Là nhà phát triển sử dụng các API của Google Workspace cũng như các sản phẩm và dịch vụ dành cho nhà phát triển của chúng tôi, bạn thường thu thập và quản lý dữ liệu nhạy cảm của người dùng. Hãy ghi nhớ những nguyên tắc chính sau:
- Bảo vệ quyền riêng tư: Không sử dụng dữ liệu người dùng Google Workspace cho các mục đích bị cấm. Chúng tôi nghiêm cấm bên thứ ba bán dữ liệu người dùng hoặc sử dụng dữ liệu người dùng cho mục đích quảng cáo.
- Minh bạch: Trình bày và giải thích chính xác cho người dùng biết bạn sẽ thu thập dữ liệu nào, lý do bạn thu thập dữ liệu đó và cách bạn sẽ sử dụng dữ liệu đó.
- Tôn trọng: Đáp ứng yêu cầu của người dùng về việc xoá dữ liệu của họ.
- Đảm bảo an toàn: Xử lý tất cả dữ liệu người dùng một cách an toàn và chứng minh rằng bạn tuân thủ một số phương thức bảo mật nhất định.
- Nêu rõ: Đừng yêu cầu quyền truy cập vào dữ liệu mà bạn không cần. Bạn chỉ được truy cập vào tất cả dữ liệu để cung cấp các tính năng mang lại lợi ích cho người dùng của ứng dụng hoặc dịch vụ.
Chính sách dữ liệu người dùng và nhà phát triển của Google
Chính sách dữ liệu người dùng của Dịch vụ API của Google chi phối việc sử dụng tất cả Dịch vụ API của Google khi bạn (nhà phát triển) yêu cầu truy cập vào dữ liệu người dùng. Chính sách về dữ liệu người dùng và nhà phát triển của Google Workspace này có chứa thông tin bổ sung chi phối việc bạn sử dụng và truy cập vào các sản phẩm và dịch vụ dành cho nhà phát triển của Google Workspace yêu cầu dữ liệu người dùng, bao gồm Gmail, Google Chat, Google Drive, Google Trang tính và các API, MCP cũng như các công cụ khác dành cho nhà phát triển của Google Workspace yêu cầu quyền truy cập vào dữ liệu người dùng.
Ngoài chính sách dưới đây, Điều khoản dịch vụ của Google API, Chính sách sử dụng được của Google Chat, Hướng dẫn dành cho nhà phát triển Google Chat, Điều khoản dịch vụ của Google Drive API, Chính sách chương trình của Google Drive, Hướng dẫn dành cho nhà phát triển Google Drive, Chính sách chương trình của Gmail, Hướng dẫn dành cho nhà phát triển Gmail, Chính sách sử dụng được của Google Meet, Điều khoản dịch vụ của Google Apps Script và Chính sách OAuth 2.0 cũng chi phối việc bạn sử dụng và truy cập vào các sản phẩm và dịch vụ dành cho nhà phát triển của Google Workspace cũng như dữ liệu người dùng liên quan. Việc bạn sử dụng cũng có thể chịu sự điều chỉnh của Thoả thuận dành cho nhà phát triển trên Google Workspace Marketplace. Bạn phải tuân thủ tất cả luật và quy định hiện hành.
Thỉnh thoảng, hãy quay lại đây để kiểm tra vì các chính sách này đôi khi được cập nhật. Bạn có trách nhiệm thường xuyên giám sát và đảm bảo việc tuân thủ các chính sách này. Nếu bất cứ lúc nào bạn không đáp ứng được các yêu cầu trong chính sách của chúng tôi (hoặc nếu có nguy cơ đáng kể rằng bạn sẽ không đáp ứng được các yêu cầu đó), hãy ngừng sử dụng dịch vụ của chúng tôi và liên hệ với chúng tôi. Chúng tôi giữ quyền xoá hoặc hạn chế quyền truy cập vào dữ liệu người dùng trên Google nếu bạn không tuân thủ chính sách này.
Quyền truy cập và sử dụng các phạm vi của Gmail hợp lệ
Yêu cầu truy cập dữ liệu người dùng phải rõ ràng và dễ hiểu. Bạn chỉ được sử dụng các sản phẩm và dịch vụ dành cho nhà phát triển của Google Workspace theo các chính sách, điều khoản và điều kiện hiện hành, đồng thời phải thuộc những trường hợp sử dụng được phê duyệt như nêu trong Chính sách này và tài liệu dành cho nhà phát triển. Tức là bạn chỉ có thể yêu cầu quyền truy cập vào những quyền này nếu ứng dụng hoặc dịch vụ của bạn phù hợp với một trong những trường hợp sử dụng được phê duyệt. Chỉ yêu cầu quyền truy cập vào các sản phẩm và dịch vụ dành cho nhà phát triển của Google Workspace khi ứng dụng hoặc dịch vụ của bạn đáp ứng một trong những trường hợp sử dụng được phê duyệt của chúng tôi.
Sau đây là các trường hợp sử dụng được phê duyệt để truy cập vào quyền phạm vi Gmail:
- Các ứng dụng email tích hợp và ứng dụng email trên web cho phép người dùng soạn, gửi, đọc và xử lý email thông qua giao diện người dùng.
- Ứng dụng tự động sao lưu email
- Ứng dụng nâng cao trải nghiệm email cho mục đích cải thiện hiệu suất (chẳng hạn như ứng dụng quản lý mối quan hệ khách hàng, gửi email trễ hoặc trộn thư, hoặc cung cấp bản tóm tắt do AI tạo sinh tạo ra)
- Những ứng dụng sử dụng thông tin trong email để cung cấp dịch vụ báo cáo hoặc giám sát vì lợi ích của người dùng nhằm cải thiện trải nghiệm email (chẳng hạn như những ứng dụng tự động hoá hành trình du lịch hoặc theo dõi chuyến bay hoặc trạng thái giao hàng)
Bạn không được phép sử dụng các phạm vi Gmail cho một số trường hợp sử dụng nhất định. Những trường hợp như vậy bao gồm nhưng không giới hạn ở:
- Bàn phím trên thiết bị di động.
- Các ứng dụng xuất email một lần hoặc theo cách thủ công.
- Ứng dụng lưu trữ hoặc sao lưu dữ liệu không phải là thư trong Gmail.
- Ứng dụng sử dụng nhiều tài khoản để vi phạm chính sách của Google, lách các giới hạn về tài khoản Gmail, tránh né các bộ lọc và thư rác hoặc phá vỡ các hạn chế về hành vi sai trái hoặc an toàn.
- Ứng dụng phát tán thư rác hoặc thư thương mại không mong muốn. Ví dụ: những ứng dụng gửi email thương mại hàng loạt (chẳng hạn như ứng dụng quản lý mối quan hệ khách hàng) sẽ được phê duyệt miễn là người dùng đồng ý nhận email.
Quyền truy cập và sử dụng các phạm vi của Google Drive một cách phù hợp
Chỉ yêu cầu quyền truy cập vào các phạm vi Drive khi ứng dụng hoặc dịch vụ của bạn đáp ứng một trong những trường hợp sử dụng được phê duyệt của chúng tôi.
Sau đây là các trường hợp sử dụng được phê duyệt để truy cập vào các phạm vi của Drive:
- Các ứng dụng tích hợp và ứng dụng web cung cấp tính năng đồng bộ hoá cục bộ hoặc sao lưu tự động các tệp của người dùng trên Drive.
- Các ứng dụng năng suất và giáo dục (ví dụ: ứng dụng quản lý công việc, ghi chú, giao tiếp nhóm làm việc và cộng tác trong lớp học) chỉ sử dụng các Phạm vi bị hạn chế để xử lý tệp trên Drive (hoặc siêu dữ liệu hoặc quyền của tệp) thông qua giao diện người dùng của ứng dụng.
- Các ứng dụng báo cáo và bảo mật cung cấp thông tin chi tiết về người dùng hoặc khách hàng về cách chia sẻ hoặc truy cập vào tệp.
Bạn không được phép sử dụng các phạm vi Drive cho một số trường hợp sử dụng. Những trường hợp như vậy bao gồm, nhưng không giới hạn ở:
- Sao lưu nội dung của người dùng hoặc ứng dụng từ ứng dụng hoặc dự án của nhà phát triển sang Drive.
- Khai thác tiền mã hoá.
- Phân phối video trên diện rộng hoặc phát tán nội dung có bản quyền mà không được phép.
- Sử dụng Drive để thay thế cho một mạng phân phối nội dung (CDN) quy mô lớn.
- Công cụ sao chép tệp cho phép phân chia bộ nhớ người dùng và/hoặc lách giới hạn bộ nhớ của Drive.
- Ứng dụng sử dụng nhiều tài khoản để vi phạm chính sách của Google, lách các giới hạn về tài khoản Drive hoặc phá vỡ các hạn chế về hành vi sai trái hoặc an toàn.
- Ứng dụng phát tán thư rác hoặc tin nhắn thương mại không mong muốn. Ví dụ: những ứng dụng gửi tin nhắn thương mại hàng loạt, chẳng hạn như ứng dụng quản lý mối quan hệ khách hàng, sẽ được phê duyệt miễn là người dùng đồng ý nhận tin nhắn.
Quyền truy cập và sử dụng các phạm vi của Google Chat một cách phù hợp
Chỉ yêu cầu quyền truy cập vào các phạm vi Chat khi ứng dụng hoặc dịch vụ của bạn đáp ứng một trong những trường hợp sử dụng được phê duyệt của chúng tôi.
Sau đây là các trường hợp sử dụng được phê duyệt để truy cập vào các phạm vi Chat:
- Các ứng dụng tích hợp và ứng dụng web cho phép người dùng soạn, gửi, đọc và xử lý tin nhắn Chat hoặc nội dung liên lạc tương tự thông qua giao diện người dùng.
- Các ứng dụng giúp nâng cao trải nghiệm Chat cho mục đích tăng năng suất (ví dụ: ứng dụng Chat quản lý việc cần làm cho phép bạn giao việc cần làm cho các thành viên khác trong không gian).
- Ứng dụng sử dụng thông tin từ tin nhắn trong Chat để cung cấp dịch vụ báo cáo hoặc giám sát vì lợi ích của người dùng (ví dụ: ứng dụng thông báo cho người dùng rằng đồng nghiệp đang không làm việc).
- Các ứng dụng nhập tin nhắn, tư cách thành viên, nhóm hoặc các chức năng tương tự khác của Chat.
- Các ứng dụng trao đổi và sử dụng dữ liệu thu được thông qua Chat API để tương tác với các sản phẩm, dịch vụ hoặc tính năng nhắn tin khác.
Bạn không được phép sử dụng các phạm vi Chat trong một số trường hợp sử dụng. Những trường hợp như vậy bao gồm, nhưng không giới hạn ở:
- Sử dụng Chat để thay thế cho một mạng phân phối nội dung (CDN) quy mô lớn.
- Ứng dụng sử dụng nhiều tài khoản để vi phạm chính sách của Google, lách các giới hạn về tài khoản Chat hoặc phá vỡ các hạn chế về hành vi sai trái hoặc an toàn.
- Ứng dụng phát tán thư rác hoặc tin nhắn thương mại không mong muốn. Ví dụ: những ứng dụng gửi tin nhắn thương mại hàng loạt, chẳng hạn như ứng dụng quản lý mối quan hệ khách hàng, sẽ được phê duyệt miễn là người dùng đồng ý nhận tin nhắn.
Quyền truy cập và sử dụng các phạm vi của Google Meet một cách phù hợp
Chỉ yêu cầu quyền truy cập vào các phạm vi của Meet khi ứng dụng hoặc dịch vụ của bạn đáp ứng một trong những trường hợp sử dụng được phê duyệt của chúng tôi.
Sau đây là các trường hợp sử dụng được phê duyệt để truy cập vào quyền đối với phạm vi của Meet:
- Các ứng dụng web và web được tích hợp sẵn cho phép xử lý, phát trực tuyến hoặc lưu trữ âm thanh và video của người tham gia cuộc họp theo thời gian thực thông qua giao diện người dùng vì lợi ích của người dùng.
- Các ứng dụng giúp nâng cao trải nghiệm Meet cho mục đích nâng cao hiệu suất (ví dụ: ứng dụng ghi màn hình cho phép bạn chia sẻ hình ảnh trong không gian).
- Ứng dụng sử dụng thông tin từ Meet để cung cấp dịch vụ báo cáo hoặc giám sát vì lợi ích của người dùng (ví dụ: ứng dụng cung cấp thông tin chi tiết về cuộc họp hoặc lời nói).
- Các ứng dụng trao đổi và sử dụng dữ liệu thu được thông qua Meet REST API để tương tác với các sản phẩm, dịch vụ hoặc tính năng video khác.
Bạn không được dùng các phạm vi của Meet cho một số trường hợp sử dụng nhất định. Những trường hợp như vậy bao gồm, nhưng không giới hạn ở:
- Những ứng dụng giám sát hoặc phân phối dữ liệu, nội dung hoặc siêu dữ liệu của người dùng Meet mà không có sự cho phép hợp pháp hoặc không có sự đồng ý.
- Phân phối video trên diện rộng hoặc phát tán tài liệu bất hợp pháp hoặc nội dung có bản quyền mà không được phép.
- Những ứng dụng sử dụng nhiều tài khoản để vi phạm chính sách của Google, lách các giới hạn về tài khoản Meet, tránh né các bộ lọc và thư rác hoặc phá vỡ những hạn chế khác về hành vi sai trái hoặc an toàn (ví dụ: lưu trữ hoặc phân phối nội dung số đã chỉnh sửa về người khác cho mục đích xấu hoặc sử dụng API để trình bày sai hoặc cung cấp thông tin sai lệch cho người dùng).
Yêu cầu các quyền tối thiểu có liên quan
Bạn chỉ có thể yêu cầu quyền truy cập đối với các quyền thiết yếu để triển khai chức năng trong ứng dụng hoặc dịch vụ của bạn. Điều này có nghĩa là:
Đừng yêu cầu quyền truy cập vào thông tin bạn không cần đến. Chỉ yêu cầu cấp các quyền truy cập cần thiết để triển khai các tính năng hoặc dịch vụ của ứng dụng. Nếu ứng dụng của bạn không cần đến quyền truy cập vào một số quyền cụ thể, thì bạn không được yêu cầu truy cập vào các quyền đó. Đừng tìm cách "tính sẵn tương lai" cho quyền truy cập vào dữ liệu người dùng bằng cách yêu cầu quyền truy cập vào thông tin có thể hữu ích cho các dịch vụ hoặc tính năng chưa triển khai.
Yêu cầu cấp quyền theo ngữ cảnh nếu có thể. Chỉ yêu cầu quyền truy cập vào dữ liệu người dùng trong bối cảnh (thông qua uỷ quyền từng phần) bất cứ khi nào có thể, để người dùng hiểu được lý do bạn cần dữ liệu đó.
Kiểm soát và thông báo chính xác và minh bạch
Bạn phải xuất bản một chính sách quyền riêng tư nêu đầy đủ cách ứng dụng của bạn tương tác với dữ liệu người dùng, bao gồm cả cách ứng dụng hoặc dịch vụ web của bạn công bố cách thu thập, sử dụng và chia sẻ dữ liệu người dùng. Bạn phải liệt kê URL chính sách quyền riêng tư trong cấu hình ứng dụng OAuth khi ứng dụng của bạn được cung cấp cho công chúng.
Các ứng dụng và dịch vụ cũng phải yêu cầu quyền truy cập vào dữ liệu người dùng trong bối cảnh (thông qua uỷ quyền từng phần) khi bạn cần dữ liệu và cách dữ liệu sẽ được sử dụng. Ví dụ: yêu cầu người dùng xác nhận MCP, công cụ, kỹ năng hoặc lệnh gọi hành vi có tác nhân khác một cách chi tiết. Ngoài các yêu cầu của luật hiện hành, bạn cũng phải tuân thủ những yêu cầu dưới đây. Các yêu cầu này phản ánh chính sách OAuth 2.0 và Chính sách dữ liệu người dùng của các dịch vụ API của Google:
Bạn phải công bố thông tin về việc truy cập, thu thập, sử dụng và chia sẻ dữ liệu. Thông tin công bố:
- Phải thể hiện chính xác danh tính của ứng dụng hoặc dịch vụ có nhu cầu truy cập dữ liệu người dùng;
- Phải nằm trong chính ứng dụng nếu là ứng dụng hoặc trong một cửa sổ hộp thoại riêng nếu là ứng dụng dựa trên web;
- Phải xuất hiện trong quá trình sử dụng ứng dụng bình thường (nếu là ứng dụng) hoặc trang web (nếu là trang web) và không yêu cầu người dùng di chuyển đến một trình đơn hay chế độ cài đặt;
- Phải cung cấp thông tin đầy đủ và chính xác để giải thích loại dữ liệu cần truy cập, yêu cầu và/hoặc thu thập;
- Phải giải thích cách dữ liệu sẽ được sử dụng và/hoặc chia sẻ: nếu bạn yêu cầu dữ liệu để phục vụ một mục đích nhưng cũng sẽ sử dụng dữ liệu đó cho một mục đích khác, thì bạn phải thông báo cho người dùng về cả hai trường hợp sử dụng;
- Không được chỉ xuất hiện ở phần chính sách quyền riêng tư hoặc điều khoản dịch vụ; và
- Không được đi kèm với những thông tin công bố khác không liên quan đến hoạt động thu thập dữ liệu riêng tư và nhạy cảm.
Thông tin công bố phải đi kèm và xuất hiện ngay trước yêu cầu sự đồng ý của người dùng. Bạn không được bắt đầu thu thập trước khi nhận được sự đồng ý rõ ràng. Yêu cầu đồng ý:
- Phải trình bày hộp thoại đồng ý một cách rõ ràng;
- Phải yêu cầu người dùng thực hiện thao tác xác nhận (ví dụ: nhấn để chấp nhận, đánh dấu vào hộp kiểm, đưa ra lệnh bằng lời nói, v.v.) để chấp nhận;
- Không được xem việc rời khỏi trang thông tin công bố (bao gồm cả hành động nhấn nút thoát, nút quay lại hoặc nút màn hình chính) là hành động thể hiện sự đồng ý; và
- Không được sử dụng thông báo tự động đóng hoặc tự động hết hạn.
Bạn phải cung cấp tài liệu trợ giúp người dùng, giải thích cách người dùng có thể quản lý và xoá dữ liệu của họ khỏi ứng dụng hoặc dịch vụ của bạn.
Sử dụng dữ liệu người dùng có giới hạn
Khi truy cập vào các phạm vi của Google Workspace cho một mục đích phù hợp, bạn phải tuân thủ các yêu cầu sau đây khi sử dụng dữ liệu thu được. Những yêu cầu này áp dụng cho dữ liệu bắt nguồn từ cả phạm vi Nhạy cảm và Bị hạn chế.
- Giới hạn việc sử dụng dữ liệu vào việc cung cấp hay cải thiện trường hợp sử dụng phù hợp hoặc các tính năng dễ thấy và nổi bật trong giao diện người dùng của ứng dụng đưa ra yêu cầu.
Không được phép chuyển dữ liệu, ngoại trừ:
- Để cung cấp hay cải thiện trường hợp sử dụng phù hợp hoặc các tính năng dành cho người dùng dễ thấy và nổi bật trong giao diện người dùng của ứng dụng yêu cầu, đồng thời chỉ chuyển dữ liệu khi có sự đồng ý của người dùng;
- Vì mục đích bảo mật (ví dụ: điều tra hành vi sai trái);
- Để tuân thủ quy định và/hoặc luật hiện hành; hoặc,
- Là một phần của hoạt động sáp nhập, mua lại hoặc bán tài sản của nhà phát triển sau khi có được sự đồng ý trước rõ ràng của người dùng.
Không được cho phép bên khác là con người đọc dữ liệu người dùng, trừ phi:
- Bạn đã có được và ghi lại sự đồng ý rõ ràng hoặc thoả thuận khẳng định của người dùng để xem các thông báo, tệp hoặc dữ liệu cụ thể (ví dụ: giúp người dùng truy cập lại vào sản phẩm hoặc dịch vụ sau khi mất mật khẩu);
- Dữ liệu (bao gồm cả dữ liệu phái sinh) được tổng hợp và ẩn danh, đồng thời được dùng cho các hoạt động nội bộ theo yêu cầu pháp lý hiện hành về quyền riêng tư và các yêu cầu pháp lý khác về khu vực tài phán;
- Cần thiết cho các mục đích bảo mật (ví dụ: điều tra lỗi hoặc hành vi sai trái); hoặc,
- Để tuân thủ luật và/hoặc quy định hiện hành.
Mọi hành vi chuyển, sử dụng hoặc bán dữ liệu người dùng đều bị cấm, kể cả:
- Chuyển hoặc bán dữ liệu người dùng cho bên thứ ba (chẳng hạn như nền tảng quảng cáo, nhà môi giới dữ liệu hay đại lý thông tin).
- Chuyển, bán hoặc sử dụng dữ liệu người dùng để phân phát quảng cáo, bao gồm cả quảng cáo tái tiếp thị, quảng cáo được cá nhân hoá hoặc quảng cáo dựa trên mối quan tâm.
- Chuyển, bán hoặc sử dụng dữ liệu người dùng để xác định khả năng trả nợ hoặc phục vụ mục đích cho vay.
- Chuyển, bán hoặc sử dụng dữ liệu người dùng để tạo, huấn luyện hoặc cải thiện mô hình học máy hoặc trí tuệ nhân tạo ngoài mô hình được cá nhân hoá của người dùng cụ thể đó cho trường hợp sử dụng phù hợp hoặc tính năng dành cho người dùng.
Bạn phải đảm bảo rằng nhân viên, đại lý, nhà thầu và người kế nhiệm của bạn tuân thủ Chính sách về dữ liệu người dùng và nhà phát triển của Google.
Một tuyên bố khẳng định hoặc tuyên bố tương tự khác rằng việc bạn sử dụng dữ liệu tuân thủ các quy định hạn chế về việc sử dụng có giới hạn phải được công bố trong ứng dụng của bạn hoặc trên một trang web thuộc dịch vụ web hoặc ứng dụng của bạn; ví dụ: một đường liên kết trên trang chủ đến một trang chuyên dụng hoặc chính sách quyền riêng tư có ghi chú: "Việc sử dụng thông tin nhận được từ các phạm vi của Google Workspace sẽ tuân thủ Chính sách dữ liệu người dùng của Google, bao gồm cả các yêu cầu về việc sử dụng có giới hạn."
Duy trì môi trường hoạt động an toàn
Xử lý tất cả dữ liệu người dùng một cách an toàn trong quá trình truyền và khi lưu trữ. Thực hiện các bước hợp lý và thoả đáng để bảo vệ tất cả ứng dụng hoặc hệ thống sử dụng Google Workspace API và mọi dữ liệu bắt nguồn từ đó nhằm tránh truy cập, sử dụng, phá huỷ, làm mất, thay đổi hoặc tiết lộ thông tin trái phép hoặc bất hợp pháp. Ngoài ra, hãy làm theo các Phương pháp hay nhất về bảo mật (nếu có) và bắt buộc trong tài liệu về quy cách có liên quan nếu tích hợp Sản phẩm và dịch vụ của Google dành cho nhà phát triển với các nền tảng, dịch vụ hoặc giao thức khác; ví dụ: Phương pháp hay nhất về bảo mật trong Giao thức ngữ cảnh mô hình.
Các ứng dụng truy cập vào Phạm vi bị hạn chế phải chứng minh rằng chúng tuân thủ một số phương pháp bảo mật nhất định.
Chúng tôi đề xuất một số phương pháp bảo mật như triển khai và duy trì Hệ thống quản lý bảo mật thông tin (mô tả trong ISO/IEC 27001) đồng thời đảm bảo ứng dụng hoặc dịch vụ web hoạt động mạnh mẽ và không gặp phải các vấn đề bảo mật phổ biến theo trình bày trong OWASP Top 10.
Các biện pháp bảo mật bắt buộc bao gồm:
Sử dụng tiêu chuẩn mã hoá được ngành chấp nhận để mã hoá dữ liệu người dùng:
- Được lưu trữ trên thiết bị di động hoặc phương tiện điện tử di động;
- Được duy trì bên ngoài hệ thống của Google hoặc hệ thống của bạn;
- Được chuyển qua bất kỳ mạng bên ngoài nào không do bạn quản lý hoàn toàn; và
- Khi không hoạt động trên hệ thống của bạn.
Truyền dữ liệu bằng các giao thức hiện đại an toàn (ví dụ: qua HTTPS).
Lưu giữ dữ liệu và thông tin đăng nhập của người dùng, cụ thể là các mã thông báo như mã truy cập và mã làm mới OAuth, được mã hoá khi lưu trữ.
Đảm bảo khoá và nội dung khoá được quản lý một cách thích hợp, chẳng hạn như được lưu trữ trong mô-đun bảo mật phần cứng hoặc hệ thống quản lý khoá có độ mạnh tương đương.
Bảo vệ khỏi các kỹ thuật tiêm câu lệnh bằng cách sử dụng Model Armor của Google Cloud Platform hoặc các biện pháp bảo vệ khác chống lại kỹ thuật tiêm câu lệnh.
Các biện pháp bảo mật bắt buộc đối với Phạm vi bị hạn chế cũng bao gồm việc tuân thủ Đánh giá bảo mật ứng dụng đám mây (CASA). Ngoài ra, tuỳ theo API đang được truy cập và số lượng người dùng hoặc lượt cấp quyền của người dùng, chúng tôi cũng có thể yêu cầu ứng dụng hoặc dịch vụ của bạn bắt buộc phải thực hiện đánh giá bảo mật định kỳ và nhận Thư đánh giá của một bên thứ ba do Google chỉ định.
Bạn đồng ý thông báo ngay cho Google theo địa chỉ security@google.com về mọi hành vi truy cập trái phép đã biết hoặc bị nghi ngờ vào các hệ thống, mạng, tài khoản hoặc những vị trí khác nơi Dữ liệu của Google được lưu trữ ("Sự cố bảo mật"). Bạn đồng ý hợp tác đầy đủ với Google để khắc phục mọi Sự cố bảo mật đã biết hoặc bị nghi ngờ, đồng thời trong mọi trường hợp như vậy, bạn phải thông báo cho Google theo địa chỉ security@google.com trước khi đưa ra bất kỳ tuyên bố công khai nào liên quan đến mọi Sự cố bảo mật đã biết hoặc bị nghi ngờ.
Phạm vi bị hạn chế
Các phạm vi bị hạn chế của Google Workspace bao gồm:
Mọi phạm vi Gmail API cho phép một ứng dụng:
- Đọc, tạo hoặc sửa đổi nội dung thư (bao gồm cả tệp đính kèm), siêu dữ liệu hoặc tiêu đề; hoặc
- Kiểm soát quyền truy cập vào hộp thư, chế độ chuyển tiếp email hoặc chế độ cài đặt quản trị.
Mọi phạm vi API Drive cho phép một ứng dụng:
- Đọc, sửa đổi hoặc quản lý nội dung hoặc siêu dữ liệu của các tệp trên Drive của người dùng mà không cần người dùng cấp quyền truy cập cho từng tệp.
Mọi phạm vi API Chat cho phép một ứng dụng:
- Đọc, sửa đổi hoặc quản lý nội dung hoặc siêu dữ liệu của tin nhắn Chat của người dùng.
Mọi phạm vi API REST của Meet cho phép một ứng dụng:
- Đọc, sửa đổi hoặc quản lý quá trình xử lý âm thanh và video theo thời gian thực của những người tham gia cuộc họp.
Để biết thêm thông tin chi tiết, hãy xem danh sách các phạm vi bị hạn chế.