Workspace API kullanıcı verileri ve geliştirici politikası

Google Workspace API'lerini kullanan bir geliştirici olarak genellikle hassas kullanıcı verilerini toplayıp yönetirsiniz. Lütfen şu temel ilkeleri göz önünde bulundurun:

  • Gizliliği koruma: Workspace kullanıcı verilerini yasaklanmış amaçlar için kullanmayın. Üçüncü tarafların kullanıcı verilerini satmasını veya reklamcılık amacıyla kullanmasını yasaklarız.
  • Şeffaf olun: Hangi verileri toplayacağınızı, neden toplayacağınızı ve nasıl kullanacağınızı kullanıcılara doğru şekilde gösterin ve açıklayın.
  • Saygılı olun: Kullanıcıların verilerini silme isteklerini dikkate alın.
  • Güvenli olun: Tüm kullanıcı verilerini güvenli bir şekilde işleyin ve belirli güvenlik uygulamalarına uyduğunuzu gösterin.
  • Belirgin olun: İhtiyacınız olmayan verilere erişim isteğinde bulunmayın. Tüm veri erişimleri yalnızca kullanıcıya uygulamanızın veya hizmetinizin faydalı özelliklerini sunmak için olmalıdır.

Workspace API Hizmetleri Kullanıcı Verileri Politikası

Geliştirici olarak kullanıcı verilerine erişme isteğinde bulunduğunuzda tüm Google API Hizmetleri'nin kullanımı Google API Hizmetleri Kullanıcı Verileri Politikası'na tabidir. Bu Workspace API Hizmetleri Kullanıcı Verileri ve Geliştirici Politikası, kullanıcı verilerine erişme isteğinde bulunduğunuzda Gmail, Chat, Drive, E-Tablolar ve diğer Google Workspace ürünleri dahil olmak üzere Workspace API'lerini kullanımınızı ve bu API'lere erişiminizi yöneten ek bilgileri içerir.

Workspace API'lerini ve ilişkili kullanıcı verilerini kullanımınızı ve bunlara erişiminizi aşağıdaki politikanın yanı sıra Google API'leri Hizmet Şartları, Google Chat Kabul Edilebilir Kullanım Politikası, Google Chat Geliştirici Kılavuzu, Google Drive API Hizmet Şartları, Google Drive Program Politikaları, Google Drive Geliştirici Kılavuzu, Gmail Program Politikaları, Gmail Geliştirici Kılavuzu, Google Apps Script Hizmet Şartları ve OAuth 2.0 Politikaları da düzenler. Kullanımınız Google Workspace Marketplace Geliştirici Sözleşmesi'ne de tabi olabilir. Ayrıca, geçerli tüm yasa ve yönetmeliklere uymanız gerekir.

Bu politikalar zaman zaman güncellendiği için lütfen bu sayfayı arada bir ziyaret edin. Bu politikalara düzenli olarak uyduğunuzu izlemek ve sağlamak sizin sorumluluğunuzdadır. Herhangi bir zamanda politikalarımızın şartlarını karşılayamazsanız (veya karşılayamama riskiniz yüksekse) lütfen hizmetlerimizi kullanmayı hemen bırakın ve bizimle iletişime geçin. Bu politikaya uymadığınız takdirde Google kullanıcı verilerine erişimi kaldırma veya kısıtlama hakkını saklı tutarız.

Google Gmail API'lerine uygun erişim ve kullanım

Kullanıcı verilerine erişim talepleri açık ve anlaşılır olmalıdır. Google Workspace API'leri yalnızca bu Politika'da belirtilen onaylı kullanım alanlarına uygun şekilde kullanılmalıdır. Bu kullanım, geçerli politikaların yanı sıra hükümler ve koşullara uymalıdır. Yani yalnızca uygulamanız veya hizmetiniz onaylanan kullanım alanlarından birine uyması halinde söz konusu izinlere erişim isteyebilirsiniz. Workspace API'lerine yalnızca uygulamanız veya hizmetiniz onaylanan kullanım alanlarımızdan birine uyduğunda erişim isteyin.

Gmail API kapsamları izinlerine erişim için onaylanan kullanım alanları şunlardır:

  1. Kullanıcıların bir kullanıcı arayüzü üzerinden e-posta oluşturmasına, göndermesine, okumasına ve işleme koymasına olanak tanıyan yerleşik ve web e-posta istemcileri.
  2. E-postaları otomatik olarak yedekleyen uygulamalar
  3. Üretkenlik amacıyla e-posta deneyimini iyileştiren uygulamalar (ör. müşteri ilişkileri yönetimi uygulamaları, e-postaların gecikmeli olarak gönderilmesi veya birleştirilmesi ya da üretken yapay zeka özetleri sağlama)
  4. E-posta deneyimini iyileştiren kullanıcılar için raporlama veya izleme hizmetleri sağlamak amacıyla e-postalardaki bilgileri kullanan uygulamalar (ör. seyahat planlarını otomatikleştiren veya uçuşları ya da kargo teslimat durumlarını izleyen uygulamalar)

Aşağıdaki uygulama türleri, Gmail API kapsamlarına erişmek için onaylanmayan uygulamalara örnektir. Bu tür içerikler aşağıda belirtilmiştir ancak bunlarla sınırlı değildir:

  1. Mobil klavyeler.
  2. E-postaları tek seferlik veya manuel olarak dışa aktaran uygulamalar.
  3. Gmail'de e-posta iletileri dışındaki verileri depolayan veya yedekleyen uygulamalar.
  4. Google politikalarını kötüye kullanmak, Gmail hesap sınırlamalarını atlatmak, filtreleri ve spam'i atlatmak ya da kısıtlamaları başka bir şekilde alt etmek için birden fazla hesap kullanan uygulamalar.
  5. Spam veya istenmeyen ticari postalar dağıtan uygulamalar Örneğin, müşteri ilişkileri yönetimi gibi toplu ticari posta gönderen uygulamalar, kullanıcı e-posta almaya izin verdiği sürece onaylanır.

Google Drive API'lerine uygun erişim ve kullanım

Google Drive API'lerine yalnızca uygulamanız veya hizmetiniz onaylanan kullanım alanlarımızdan birine uyduğunda erişim isteyin.

Google Drive API kapsam izinlerine erişim için onaylanan kullanım alanları şunlardır:

  1. Kullanıcıların Drive dosyalarının yerel senkronizasyonunu veya otomatik yedeklenmesini sağlayan yerleşik ve web uygulamaları.
  2. Uygulamanın kullanıcı arayüzü üzerinden Drive dosyalarını (veya meta verilerini ya da izinlerini) işlemek için yalnızca Kısıtlanmış Kapsamlar'ı kullanan üretkenlik ve eğitim uygulamaları (ör. görev yönetimi, not alma, çalışma grubu iletişimi ve sınıfta ortak çalışma uygulamaları).
  3. Dosyaların nasıl paylaşıldığı veya erişildiğine dair kullanıcı ya da müşteri analizleri sağlayan raporlama ve güvenlik uygulamaları.

Google Drive API'nin aşağıdakiler dahil belirli kullanım alanlarına izin verilmez:

  1. Geliştiricinin uygulamasından veya projesinden Drive'a kullanıcı ya da uygulama içeriğinin yedeklenmesi.
  2. Kripto para madenciliği
  3. Telif hakkıyla korunan içeriğin izinsiz olarak geniş çapta dağıtılması veya yayılması.
  4. Drive'ı büyük ölçekli bir içerik yayınlama ağı (CDN) yerine kullanmak
  5. Kullanıcı depolama alanının parçalara ayrılmasını ve/veya Drive depolama alanı sınırlarının atlatılmasını sağlayan dosya kopyalama araçları.
  6. Google politikalarını kötüye kullanmak, Google Drive hesap sınırlamalarını atlatmak veya kısıtlamaları başka bir şekilde alt etmek için birden fazla hesap kullanan uygulamalar.
  7. Spam veya istenmeyen ticari mesajlar dağıtan uygulamalar Örneğin, müşteri ilişkileri yönetimi gibi toplu ticari mesajlar gönderen uygulamalar, kullanıcı mesaj almaya izin verdiği sürece onaylanır.

Google Chat API'lerine uygun erişim ve kullanım

Yalnızca uygulamanız veya hizmetiniz onaylanan kullanım alanlarımızdan birine uyduğunda Google Chat API'lerine erişim isteyin.

Google Chat API kapsam izinlerine erişim için onaylanan kullanım alanları şunlardır:

  1. Kullanıcıların bir kullanıcı arayüzü üzerinden Chat mesajları veya benzer iletişimleri oluşturmasına, göndermesine, okumasına ve işlemesine olanak tanıyan yerleşik ve web uygulamaları.
  2. Üretkenlik amacıyla Chat deneyimini iyileştiren uygulamalar (ör. alandaki diğer üyelere görev atamanıza olanak tanıyan bir görev yönetimi Google Chat uygulaması).
  3. Kullanıcıların yararına raporlama veya izleme hizmetleri sağlamak için Chat mesajlarındaki bilgileri kullanan uygulamalar (örneğin, bir iş arkadaşının ofiste olmadığını kullanıcılara bildiren bir uygulama).
  4. Mesajları, üyelikleri, grupları veya diğer benzer Google Chat işlevlerini içe aktaran uygulamalar.
  5. Diğer mesajlaşma ürünleri, hizmetleri veya özellikleriyle birlikte çalışmak için Google Chat API'leri aracılığıyla elde edilen verileri alışveriş yapan ve kullanan uygulamalar.

Google Chat API'nin aşağıdakiler dahil belirli kullanım alanları için kullanılmasına izin verilmez:

  1. Chat'i büyük ölçekli bir içerik yayınlama ağı (CDN) yerine kullanmak
  2. Google politikalarını kötüye kullanmak, Google Chat hesap sınırlamalarını atlatmak veya kısıtlamaları başka bir şekilde alt etmek için birden fazla hesap kullanan uygulamalar.
  3. Spam veya istenmeyen ticari mesajlar dağıtan uygulamalar Örneğin, müşteri ilişkileri yönetimi gibi toplu ticari mesajlar gönderen uygulamalar, kullanıcı mesaj almaya izin verdiği sürece onaylanır.

İlgili minimum izinleri isteyin

Yalnızca uygulamanızın veya hizmetinizin işlevi açısından gerekli olan izinlere erişim isteyebilirsiniz. Bunun anlamı şudur:

İhtiyacınız olmayan bilgilere erişim isteğinde bulunmayın. Yalnızca uygulamanızın özelliklerini veya hizmetlerini kullanmak için gerekli olan izinlere erişim hakkı isteyin. Uygulamanızın belirli izinlere erişmesi gerekmiyorsa bu izinlere erişim isteğinde bulunmamalısınız. Henüz kullanıma sunulmamış hizmet veya özelliklerde işe yarayabilecek bilgilere erişim isteyerek kullanıcı verilerine erişiminizi gelecekte kullanabileceğiniz şekilde ayarlamaya çalışmayın.

Mümkün olduğunda bağlama göre izin isteyin. Kullanıcıların, verilere neden ihtiyacınız olduğunu anlamaları için mümkün olduğunda yalnızca bağlam içinde kullanıcı verilerine erişim (artımlı yetkilendirme üzerinden) isteyin.

Şeffaf ve doğru bilgilendirme ve kontrol

Uygulamanızın veya web hizmetinizin kullanıcı verilerini nasıl topladığını, kullandığını ve paylaştığını açıklayan bir gizlilik politikanız olmalıdır.

Uygulamalar ve hizmetler, verilere ihtiyaç duyduğunuzu ve verilerin nasıl kullanılacağını belirterek kullanıcı verilerine bağlam içinde (artımlı yetkilendirme üzerinden) erişim istemelidir. Geçerli kanunlarla belirlenen koşullara ek olarak, OAuth 2.0 ve Google API Hizmetleri Kullanıcı Verileri Politikalarımızı yansıtan aşağıdaki koşullara da uymanız gerekir:

  1. Veri erişimi, toplama, kullanma ve paylaşma faaliyetlerinizin açıklamasını sunmanız gerekir. Açıklama:

    1. Kullanıcı verilerine erişim isteyen uygulamanın veya hizmetin kimliğini doğru şekilde yansıtmalıdır;
    2. Uygulama tabanlıysa uygulamanın içinde, web tabanlıysa ayrı bir iletişim kutusunda olmalıdır;
    3. Uygulama tabanlıysa uygulamanın normal kullanımında veya web tabanlıysa web sitesinin normal kullanımında görüntülenmeli ve kullanıcının bir menüye veya ayarlara gitmesini gerektirmemelidir;
    4. Erişilen, istenen ve/veya toplanan veri türlerini anlaşılır ve doğru bilgilerle açıklamalıdır;
    5. Verilerin nasıl kullanılacağını ve/veya paylaşılacağını açıklamalıdır: Bir nedenle talep ettiğiniz verinin başka bir amaç için de kullanılacağı durumlarda her iki kullanım alanı hakkında kullanıcıların bilgilendirilmesi zorunludur;
    6. Yalnızca bir gizlilik politikasına veya hizmet şartlarına eklenmemelidir ve
    7. Kişisel ve hassas verilerin toplanmasıyla ilgisi olmayan diğer açıklamalara dahil edilmemelidir.

  2. Açıklamanız, kullanıcı onayı isteğiyle birlikte ve bu istekten hemen önce gösterilmelidir. Olumlu izin almadan veri toplamayı başlatmamanız gerekir. İzin isteği:

    1. Rıza mesajını açık ve net bir şekilde sunmalıdır;
    2. Kabul edilmesi için kullanıcının onay verdiğini gösteren bir işlem yapmasını (ör. kabul et seçeneğine dokunma, bir onay kutusunu işaretleme, sözlü komut vb.) gerektirmelidir;
    3. Açıklamadan çıkılması (başka bir alana dokunma veya geri ya da ana sayfa düğmesine basma) izin olarak yorumlanmamalıdır ve
    4. Otomatik kapanan veya süresi dolan mesajlar kullanmamalıdır.

  3. Kullanıcıların uygulamanızdaki veya hizmetinizdeki verilerini nasıl yönetebileceğini ve silebileceğini açıklayan kullanıcı yardım dokümanları sağlanması zorunludur.

Kullanıcı verilerinin sınırlı kullanımı

Workspace API'lerine uygun bir kullanım için eriştikten sonra elde edilen verileri kullanırken aşağıdaki koşullara uymanız gerekir. Bu şartlar hem Hassas hem de Kısıtlanmış kapsamlardan türetilen veriler için geçerlidir.

  1. Veri kullanımınızı, uygun kullanım alanınızın ya da özelliklerinizin sağlanması veya iyileştirilmesiyle sınırlandırın. Ayrıca bu kullanım alanı ve özellikler, izni isteyen uygulamanın kullanıcı arayüzünde belirgin bir şekilde görünür olmalıdır.

  2. Aşağıdakiler dışında veri aktarımına izin verilmez:

    1. İzni isteyen uygulamanın kullanıcı arayüzünde belirgin bir şekilde görünen uygun kullanım alanınızı veya kullanıcılara yönelik özelliklerinizi sağlamak ya da iyileştirmek amacıyla ve yalnızca kullanıcının izin vermiş olması koşuluyla;
    2. Güvenlik nedeniyle (ör. kötüye kullanımı incelemek için)
    3. Geçerli yasalara ve/veya yönetmeliklere uyum sağlamak amacıyla ya da
    4. Kullanıcıdan açık şekilde izin alınmasının ardından geliştirici işletmenin birleşimi, satın alınması veya varlıklarının satışı kapsamında.

  3. Aşağıdaki durumlar haricinde kullanıcı verilerinin şahıslar tarafından okunmasına izin verilmemelidir:

    1. Belirli verilerin okunmasına dair kullanıcıdan açık şekilde izin almış ve bunu belgelemiş olmanız (örneğin, kullanıcının şifresini kaybettikten sonra ürüne veya hizmete yeniden erişmesine yardımcı olmak);
    2. Verilerin (türevler dahil), geçerli gizlilik koşulları ve yargı alanının yasal şartlarına uygun biçimde dahili işlemler için toplanması, anonimleştirilmesi ve kullanılması;
    3. Güvenlik nedeniyle gerekli olması (örneğin, kötüye kullanımın incelenmesi) veya
    4. Geçerli yasalara ve/veya yönetmeliklere uyum sağlamak amacıyla

Kullanıcı verileriyle ilgili diğer tüm aktarım, kullanım veya satma biçimleri tümüyle yasaktır. Aşağıdakiler dahildir:

  1. Reklamcılık platformu, veri aracısı ya da bilgi satıcısı gibi üçüncü taraflara kullanıcı verilerinin aktarılması veya satılması;
  2. Kullanıcı verilerinin, yeniden hedefleme, kişiselleştirilmiş veya ilgi alanına dayalı reklamlar dahil olmak üzere reklam yayınlamak amacıyla aktarılması, satılması ya da kullanılması;
  3. Kullanıcı verilerinin, kredibilite tespiti veya kredi verme amacıyla aktarılması, satılması ya da kullanılması
  4. Kullanıcı verilerinin, uygun kullanım alanı veya kullanıcıya yönelik özellik için söz konusu kullanıcının kişiselleştirilmiş modelinin ötesinde bir makine öğrenimi ya da yapay zeka modeli oluşturmak, eğitmek veya iyileştirmek amacıyla aktarılması, satılması ya da kullanılması.

Verilerinizin kullanımının Sınırlı Kullanım kısıtlamalarına uyduğunu belirten onaylayıcı veya benzer bir beyan, uygulamanızda ya da web hizmetinize veya uygulamanıza ait bir web sitesinde açıklanmalıdır. Örneğin, ana sayfada "Workspace API'lerinden alınan bilgilerin kullanımı, Sınırlı Kullanım şartları dahil olmak üzere Google Kullanıcı Verileri Politikası'na uygun olacaktır" ifadesinin yer aldığı özel bir sayfaya veya gizlilik politikasına bağlantı verilebilir.

Güvenli bir çalışma ortamı sağlama

Aktarım halindeki ve aktif olmayan tüm kullanıcı verilerini güvenli bir şekilde işleyin. Workspace API'lerini ve bunlardan elde edilen verileri kullanan tüm uygulamaları veya sistemleri yetkisiz ya da yasa dışı erişime, kullanıma, saldırıya, kayba, bozulmaya veya izinsiz paylaşıma karşı korumak için makul ve uygun önlemler alın.

Kısıtlı Kapsamlar'a erişen uygulamalar, belirli güvenlik uygulamalarına uyduğunu göstermelidir.

Önerilen güvenlik yöntemleri arasında, ISO/IEC 27001 kapsamında belirtildiği şekilde bir bilgi güvenliği yönetim sisteminin devreye alınıp daimi olarak kullanılması ve ayrıca, uygulamanızın veya web hizmetinizin, OWASP İlk 10 listesinde yer alan yaygın güvenlik sorunlarını içermediğinden ve dayanıklı olduğundan emin olunması yer almaktadır.

Gerekli güvenlik önlemleri şunlardır:

  1. Aşağıdakiler gibi kullanıcı verilerini şifrelemek için endüstri tarafından kabul edilen bir şifreleme standardı kullanın:

    1. Taşınabilir cihazlarda veya taşınabilir elektronik medyada depolanan;
    2. Google'ın veya sistemlerinizin dışında tutulur;
    3. Yalnızca sizin tarafınızdan yönetilmeyen herhangi bir harici ağ üzerinden aktarılmalı ve
    4. Sistemlerinizde dinlenme durumunda.

  2. Verileri güvenli modern protokoller kullanarak (ör. HTTPS üzerinden) iletme

  3. Kullanıcı verilerini ve kimlik bilgilerini (özellikle OAuth erişim ve yenileme jetonları gibi jetonları) dinlenme durumunda şifrelenmiş olarak tutma.

  4. Anahtarların ve anahtar materyallerinin uygun şekilde yönetilmesini (ör. donanım güvenlik modülünde veya eşdeğer güçlülükteki bir anahtar yönetimi sisteminde depolanması) sağlamak.

Kısıtlı Kapsamlar için gerekli güvenlik önlemleri arasında Cloud Uygulama Güvenliği Değerlendirmesi'ni (CASA) uygulamak da yer alır. Ayrıca, erişilen API'ye ve kullanıcıların sayısına bağlı olarak uygulamanızın veya hizmetinizin düzenli aralıklarla güvenlik değerlendirmesinden geçmesi ve Google tarafından belirlenen bir üçüncü taraftan Değerlendirme Yazısı alması da zorunlu tutulabilir.

Google Verileri'nin depolandığı sistemlere, ağlara, hesaplara veya diğer konumlara yönelik bilinen veya şüphelenilen yetkisiz erişimleri security@google.com adresinden Google'a derhal bildirmeyi kabul edersiniz ("Güvenlik Olayı"). Bilinen veya şüphelenilen güvenlik olaylarını düzeltmek için Google ile tam işbirliği yapmayı ve bu tür olaylarda, bilinen veya şüphelenilen güvenlik olaylarıyla ilgili herhangi bir kamuoyu açıklaması yapmadan önce Google'ı security@google.com adresinden bilgilendirmeyi kabul edersiniz.

Kısıtlanmış kapsamlar

Workspace'teki Kısıtlanmış kapsamlar şunlardır:

  1. Bir uygulamanın aşağıdakileri yapmasına izin veren tüm Gmail API kapsamları:

    1. İleti gövdelerini (ekleri dahil), meta verileri veya üstbilgileri okuma, oluşturma ya da değiştirme veya
    2. Posta kutusu erişimini, e-posta yönlendirmeyi veya yönetici ayarlarını kontrol edin.

  2. Bir uygulamanın aşağıdakileri yapmasına izin veren tüm Google Drive API kapsamları:

    1. Kullanıcının dosyalarına tek tek erişim izni vermeden kullanıcının Drive dosyalarının içeriğini veya meta verilerini okuma, değiştirme ya da yönetme

  3. Bir uygulamanın şunları yapmasına izin veren tüm Google Chat API kapsamları:

    1. Kullanıcıların Chat mesajlarının içeriğini veya meta verilerini okuma, değiştirme ya da yönetme

Daha ayrıntılı bilgi için kısıtlanmış kapsamların listesine bakın.