Workspace API के उपयोगकर्ता के डेटा और डेवलपर के लिए नीति

Google Workspace APIs का इस्तेमाल करने वाले डेवलपर के तौर पर, आपको अक्सर उपयोगकर्ता का संवेदनशील डेटा इकट्ठा और मैनेज करना पड़ता है. कृपया इन मुख्य सिद्धांतों को ध्यान में रखें:

  • निजता की सुरक्षा करना: Workspace के उपयोगकर्ता के डेटा का इस्तेमाल, पाबंदी वाले कामों के लिए न करें. हम तीसरे पक्षों को उपयोगकर्ता का डेटा बेचने या विज्ञापन के लिए उपयोगकर्ता के डेटा का इस्तेमाल करने से रोकते हैं.
  • पारदर्शी रहें: उपयोगकर्ताओं को सटीक तरीके से बताएं कि कौनसा डेटा इकट्ठा किया जाएगा, उसे क्यों इकट्ठा किया जाएगा, और उसका इस्तेमाल कैसे किया जाएगा.
  • उपयोगकर्ता की निजता का सम्मान करें: उपयोगकर्ता के डेटा को मिटाने के अनुरोधों का सम्मान करें.
  • सुरक्षित रहें: उपयोगकर्ता के सभी डेटा को सुरक्षित तरीके से मैनेज करें. साथ ही, यह दिखाएं कि आपने सुरक्षा से जुड़े कुछ तरीकों का पालन किया है.
  • ज़रूरी डेटा का ही अनुरोध करें: ऐसे डेटा के ऐक्सेस का अनुरोध न करें जिसकी आपको ज़रूरत नहीं है. डेटा का ऐक्सेस सिर्फ़ इसलिए होना चाहिए, ताकि उपयोगकर्ता को आपके ऐप्लिकेशन या सेवा की फ़ायदेमंद सुविधाएं दी जा सकें.

Workspace API सेवाओं के उपयोगकर्ता के डेटा की नीति

जब डेवलपर के तौर पर, उपयोगकर्ता के डेटा को ऐक्सेस करने का अनुरोध किया जाता है, तब Google API सेवाओं की उपयोगकर्ता के डेटा से जुड़ी नीति के तहत, Google की सभी API सेवाओं का इस्तेमाल किया जाता है. Workspace API Services User Data and Developer Policy में, Workspace API के इस्तेमाल और ऐक्सेस से जुड़ी ज़्यादा जानकारी दी गई है. इसमें Gmail, Chat, Drive, Sheets, और Google Workspace के अन्य प्रॉडक्ट शामिल हैं. यह जानकारी तब लागू होती है, जब उपयोगकर्ता के डेटा को ऐक्सेस करने का अनुरोध किया जाता है.

नीचे दी गई नीति के अलावा, Google APIs की सेवा की शर्तें, Google Chat के इस्तेमाल से जुड़ी नीति, Google Chat की डेवलपर गाइड, Google Drive API की सेवा की शर्तें, Google Drive Program की नीतियां, Google Drive की डेवलपर गाइड, Gmail Program की नीतियां, Gmail की डेवलपर गाइड, Google Meet के इस्तेमाल से जुड़ी नीति, Google Apps Script की सेवा की शर्तें, और OAuth 2.0 की नीतियां भी Workspace API और उससे जुड़े उपयोगकर्ता डेटा के इस्तेमाल और ऐक्सेस को कंट्रोल करती हैं. आपके इस्तेमाल पर, Google Workspace Marketplace के डेवलपर के लिए कानूनी समझौता भी लागू हो सकता है. हम यह भी ज़रूरी मानते हैं कि आप लागू होने वाले सभी कानूनों और नियमों का पालन करें.

इन नीतियों को समय-समय पर अपडेट किया जाता है. इसलिए, कृपया इन्हें समय-समय पर देखते रहें. इन नीतियों का पालन किया जा रहा है या नहीं, इसकी समय-समय पर जांच करना और यह पक्का करना आपकी ज़िम्मेदारी है. अगर आपको किसी भी समय हमारी नीतियों की ज़रूरी शर्तों को पूरा करने में समस्या आती है या इस बात का खतरा है कि आप उन्हें पूरा नहीं कर पाएंगे, तो कृपया हमारी सेवाओं का इस्तेमाल तुरंत बंद करें और हमसे संपर्क करें. अगर आपने इस नीति का पालन नहीं किया, तो हम Google के उपयोगकर्ता के डेटा को हटाने या उसके ऐक्सेस पर पाबंदी लगाने का अधिकार सुरक्षित रखते हैं.

Google Gmail API को ऐक्सेस करने और इस्तेमाल करने का सही तरीका

उपयोगकर्ता के डेटा को ऐक्सेस करने के अनुरोध, आसान और साफ़ तौर पर समझ में आने वाले होने चाहिए. Google Workspace API का इस्तेमाल, लागू होने वाली नीतियों के साथ-साथ नियमों और शर्तों के मुताबिक ही किया जा सकता है. साथ ही, इसका इस्तेमाल इस नीति में बताए गए उन मामलों में भी किया जा सकता है जिनके लिए अनुमति ली जा सकती है. इसका मतलब यह है कि अनुमतियों के ऐक्सेस का अनुरोध सिर्फ़ तब ही किया जा सकता है, जब आपका ऐप्लिकेशन या सेवा, इस्तेमाल के ऐसे मामलों में शामिल हो जिनके लिए अनुमति ली जा सकती है. Workspace API को ऐक्सेस करने का अनुरोध सिर्फ़ तब करें, जब आपका ऐप्लिकेशन या सेवा, इस्तेमाल के ऐसे मामलों में शामिल हो जिनके लिए अनुमति ली जा सकती है.

Gmail API स्कोप की अनुमतियों को ऐक्सेस करने के लिए, इस्तेमाल के उन मामलों के बारे में नीचे बताया गया है जिनके लिए अनुमति ली जा सकती है:

  1. वेब और डिवाइस में पहले से मौजूद ईमेल क्लाइंट. इनकी मदद से, उपयोगकर्ता यूज़र इंटरफ़ेस के ज़रिए ईमेल लिख सकते हैं, भेज सकते हैं, पढ़ सकते हैं, और प्रोसेस कर सकते हैं.
  2. ऐसे ऐप्लिकेशन जो ईमेल का अपने-आप बैकअप लेते हैं
  3. बेहतर ढंग से काम करने में मदद करने वाले ऐसे ऐप्लिकेशन जो ईमेल के अनुभव को बेहतर बनाते हैं (जैसे, ग्राहक संबंध प्रबंधन, ईमेल या मेल मर्ज को देरी से भेजने या जनरेटिव एआई की मदद से खास जानकारी देने वाले ऐप्लिकेशन)
  4. ऐसे ऐप्लिकेशन जो ईमेल से मिली जानकारी का इस्तेमाल करके, उपयोगकर्ताओं को रिपोर्टिंग या निगरानी की सेवाएँ देते हैं. इससे ईमेल का अनुभव बेहतर होता है. जैसे, यात्रा की योजनाओं को अपने-आप बनाने वाले ऐप्लिकेशन या फ़्लाइट या पैकेज की डिलीवरी की स्थिति को ट्रैक करने वाले ऐप्लिकेशन

Gmail API के स्कोप का इस्तेमाल, कुछ मामलों में नहीं किया जा सकता. इनमें ये शामिल हैं, लेकिन इनके अलावा और भी चीज़ें शामिल हो सकती हैं:

  1. मोबाइल कीबोर्ड.
  2. ऐसे ऐप्लिकेशन जो ईमेल को एक बार या मैन्युअल तरीके से एक्सपोर्ट करते हैं.
  3. ऐसे ऐप्लिकेशन जो Gmail में ईमेल मैसेज के अलावा अन्य डेटा को सेव या उसका बैकअप लेते हैं.
  4. ऐसे ऐप्लिकेशन जो Google की नीतियों का गलत इस्तेमाल करने, Gmail खाते की सीमाओं को अनदेखा करने, फ़िल्टर और स्पैम से बचने या गलत इस्तेमाल या सुरक्षा से जुड़ी पाबंदियों से बचने के लिए, एक से ज़्यादा खातों का इस्तेमाल करते हैं.
  5. ऐसे ऐप्लिकेशन जो स्पैम या अनचाहा कारोबारी ईमेल भेजते हैं. उदाहरण के लिए, ग्राहक संबंध प्रबंधन जैसे ऐप्लिकेशन, एक साथ कई कमर्शियल ईमेल भेजते हैं. इन्हें तब तक मंज़ूरी दी जाती है, जब तक उपयोगकर्ता ने ईमेल पाने की सहमति दी हो.

Google Drive API को ऐक्सेस करने और इस्तेमाल करने का सही तरीका

Google Drive API के ऐक्सेस का अनुरोध सिर्फ़ तब करें, जब आपका ऐप्लिकेशन या सेवा, इस्तेमाल के ऐसे मामलों में शामिल हो जिनके लिए अनुमति ली जा सकती है.

Google Drive API के स्कोप की अनुमतियों को ऐक्सेस करने के लिए, इस्तेमाल के उन मामलों के बारे में यहां बताया गया है जिनके लिए अनुमति ली जा सकती है:

  1. ऐसे वेब ऐप्लिकेशन और डिवाइस में पहले से मौजूद ऐप्लिकेशन जो उपयोगकर्ताओं की Drive फ़ाइलों को स्थानीय तौर पर सिंक करने या उनका अपने-आप बैकअप लेने की सुविधा देते हैं.
  2. काम और शिक्षा से जुड़े ऐप्लिकेशन. उदाहरण के लिए, टास्क मैनेजमेंट, नोट लेने, वर्कग्रुप कम्यूनिकेशन, और क्लासरूम में साथ मिलकर काम करने वाले ऐप्लिकेशन. ये ऐप्लिकेशन, Drive फ़ाइलों (या उनके मेटाडेटा या अनुमतियों) को ऐप्लिकेशन के यूज़र इंटरफ़ेस के ज़रिए मैनेज करने के लिए, सिर्फ़ प्रतिबंधित स्कोप का इस्तेमाल करते हैं.
  3. रिपोर्टिंग और सुरक्षा से जुड़े ऐसे ऐप्लिकेशन जो उपयोगकर्ता या ग्राहक को यह जानकारी देते हैं कि फ़ाइलें कैसे शेयर की जाती हैं या उन्हें कैसे ऐक्सेस किया जाता है.

Google Drive API का इस्तेमाल कुछ मामलों में नहीं किया जा सकता. इनमें ये शामिल हैं, लेकिन इनके अलावा और भी चीज़ें शामिल हो सकती हैं:

  1. डेवलपर के ऐप्लिकेशन या प्रोजेक्ट से, उपयोगकर्ता या ऐप्लिकेशन के कॉन्टेंट का Drive में बैकअप लेना.
  2. क्रिप्टो करंसी की माइनिंग करना.
  3. बिना अनुमति के, कॉपीराइट वाले कॉन्टेंट को बड़े पैमाने पर डिस्ट्रिब्यूट या प्रसारित करना.
  4. Drive का इस्तेमाल, बड़े पैमाने पर कॉन्टेंट डिलीवरी नेटवर्क (सीडीएन) के तौर पर करना.
  5. फ़ाइल क्लोन करने वाले ऐसे टूल जो उपयोगकर्ता के स्टोरेज को शेयर करने और/या Drive के स्टोरेज की सीमाओं को दरकिनार करने की सुविधा देते हैं.
  6. ऐसे ऐप्लिकेशन जो Google की नीतियों का गलत इस्तेमाल करने, Google Drive खाते की सीमाओं को अनदेखा करने या सुरक्षा से जुड़ी पाबंदियों से बचने के लिए, एक से ज़्यादा खातों का इस्तेमाल करते हैं.
  7. ऐसे ऐप्लिकेशन जो स्पैम या अनचाहे व्यावसायिक मैसेज भेजते हैं. उदाहरण के लिए, ग्राहक संबंध प्रबंधन जैसे ऐप्लिकेशन को मंज़ूरी दी जाती है. ये ऐप्लिकेशन, एक साथ कई व्यावसायिक मैसेज भेजते हैं. हालांकि, ऐसा तब ही किया जाता है, जब उपयोगकर्ता ने मैसेज पाने की सहमति दी हो.

Google Chat API को ऐक्सेस करने और इस्तेमाल करने का सही तरीका

Google Chat API के ऐक्सेस का अनुरोध सिर्फ़ तब करें, जब आपका ऐप्लिकेशन या सेवा, इस्तेमाल के ऐसे मामलों में शामिल हो जिनके लिए अनुमति ली जा सकती है.

Google Chat API के स्कोप की अनुमतियों को ऐक्सेस करने के लिए, इस्तेमाल के उन मामलों के बारे में नीचे बताया गया है जिनके लिए अनुमति ली जा सकती है:

  1. ऐसे वेब ऐप्लिकेशन और डिवाइस में पहले से मौजूद ऐप्लिकेशन जो उपयोगकर्ताओं को यूज़र इंटरफ़ेस के ज़रिए, चैट मैसेज या इसी तरह के अन्य मैसेज लिखने, भेजने, पढ़ने, और प्रोसेस करने की सुविधा देते हैं.
  2. ऐसे ऐप्लिकेशन जो Chat का इस्तेमाल करके काम करने की क्षमता को बढ़ाते हैं. उदाहरण के लिए, टास्क मैनेज करने वाला Google Chat ऐप्लिकेशन. इससे आपको स्पेस में मौजूद अन्य सदस्यों को टास्क असाइन करने की सुविधा मिलती है.
  3. ऐसे ऐप्लिकेशन जो उपयोगकर्ताओं को रिपोर्टिंग या निगरानी की सेवाएं देने के लिए, Chat मैसेज से मिली जानकारी का इस्तेमाल करते हैं. उदाहरण के लिए, ऐसा ऐप्लिकेशन जो उपयोगकर्ताओं को यह सूचना देता है कि उनका कोई सहकर्मी ऑफ़िस में नहीं है.
  4. ऐसे ऐप्लिकेशन जो मैसेज, पैसे चुकाकर ली जाने वाली सदस्यताओं, ग्रुप या Google Chat की अन्य मिलती-जुलती सुविधाओं को इंपोर्ट करते हैं.
  5. ऐसे ऐप्लिकेशन जो Google Chat API के ज़रिए मिले डेटा का इस्तेमाल करते हैं और उसे शेयर करते हैं, ताकि अन्य मैसेजिंग प्रॉडक्ट, सेवाओं या सुविधाओं के साथ इंटरऑपरेट किया जा सके.

Google Chat API का इस्तेमाल कुछ मामलों में नहीं किया जा सकता. इनमें ये शामिल हैं, लेकिन इनके अलावा और भी चीज़ें शामिल हो सकती हैं:

  1. Chat का इस्तेमाल, बड़े पैमाने पर कॉन्टेंट डिलीवरी नेटवर्क (सीडीएन) के तौर पर करना.
  2. ऐसे ऐप्लिकेशन जो Google की नीतियों का गलत इस्तेमाल करने, Google Chat खाते की सीमाओं को अनदेखा करने या सुरक्षा से जुड़ी पाबंदियों को किसी दूसरी तरह से हटाने के लिए, एक से ज़्यादा खातों का इस्तेमाल करते हैं.
  3. ऐसे ऐप्लिकेशन जो स्पैम या अनचाहे व्यावसायिक मैसेज भेजते हैं. उदाहरण के लिए, ग्राहक संबंध प्रबंधन जैसे ऐप्लिकेशन को मंज़ूरी दी जाती है. ये ऐप्लिकेशन, एक साथ कई व्यावसायिक मैसेज भेजते हैं. हालांकि, ऐसा तब ही किया जाता है, जब उपयोगकर्ता ने मैसेज पाने की सहमति दी हो.

Google Meet API को ऐक्सेस करने और इस्तेमाल करने का सही तरीका

Google Meet API के ऐक्सेस का अनुरोध सिर्फ़ तब करें, जब आपका ऐप्लिकेशन या सेवा, इस्तेमाल के ऐसे मामलों में शामिल हो जिनके लिए अनुमति ली जा सकती है.

Google Meet API के स्कोप की अनुमतियों को ऐक्सेस करने के लिए, इस्तेमाल के उन मामलों के बारे में नीचे बताया गया है जिनके लिए अनुमति ली जा सकती है:

  1. वेब और वेब ऐप्लिकेशन में पहले से मौजूद ऐसी सुविधाएं जो मीटिंग में शामिल लोगों के ऑडियो और वीडियो को रीयल-टाइम में प्रोसेस, स्ट्रीम या सेव करने की सुविधा देती हैं. ये सुविधाएं, उपयोगकर्ता इंटरफ़ेस के ज़रिए लोगों को फ़ायदा पहुंचाने के लिए उपलब्ध कराई जाती हैं.
  2. ऐसे ऐप्लिकेशन जो मीटिंग में शामिल लोगों की प्रोडक्टिविटी बढ़ाने में मदद करते हैं. उदाहरण के लिए, स्क्रीन रिकॉर्ड करने वाला ऐसा ऐप्लिकेशन जो आपको मीटिंग में इमेज शेयर करने की सुविधा देता है.
  3. ऐसे ऐप्लिकेशन जो लोगों को फ़ायदा पहुंचाने के लिए, Google Meet से मिली जानकारी का इस्तेमाल करके रिपोर्टिंग या निगरानी की सेवाएं देते हैं. उदाहरण के लिए, मीटिंग या बोलने से जुड़ी अहम जानकारी देने वाला ऐप्लिकेशन.
  4. ऐसे ऐप्लिकेशन जो Google Meet API से मिले डेटा का इस्तेमाल करते हैं और उसे शेयर करते हैं, ताकि वे वीडियो से जुड़े अन्य प्रॉडक्ट, सेवाओं या सुविधाओं के साथ काम कर सकें.

Google Meet API का इस्तेमाल कुछ मामलों में नहीं किया जा सकता. इनमें ये शामिल हैं, लेकिन इनके अलावा और भी चीज़ें शामिल हो सकती हैं:

  1. ऐसे ऐप्लिकेशन जो कानूनी अनुमति या सहमति के बिना, Google Meet के उपयोगकर्ता के डेटा, कॉन्टेंट या मेटाडेटा को मॉनिटर करते हैं या उसे डिस्ट्रिब्यूट करते हैं.
  2. वीडियो को बड़े पैमाने पर शेयर करना या बिना अनुमति के गैर-कानूनी कॉन्टेंट या कॉपीराइट वाला कॉन्टेंट फैलाना.
  3. ऐसे ऐप्लिकेशन जो Google की नीतियों का गलत इस्तेमाल करने, Meet खाते की सीमाओं को अनदेखा करने, फ़िल्टर और स्पैम से बचने या किसी अन्य तरीके से गलत इस्तेमाल या सुरक्षा से जुड़ी पाबंदियों से बचने के लिए, एक से ज़्यादा खातों का इस्तेमाल करते हैं. उदाहरण के लिए, लोगों की डिजिटल तस्वीरों को गलत मकसद से सेव करना या उन्हें बांटना या एपीआई का इस्तेमाल करके, लोगों को गलत जानकारी देना या गुमराह करना.

काम की कम से कम अनुमतियों का अनुरोध करना

सिर्फ़ उन अनुमतियों के ऐक्सेस का अनुरोध किया जा सकता है जो आपके ऐप्लिकेशन या सेवा को लागू करने के लिए ज़रूरी हैं. इसका मतलब है कि:

ऐसी जानकारी को ऐक्सेस करने का अनुरोध न करें जिसकी आपको ज़रूरत नहीं है. सिर्फ़ उन अनुमतियों के ऐक्सेस का अनुरोध करें जो आपके ऐप्लिकेशन की सुविधाओं या सेवाओं को लागू करने के लिए ज़रूरी हैं. अगर आपके ऐप्लिकेशन को खास अनुमतियों के ऐक्सेस की ज़रूरत नहीं है, तो आपको इन अनुमतियों के ऐक्सेस का अनुरोध नहीं करना चाहिए. ऐसी सेवाएं या सुविधाएं जो अभी तक लागू नहीं हुई हैं उन्हें फ़ायदा पहुंचाने के मकसद से, उपयोगकर्ता के डेटा को "आने वाले समय के लिए तैयार" के तौर पर पेश करने के लिए, अनुमति का अनुरोध न करें.

जहां हो सके वहां कॉन्टेक्स्ट के हिसाब से अनुमतियों का अनुरोध करें. जब भी हो सके, ज़रूरत के मुताबिक (इंक्रीमेंटल ऑथराइज़ेशन की मदद से) उपयोगकर्ता के डेटा को ऐक्सेस करने का अनुरोध करें, ताकि लोग यह समझ सकें कि आपको डेटा की ज़रूरत क्यों है.

साफ़ तौर पर दी गई सही सूचना और कंट्रोल

आपके पास एक निजता नीति होनी चाहिए. इसमें यह जानकारी दी गई हो कि आपका ऐप्लिकेशन या वेब सेवा, उपयोगकर्ता के डेटा को कैसे इकट्ठा, इस्तेमाल, और शेयर करती है.

ऐप्लिकेशन और सेवाओं को, उपयोगकर्ता के डेटा को ऐक्सेस करने का अनुरोध भी करना होगा. इसके लिए, उन्हें इंक्रीमेंटल ऑथराइज़ेशन का इस्तेमाल करना होगा. साथ ही, उन्हें यह भी बताना होगा कि उन्हें डेटा की ज़रूरत क्यों है और उसका इस्तेमाल कैसे किया जाएगा. लागू होने वाले कानून की ज़रूरी शर्तों के अलावा, आपको इन ज़रूरी शर्तों का पालन भी करना होगा. ये शर्तें, हमारी OAuth 2.0 और Google API सेवाओं की उपयोगकर्ता के डेटा से जुड़ी नीति के बारे में बताती हैं:

  1. आपको डेटा को ऐक्सेस करने, इकट्ठा करने, इस्तेमाल करने, और शेयर करने के बारे में जानकारी देनी होगी. जानकारी:

    1. उस ऐप्लिकेशन या सेवा की पहचान साफ़ तौर पर ज़ाहिर करनी होगी जिसके लिए उपयोगकर्ता के डेटा का ऐक्सेस मांगा गया है;
    2. अगर ऐप्लिकेशन पर आधारित है, तो ऐप्लिकेशन के अंदर ही होना चाहिए. अगर वेब पर आधारित है, तो अलग डायलॉग विंडो में होना चाहिए;
    3. अगर ऐप्लिकेशन पर आधारित है, तो ऐप्लिकेशन के सामान्य इस्तेमाल के दौरान दिखनी चाहिए. अगर वेब पर आधारित है, तो वेबसाइट पर दिखनी चाहिए. साथ ही, उपयोगकर्ता को इसके लिए मेन्यू या सेटिंग में जाने की ज़रूरत नहीं पड़नी चाहिए;
    4. इस बारे में साफ़ और सही तौर पर बताना होगा कि किस तरह का डेटा ऐक्सेस किया जाएगा, मांगा जाएगा, और/या इकट्ठा किया जाएगा;
    5. यह बताना होगा कि डेटा को इस्तेमाल और/या शेयर कैसे किया जाएगा. अगर किसी एक काम के लिए डेटा मांगा गया है और उसका इस्तेमाल किसी दूसरी जगह भी किया जाएगा, तो इस्तेमाल के इन दोनों मामलों की सूचना उपयोगकर्ताओं को देनी होगी;
    6. इसे सिर्फ़ किसी निजता नीति या सेवा की शर्तों में नहीं रखा जा सकता; और,
    7. इसे ऐसी दूसरी जानकारी के साथ नहीं दिखाया जाना चाहिए जो निजी और संवेदनशील डेटा इकट्ठा करने से जुड़ी नहीं है.

  2. ऐप्लिकेशन में दी जाने वाली जानकारी के साथ, ऐप्लिकेशन इस्तेमाल करने वाले व्यक्ति की सहमति लेने का अनुरोध शामिल होना चाहिए. साथ ही, जानकारी से ठीक पहले इसे दिखाया जाना चाहिए. आपको सहमति मिलने से पहले, डेटा इकट्ठा करना शुरू नहीं करना चाहिए. सहमति के लिए अनुरोध:

    1. सहमति वाले डायलॉग को साफ़ और सीधे तौर पर पेश किया जाना चाहिए;
    2. सहमति देने के लिए, उपयोगकर्ता को कोई कार्रवाई करनी होगी. जैसे, स्वीकार करने के लिए टैप करना, चेक बॉक्स पर सही का निशान लगाना, बोलकर निर्देश देना वगैरह;
    3. जहां जानकारी दी गई है वहां से कहीं और जाने को, ऐप्लिकेशन इस्तेमाल करने वाले व्यक्ति की सहमति नहीं समझा जाना चाहिए. इसमें टैप करके बाहर जाना या वापस जाने के लिए बैक या होम बटन दबाना शामिल है; और,
    4. अपने-आप खारिज या खत्म होने वाले मैसेज का इस्तेमाल नहीं किया जाना चाहिए.

  3. आपको उपयोगकर्ताओं की मदद के लिए एक दस्तावेज़ उपलब्ध कराना होगा. इसमें यह जानकारी होनी चाहिए कि उपयोगकर्ता आपके ऐप्लिकेशन या सेवा में अपना डेटा किस तरह मैनेज कर सकते हैं और उसे कैसे मिटा सकते हैं.

उपयोगकर्ता के डेटा का सीमित इस्तेमाल

Workspace API का सही इस्तेमाल करने का मतलब यह है कि इसकी मदद से ऐक्सेस किए गए डेटा का इस्तेमाल करते समय इन ज़रूरी शर्तों का भी पालन किया जाना चाहिए. ये ज़रूरी शर्तें, संवेदनशील और पाबंदी वाले, दोनों स्कोप से मिले डेटा पर लागू होती हैं.

  1. डेटा का इस्तेमाल, सिर्फ़ उन मामलों या सुविधाओं को उपलब्ध कराने या उन्हें बेहतर बनाने के लिए करें जिनके लिए इस डेटा का इस्तेमाल करने की अनुमति है. ये सुविधाएं, उस ऐप्लिकेशन के यूज़र इंटरफ़ेस की मुख्य सुविधाएं होनी चाहिए जिसके लिए अनुमति पाने का अनुरोध किया जा रहा है.

  2. डेटा ट्रांसफ़र करने की अनुमति नहीं है. हालांकि, इन मामलों में अनुमति है:

    1. इसका इस्तेमाल, उन मामलों या सुविधाओं को उपलब्ध कराने या उन्हें बेहतर बनाने के लिए किया जाए जिनके लिए इस डेटा का इस्तेमाल करने की अनुमति है. ये सुविधाएं, उस ऐप्लिकेशन के यूज़र इंटरफ़ेस की मुख्य सुविधाएं होनी चाहिए जिसके लिए अनुमति पाने का अनुरोध किया जा रहा है. इस डेटा को ट्रांसफ़र करने के लिए, उपयोगकर्ता की सहमति लेना भी ज़रूरी है;
    2. ऐसा करना सुरक्षा के लिहाज़ से ज़रूरी हो. उदाहरण के लिए, गलत इस्तेमाल की जांच करने के लिए;
    3. ऐसा करना लागू होने वाले कानूनों और/या नियमों का पालन करने के लिए ज़रूरी हो; या
    4. डेवलपर की ऐसेट मर्ज करनी हों, हासिल करनी हों या बेचनी हों. ऐसा करने से पहले, उपयोगकर्ता की सहमति लेना ज़रूरी है.

  3. लोगों को उपयोगकर्ता का डेटा देखने की अनुमति सिर्फ़ तब दें, जब:

    1. आपने उपयोगकर्ता से किसी खास डेटा को पढ़ने की अनुमति ले ली हो और उसका दस्तावेज़ बना लिया हो. उदाहरण के लिए, किसी उपयोगकर्ता को पासवर्ड भूल जाने के बाद, प्रॉडक्ट या सेवा को फिर से ऐक्सेस करने में मदद करना;
    2. डेटा को इकट्ठा करके, उसकी पहचान छिपा दी जाती है. इसके बाद, उसका इस्तेमाल निजता और अधिकार क्षेत्र से जुड़ी, लागू होने वाली अन्य कानूनी ज़रूरतों के हिसाब से अंदरूनी कार्रवाइयों के लिए किया जाता है. इसमें, रॉ डेटा से तैयार किया गया डेटा भी शामिल है;
    3. ऐसा करना सुरक्षा के लिहाज़ से ज़रूरी हो. उदाहरण के लिए, गलत इस्तेमाल की जांच करने के लिए; या,
    4. लागू होने वाले कानूनों और/या नियमों का पालन करने के लिए.

इसके अलावा, किसी और तरह से उपयोगकर्ता के डेटा का इस्तेमाल नहीं किया जाना चाहिए और न ही इसे ट्रांसफ़र किया जाना चाहिए. इस डेटा को बेचा भी नहीं जाना चाहिए. जैसे:

  1. उपयोगकर्ता के डेटा को तीसरे पक्षों को ट्रांसफ़र करना या बेचना. जैसे, विज्ञापन प्लैटफ़ॉर्म, डेटा ब्रोकर या जानकारी को दोबारा बेचने वाले लोग (रीसेलर).
  2. विज्ञापन दिखाने के लिए, उपयोगकर्ता के डेटा को इस्तेमाल करना, ट्रांसफ़र करना या बेचना. इसमें, रीटारगेटिंग, लोगों के हिसाब से बनाए गए विज्ञापन या दिलचस्पी के आधार पर विज्ञापन दिखाना भी शामिल है.
  3. क़र्ज़ लेने या देने की स्थिति तय करने के लिए, उपयोगकर्ता के डेटा को इस्तेमाल करना, ट्रांसफ़र करना या बेचना.
  4. उपयोगकर्ता के डेटा को ट्रांसफ़र करना, बेचना या उसका इस्तेमाल करना. ऐसा मशीन लर्निंग या आर्टिफ़िशियल इंटेलिजेंस मॉडल को बनाने, ट्रेन करने या उसे बेहतर बनाने के लिए किया जाता है. हालांकि, यह काम उस उपयोगकर्ता के हिसाब से बनाए गए मॉडल के लिए नहीं किया जाता है. ऐसा सही इस्तेमाल के उदाहरण या उपयोगकर्ता को दिखने वाली सुविधा के लिए किया जाता है.

आपको अपनी ऐप्लिकेशन या वेब-सेवा की वेबसाइट पर, सहमति या इस तरह का कोई अन्य स्टेटमेंट ज़ाहिर करना होगा. इसमें यह बताया गया हो कि डेटा का इस्तेमाल, सीमित इस्तेमाल से जुड़ी पाबंदियों के मुताबिक किया जाता है. उदाहरण के लिए, होम पेज पर किसी ऐसे पेज या निजता नीति का लिंक दिया गया हो जिसमें यह लिखा हो: "Workspace API से मिली जानकारी का इस्तेमाल, Google के उपयोगकर्ता के डेटा से जुड़ी नीति के मुताबिक किया जाएगा. इसमें सीमित इस्तेमाल से जुड़ी ज़रूरी शर्तें भी शामिल हैं."

सुरक्षित ऑपरेटिंग एनवायरमेंट बनाए रखना

उपयोगकर्ता के सभी डेटा को एक जगह से दूसरी जगह भेजने के दौरान और सेव करके रखे जाने के दौरान सुरक्षित तरीके से मैनेज करें. Workspace API और उससे मिले डेटा का इस्तेमाल करने वाले सभी ऐप्लिकेशन या सिस्टम की सुरक्षा के लिए, उचित और सही कदम उठाएं. इससे, बिना अनुमति के या गैर-कानूनी तरीके से डेटा को ऐक्सेस, इस्तेमाल या ज़ाहिर न किया जा सकेगा. इसके अलावा, उसे नष्ट न किया जा सकेगा, नुकसान न पहुंचाया जा सकेगा या उसमें बदलाव न किया जा सकेगा.

पाबंदी वाले स्कोप को ऐक्सेस करने वाले ऐप्लिकेशन को यह दिखाना होगा कि वे सुरक्षा से जुड़े कुछ तरीकों का पालन करते हैं.

सुरक्षा के जो तरीके सुझाए गए हैं उनमें इंफ़ॉर्मेशन सिक्योरिटी मैनेजमेंट सिस्टम को लागू करना और उसका रखरखाव करना शामिल है. इसके बारे में, आईएसओ/आईईसी 27001 में बताया गया है. इसके अलावा, आपको यह भी पक्का करना होगा कि आपका ऐप्लिकेशन या वेब सेवा बेहतरीन है और उसमें सुरक्षा से जुड़ी आम समस्याएं नहीं हैं. इन समस्याओं की जानकारी, OWASP टॉप 10 में दी गई है.

सुरक्षा से जुड़े ज़रूरी उपायों में ये शामिल हैं:

  1. उपयोगकर्ता के डेटा को एन्क्रिप्ट (सुरक्षित) करने के लिए, इंडस्ट्री में स्वीकार किए गए एन्क्रिप्शन स्टैंडर्ड का इस्तेमाल करना. यह डेटा:

    1. पोर्टेबल डिवाइसों या पोर्टेबल इलेक्ट्रॉनिक मीडिया पर सेव किया गया हो;
    2. Google या आपके सिस्टम के बाहर मैनेज किया जाता है;
    3. किसी ऐसे बाहरी नेटवर्क पर ट्रांसफ़र किया गया हो जिसे सिर्फ़ आप मैनेज नहीं करते; और,
    4. आपके सिस्टम पर सेव किया जाता है.

  2. डेटा को सुरक्षित मॉर्डन प्रोटोकॉल (उदाहरण के लिए, एचटीटीपीएस पर) का इस्तेमाल करके ट्रांसफ़र करना.

  3. उपयोगकर्ता के डेटा और क्रेडेंशियल को सुरक्षित रखना. खास तौर पर, OAuth ऐक्सेस और रीफ़्रेश टोकन जैसे टोकन को एन्क्रिप्ट (सुरक्षित) करके रखना.

  4. यह पक्का करना कि कुंजियों और कुंजी मटीरियल को सही तरीके से मैनेज किया गया हो. जैसे, उन्हें हार्डवेयर सुरक्षा मॉड्यूल या इसी तरह के मज़बूत कुंजी मैनेजमेंट सिस्टम में सेव किया गया हो.

पाबंदी वाले स्कोप के लिए, सुरक्षा से जुड़े ज़रूरी उपायों में क्लाउड ऐप्लिकेशन सुरक्षा आकलन (कासा) का पालन करना भी शामिल है. इसके अलावा, ऐक्सेस किए जाने वाले एपीआई और उपयोगकर्ता की अनुमतियों की संख्या या उपयोगकर्ताओं की संख्या के हिसाब से, हम यह भी ज़रूरी कर सकते हैं कि आपका ऐप्लिकेशन या सेवा समय-समय पर सुरक्षा आकलन से गुज़रे. साथ ही, Google की ओर से तय किए गए तीसरे पक्ष से 'आकलन पत्र' हासिल करे.

आप इस बात से सहमत हैं कि अगर आपको सिस्टम, नेटवर्क, खातों या Google डेटा सेव करने की अन्य जगहों ("सुरक्षा से जुड़ा उल्लंघन") का बिना अनुमति के ऐक्सेस मिलने के बारे में पता चलता है या आपको ऐसा लगता है, तो आपको Google को इसकी सूचना तुरंत देनी होगी. इसके लिए, security@google.com पर ईमेल भेजें. आप किसी भी ज्ञात या संदिग्ध सुरक्षा से जुड़ी घटना को ठीक करने के लिए, Google के साथ पूरी तरह से सहयोग करने के लिए सहमत हैं. साथ ही, ऐसी किसी भी घटना के बारे में, Google को security@google.com पर सूचना देने के लिए सहमत हैं. ऐसा आपको किसी भी ज्ञात या संदिग्ध सुरक्षा से जुड़ी घटना के बारे में सार्वजनिक तौर पर कोई भी बयान देने से पहले करना होगा.

पाबंदी वाले स्कोप

Workspace के प्रतिबंधित स्कोप में ये शामिल हैं:

  1. Gmail API का कोई भी ऐसा स्कोप जो किसी ऐप्लिकेशन को ये काम करने की अनुमति देता है:

    1. मैसेज के मुख्य हिस्से (अटैचमेंट शामिल हैं), मेटाडेटा या हेडर को पढ़ना, बनाना या उनमें बदलाव करना; या
    2. मेलबॉक्स के ऐक्सेस, ईमेल फ़ॉरवर्ड करने या एडमिन सेटिंग को कंट्रोल करें.

  2. Google Drive API का कोई भी ऐसा स्कोप जो किसी ऐप्लिकेशन को ये काम करने की अनुमति देता है:

    1. उपयोगकर्ता की Drive फ़ाइलों के कॉन्टेंट या मेटाडेटा को पढ़ना, उसमें बदलाव करना या उसे मैनेज करना. इसके लिए, उपयोगकर्ता को हर फ़ाइल के लिए अलग-अलग ऐक्सेस देने की ज़रूरत नहीं होती.

  3. Google Chat API का ऐसा कोई भी स्कोप जो किसी ऐप्लिकेशन को ये काम करने की अनुमति देता हो:

    1. किसी उपयोगकर्ता के Chat मैसेज के कॉन्टेंट या मेटाडेटा को पढ़ना, उसमें बदलाव करना या उसे मैनेज करना.

  4. Google Meet API का कोई भी ऐसा स्कोप जो किसी ऐप्लिकेशन को ये काम करने की अनुमति देता हो:

    1. मीटिंग में हिस्सा लेने वाले लोगों के ऑडियो और वीडियो की रीयल-टाइम प्रोसेसिंग को पढ़ना, उसमें बदलाव करना या उसे मैनेज करना.

ज़्यादा जानकारी के लिए, प्रतिबंधित स्कोप की सूची देखें.