Workspace API kullanıcı verileri ve geliştirici politikası

Google Workspace API'lerini kullanan bir geliştirici olarak, genellikle hassas kullanıcı verilerini toplar ve yönetirsiniz. Lütfen şu temel ilkeleri aklınızda bulundurun:

  • Gizliliği koruma: Workspace kullanıcı verilerini yasaklanmış kullanımlarda kullanmayın. Üçüncü tarafların kullanıcı verilerini satmaları veya kullanıcı verilerini reklam amacıyla kullanmaları yasaktır.
  • Şeffaf olun: Kullanıcılara hangi verileri neden toplayacağınızı ve bunları nasıl kullanacağınızı doğru bir şekilde açıklayın.
  • Saygılı olun: Kullanıcıların, verilerini silme isteklerine saygı gösterin.
  • Güvende olun: Tüm kullanıcı verilerini güvenli bir şekilde işleyin ve belirli güvenlik uygulamalarına uyduğunuzu gösterin.
  • Spesifik olun: İhtiyacınız olmayan verilere erişim isteğinde bulunmayın. Tüm veri erişimi, yalnızca uygulamanız veya hizmetinizin fayda sağlayan özelliklerini kullanıcılara sunmalıdır.

Workspace API Hizmetleri Kullanıcı Verileri Politikası

Geliştirici olarak siz, kullanıcı verilerine erişme isteğinde bulunduğunuzda tüm Google API Hizmetleri'nin kullanımı Google API Hizmetleri Kullanıcı Verileri Politikası'na tabidir. Bu Workspace API Hizmetleri Kullanıcı Verileri ve Geliştirici Politikası, kullanıcı verilerine erişim isteğinde bulunduğunuzda Gmail, Chat, Drive, E-Tablolar ve diğer Google Workspace ürünleri de dahil olmak üzere Workspace API'lerini kullanımınızı ve bunlara erişiminizi yöneten ek bilgiler içerir.

Aşağıdaki politikaya ek olarak, Google API Hizmet Şartları, Google Chat Kabul Edilebilir Kullanım Politikası, Google Chat Geliştirici Kılavuzu, Google Drive API Hizmet Şartları, Google Drive Program Politikaları, Google Drive Geliştirici Kılavuzu, Gmail Program Politikaları, Gmail Program Politikaları, Google Workspace Geliştirici Hizmet Şartları, Google Workspace Geliştirici Hizmet Şartları ve Google Workspace Geliştirici Kılavuzları'na ve Google Apps Kullanımınız, Google Workspace Marketplace Geliştirici Sözleşmesi'ne de tabi olabilir. Ayrıca geçerli tüm yasa ve yönetmeliklere uymanız zorunludur.

Bu politikalar zaman zaman güncellendiği için lütfen bu sayfayı arada bir ziyaret edin. Bu politikalara uygunluğunuzu düzenli olarak izlemek ve sağlamak sizin sorumluluğunuzdadır. Politikalarımızın gereksinimlerini karşılayamazsanız (veya bu şartları karşılayamayacağınıza dair önemli bir risk varsa) lütfen hizmetlerimizi kullanmayı hemen durdurun ve bizimle iletişime geçin. Bu politikaya uymamanız durumunda Google kullanıcı verilerine erişimi kaldırma veya kısıtlama hakkını saklı tutarız.

Google Gmail API'lerine uygun erişim ve kullanım

Kullanıcı verilerine erişim talepleri açık ve anlaşılır olmalıdır. Google Workspace API'leri yalnızca bu politikada belirtilen onaylı kullanım alanlarına uygun şekilde ve yalnızca geçerli politikalara, hükümler ve koşullara uygun şekilde kullanılabilir. Yani yalnızca uygulamanız veya hizmetinizin onaylanan kullanım alanlarından birini karşılaması halinde söz konusu izinlere erişim isteyebilirsiniz. Workspace API'lerine yalnızca uygulamanız veya hizmetiniz onaylanmış kullanım alanlarımızdan birine uygunsa erişim isteyin.

Gmail API kapsamları izinlerine erişim için onaylanan kullanım alanları şunlardır:

  1. Kullanıcıların, kullanıcı arayüzü aracılığıyla e-posta oluşturmasına, göndermesine, okumasına ve işlemesine olanak tanıyan yerleşik e-posta istemcileri ve web e-posta istemcileri.
  2. E-postaları otomatik olarak yedekleyen uygulamalar
  3. Üretkenlik amacıyla e-posta deneyimini geliştiren uygulamalar (ör. müşteri ilişkileri yönetimi uygulamaları, gecikmeli e-posta gönderme veya posta birleştirme uygulamaları ya da üretken yapay zeka özetleri sağlama)
  4. E-posta deneyimini iyileştiren kullanıcıların yararına raporlama veya izleme hizmetleri sağlamak için e-postalardaki bilgileri kullanan uygulamalar (seyahat seyahat planlarını otomatikleştiren veya uçuşları ya da paket teslimat durumlarını izleyen uygulamalar gibi)

Aşağıdaki uygulama türleri, Gmail API kapsamlarına erişmesi için onaylanmamış uygulamalara örnektir. Bu tür içerikler aşağıda belirtilmiştir ancak bunlarla sınırlı değildir:

  1. Mobil klavyeler.
  2. E-postaları bir kerelik veya manuel olarak dışa aktaran uygulamalar.
  3. Gmail'de e-posta iletileri dışındaki verileri depolayan veya yedekleyen uygulamalar.
  4. Google politikalarını kötüye kullanmak, Gmail hesap sınırlamalarını atlatmak, filtreleri ve spam'i atlatmak veya kısıtlamaları başka şekilde alt etmek için birden fazla hesap kullanan uygulamalar.
  5. Spam veya istenmeyen ticari posta dağıtan uygulamalar. Örneğin, müşteri ilişkileri yönetimi gibi toplu ticari posta gönderen uygulamalar, kullanıcı e-posta almaya izin verdiği sürece onaylanır.

Google Drive API'lerine uygun erişim ve kullanım

Google Drive API'lerine erişim isteğinde bulunmak için uygulamanız veya hizmetinizin onaylanmış kullanım alanlarımızdan birini karşılaması gerekir.

Google Drive API kapsamları izinlerine erişim için onaylanan kullanım alanları şunlardır:

  1. Kullanıcıların Drive dosyalarının yerel senkronizasyonunu veya otomatik olarak yedeklenmesini sağlayan yerleşik uygulamalar ve web uygulamaları.
  2. Drive dosyalarını (veya meta verilerini ya da izinlerini) uygulamanın kullanıcı arayüzü üzerinden işlemek için yalnızca Kısıtlanmış Kapsamlar kullanan üretkenlik ve eğitim uygulamaları (örneğin, görev yönetimi, not alma, çalışma grubu iletişimleri ve sınıf içi ortak çalışma uygulamaları).
  3. Dosyaların nasıl paylaşıldığı veya erişildiğine dair kullanıcı ya da müşteri analizleri sağlayan raporlama ve güvenlik uygulamaları.

Aşağıdakiler dahil olmak üzere belirli kullanım alanlarında Google Drive API'ye izin verilmez:

  1. Bir geliştirici uygulamasından veya projesinden kullanıcı ya da uygulama içeriğini Drive'a yedekleme.
  2. Kripto para madenciliği.
  3. Telif hakkıyla korunan içeriğin izinsiz bir şekilde geniş kapsamlı video dağıtımı veya yayılımı.
  4. Büyük ölçekli içerik yayınlama ağının (CDN) yerine Drive'ı kullanma.
  5. Kullanıcı depolama alanının parçalanmasına ve/veya Drive depolama alanı sınırlarının atlatılmasına olanak tanıyan dosya klonlama araçları.
  6. Google politikalarını kötüye kullanmak, Google Drive hesap sınırlamalarını atlatmak veya kısıtlamaları başka şekilde alt etmek için birden çok hesap kullanan uygulamalar.
  7. Spam veya istenmeyen ticari iletiler dağıtan uygulamalar. Örneğin, müşteri ilişkileri yönetimi gibi toplu ticari mesajlar gönderen uygulamalar, kullanıcı mesaj almaya izin verdiği sürece onaylanır.

Google Chat API'lerine uygun erişim ve kullanım

Google Chat API'lerine erişim isteğinde bulunmak için uygulamanız veya hizmetinizin onaylanmış kullanım alanlarımızdan birini karşılaması gerekir.

Google Chat API kapsamları izinlerine erişim için onaylanan kullanım alanları şunlardır:

  1. Kullanıcıların, kullanıcı arayüzü aracılığıyla Chat mesajları veya benzer iletişimleri oluşturmasına, göndermesine, okumasına ve işlemesine olanak tanıyan yerleşik uygulamalar ve web uygulamaları.
  2. Üretkenlik amacıyla Chat deneyimini geliştiren uygulamalar (ör. alandaki diğer üyelere görev atamanıza olanak tanıyan bir görev yönetimi Google Chat uygulaması).
  3. Kullanıcıların yararına raporlama veya izleme hizmetleri sağlamak için Chat mesajlarındaki bilgileri kullanan uygulamalar (örneğin, kullanıcılara bir iş arkadaşının ofis dışında olduğunu bildiren bir uygulama).
  4. Mesaj, üyelik, grup veya diğer benzer Google Chat işlevlerini içe aktaran uygulamalar.
  5. Diğer mesajlaşma ürünleri, hizmetleri veya özellikleriyle birlikte çalışmak için Google Chat API'leri aracılığıyla elde edilen verileri gönderip kullanan uygulamalar.

Aşağıdakiler dahil olmak üzere belirli kullanım alanlarında Google Chat API'ye izin verilmez:

  1. Büyük ölçekli içerik yayınlama ağının (CDN) yerine Chat'i kullanma
  2. Google politikalarını kötüye kullanmak, Google Chat hesap sınırlamalarını atlatmak veya kısıtlamaları başka şekilde alt etmek için birden fazla hesap kullanan uygulamalar.
  3. Spam veya istenmeyen ticari iletiler dağıtan uygulamalar. Örneğin, müşteri ilişkileri yönetimi gibi toplu ticari mesajlar gönderen uygulamalar, kullanıcı mesaj almaya izin verdiği sürece onaylanır.

Minimum ilgili izinleri isteyin

Yalnızca uygulamanızın veya hizmetinizin işlevi açısından kritik öneme sahip izinlere erişim isteyebilirsiniz. Bunun anlamı şudur:

İhtiyacınız olmayan bilgilere erişim isteğinde bulunmayın. Yalnızca uygulamanızın özelliklerini veya hizmetlerini uygulamak için gerekli olan izinlere erişim isteyin. Uygulamanız belirli izinlere erişim gerektirmiyorsa bu izinlere erişim isteğinde bulunmamalısınız. Henüz kullanıma sunulmamış hizmet veya özellikler için faydalı olabilecek bilgilere erişim isteğinde bulunarak kullanıcı verilerine erişiminizi "gelecekte güvence altına almaya" çalışmayın.

Mümkün olduğunda bir bağlam çerçevesinde izin isteyin. Kullanıcıların verilere neden ihtiyaç duyduğunuzu anlamaları için kullanıcı verilerine yalnızca bir bağlam çerçevesinde (artımlı kimlik doğrulama yoluyla) erişim isteyin.

Şeffaf ve doğru bildirim ve kontrol

Uygulamanızın veya web hizmetinizin kullanıcı verilerini nasıl topladığını, kullandığını ve paylaştığını açıklayan bir gizlilik politikanız olması gerekir.

Uygulamalar ve hizmetler, gerektiğinde (artımlı kimlik doğrulama aracılığıyla) kullanıcı verilerine ve nasıl kullanılacağına dair erişim istemelidir. Geçerli yasalar kapsamındaki gereksinimlere ek olarak, OAuth 2.0 ve Google API Hizmetleri Kullanıcı Verileri politikalarımızı yansıtan aşağıdaki şartlara da uymanız gerekir:

  1. Veri erişimi, toplama, kullanma ve paylaşma sürecinizle ilgili bir açıklama sunmanız gerekir. Açıklama:

    1. Kullanıcı verilerine erişim isteyen uygulamanın veya hizmetin kimliğini doğru bir şekilde temsil etmelidir;
    2. Uygulama tabanlıysa uygulamanın kendi içinde, web tabanlıysa ayrı bir iletişim penceresinde bulunmalıdır;
    3. Uygulama tabanlıysa veya web tabanlıysa ve kullanıcının bir menüye ya da ayarlara gitmesini gerektirmiyorsa uygulama normal kullanımı sırasında görüntülenmelidir;
    4. Erişilen, istenen ve/veya toplanan veri türlerini anlaşılır ve doğru bilgilerle açıklamalıdır;
    5. Verilerin nasıl kullanılacağı ve/veya paylaşılacağını açıklamalıdır: Tek bir nedenle veri talep etmenize rağmen bu veriler ikincil bir amaçla da kullanılacaksa kullanıcıları her iki kullanım alanı hakkında bilgilendirmeniz gerekir.
    6. Yalnızca bir gizlilik politikasına veya hizmet şartlarına eklenmemelidir;
    7. Kişisel ve hassas verilerin toplanmasıyla ilgisi olmayan diğer açıklamalara dahil edilmemelidir.

  2. Açıklamanız, kullanıcı izni isteğiyle birlikte ve bu istekten hemen önce görünmelidir. Veri toplamaya başlamadan önce izin almamanız gerekir. İzin isteği:

    1. Rıza mesajını açık ve net bir şekilde sunmalıdır;
    2. Kabul etmek için kullanıcının onay verdiğini gösteren bir eylemi (örneğin, kabul et seçeneğine dokunma, bir onay kutusunu işaretleme, sözlü bir komut vb.) gerektirmelidir;
    3. Açıklamadan çıkılması (başka bir alana dokunma veya geri ya da ana sayfa düğmesine basma dahil) izin olarak yorumlanmamalıdır ve
    4. Otomatik kapanan veya süresi dolan mesajlar kullanmamalıdır.

  3. Kullanıcıların uygulama veya hizmetinizdeki verilerini nasıl yönetip silebileceğini açıklayan kullanıcı yardım dokümanları sağlamanız gerekir.

Kullanıcı verilerinin sınırlı kullanımı

Workspace API'lerine uygun bir kullanım için eriştikten sonra, elde edilen verileri kullanımınız aşağıdaki şartlara uygun olmalıdır. Bu şartlar hem Hassas hem de Kısıtlanmış kapsamlardan türetilen veriler için geçerlidir.

  1. Veri kullanımınızı, uygun kullanım alanınızı veya istekte bulunan uygulamanın kullanıcı arayüzünde görünen ve belirgin olan özellikleri sağlamak ya da iyileştirmekle sınırlandırın.

  2. Aşağıdakiler dışında veri aktarımına izin verilmez:

    1. Uygun kullanım alanınızı veya isteyen uygulamanın kullanıcı arayüzünde ve yalnızca kullanıcının izniyle görünür ve belirgin olan kullanıcıya yönelik özellikleri sağlamak ya da iyileştirmek;
    2. Güvenlik nedeniyle (örneğin, kötüye kullanımın incelenmesi);
    3. Geçerli yasalara ve/veya yönetmeliklere uymak için ya da
    4. Kullanıcıdan açık bir şekilde izin alınmasının ardından geliştiricinin birleşmesi, satın alınması veya varlıklarının satışı kapsamında.

  3. Aşağıdaki durumlar haricinde kullanıcı verilerinin gerçek kişiler tarafından okunmasına izin vermeyin:

    1. Belirli verileri okumak için kullanıcının açık iznini almış ve belgelemişsinizdir (örneğin, şifresini kaybettikten sonra bir kullanıcının ürüne veya hizmete yeniden erişmesine yardımcı olma);
    2. Veriler (türetmeler dahil) toplanıp anonimleştirilir ve geçerli gizlilikle ilgili ve diğer yargı alanlarının yasal şartlarına uygun olarak dahili işlemler için kullanılır;
    3. Güvenlik nedeniyle gerekliyse (örneğin, kötüye kullanımın incelenmesi) veya
    4. Geçerli yasalara ve/veya tüzüklere uymak için.

Aşağıdakiler dahil olmak üzere diğer tüm kullanıcı verilerinin aktarılması, kullanılması ve satılması tamamen yasaktır:

  1. Reklamcılık platformları, veri aracısı ya da bilgi satıcısı gibi üçüncü taraflara kullanıcı verilerinin aktarılması veya satılması.
  2. Kullanıcı verilerinin yeniden hedefleme, kişiselleştirilmiş veya ilgi alanına dayalı reklamlar dahil olmak üzere reklam yayınlamak amacıyla aktarılması, satılması veya kullanılması;
  3. Kullanıcı verilerinin, kredibilite tespiti veya kredi verme amacıyla aktarılması, satılması ya da kullanılması.
  4. Uygun kullanım alanı veya kullanıcıya yönelik özellik için belirli bir kullanıcının kişiselleştirilmiş modelinin ötesinde bir makine öğrenimi veya yapay zeka modeli oluşturmak, eğitmek ya da iyileştirmek amacıyla kullanıcı verilerinin aktarılması, satılması ya da kullanılması.

Veri kullanımınızın Sınırlı Kullanım kısıtlamalarına uygun olduğuna dair olumlu veya başka benzer bir beyan, uygulamanızda ya da web hizmetiniz veya uygulamanıza ait bir web sitesinde açıklanmalıdır (örneğin, bir ana sayfada, özel bir sayfaya veya gizlilik politikasına yönlendiren bir bağlantı "Workspace API'lerinden alınan bilgilerin kullanımı, Google Kullanıcı Verileri Politikası'na tabi olacaktır. Sınırlı Kullanım şartları da dahildir).

Güvenli bir işletim ortamı sağlamak

Aktarım halindeki ve aktif olmayan tüm kullanıcı verilerini güvenli bir şekilde işleyin. Workspace API'lerini kullanan tüm uygulamaları veya sistemleri ve bunlardan türetilen verileri yetkisiz ya da yasa dışı erişim, kullanım, kaldırma, kayıp, değişiklik veya ifşaya karşı korumak için makul ve uygun adımlar atın.

Kısıtlanmış Kapsamlara erişen uygulamalar, belirli güvenlik uygulamalarına uyduğunu kanıtlamalıdır.

Önerilen güvenlik uygulamaları arasında, ISO/IEC 27001'de belirtildiği şekilde bir Bilgi Güvenliği Yönetim Sistemi'nin uygulanması ve sürdürülmesi, ayrıca uygulamanızın veya web hizmetinizin sağlam ve OWASP İlk 10 listesindeki yaygın güvenlik sorunlarından uzak tutulması yer alır.

Gerekli güvenlik önlemleri şunlardır:

  1. Aşağıdaki özelliklere sahip kullanıcı verilerini şifrelemek için sektörde kabul gören bir şifreleme standardı kullanma:

    1. Taşınabilir cihazlarda veya taşınabilir elektronik medyalarda depolanma;
    2. Google'ın veya sistemlerinin dışında korunma;
    3. Yalnızca sizin tarafınızdan yönetilmeyen herhangi bir harici ağdan aktarılan veriler ve
    4. Sistemlerinizde aktif değil.

  2. Güvenli modern protokoller kullanarak (örneğin, HTTPS üzerinden) veri aktarımı.

  3. Özellikle OAuth erişimi ve yenileme jetonları gibi jetonlar olmak üzere kullanıcı verilerini ve kimlik bilgilerini aktif değilken şifrelenmiş halde tutma.

  4. Anahtarların ve anahtar materyalinin uygun şekilde yönetildiğinden (ör. donanım güvenlik modülünde veya eşdeğer güçteki anahtar yönetim sisteminde) emin olma.

Kısıtlanmış Kapsamlar için gerekli güvenlik önlemleri, Cloud Uygulama Güvenlik Değerlendirmesi (CASA) kapsamındaki adımları da içerir. Ayrıca, erişilen API'ye ve kullanıcı izinlerinin veya kullanıcıların sayısına bağlı olarak, uygulamanızın veya hizmetinizin düzenli bir güvenlik değerlendirmesinden geçmesini ve Google tarafından atanan bir üçüncü taraftan Değerlendirme Mektubu almasını da isteyebiliriz.

Google Verileri'nin depolandığı sistemlere, ağlara, hesaplara veya diğer konumlara yapılan bilinen veya şüphelenilen yetkisiz erişimleri ("Güvenlik Olayı") security@google.com adresinden Google'a derhal bildirmeyi kabul edersiniz. Bilinen veya şüphelenilen herhangi bir Güvenlik Olayı ile ilgili kamuya herhangi bir açıklama yapmadan önce security@google.com adresinden Google'ı bilgilendirmek için Google ile tam işbirliği yapmayı ve bu tür durumlarda Google'ı bilgilendirmeyi kabul edersiniz.

Kısıtlanmış kapsamlar

Workspace'te kısıtlanmış kapsamlar şunlardır:

  1. Bir uygulamanın şunları yapmasına izin veren herhangi bir Gmail API kapsamı:

    1. Mesaj gövdelerini (ekler dahil), meta verileri veya üstbilgileri okuma, oluşturma ya da değiştirme veya
    2. Posta kutusu erişimini, e-posta yönlendirme veya yönetici ayarlarını kontrol edin.

  2. Bir uygulamanın şunları yapmasına izin veren herhangi bir Google Drive API kapsamı:

    1. Kullanıcı tek tek dosya dosya erişim izni vermeden bir kullanıcının Drive dosyalarının içeriğini veya meta verilerini okuma, değiştirme veya yönetme.

  3. Bir uygulamanın şunları yapmasına izin veren herhangi bir Google Chat API kapsamı:

    1. Bir kullanıcının Chat mesajlarının içeriğini veya meta verilerini okuma, değiştirme veya yönetme.

Daha fazla bilgi için Kısıtlanmış Kapsamlar listesine bakın.