Data Portability API kullanıcı verileri ve geliştirici politikası

Data Portability API'yi kullanan bir geliştirici olarak genellikle son derece hassas kullanıcı verilerini toplar ve yönetirsiniz. Aşağıdaki temel veri işleme ilkelerini aklınızda bulundurun:

  • Gizliliği koruma: Kullanıcı verilerini yasaklanmış kullanımlar için kullanmayın.
  • Şeffaf olun: Hangi verileri topladığınızı, neden topladığınızı ve nasıl kullandığınızı kullanıcılara doğru bir şekilde açıklayın ve açıklayın.
  • Saygılı olun: Kullanıcı verilerini iyi bir şekilde koruyun. Mümkün olduğunda, kullanıcıların verilerini bir ürün dışına aktarmasına ve verilerinin silinmesi için yapılan kullanıcı isteklerini yerine getirmesine izin verin.
  • Güvende olun: Tüm kullanıcı verilerini güvenli bir şekilde işleyin ve belirli güvenlik uygulamalarına uyduğunuzdan emin olun.
  • Spesifik olun: İhtiyacınız olmayan verilere erişim isteğinde bulunmayın. Tüm veri erişimi, uygulama veya hizmetinizin yalnızca kullanıcılara fayda sağlayan özelliklerini sağlamak için olmalıdır.

Geliştirici olarak kullanıcı verilerine erişim isteğinde bulunduğunuzda, tüm Google API Hizmetleri'nin kullanımı Google API'leri Hizmet Şartları, Google API Hizmetleri Kullanıcı Verileri Politikası ve OAuth 2.0 Politikaları'na tabidir. Bu Data Portability API Kullanıcı Verileri ve Geliştirici Politikası, Data Portability API'ye erişiminizi ve bu API'ye erişiminizi düzenleyen ek bilgileri içerir. Data Portability API, Google'ın dışına veri taşımayı kolaylaştırarak Avrupa Ekonomik Alanı'ndaki (AEA) son kullanıcılara verileri üzerinde daha fazla kontrol sağlar.

Google Paket Servisi ile birlikte Data Portability API, kullanıcıların verileri üzerinde ayrıntılı, doğrudan erişime ve kontrole sahip olmasını sağlar. Google'ın Gizlilik Politikası ve kullanıcılara kontrolü veren gizlilik denetimleri hakkında daha fazla bilgi edinin.

Bu sayfayı düzenli aralıklarla kontrol edin. Bu politikalar zaman zaman güncellenir. Bu politikalara uyulmasını düzenli olarak izlemek ve sağlamak geliştiricinin sorumluluğudur. Herhangi bir zamanda politika gereksinimlerini karşılayamazsanız veya bu şartları karşılayamayacağınıza dair önemli bir risk varsa hizmetlerimizi kullanmayı hemen durdurun ve bize ulaşın. Google, bu politikaya uymamanız durumunda Google kullanıcı verilerine erişimi kaldırma veya kısıtlama hakkını saklı tutar. API hizmetleriyle ilgili olarak bu politika veya diğer şartlar arasında çelişki olması halinde bu Data Portability API kullanıcı verileri ve geliştirici politikası önceliklidir.

Verilere uygun şekilde erişim ve kullanıcı verilerinin kullanımı

Kullanıcı verilerini dışa aktarma istekleri açık ve anlaşılır olmalıdır. Data Portability API, yalnızca bu politikada belirtildiği şekilde geçerli politikalara, hükümlere ve koşullara uygun olarak ve kullanıcıların faydalandığı kullanım alanları için kullanılabilir. Diğer bir deyişle, geliştiriciler yalnızca bir uygulama veya hizmet onaylanan kullanım alanlarından birini karşıladığında izinlere erişim isteyebilir.

İzinlere erişim için onaylanan kullanım alanları şunlardır:

  • Temel amacı, kullanıcı verilerini bir Google hizmetinden başka bir platforma veya hizmete taşımasına, kopyalamasına ya da aktarmasına olanak tanıyarak kullanıcının yararına olmasını sağlamak olan bir veya daha fazla özelliğe sahip uygulamalar veya hizmetler.

Gerekli minimum izinleri isteyin

Geliştiriciler yalnızca bir uygulama veya hizmete ait özelliklerin uygulanması için kritik öneme sahip izinlere erişim isteğinde bulunabilirler. Bunun anlamı şudur:

  • İhtiyaç duymadığınız bilgilere erişim isteğinde bulunmayın. Bir ürünün belirli izinlere erişmesi gerekmiyorsa bu izinlere erişim isteğinde bulunmamalısınız. Henüz uygulanmamış hizmet veya özelliklerin işine yarayabilecek bilgilere erişim isteğinde bulunarak kullanıcı verilerine "gelecekte bunu kanıtlama" girişiminde bulunmayın.

  • Mümkün olduğunda bir bağlam çerçevesinde izin isteyin. Artımlı yetkilendirme kullanarak kullanıcı verilerine yalnızca bir bağlam çerçevesinde (mümkün olduğunda) erişim isteyin. Bu sayede kullanıcılar bu verilere neden ihtiyaç duyduklarını anlayabilir.

Şeffaf ve doğru bildirim ve kontrol

Data Portability API, kişisel ve hassas bilgileri işler. Tüm uygulamalar ve hizmetler, bir uygulamanın veya web hizmetinin kullanıcı verilerini nasıl topladığını, kullandığını ve paylaştığını kapsamlı bir şekilde açıklayan bir gizlilik politikası içermelidir. Buna, kullanıcı verilerinin paylaşıldığı taraf türleri, verileri nasıl kullandığınız, verileri nasıl depoladığınız ve güvenliğini sağladığınız, bir hesap devre dışı bırakıldığında veya silindiğinde verilere ne olduğu dahildir.

Uygulamalar ve hizmetler ayrıca artımlı yetkilendirme kullanarak kullanıcı verilerine bağlam içinde erişim istemelidir. Böylece kullanıcılar hangi verilerin sağlandığını, neden verilere ihtiyaç duyduğunuzu ve verilerin nasıl kullanıldığını daha iyi anlayabilir. Geçerli yasalar kapsamındaki gereksinimlere ek olarak, OAuth 2.0 politikalarımızı ve Google API Hizmetleri Kullanıcı Verileri politikalarımızı yansıtan aşağıdaki gereksinimlere de uymanız gerekir:

  1. Geliştiriciler; verilerin dışa aktarımı, erişimi, toplanması, kullanımı ve paylaşımıyla ilgili bir açıklama sağlamalıdır. Açıklama:
    1. Kullanıcı verilerine erişim isteyen uygulamanın veya hizmetin kimliğini doğru şekilde yansıtmalıdır;
    2. Uygulama tabanlıysa uygulamanın içinde, web tabanlıysa ayrı bir iletişim penceresinde olmalıdır;
    3. Uygulama tabanlıysa uygulama, web tabanlıysa normal bir şekilde kullanılırken görüntülenmeli ve kullanıcının bir menüye veya ayarlara gitmesini gerektirmemelidir;
    4. Erişilen, istenen, dışa aktarılan veya toplanan veri türlerini açıklayan net ve doğru bilgiler sağlamalıdır;
    5. Verilerin nasıl kullanıldığı ve paylaşıldığı açıklanmalıdır; belirli bir nedenle veri dışa aktarma isteğinde bulunurken ancak veriler ikincil bir amaç için de kullanılıyorsa kullanıcıları her iki kullanım alanı hakkında bilgilendirmeniz gerekir;
    6. Yalnızca bir gizlilik politikasına veya hizmet şartlarına eklenmemelidir
    7. Kişisel ve hassas verilerin toplanmasıyla ilgisi olmayan diğer açıklamalara dahil edilmemelidir.

  2. Geliştiricinin açıklaması, kullanıcı rızası isteğiyle birlikte ve bu tür istekten hemen önce görünmelidir. Kullanıcının iznini almadan veri toplamaya başlamamanız gerekir. Rıza isteği:
    1. İzin iletişim kutusunu açık ve net bir şekilde sunmalıdır;
    2. Kabul etmek için kullanıcının onay verdiğini gösteren bir eylemi (kabul etmek için seçme, bir onay kutusunu işaretleme veya kabul etmek üzere sözlü bir komut gibi) gerektirmelidir;
    3. Açıklamadan çıkılması izin olarak yorumlanmamalıdır (başka bir alana basmak veya geri ya da ana sayfa düğmesine basmak da buna dahildir) ve
    4. Otomatik kapanan veya süresi dolan mesajlar kullanılmamalıdır.
  3. Kullanıcıların uygulamadaki verilerini nasıl yönetebileceğini ve silebileceğini açıklayan kullanıcı yardım dokümanları sağlamanız gerekir.

Kullanıcı verilerinin sınırlı kullanımı

Data Portability API'ye uygun bir kullanım için eriştiğinizde geliştiricinin elde ettiği verileri kullanımı aşağıdaki şartlara uygun olmalıdır. Bu şartlar; hassas ve Kısıtlanmış Kapsamlar, Data Portability API'den elde edilen ham veriler ve toplanan, anonimleştirilmiş, kimliği gizlenen veya ham verilerden türetilen veriler için geçerlidir.

  1. Veri kullanımını, istekte bulunan uygulamanın kullanıcı arayüzünde görünen ve belirgin şekilde görülen uygun kullanım alanını veya özellikleri sağlamak ya da iyileştirmekle sınırlandırın.
  2. Aşağıdakiler dışında veri aktarımına izin verilmez:
    1. İstekte bulunan uygulamanın kullanıcı arayüzünde net bir şekilde anlaşılan ve yalnızca kullanıcının izniyle açık bir şekilde anlaşılan uygun kullanım alanını veya kullanıcılara yönelik özellikleri sağlamak ya da iyileştirmek;
    2. Kötüye kullanımın incelenmesi gibi güvenlik amaçlarıyla
    3. Geçerli yasalara veya düzenlemelere uymak ya da
    4. Kullanıcıdan açık izin alındıktan sonra geliştirici varlıklarının birleşmesi, satın alınması veya satılması kapsamında.

  3. Aşağıdaki durumlar haricinde kullanıcı verilerinin gerçek kişiler tarafından okunmasına izin vermeyin:
    1. Belirli verileri okumak için kullanıcının açık iznini alıp belgelediniz. Örneğin, şifresini kaybeden bir kullanıcının ürüne veya hizmete yeniden erişim kazanmasına yardımcı olmak;
    2. Türetmeler de dahil olmak üzere veriler, geçerli gizlilik ve yargı alanının yasal şartlarına uygun olarak dahili işlemler için toplanır ve kullanılır;
    3. Kötüye kullanımın incelenmesi gibi güvenlik nedeniyle gerekli olması veya
    4. Yürürlükteki yasalara veya yönetmeliklere uymanız gerekir.

Uygulamada veya hizmete ya da uygulamaya ait bir web sitesinde, uygulamanın veya hizmetin verileri kullanımının Sınırlı Kullanım kısıtlamalarına uygun olduğuna dair olumlu ya da benzer başka bir beyan belirtilmelidir. Örneğin, ana sayfada şu bilgileri içeren, özel bir sayfanın veya gizlilik politikasının bağlantısı:

"Data Portability API'den alınan bilgilerin kullanımı, Sınırlı Kullanım Koşulları da dahil olmak üzere Google Kullanıcı Verileri Politikası'na uygun olur."

Sınırlı Kullanım bölümündeki veri paylaşımı kısıtlamalarıyla uyumlu olan benzer cümleler kullanılabilir.

Güvenli bir işletim ortamı sağlama

Tüm kullanıcı verilerini güvenli bir şekilde işlemeniz gerekir. Data Portability API'yi kullanan tüm uygulamaları veya sistemleri yetkisiz ya da yasa dışı erişime, kullanıma, yok etmeye, kaybolmaya, değiştirilmeye, ifşa etmeye karşı korumak için makul ve uygun adımları atın.

Kısıtlanmış Kapsamlara erişen uygulamaların, belirli güvenlik uygulamalarına uyması gerekir. Önerilen güvenlik uygulamaları arasında, ISO/IEC 27001'de belirtildiği şekilde bir Bilgi Güvenliği Yönetim Sistemi'nin hayata geçirilmesi ve sürdürülmesi, ayrıca uygulamanın veya web hizmetinin OWASP İlk 10 listesinde yer aldığı şekilde sağlam ve yaygın güvenlik sorunları içermediğinden emin olunması yer alır.

Gerekli güvenlik önlemleri şunlardır:

  1. Kullanıcı verilerini şifrelemek için sektörde kabul gören bir şifreleme standardının kullanılması:
    1. Taşınabilir cihazlarda veya taşınabilir elektronik ortamlarda depolanan ürünler;
    2. Google'ın veya geliştirici sistemlerinin dışında sağlanan sistemler;
    3. Yalnızca sizin tarafınızdan yönetilmeyen herhangi bir harici ağ üzerinden aktarıldığında ve
    4. Geliştiricinin sistemlerinde aktif değilken.
  2. HTTPS gibi güvenli modern protokoller kullanarak veri aktarma.
  3. Kullanıcı verilerini ve kimlik bilgilerini, özellikle de OAuth erişim ve yenileme jetonları gibi jetonları kullanımda değilken şifrelenmiş halde tutma.
  4. Anahtarların ve anahtar materyallerinin uygun şekilde yönetilmesini (ör. donanım güvenlik modülünde veya eşdeğer güçlü anahtar yönetim sisteminde depolandığından) emin olma.

Kısıtlanmış Kapsamlar için gerekli güvenlik önlemleri, Cloud Uygulama Güvenlik Değerlendirmesi (CASA) kapsamındadır. Ayrıca, uygulamanın veya hizmetin düzenli bir güvenlik değerlendirmesinden geçmesine izin vermeniz ve Google tarafından atanmış bir üçüncü taraftan Değerlendirme Belgesi almanız da gerekebilir.

Google verilerinin saklandığı sistemlere, ağlara, hesaplara veya diğer konumlara yapılan bilinen veya şüpheli yetkisiz erişimleri Google'a hemen security@google.com adresinden bildirmeyi kabul edersiniz. Buna Güvenlik Olayı denir. Bilinen veya şüphelenilen bir Güvenlik Olayı'nı düzeltmek için Google ile tam işbirliği yapmayı ve böyle bir durumda, bilinen veya şüphelenilen bir Güvenlik Olayı ile ilgili herkese açık bir açıklama yapmadan önce security@google.com adresinden Google'ı bilgilendirmeyi kabul edersiniz.

OAuth 2.0 kapsamları

Tüm Data Portability API kapsamlarının ve kaynak gruplarının listesi için OAuth 2.0 Scopes for Google APIs (Google API'leri için OAuth 2.0 Kapsamları) bölümüne bakın.

Kısıtlanmış kapsamlar hakkında daha fazla bilgi için Kısıtlanmış Kapsamlar listesine bakın.