أو بيع أصول المطوّر بعد الحصول على موافقة صريحة مسبقة من المستخدم
لا تسمح للموظفين بقراءة بيانات المستخدمين، إلا في الحالات التالية:
1. إذا حصلت على موافقة المستخدم الصريحة ووثّقتها لقراءة data معيّنة (على سبيل المثال، مساعدة مستخدم على إعادة الوصول إلى المنتج أو الخدمة بعد فقدان كلمة المرور)
2. يتم تجميع البيانات (بما في ذلك البيانات المشتقة) وإخفاء هويتها واستخدامها للعمليات الداخلية بما يتوافق مع متطلبات الخصوصية السارية وغيرها من متطلبات القانون السارية في نطاق السلطة.
3. إذا كان ذلك ضروريًا لأغراض أمنية (مثل التحقيق في إساءة الاستخدام)
4. للامتثال للقوانين و/أو اللوائح التنظيمية السارية

ويُحظر تمامًا نقل بيانات المستخدمين أو استخدامها أو بيعها بأي شكل آخر، بما في ذلك:

نقل بيانات المستخدمين أو بيعها إلى جهات خارجية، مثل منصّات الإعلان أو وسطاء البيانات أو مورّدي المعلومات
نقل بيانات المستخدمين أو بيعها أو استخدامها لعرض الإعلانات، بما في ذلك الاستهداف المُعاد أو الإعلانات المخصّصة أو الإعلانات المستندة إلى الاهتمامات
نقل بيانات المستخدمين أو بيعها أو استخدامها لتحديد الأهلية الائتمانية أو لأغراض الإقراض
نقل بيانات المستخدمين أو بيعها أو استخدامها لإنشاء نموذج تعلُّم آلي أو نموذج ذكاء اصطناعي أو تدريبه أو تحسينه خارج نطاق نموذجه المخصّص لحالة الاستخدام المناسبة أو الميزة الموجّهة للمستخدمين

يجب أن يتضمن تطبيقك أو موقعك الإلكتروني بيانًا إيجابيًا أو بيانًا مشابهًا آخر يُفيد بأنّ استخدامك للبيانات يتوافق مع قيود الاستخدام المحدود، على سبيل المثال، رابط على الصفحة الرئيسية يؤدي إلى صفحة مخصّصة أو سياسة خصوصية تشير إلى ما يلي: "يلتزم استخدام المعلومات الواردة من واجهة برمجة التطبيقات Workspace APIs بسياسة بيانات المستخدمين في Google، بما في ذلك متطلبات الاستخدام المحدود".

الحفاظ على بيئة تشغيل آمنة

التعامل بأمان مع جميع بيانات المستخدمين أثناء نقلها أو عدم نقلها اتّخاذ خطوات معقولة و مناسبة لحماية جميع التطبيقات أو الأنظمة التي تستخدِم واجهتَي برمجة التطبيقات Workspace API وأي بيانات مستمَدة منها من الوصول غير المصرّح به أو غير القانوني أو الاستخدام أو الإتلاف أو الفقدان أو التعديل أو الإفصاح

على التطبيقات التي تصل إلى النطاقات المحظورة إثبات التزامها بممارسات أمان معيّنة.

تشمل ممارسات الأمان المقترَحة تنفيذ "نظام إدارة أمان المعلومات" (ISMS) والحفاظ عليه، كما هو موضّح في ISO/IEC 27001، وضمان أنّ تطبيقك أو خدمة الويب متينة وخالية من ملفوظات الأمان الشائعة على النحو الموضّح في أهم 10 مشاكل في OWASP.

تشمل إجراءات الأمان المطلوبة ما يلي:

استخدام معيار تشفير مقبول في المجال لتشفير بيانات المستخدمين:
1. تخزينها على الأجهزة الجوّالة أو الوسائط الإلكترونية الجوّالة
2. يتم الاحتفاظ بها خارج أنظمة Google أو أنظمة مؤسستك
3. تم نقلها عبر أي شبكة خارجية لا تديرها أنت وحدك
4. في وضع السكون على أنظمتك
نقل البيانات باستخدام بروتوكولات حديثة وآمنة (على سبيل المثال، نقلها عبر بروتوكول HTTPS)
الحفاظ على تشفير بيانات المستخدمين وبيانات الاعتماد الخاصة بهم، خاصةً الرموز المميزة، مثل رموز الوصول وإعادة التحميل في بروتوكول OAuth
التأكّد من إدارة المفاتيح ومواد المفاتيح بشكلٍ مناسب، مثل تخزينها في وحدة أمان للأجهزة أو نظام إدارة مفاتيح بمستوى قوة مماثل

تشمل إجراءات الأمان المطلوبة النطاقات المحظورة أيضًا اتّباع تقييم أمان تطبيقات السحابة الإلكترونية (CASA). بالإضافة إلى ذلك، استنادًا إلى واجهة برمجة التطبيقات التي يتم الوصول إليها وعدد الأذونات التي منحها المستخدمون أو المستخدمين، قد نطلب أيضًا أن يخضع تطبيقك أو خدمتك لتقييم أمانٍ دوري وأن يحصلا على خطاب تقييم من جهة خارجية تعيّنها Google.

أنت توافق على إبلاغ "Google" على الفور على العنوان الإلكتروني security@google.com بأي وصول غير مصرّح به معروف أو مُشتبه به إلى الأنظمة أو الشبكات أو الحسابات أو المواقع الأخرى التي يتم فيها تخزين "بيانات Google" ("حادثة أمنية"). أنت توافق على التعاون بشكل كامل مع Google لتصحيح أي حالة تتعلّق بأحد حوادث الأمان المعروفة أو المشتبه بها، وفي أيّ من هذه الحالات، عليك إبلاغ Google على العنوان التالي: security@google.com قبل إصدار أيّ بيانات علنية بشأن أيّ حالة تتعلّق بأحد حوادث الأمان المعروفة أو المشتبه بها.

النطاقات المحظورة

تشمل النطاقات المحظورة في Workspace ما يلي:

أي نطاق من Gmail API يسمح للتطبيق بما يلي:
1. قراءة نصوص الرسائل (بما في ذلك المرفقات) أو البيانات الوصفية أو العناوين أو إنشاؤها أو تعديلها
2. التحكّم في الوصول إلى صندوق البريد أو إعادة توجيه الرسائل الإلكترونية أو إعدادات المشرف
أي نطاق من Google Drive API يسمح للتطبيق بما يلي:
1. قراءة المحتوى أو البيانات الوصفية لملفات المستخدم على Drive أو تعديلها أو إدارتها بدون أن يمنح المستخدم الإذن بالوصول إلى كل ملف على حدة
أي نطاق من Google Chat API يسمح للتطبيق بما يلي:
1. قراءة محتوى رسائل Chat أو تعديله أو إدارته

لمزيد من التفاصيل، يُرجى الاطّلاع على قائمة النطاقات الخاضعة لقيود.