خط‌مشی توسعه‌دهندگان و داده‌های کاربر Google Workspace

به عنوان یک توسعه‌دهنده که از APIهای Google Workspace و محصولات و خدمات توسعه‌دهندگان ما استفاده می‌کند، شما اغلب داده‌های حساس کاربر را جمع‌آوری و مدیریت می‌کنید. این اصول کلیدی را در نظر داشته باشید:

  • محافظت از حریم خصوصی : از داده‌های کاربر Google Workspace برای موارد ممنوعه استفاده نکنید. ما اشخاص ثالث را از فروش داده‌های کاربر یا استفاده از داده‌های کاربر برای اهداف تبلیغاتی منع می‌کنیم.
  • شفاف باشید : دقیقاً به کاربران توضیح دهید که چه داده‌هایی را جمع‌آوری خواهید کرد، چرا آنها را جمع‌آوری خواهید کرد و چگونه از آنها استفاده خواهید کرد.
  • محترم باشید : به درخواست‌های کاربران برای حذف داده‌هایشان احترام بگذارید.
  • ایمن باشید : با تمام داده‌های کاربر به طور ایمن برخورد کنید و نشان دهید که به رویه‌های امنیتی خاصی پایبند هستید.
  • دقیق باشید : درخواست دسترسی به داده‌هایی که نیازی به آنها ندارید را نکنید. تمام دسترسی‌ها به داده‌ها فقط باید برای ارائه ویژگی‌های مفید برنامه یا سرویس شما به کاربر باشد.

خط‌مشی داده‌های کاربر و توسعه‌دهندگان گوگل

خط‌مشی داده‌های کاربر سرویس‌های API گوگل، نحوه استفاده از تمام سرویس‌های API گوگل را در زمانی که شما، به عنوان توسعه‌دهنده، درخواست دسترسی به داده‌های کاربر را دارید، تعیین می‌کند. این خط‌مشی داده‌های کاربر و توسعه‌دهنده Google Workspace حاوی اطلاعات اضافی است که نحوه استفاده و دسترسی شما به محصولات و سرویس‌های توسعه‌دهندگان Google Workspace که درخواست داده‌های کاربر را دارند، از جمله Gmail، Google Chat، Google Drive، Google Sheets و سایر APIها، MCPها و سایر ابزارهای توسعه‌دهندگان Google Workspace که درخواست دسترسی به داده‌های کاربر را دارند، تعیین می‌کند.

علاوه بر خط‌مشی زیر، شرایط خدمات APIهای گوگل ، خط‌مشی استفاده قابل قبول از گوگل چت ، راهنمای توسعه‌دهندگان گوگل چت ، شرایط خدمات API گوگل درایو ، خط‌مشی‌های برنامه گوگل درایو ، راهنمای توسعه‌دهندگان گوگل درایو ، خط‌مشی‌های برنامه جیمیل ، راهنمای توسعه‌دهندگان جیمیل ، خط‌مشی استفاده قابل قبول از گوگل میت ، شرایط خدمات اسکریپت گوگل اپس و خط‌مشی‌های OAuth 2.0 نیز نحوه استفاده و دسترسی شما به محصولات و خدمات توسعه‌دهندگان گوگل ورک‌اسپیس و داده‌های کاربر مرتبط را تعیین می‌کنند. استفاده شما همچنین ممکن است تحت نظارت توافقنامه توسعه‌دهندگان بازار گوگل ورک‌اسپیس باشد. ما از شما می‌خواهیم که تمام قوانین و مقررات مربوطه را رعایت کنید.

هر از گاهی به این خط‌مشی‌ها سر بزنید، زیرا این خط‌مشی‌ها گهگاه به‌روزرسانی می‌شوند. نظارت و اطمینان از رعایت منظم این خط‌مشی‌ها بر عهده شماست. اگر در هر زمانی نتوانستید الزامات خط‌مشی‌های ما را برآورده کنید (یا اگر خطر قابل توجهی وجود دارد که نتوانید آنها را برآورده کنید)، استفاده از خدمات ما را متوقف کرده و با ما تماس بگیرید. در صورت عدم رعایت این خط‌مشی، ما حق حذف یا محدود کردن دسترسی به داده‌های کاربر گوگل را برای خود محفوظ می‌داریم.

دسترسی مناسب و استفاده از Scope های Gmail

درخواست‌های دسترسی به داده‌های کاربر باید واضح و قابل فهم باشند. محصولات و خدمات توسعه‌دهندگان Google Workspace فقط می‌توانند مطابق با خط‌مشی‌ها، شرایط و ضوابط مربوطه و برای موارد استفاده تأیید شده، همانطور که در این خط‌مشی و مستندات توسعه‌دهندگان ذکر شده است، استفاده شوند. این بدان معناست که شما فقط زمانی می‌توانید درخواست دسترسی به مجوزها را داشته باشید که برنامه یا سرویس شما یکی از موارد استفاده تأیید شده را برآورده کند. فقط زمانی می‌توانید درخواست دسترسی به محصولات و خدمات توسعه‌دهندگان Google Workspace را داشته باشید که برنامه یا سرویس شما یکی از موارد استفاده تأیید شده ما را برآورده کند.

موارد استفاده تأیید شده برای دسترسی به مجوزهای دامنه Gmail عبارتند از:

  1. کلاینت‌های ایمیل داخلی و تحت وب که به کاربران امکان نوشتن، ارسال، خواندن و پردازش ایمیل را از طریق یک رابط کاربری می‌دهند.
  2. برنامه‌هایی که به طور خودکار از ایمیل‌ها پشتیبان تهیه می‌کنند
  3. برنامه‌هایی که تجربه ایمیل را برای اهداف بهره‌وری بهبود می‌بخشند (مانند برنامه‌هایی برای مدیریت ارتباط با مشتری، ارسال ایمیل با تأخیر یا ادغام ایمیل، یا ارائه خلاصه‌های تولیدی هوش مصنوعی)
  4. برنامه‌هایی که از اطلاعات ایمیل‌ها برای ارائه خدمات گزارش‌دهی یا نظارت به نفع کاربران استفاده می‌کنند و تجربه ایمیل را بهبود می‌بخشند (مانند برنامه‌هایی که برنامه‌های سفر را خودکار می‌کنند یا پروازها یا وضعیت تحویل بسته را پیگیری می‌کنند)

محدوده‌های Gmail برای موارد استفاده خاصی مجاز نیستند. این موارد شامل موارد زیر می‌شود، اما محدود به آنها نیست:

  1. کیبوردهای موبایل.
  2. برنامه‌هایی که ایمیل را به صورت یک‌باره یا دستی صادر می‌کنند.
  3. برنامه‌هایی که داده‌هایی غیر از پیام‌های ایمیل را در Gmail ذخیره یا پشتیبان‌گیری می‌کنند.
  4. برنامه‌هایی که از چندین حساب کاربری برای سوءاستفاده از سیاست‌های گوگل، دور زدن محدودیت‌های حساب جیمیل، دور زدن فیلترها و هرزنامه‌ها یا به هر طریق دیگری دور زدن محدودیت‌های سوءاستفاده یا ایمنی استفاده می‌کنند.
  5. برنامه‌هایی که هرزنامه یا نامه‌های تجاری ناخواسته توزیع می‌کنند. به عنوان مثال، برنامه‌هایی که نامه‌های تجاری انبوه ارسال می‌کنند، مانند مدیریت ارتباط با مشتری، تا زمانی که کاربر رضایت خود را برای دریافت ایمیل‌ها اعلام کرده باشد، تأیید می‌شوند.

دسترسی مناسب و استفاده از محدوده‌های گوگل درایو

فقط زمانی درخواست دسترسی به محدوده‌های Drive را بدهید که برنامه یا سرویس شما یکی از موارد استفاده تأیید شده ما را برآورده کند.

موارد استفاده تأیید شده برای دسترسی به محدوده‌های Drive عبارتند از:

  1. برنامه‌های داخلی و تحت وب که همگام‌سازی محلی یا پشتیبان‌گیری خودکار از فایل‌های درایو کاربران را فراهم می‌کنند.
  2. برنامه‌های کاربردی بهره‌وری و آموزشی (به عنوان مثال، برنامه‌های مدیریت وظایف، یادداشت‌برداری، ارتباطات گروه کاری و همکاری در کلاس درس) که فقط از محدوده‌های محدود برای مدیریت فایل‌های Drive (یا فراداده یا مجوزهای آنها) از طریق رابط کاربری برنامه استفاده می‌کنند.
  3. برنامه‌های گزارش‌دهی و امنیتی که به کاربر یا مشتری بینشی در مورد نحوه اشتراک‌گذاری یا دسترسی به فایل‌ها ارائه می‌دهند.

استفاده از اسکوپ‌های درایو برای موارد استفاده خاصی مجاز نیست. این موارد شامل موارد زیر می‌شود، اما محدود به آنها نیست:

  1. پشتیبان‌گیری از محتوای کاربر یا برنامه از برنامه یا پروژه توسعه‌دهنده در Drive.
  2. استخراج ارز دیجیتال.
  3. توزیع گسترده ویدیو یا انتشار محتوای دارای حق چاپ بدون مجوز.
  4. استفاده از درایو به عنوان جایگزینی برای یک شبکه تحویل محتوا (CDN) در مقیاس بزرگ.
  5. ابزارهای شبیه‌سازی فایل که امکان تقسیم فضای ذخیره‌سازی کاربر و/یا دور زدن محدودیت‌های فضای ذخیره‌سازی درایو را فراهم می‌کنند.
  6. برنامه‌هایی که از چندین حساب کاربری برای سوءاستفاده از سیاست‌های گوگل، دور زدن محدودیت‌های حساب کاربری درایو یا به هر طریق دیگری دور زدن محدودیت‌های سوءاستفاده یا ایمنی استفاده می‌کنند.
  7. برنامه‌هایی که هرزنامه یا پیام‌های تجاری ناخواسته توزیع می‌کنند. به عنوان مثال، برنامه‌هایی که پیام‌های تجاری انبوه ارسال می‌کنند، مانند مدیریت ارتباط با مشتری، تا زمانی که کاربر رضایت خود را برای دریافت پیام‌ها اعلام کرده باشد، تأیید می‌شوند.

دسترسی مناسب و استفاده از محدوده‌های چت گوگل

فقط زمانی درخواست دسترسی به محدوده‌های چت را بدهید که برنامه یا سرویس شما یکی از موارد استفاده تأیید شده ما را برآورده کند.

موارد استفاده تأیید شده برای دسترسی به محدوده‌های چت عبارتند از:

  1. برنامه‌های داخلی و تحت وب که به کاربران امکان می‌دهند پیام‌های چت یا ارتباطات مشابه را از طریق رابط کاربری بنویسند، ارسال کنند، بخوانند و پردازش کنند.
  2. برنامه‌هایی که تجربه چت را برای اهداف بهره‌وری بهبود می‌بخشند (برای مثال، یک برنامه چت مدیریت وظایف که به شما امکان می‌دهد وظایف را به سایر اعضای حاضر در فضا اختصاص دهید).
  3. برنامه‌هایی که از اطلاعات پیام‌های چت برای ارائه خدمات گزارش‌دهی یا نظارت به نفع کاربران استفاده می‌کنند (برای مثال، برنامه‌ای که به کاربران اطلاع می‌دهد همکارشان در دفتر نیست).
  4. برنامه‌هایی که پیام‌ها، عضویت‌ها، گروه‌ها یا سایر قابلیت‌های چت مشابه را وارد می‌کنند.
  5. برنامه‌هایی که داده‌های به‌دست‌آمده از طریق Chat API را برای تعامل با سایر محصولات، خدمات یا ویژگی‌های پیام‌رسان، مبادله و استفاده می‌کنند.

محدوده‌های چت برای موارد استفاده خاصی مجاز نیستند. این موارد شامل موارد زیر می‌شود، اما محدود به آنها نیست:

  1. استفاده از چت به عنوان جایگزینی برای یک شبکه تحویل محتوا (CDN) در مقیاس بزرگ.
  2. برنامه‌هایی که از چندین حساب کاربری برای سوءاستفاده از سیاست‌های گوگل، دور زدن محدودیت‌های حساب کاربری چت یا به هر طریق دیگری دور زدن محدودیت‌های سوءاستفاده یا ایمنی استفاده می‌کنند.
  3. برنامه‌هایی که هرزنامه یا پیام‌های تجاری ناخواسته توزیع می‌کنند. به عنوان مثال، برنامه‌هایی که پیام‌های تجاری انبوه ارسال می‌کنند، مانند مدیریت ارتباط با مشتری، تا زمانی که کاربر رضایت خود را برای دریافت پیام‌ها اعلام کرده باشد، تأیید می‌شوند.

دسترسی مناسب و استفاده از محدوده‌های Google Meet

فقط زمانی درخواست دسترسی به محدوده‌های Meet را بدهید که برنامه یا سرویس شما یکی از موارد استفاده تأیید شده ما را برآورده کند.

موارد استفاده تأیید شده برای دسترسی به مجوزهای حوزه‌های Meet عبارتند از:

  1. وب و برنامه‌های وب داخلی که امکان پردازش، پخش یا ذخیره صدا و تصویر شرکت‌کنندگان در جلسه را از طریق رابط کاربری برای کاربران فراهم می‌کنند.
  2. برنامه‌هایی که تجربه Meet را برای اهداف بهره‌وری بهبود می‌بخشند (برای مثال، یک برنامه ضبط صفحه که به شما امکان می‌دهد تصاویر را در این فضا به اشتراک بگذارید).
  3. برنامه‌هایی که از اطلاعات Meet برای ارائه خدمات گزارش‌دهی یا نظارت به نفع کاربران استفاده می‌کنند (مثلاً برنامه‌ای که اطلاعات مربوط به جلسات یا سخنرانی‌ها را ارائه می‌دهد).
  4. برنامه‌هایی که داده‌های به‌دست‌آمده از طریق Meet REST API را برای تعامل با سایر محصولات، خدمات یا ویژگی‌های ویدیویی تبادل و استفاده می‌کنند.

دامنه‌های Meet برای موارد استفاده خاصی مجاز نیستند. این موارد شامل موارد زیر می‌شود، اما محدود به آنها نیست:

  1. برنامه‌هایی که داده‌ها، محتوا یا فراداده‌های کاربر Meet را بدون مجوز قانونی یا بدون رضایت نظارت یا توزیع می‌کنند.
  2. توزیع گسترده ویدیو یا انتشار مطالب غیرقانونی یا محتوای دارای حق چاپ بدون مجوز.
  3. برنامه‌هایی که از چندین حساب کاربری برای سوءاستفاده از سیاست‌های گوگل، دور زدن محدودیت‌های حساب Meet، دور زدن فیلترها و هرزنامه‌ها یا به هر نحو دیگری دور زدن محدودیت‌های سوءاستفاده یا ایمنی استفاده می‌کنند (به عنوان مثال، ذخیره یا توزیع تغییرات دیجیتال افراد برای اهداف مخرب یا استفاده از API برای تحریف یا ارائه اطلاعات نادرست به کاربران).

درخواست حداقل مجوزهای مربوطه

شما فقط می‌توانید درخواست دسترسی به مجوزهایی را بدهید که برای پیاده‌سازی عملکرد برنامه یا سرویس شما حیاتی هستند. این به این معنی است:

درخواست دسترسی به اطلاعاتی که نیازی به آنها ندارید را نکنید . فقط دسترسی به مجوزهای لازم برای پیاده‌سازی ویژگی‌ها یا سرویس‌های برنامه خود را درخواست کنید. اگر برنامه شما نیازی به دسترسی به مجوزهای خاصی ندارد، نباید درخواست دسترسی به این مجوزها را داشته باشید. سعی نکنید با درخواست دسترسی به اطلاعاتی که ممکن است به سرویس‌ها یا ویژگی‌هایی که هنوز پیاده‌سازی نشده‌اند، کمک کنند، دسترسی خود به داده‌های کاربر را برای آینده تضمین کنید.

در صورت امکان، درخواست مجوزها را در متن انجام دهید . فقط در صورت امکان، درخواست دسترسی به داده‌های کاربر را در متن (از طریق احراز هویت افزایشی ) ارائه دهید تا کاربران بدانند که چرا به داده‌ها نیاز دارید.

اطلاع‌رسانی و کنترل شفاف و دقیق

شما باید یک سیاست حفظ حریم خصوصی منتشر کنید که به طور کامل نحوه تعامل برنامه شما با داده‌های کاربر، از جمله نحوه افشای نحوه جمع‌آوری، استفاده و اشتراک‌گذاری داده‌های کاربر توسط برنامه یا سرویس وب شما را مستند کند. شما باید هنگام انتشار عمومی برنامه خود، آدرس اینترنتی سیاست حفظ حریم خصوصی را در پیکربندی کلاینت OAuth خود فهرست کنید.

برنامه‌ها و سرویس‌ها همچنین باید درخواست دسترسی به داده‌های کاربر را در چارچوبی (از طریق احراز هویت افزایشی ) که به داده‌ها نیاز دارید و نحوه استفاده از داده‌ها، درخواست کنند. به عنوان مثال، به طور جزئی از کاربران بخواهید که MCP، ابزار، مهارت یا سایر رفتارهای عامل را تأیید کنند. علاوه بر الزامات تحت قانون قابل اجرا، شما باید الزامات زیر را نیز رعایت کنید که منعکس کننده سیاست‌های داده‌های کاربر OAuth 2.0 و Google API Services ما هستند:

  1. شما باید اطلاعات مربوط به دسترسی، جمع‌آوری، استفاده و اشتراک‌گذاری داده‌های خود را افشا کنید. افشا:

    1. باید هویت برنامه یا سرویسی که به دنبال دسترسی به داده‌های کاربر است را به طور دقیق نشان دهد؛
    2. اگر مبتنی بر برنامه است، باید درون خود برنامه باشد یا اگر مبتنی بر وب است، در یک پنجره محاوره‌ای جداگانه باشد.
    3. اگر برنامه کاربردی است، باید در حالت عادی استفاده از برنامه و اگر تحت وب است، در وب‌سایت نمایش داده شود و نیازی به پیمایش کاربر به منو یا تنظیمات نداشته باشد؛
    4. باید اطلاعات واضح و دقیقی ارائه دهد که انواع داده‌های مورد دسترسی، درخواست و/یا جمع‌آوری‌شده را توضیح دهد؛
    5. باید نحوه استفاده و/یا اشتراک‌گذاری داده‌ها را توضیح دهید: اگر به یک دلیل درخواست داده دارید، اما داده‌ها برای یک هدف ثانویه نیز مورد استفاده قرار می‌گیرند، باید کاربران را از هر دو مورد استفاده مطلع کنید.
    6. نمی‌توان آن را فقط در سیاست حفظ حریم خصوصی یا شرایط خدمات قرار داد؛ و،
    7. نمی‌توان آن را در کنار سایر افشاگری‌های غیرمرتبط با جمع‌آوری داده‌های شخصی و حساس قرار داد.
  2. افشای اطلاعات شما باید همراه و بلافاصله قبل از درخواست رضایت کاربر باشد. شما نباید قبل از اخذ رضایت قطعی، جمع‌آوری اطلاعات را آغاز کنید. درخواست رضایت:

    1. باید گفتگوی رضایت را به روشی واضح و بدون ابهام ارائه دهد.
    2. برای پذیرش، باید به اقدام مثبت کاربر (مثلاً، لمس برای پذیرش، علامت زدن یک کادر، دستور شفاهی و غیره) نیاز باشد؛
    3. نباید پیمایش بدون افشای اطلاعات (از جمله ضربه زدن یا فشار دادن دکمه بازگشت یا خانه) را به عنوان رضایت تفسیر کند؛ و،
    4. نباید از پیام‌های خودکار حذف یا منقضی شونده استفاده کنید.
  3. شما باید مستندات راهنمای کاربر را ارائه دهید که توضیح دهد کاربران چگونه می‌توانند داده‌های خود را از برنامه یا سرویس شما مدیریت و حذف کنند.

استفاده محدود از داده‌های کاربر

هنگام دسترسی به محدوده‌های Google Workspace برای استفاده مناسب، استفاده شما از داده‌های به‌دست‌آمده باید مطابق با الزامات زیر باشد. این الزامات برای داده‌های به‌دست‌آمده از محدوده‌های حساس و محدود اعمال می‌شود.

  1. استفاده خود از داده‌ها را به ارائه یا بهبود موارد استفاده مناسب یا ویژگی‌هایی که در رابط کاربری برنامه درخواست‌کننده قابل مشاهده و برجسته هستند، محدود کنید.
  2. انتقال داده‌ها مجاز نیست، مگر در موارد زیر:

    1. برای ارائه یا بهبود موارد استفاده یا ویژگی‌های کاربری مناسب شما که در رابط کاربری برنامه درخواست‌کننده قابل مشاهده و برجسته هستند و فقط با رضایت کاربر ارائه می‌شوند؛
    2. برای اهداف امنیتی (برای مثال، بررسی سوءاستفاده)؛
    3. برای رعایت قوانین و/یا مقررات مربوطه؛ یا،
    4. به عنوان بخشی از ادغام، تملک یا فروش دارایی‌های توسعه‌دهنده پس از اخذ رضایت قبلی صریح از کاربر.
  3. به انسان‌ها اجازه خواندن داده‌های کاربر را ندهید، مگر اینکه:

    1. شما رضایت صریح یا موافقت قطعی کاربر را برای مشاهده پیام‌ها، فایل‌ها یا سایر داده‌های خاص (به عنوان مثال، کمک به کاربر برای دسترسی مجدد به محصول یا سرویس پس از از دست دادن رمز عبور) دریافت و مستند کرده‌اید.
    2. داده‌ها (شامل مشتقات) جمع‌آوری و ناشناس می‌شوند و برای عملیات داخلی مطابق با الزامات مربوط به حریم خصوصی و سایر الزامات قانونی حوزه قضایی استفاده می‌شوند.
    3. برای اهداف امنیتی (مثلاً بررسی یک اشکال یا سوءاستفاده) ضروری است؛ یا،
    4. برای رعایت قوانین و/یا مقررات مربوطه.

هرگونه انتقال، استفاده یا فروش اطلاعات کاربر کاملاً ممنوع است، از جمله :

  1. انتقال یا فروش داده‌های کاربر به اشخاص ثالث مانند پلتفرم‌های تبلیغاتی، دلالان داده یا هرگونه فروشنده اطلاعات.
  2. انتقال، فروش یا استفاده از داده‌های کاربر برای نمایش تبلیغات، از جمله تبلیغات هدفمند مجدد، شخصی‌سازی‌شده یا مبتنی بر علاقه.
  3. انتقال، فروش یا استفاده از داده‌های کاربر برای تعیین اعتبار یا برای اهداف وام‌دهی.
  4. انتقال، فروش یا استفاده از داده‌های کاربر برای ایجاد، آموزش یا بهبود یک مدل یادگیری ماشین یا هوش مصنوعی فراتر از مدل شخصی‌سازی‌شده‌ی آن کاربر خاص برای مورد استفاده یا ویژگی کاربری مناسب.

شما باید اطمینان حاصل کنید که کارمندان، نمایندگان، پیمانکاران و جانشینان شما از این خط‌مشی داده‌های کاربر و توسعه‌دهندگان گوگل پیروی می‌کنند.

یک بیانیه تأییدکننده یا مشابه دیگر مبنی بر اینکه استفاده شما از داده‌ها با محدودیت‌های استفاده محدود مطابقت دارد، باید در برنامه شما یا در وب‌سایتی متعلق به سرویس وب یا برنامه شما افشا شود؛ برای مثال، پیوندی در صفحه اصلی به یک صفحه اختصاصی یا سیاست حفظ حریم خصوصی با ذکر این نکته: «استفاده از اطلاعات دریافتی از محدوده‌های Google Workspace مطابق با سیاست داده‌های کاربر Google ، از جمله الزامات استفاده محدود ، خواهد بود.»

حفظ محیط عملیاتی امن

با تمام داده‌های کاربر در حال انتقال و در حالت استراحت، با امنیت رفتار کنید. اقدامات منطقی و مناسبی را برای محافظت از تمام برنامه‌ها یا سیستم‌هایی که از APIهای Google Workspace و هرگونه داده مشتق شده از آن استفاده می‌کنند، در برابر دسترسی، استفاده، تخریب، از دست دادن، تغییر یا افشای غیرمجاز یا غیرقانونی انجام دهید. علاوه بر این، در صورت ادغام محصولات و خدمات توسعه‌دهندگان Google با سایر پلتفرم‌ها، سرویس‌ها یا پروتکل‌ها، از بهترین شیوه‌های امنیتی توصیه‌شده (در صورت لزوم) و مورد نیاز در مستندات مشخصات مربوطه پیروی کنید؛ به عنوان مثال، بهترین شیوه‌های امنیتی در پروتکل Model Context .

برنامه‌هایی که به محدوده‌های محدود دسترسی دارند باید نشان دهند که از رویه‌های امنیتی خاصی پیروی می‌کنند.

شیوه‌های امنیتی توصیه‌شده شامل پیاده‌سازی و نگهداری یک سیستم مدیریت امنیت اطلاعات مانند آنچه در ISO/IEC 27001 ذکر شده است و اطمینان از اینکه برنامه یا سرویس وب شما قوی و عاری از مشکلات امنیتی رایج است که توسط OWASP Top 10 تعیین شده است، می‌باشد.

اقدامات امنیتی مورد نیاز عبارتند از:

  1. استفاده از یک استاندارد رمزگذاری پذیرفته‌شده در صنعت برای رمزگذاری داده‌های کاربر که:

    1. ذخیره شده در دستگاه‌های قابل حمل یا رسانه‌های الکترونیکی قابل حمل؛
    2. خارج از سیستم‌های گوگل یا شما نگهداری می‌شود؛
    3. از طریق هر شبکه خارجی که صرفاً توسط شما مدیریت نمی‌شود، منتقل شده است؛ و،
    4. در حالت استراحت روی سیستم‌های شما.
  2. انتقال داده‌ها با استفاده از پروتکل‌های مدرن امن (به عنوان مثال، از طریق HTTPS).

  3. داده‌ها و اعتبارنامه‌های کاربر، به ویژه توکن‌هایی مانند توکن‌های دسترسی OAuth و رفرش، به صورت رمزگذاری شده در حالت سکون نگهداری می‌شوند.

  4. اطمینان از اینکه کلیدها و مواد کلیدی به طور مناسب مدیریت می‌شوند، مانند ذخیره شدن در یک ماژول امنیتی سخت‌افزاری یا سیستم مدیریت کلید با قدرت معادل.

  5. محافظت در برابر تکنیک‌های تزریق سریع با استفاده از Model Armor پلتفرم ابری گوگل یا سایر محافظت‌های تزریق سریع.

اقدامات امنیتی لازم برای محدوده‌های محدود همچنین شامل پیروی از ارزیابی امنیت برنامه ابری (CASA) می‌شود. علاوه بر این، بسته به API مورد دسترسی و تعداد مجوزهای کاربری یا کاربران، ممکن است از شما بخواهیم که برنامه یا سرویس شما به صورت دوره‌ای ارزیابی امنیتی شود و از یک شخص ثالث تعیین‌شده توسط گوگل، نامه ارزیابی دریافت کنید.

شما موافقت می‌کنید که هرگونه دسترسی غیرمجاز شناخته‌شده یا مشکوک به سیستم‌ها، شبکه‌ها، حساب‌ها یا سایر مکان‌هایی که داده‌های گوگل در آنها ذخیره می‌شود ("حادثه امنیتی") را فوراً از طریق security@google.com به گوگل اطلاع دهید. شما موافقت می‌کنید که برای اصلاح هرگونه حادثه امنیتی شناخته‌شده یا مشکوک با گوگل همکاری کامل داشته باشید و در چنین مواردی، قبل از هرگونه اظهار نظر عمومی در مورد هرگونه حادثه امنیتی شناخته‌شده یا مشکوک، گوگل را از طریق security@google.com مطلع کنید.

دامنه‌های محدود

محدوده‌های محدود شده‌ی Google Workspace شامل موارد زیر است:

  1. هر محدوده‌ی API جیمیل که به یک برنامه اجازه می‌دهد:

    1. خواندن، ایجاد یا تغییر بدنه پیام‌ها (از جمله پیوست‌ها)، فراداده‌ها یا سرصفحه‌ها؛ یا
    2. دسترسی به صندوق پستی، ارسال ایمیل یا تنظیمات مدیریت را کنترل کنید.
  2. هر محدوده‌ی API درایو که به یک برنامه اجازه می‌دهد:

    1. محتوا یا فراداده‌های فایل‌های Drive کاربر را بخوانید، تغییر دهید یا مدیریت کنید، بدون اینکه کاربر به صورت جداگانه دسترسی فایل به فایل را اعطا کند.
  3. هر محدوده‌ی API چت که به یک برنامه اجازه می‌دهد:

    1. خواندن، تغییر یا مدیریت محتوا یا فراداده‌های پیام‌های چت کاربر.
  4. هر محدوده‌ی Meet REST API که به یک برنامه اجازه می‌دهد:

    1. پردازش همزمان صدا و تصویر شرکت‌کنندگان در جلسه را بخوانید، اصلاح کنید یا مدیریت کنید.

برای جزئیات بیشتر، به فهرست حوزه‌های محدود مراجعه کنید.