Data Portability API kullanıcı verileri ve geliştirici politikası

Data Portability API'yi kullanan bir geliştirici olarak genellikle son derece hassas kullanıcı verilerini toplayıp yönetirsiniz. Verileri işlemeyle ilgili şu temel ilkeleri göz önünde bulundurun:

  • Gizliliği koruma: Kullanıcı verilerini yasaklanmış amaçlar için kullanmayın.
  • Şeffaf olun: Hangi verileri topladığınız, neden topladığınız ve nasıl kullandığınız hakkında doğru bilgiler verin ve bunları kullanıcılara açıklayın.
  • Saygılı olun: Kullanıcı verilerini iyi yönetin. Mümkün olduğunda kullanıcıların verilerini bir üründen aktarmasına izin verin ve kullanıcıların verilerini silme isteklerini dikkate alın.
  • Güvenli olun: Tüm kullanıcı verilerini güvenli bir şekilde işleyin ve belirli güvenlik uygulamalarına uyduğunuzu gösterin.
  • Net olun: İhtiyacınız olmayan verilere erişim isteğinde bulunmayın. Tüm veri erişimleri, uygulamanızın veya hizmetinizin yalnızca kullanıcılara fayda sağlayan özelliklerini sunmak için olmalıdır.

Geliştirici olarak kullanıcı verilerine erişim istediğinizde tüm Google API Hizmetleri'nin kullanımı Google API'leri Hizmet Şartları, Google API Hizmetleri Kullanıcı Verileri Politikası ve OAuth 2.0 Politikaları'na tabidir. Bu Data Portability API Kullanıcı Verileri ve Geliştirici Politikası, Data Portability API'yi kullanımınızı ve erişiminizi yöneten ek bilgiler içerir. Bu Veri Taşıma API'si Kullanıcı Verileri ve Geliştirici Politikası ile Google'ın API hizmetleri için geçerli diğer şartlar arasında bir çelişki olması durumunda (Uygun Veri Erişimi ve Kullanıcı Verilerinin Kullanımı ile Sınırlı Kullanım fıkralarındaki farklılıklar dahil) bu Veri Taşıma API'si Kullanıcı Verileri ve Geliştirici Politikası önceliklidir.

Veri Taşıma API'si, verileri Google'dan taşımayı kolaylaştırarak Avrupa Ekonomik Alanı'ndaki (AEA) son kullanıcılara verileri üzerinde daha fazla kontrol sağlar. Data Portability API, Google Paket Servisi ile birlikte kullanıcıların verilerine ayrıntılı, kolay erişebilmesini ve verilerini kontrol edebilmesini sağlar. Google'ın Gizlilik Politikası ve kullanıcıların kontrolü ele almasını sağlayan gizlilik denetimleri hakkında daha fazla bilgi edinin.

Bu sayfayı düzenli olarak kontrol edin. Bu politikalar zaman zaman güncellenir. Bu politikalara düzenli olarak uyulmasını izlemek ve sağlamak geliştiricinin sorumluluğundadır. Politika şartlarını herhangi bir zamanda karşılayamazsanız veya karşılayamama riskiniz varsa hemen hizmetlerimizi kullanmayı bırakın ve bize ulaşın. Google, bu politikaya uymadığınız takdirde Google kullanıcı verilerine erişimi kaldırma veya kısıtlama hakkını saklı tutar.

Uygun veri erişimi ve kullanıcı verilerinin kullanımı

Kullanıcı verilerini dışa aktarma istekleri açık ve anlaşılır olmalıdır. Data Portability API yalnızca bu politikada belirtilen geçerli politikalara, hükümlere ve koşullara uygun şekilde ve kullanıcılara fayda sağlayan kullanım alanları için kullanılabilir. Yani geliştiriciler yalnızca bir uygulama veya hizmet onaylanan kullanım alanlarından birine uyduğunda söz konusu izinlere erişim isteyebilir.

İzinlere erişim için onaylanan kullanım alanları şunlardır:

  • Asıl amacı, kullanıcıların kendi yararına olacak şekilde kullanıcı verilerini bir Google hizmetinden başka bir platforma veya hizmete taşımalarına, kopyalamasına ya da aktarmasına olanak tanımak olan bir veya daha fazla özelliğe sahip uygulamalar ya da hizmetler.

İlgili minimum izinleri isteyin

Geliştiriciler yalnızca bir uygulama veya hizmetin özelliklerinin uygulanması açısından kritik öneme sahip izinlere erişim isteyebilir. Bunun anlamı şudur:

  • İhtiyacınız olmayan bilgilere erişim isteğinde bulunmayın. Bir ürünün belirli bir izne erişmesi gerekmiyorsa bu izne erişim istememeniz gerekir. Henüz kullanıma sunulmamış hizmet veya özelliklerde işe yarayabilecek bilgilere erişim isteyerek kullanıcı verilerine erişimi "gelecekte kullanılacak işlevselliğe uygun" hale getirmeye çalışmayın.

  • Mümkün olduğunda bağlamda izin isteyin. Artımlı yetkilendirmeyi kullanarak yalnızca bağlam içinde kullanıcı verilerine erişim isteğinde bulunun (mümkün olduğunda). Bu sayede kullanıcılar verilerinize neden ihtiyacınız olduğunu anlayabilir.

Şeffaf ve doğru bilgilendirme ve kontrol

Veri Taşıma API'si, kişisel ve hassas bilgileri işler. Tüm uygulamalarda ve hizmetlerde, kullanıcı verilerinin nasıl toplandığı, kullanıldığı ve paylaşıldığını kapsamlı bir şekilde açıklayan bir gizlilik politikası bulunmalıdır. Kullanıcı verilerini hangi tür üçüncü taraflarla paylaştığınız, verileri nasıl kullandığınız, depoladığınız ve koruduğunuz, ayrıca hesabın devre dışı bırakılması veya silinmesi halinde verilere ne olduğu konuları bu kapsama dahildir.

Uygulamalar ve hizmetler, kullanıcıların hangi verilerin sağlandığını, bu verilere neden ihtiyaç duyduğunuzu ve verilerin nasıl kullanıldığını daha iyi anlayabilmesi için artımlı yetkilendirmeyi kullanarak kullanıcı verilerine bağlam içinde erişim istemelidir. Geçerli kanunlarla belirlenen koşullara ek olarak, OAuth 2.0 politikalarımızı ve Google API Hizmetleri Kullanıcı Verileri Politikalarımızı yansıtan aşağıdaki koşullara da uymanız zorunludur:

  1. Geliştiriciler, veri dışa aktarma, erişim, toplama, kullanma ve paylaşma ile ilgili açıklama sağlamalıdır. Açıklama:
    1. Kullanıcı verilerine erişim isteyen uygulamanın veya hizmetin kimliğini doğru şekilde yansıtmalıdır;
    2. Uygulama tabanlıysa uygulama içinde veya web tabanlıysa ayrı bir iletişim kutusunda olmalıdır;
    3. Uygulama tabanlıysa uygulamanın normal kullanımında, web tabanlıysa web sitesinin normal kullanımında gösterilmeli ve kullanıcının bir menüye veya ayarlara gitmesini gerektirmemelidir;
    4. Erişilen, istenen, dışa aktarılan veya toplanan veri türlerini anlaşılır ve doğru bilgilerle açıklamalıdır;
    5. Verilerin nasıl kullanıldığını ve paylaşıldığını açıklamalıdır; Bir nedenle veri dışa aktarma isteğinde bulunursanız ancak veriler ikincil bir amaç için de kullanılırsa kullanıcıları her iki kullanım alanı hakkında bilgilendirmeniz gerekir;
    6. Yalnızca bir gizlilik politikasına veya hizmet şartlarına eklenmemelidir;
    7. Kişisel ve hassas verilerin toplanmasıyla ilgisi olmayan diğer açıklamalara dahil edilmemelidir.

  2. Geliştiricinin açıklaması, kullanıcı onayı isteğiyle birlikte ve bu istekten hemen önce gösterilmelidir. Olumlu izin almadan veri toplamayı başlatmamanız gerekir. İzin isteği:
    1. Rıza mesajını açık ve net bir şekilde sunmalıdır;
    2. Kabul etmek için kullanıcının onay verdiğini gösteren bir işlem yapmasını (ör. kabul etmeyi seçmek, bir onay kutusunu işaretlemek veya kabul etmek için sözlü bir komut) gerektirmelidir;
    3. Açıklamadan çıkılması (başka bir alana dokunma veya geri ya da ana sayfa düğmesine basma) izin olarak yorumlanmamalıdır ve
    4. Otomatik kapanan veya süresi dolan mesajlar kullanmamalıdır.
  3. Kullanıcıların uygulamada verilerini nasıl yönetebileceğini ve silebileceğini açıklayan kullanıcı yardım dokümanları sağlanması zorunludur.

Kullanıcı verilerinin sınırlı kullanımı

Uygun kullanım için Data Portability API'ye eriştiğinizde geliştiricinin elde edilen verileri kullanımı aşağıdaki koşullara uygun olmalıdır. Bu koşullar hassas ve kısıtlanmış kapsamlar, Data Portability API'den elde edilen ham veriler ve ham verilerden toplanan, anonimleştirilen, kimliği gizlenen veya türetilen veriler için geçerlidir.

  1. Veri kullanımını, uygun kullanım alanının veya izni isteyen uygulamanın kullanıcı arayüzünde belirgin bir şekilde görünür olan özelliklerin sağlanması ya da iyileştirilmesiyle sınırlandırın.
  2. Aşağıdakiler dışında veri aktarımına izin verilmez:
    1. İzni isteyen uygulamanın kullanıcı arayüzünde açık şekilde yer alan uygun kullanım alanını veya kullanıcılara yönelik özellikleri sağlamak ya da iyileştirmek amacıyla ve yalnızca kullanıcının izin vermiş olması koşuluyla;
    2. Kötüye kullanımı incelemek gibi güvenlik amaçlarıyla;
    3. Geçerli yasalara veya yönetmeliklere uymak için ya da
    4. Kullanıcıdan açık şekilde izin alınmasının ardından geliştirici işletmenin birleşimi, satın alınması veya varlıklarının satışı kapsamında.

  3. Aşağıdaki durumlar haricinde kullanıcı verilerinin şahıslar tarafından okunmasına izin verilmemelidir:
    1. Kullanıcıdan belirli verilerin okunmasına dair açık izin almış ve bunu belgelemiş olmanız gerekir. Örneğin, kullanıcının şifresini kaybettikten sonra ürüne veya hizmete yeniden erişmesine yardımcı olmak için bu izin alınabilir.
    2. Türetilmiş veriler dahil olmak üzere verilerin, geçerli gizlilik koşulları ve yargı alanının yasal şartlarına uygun biçimde dahili işlemler için toplanması ve kullanılması;
    3. Kötüye kullanımı incelemek gibi güvenlik nedeniyle gerekli olması veya
    4. Geçerli yasalara veya yönetmeliklere uymak gerekir.

Uygulamanın veya hizmetin verileri kullanımının Sınırlı Kullanım kısıtlamalarına uyduğunu belirten onaylayıcı veya benzer bir beyan, uygulamada ya da hizmete veya uygulamaya ait bir web sitesinde açıklanmalıdır. Örneğin, ana sayfada özel bir sayfaya veya gizlilik politikasına giden bir bağlantı verebilirsiniz. Bu bağlantıda aşağıdakiler belirtilmelidir:

"Data Portability API'den alınan bilgilerin kullanımı, sınırlı kullanım şartları dahil olmak üzere Data Portability API kullanıcı verileri ve geliştirici politikasına uygundur".

Sınırlı Kullanım bölümündeki veri paylaşımı kısıtlamalarıyla uyumlu benzer cümleler kullanılabilir.

Güvenli bir çalışma ortamı sağlama

Tüm kullanıcı verilerini güvenli bir şekilde işlemeniz gerekir. Veri Taşıma API'sini kullanan tüm uygulamaları veya sistemleri yetkisiz ya da yasa dışı erişime, kullanıma, saldırıya, kayba, bozulmaya veya izinsiz paylaşıma karşı korumak için makul ve uygun önlemler alın.

Kısıtlanmış kapsamlara erişen uygulamalar belirli güvenlik uygulamalarına uymalıdır. Önerilen güvenlik yöntemleri arasında, ISO/IEC 27001 kapsamında belirtildiği şekilde bir bilgi güvenliği yönetim sisteminin devreye alınıp daimi olarak kullanılması ve ayrıca, uygulamanın veya web hizmetinin, OWASP İlk 10 listesinde yer alan yaygın güvenlik sorunlarını içermediğinden ve dayanıklı olduğundan emin olunması yer almaktadır.

Gerekli güvenlik önlemleri şunlardır:

  1. Aşağıdakiler gibi kullanıcı verilerini şifrelemek için endüstri tarafından kabul edilen bir şifreleme standardı kullanın:
    1. Taşınabilir cihazlarda veya taşınabilir elektronik medyada depolanan;
    2. Google'ın veya geliştiricinin sistemleri dışında tutulur;
    3. Yalnızca sizin tarafınızdan yönetilmeyen herhangi bir harici ağ üzerinden aktarılır ve
    4. Geliştiricinin sistemlerinde dinlenme durumunda.
  2. HTTPS gibi güvenli ve modern protokoller kullanarak veri aktarımı
  3. Kullanıcı verilerini ve kimlik bilgilerini (özellikle OAuth erişim ve yenileme jetonları gibi jetonları) dinlenme durumunda şifrelenmiş halde tutma
  4. Anahtarların ve anahtar materyallerinin uygun şekilde yönetilmesini (ör. donanım güvenlik modülünde veya eşdeğer güçlülükteki bir anahtar yönetimi sisteminde depolanması) sağlamak.

Kısıtlanmış kapsamlar için gerekli güvenlik önlemleri arasında Cloud Uygulaması Güvenlik Değerlendirmesi'ni (CASA) uygulamak yer alır. Ayrıca, uygulamanın veya hizmetin düzenli olarak güvenlik değerlendirmesine tabi tutulmasına izin vermeniz ve Google tarafından atanan bir üçüncü taraftan Değerlendirme Mektubu almanız da gerekebilir.

Google verilerinin depolandığı sistemlere, ağlara, hesaplara veya diğer konumlara yönelik bilinen veya şüphelenilen yetkisiz erişimleri security@google.com adresinden Google'a derhal bildirmeyi kabul edersiniz. Buna güvenlik olayı denir. Bilinen veya şüphelenilen güvenlik olaylarını düzeltmek için Google ile tam işbirliği yapmayı ve bu tür olaylarla ilgili herkese açık beyanlarda bulunmadan önce security@google.com adresinden Google'ı bilgilendirmeyi kabul edersiniz.

OAuth 2.0 kapsamları

Tüm Data Portability API kapsamlarının ve kaynak gruplarının listesi için Veri Taşınabilirliği Kapsamları başlıklı makaleyi inceleyin.

Diğer kısıtlanmış kapsamlar hakkında daha fazla bilgi için kısıtlanmış kapsamlar listesine göz atın.