Workspace API के उपयोगकर्ता के डेटा और डेवलपर के लिए नीति

Google Workspace APIs का इस्तेमाल करने वाले डेवलपर के तौर पर, आपको अक्सर उपयोगकर्ता का संवेदनशील डेटा इकट्ठा और मैनेज करना पड़ता है. कृपया इन मुख्य सिद्धांतों को ध्यान में रखें:

  • निजता की सुरक्षा करना: Workspace के उपयोगकर्ता के डेटा का इस्तेमाल, पाबंदी वाले कामों के लिए न करें. हम तीसरे पक्षों को उपयोगकर्ता का डेटा बेचने या विज्ञापन के लिए इस्तेमाल करने से रोकते हैं.
  • पारदर्शी रहें: उपयोगकर्ताओं को सटीक तरीके से बताएं कि कौनसा डेटा इकट्ठा किया जाएगा, उसे क्यों इकट्ठा किया जाएगा, और उसका इस्तेमाल कैसे किया जाएगा.
  • उपयोगकर्ता की निजता का सम्मान करें: उपयोगकर्ता के डेटा को मिटाने के अनुरोधों का सम्मान करें.
  • सुरक्षित रहें: उपयोगकर्ता के सभी डेटा को सुरक्षित तरीके से मैनेज करें. साथ ही, यह दिखाएं कि आपने सुरक्षा से जुड़े कुछ तरीकों का पालन किया है.
  • ज़रूरी डेटा के लिए ही अनुरोध करें: ऐसे डेटा के ऐक्सेस का अनुरोध न करें जिसकी आपको ज़रूरत नहीं है. डेटा का ऐक्सेस सिर्फ़ इसलिए होना चाहिए, ताकि उपयोगकर्ता को आपके ऐप्लिकेशन या सेवा की फ़ायदेमंद सुविधाएं दी जा सकें.

Workspace API सेवाओं के उपयोगकर्ता के डेटा से जुड़ी नीति

जब डेवलपर के तौर पर, उपयोगकर्ता के डेटा को ऐक्सेस करने का अनुरोध किया जाता है, तब Google API सेवाओं की उपयोगकर्ता के डेटा से जुड़ी नीति के तहत, Google की सभी API सेवाओं का इस्तेमाल किया जाता है. Workspace API Services User Data and Developer Policy में, Workspace API को इस्तेमाल करने और ऐक्सेस करने के बारे में ज़्यादा जानकारी दी गई है. इसमें Gmail, Chat, Drive, Sheets, और Google Workspace के अन्य प्रॉडक्ट शामिल हैं. यह जानकारी तब लागू होती है, जब उपयोगकर्ता के डेटा को ऐक्सेस करने का अनुरोध किया जाता है.

नीचे दी गई नीति के अलावा, Google APIs की सेवा की शर्तें, Google Chat के इस्तेमाल से जुड़ी स्वीकार्य नीति, Google Chat की डेवलपर गाइड, Google Drive API की सेवा की शर्तें, Google Drive Program की नीतियां, Google Drive की डेवलपर गाइड, Gmail Program की नीतियां, Gmail की डेवलपर गाइड, Google Meet के इस्तेमाल से जुड़ी स्वीकार्य नीति, Google Apps Script की सेवा की शर्तें, और OAuth 2.0 की नीतियां भी Workspace API और उससे जुड़े उपयोगकर्ता डेटा के इस्तेमाल और ऐक्सेस को कंट्रोल करती हैं. आपके इस्तेमाल पर, Google Workspace Marketplace के डेवलपर के लिए कानूनी समझौता भी लागू हो सकता है. हम यह भी ज़रूरी मानते हैं कि आप लागू होने वाले सभी कानूनों और नियमों का पालन करें.

इन नीतियों को समय-समय पर अपडेट किया जाता है. इसलिए, कृपया इन्हें समय-समय पर देखते रहें. इन नीतियों का पालन किया जा रहा है या नहीं, इसकी समय-समय पर जांच करना और यह पक्का करना आपकी ज़िम्मेदारी है. अगर आपको किसी भी समय हमारी नीतियों की ज़रूरी शर्तों को पूरा करने में समस्या आती है या इस बात का खतरा है कि आप उन्हें पूरा नहीं कर पाएंगे, तो कृपया हमारी सेवाओं का इस्तेमाल तुरंत बंद करें और हमसे संपर्क करें. अगर आपने इस नीति का पालन नहीं किया, तो हम Google के उपयोगकर्ता डेटा को हटाने या उसके ऐक्सेस पर पाबंदी लगाने का अधिकार सुरक्षित रखते हैं.

Google Gmail API को ऐक्सेस करने और इस्तेमाल करने का सही तरीका

उपयोगकर्ता के डेटा को ऐक्सेस करने के अनुरोध, आसान और साफ़ तौर पर समझ में आने वाले होने चाहिए. Google Workspace API का इस्तेमाल, लागू होने वाली नीतियों के साथ-साथ नियमों और शर्तों के मुताबिक ही किया जा सकता है. साथ ही, इसका इस्तेमाल इस नीति में बताए गए उन मामलों में भी किया जा सकता है जिनके लिए अनुमति ली जा सकती है. इसका मतलब यह है कि अनुमतियों के ऐक्सेस का अनुरोध सिर्फ़ तब ही किया जा सकता है, जब आपका ऐप्लिकेशन या सेवा, इस्तेमाल के ऐसे मामलों में शामिल हो जिनके लिए अनुमति ली जा सकती है. Workspace API के ऐक्सेस का अनुरोध सिर्फ़ तब करें, जब आपका ऐप्लिकेशन या सेवा, इस्तेमाल के ऐसे मामलों में शामिल हो जिनके लिए अनुमति ली जा सकती है.

Gmail API स्कोप की अनुमतियों को ऐक्सेस करने के लिए, इस्तेमाल के उन मामलों के बारे में यहां बताया गया है जिनके लिए अनुमति ली जा सकती है:

  1. वेब और डिवाइस में पहले से मौजूद ईमेल क्लाइंट. इनकी मदद से, उपयोगकर्ता यूज़र इंटरफ़ेस के ज़रिए ईमेल लिख सकते हैं, भेज सकते हैं, पढ़ सकते हैं, और प्रोसेस कर सकते हैं.
  2. ऐसे ऐप्लिकेशन जो ईमेल का अपने-आप बैकअप लेते हैं
  3. बेहतर ढंग से काम करने में मदद करने वाले ऐसे ऐप्लिकेशन जो ईमेल इस्तेमाल करने के अनुभव को बेहतर बनाते हैं (जैसे, ग्राहक संबंध प्रबंधन, ईमेल भेजने में देरी या मेल मर्ज करने या जनरेटिव एआई की मदद से खास जानकारी देने वाले ऐप्लिकेशन)
  4. ऐसे ऐप्लिकेशन जो ईमेल से मिली जानकारी का इस्तेमाल करके, उपयोगकर्ताओं को रिपोर्टिंग या निगरानी की सेवाएँ देते हैं. इससे ईमेल का अनुभव बेहतर होता है. जैसे, यात्रा की योजनाओं को अपने-आप बनाने वाले ऐप्लिकेशन या फ़्लाइट या पैकेज की डिलीवरी की स्थिति को ट्रैक करने वाले ऐप्लिकेशन

Gmail API के स्कोप का इस्तेमाल, कुछ मामलों में नहीं किया जा सकता. इनमें ये शामिल हैं, लेकिन इनके अलावा और भी चीज़ें शामिल हो सकती हैं:

  1. मोबाइल कीबोर्ड.
  2. ऐसे ऐप्लिकेशन जो ईमेल को एक बार या मैन्युअल तरीके से एक्सपोर्ट करते हैं.
  3. ऐसे ऐप्लिकेशन जो Gmail में ईमेल मैसेज के अलावा अन्य डेटा को सेव या उसका बैकअप लेते हैं.
  4. ऐसे ऐप्लिकेशन जो Google की नीतियों का गलत इस्तेमाल करने, Gmail खाते की सीमाओं को अनदेखा करने, फ़िल्टर और स्पैम से बचने या गलत इस्तेमाल या सुरक्षा से जुड़ी पाबंदियों से बचने के लिए, एक से ज़्यादा खातों का इस्तेमाल करते हैं.
  5. ऐसे ऐप्लिकेशन जो स्पैम या अनचाहा कारोबारी ईमेल भेजते हैं. उदाहरण के लिए, अगर कोई ऐप्लिकेशन एक साथ कई कमर्शियल ईमेल भेजता है, जैसे कि ग्राहक संबंध मैनेजमेंट वाला ऐप्लिकेशन, तो उसे तब तक मंज़ूरी दी जाती है, जब तक उपयोगकर्ता ने ईमेल पाने की सहमति दी हो.

Google Drive API को ऐक्सेस करने और इस्तेमाल करने का सही तरीका

Google Drive API के ऐक्सेस का अनुरोध सिर्फ़ तब करें, जब आपका ऐप्लिकेशन या सेवा, इस्तेमाल के ऐसे मामलों में शामिल हो जिनके लिए अनुमति ली जा सकती है.

Google Drive API के स्कोप की अनुमतियों को ऐक्सेस करने के लिए, इस्तेमाल के उन मामलों के बारे में यहां बताया गया है जिनके लिए अनुमति ली जा सकती है:

  1. ऐसे वेब ऐप्लिकेशन और डिवाइस में पहले से मौजूद ऐप्लिकेशन जो उपयोगकर्ताओं की Drive फ़ाइलों को स्थानीय तौर पर सिंक करने या उनका अपने-आप बैकअप लेने की सुविधा देते हैं.
  2. काम और शिक्षा से जुड़े ऐप्लिकेशन. उदाहरण के लिए, टास्क मैनेजमेंट, नोट लेने, वर्कग्रुप कम्यूनिकेशन, और क्लासरूम में मिलकर काम करने वाले ऐप्लिकेशन. ये ऐप्लिकेशन, Drive फ़ाइलों (या उनके मेटाडेटा या अनुमतियों) को ऐप्लिकेशन के यूज़र इंटरफ़ेस के ज़रिए मैनेज करने के लिए, सिर्फ़ प्रतिबंधित स्कोप का इस्तेमाल करते हैं.
  3. रिपोर्टिंग और सुरक्षा से जुड़े ऐसे ऐप्लिकेशन जो उपयोगकर्ता या ग्राहक को यह जानकारी देते हैं कि फ़ाइलें कैसे शेयर की जाती हैं या उन्हें कैसे ऐक्सेस किया जाता है.

Google Drive API का इस्तेमाल कुछ मामलों में नहीं किया जा सकता. इनमें ये शामिल हैं, लेकिन इनके अलावा और भी चीज़ें शामिल हो सकती हैं:

  1. डेवलपर के ऐप्लिकेशन या प्रोजेक्ट से, उपयोगकर्ता या ऐप्लिकेशन के कॉन्टेंट का Drive में बैकअप लेना.
  2. क्रिप्टो करंसी की माइनिंग.
  3. बिना अनुमति के, कॉपीराइट वाले कॉन्टेंट को बड़े पैमाने पर डिस्ट्रिब्यूट या प्रसारित करना.
  4. Drive का इस्तेमाल, बड़े पैमाने पर कॉन्टेंट डिलीवरी नेटवर्क (सीडीएन) के तौर पर करना.
  5. फ़ाइल क्लोन करने वाले ऐसे टूल जो उपयोगकर्ता के स्टोरेज को शार्ड करने और/या Drive के स्टोरेज की सीमाओं को दरकिनार करने की सुविधा देते हैं.
  6. ऐसे ऐप्लिकेशन जो Google की नीतियों का गलत इस्तेमाल करने, Google Drive खाते की सीमाओं को अनदेखा करने या सुरक्षा से जुड़ी पाबंदियों को किसी दूसरे तरीके से हटाने के लिए, एक से ज़्यादा खातों का इस्तेमाल करते हैं.
  7. ऐसे ऐप्लिकेशन जो स्पैम या अनचाहे व्यावसायिक मैसेज भेजते हैं. उदाहरण के लिए, ग्राहक संबंध प्रबंधन जैसे ऐप्लिकेशन को मंज़ूरी दी जाती है. ये ऐप्लिकेशन, एक साथ कई व्यावसायिक मैसेज भेजते हैं. हालांकि, ऐसा तब ही किया जाता है, जब उपयोगकर्ता ने मैसेज पाने की सहमति दी हो.

Google Chat API को ऐक्सेस करने और इस्तेमाल करने का सही तरीका

Google Chat API के ऐक्सेस का अनुरोध सिर्फ़ तब करें, जब आपका ऐप्लिकेशन या सेवा, इस्तेमाल के ऐसे मामलों में शामिल हो जिनके लिए अनुमति ली जा सकती है.

Google Chat API के स्कोप की अनुमतियों को ऐक्सेस करने के लिए, इस्तेमाल के उन मामलों के बारे में यहां बताया गया है जिनके लिए अनुमति ली जा सकती है:

  1. ऐसे वेब ऐप्लिकेशन और डिवाइस में पहले से मौजूद ऐप्लिकेशन जो उपयोगकर्ताओं को यूज़र इंटरफ़ेस के ज़रिए, चैट मैसेज या इसी तरह की बातचीत करने की सुविधा देते हैं. जैसे, मैसेज लिखना, भेजना, पढ़ना, और प्रोसेस करना.
  2. ऐसे ऐप्लिकेशन जो Chat का इस्तेमाल करके काम करने की क्षमता को बढ़ाते हैं. उदाहरण के लिए, टास्क मैनेज करने वाला Google Chat ऐप्लिकेशन. इससे आपको स्पेस में मौजूद अन्य सदस्यों को टास्क असाइन करने की सुविधा मिलती है.
  3. ऐसे ऐप्लिकेशन जो लोगों को रिपोर्टिंग या निगरानी की सेवाएं देने के लिए, Chat मैसेज से मिली जानकारी का इस्तेमाल करते हैं. उदाहरण के लिए, ऐसा ऐप्लिकेशन जो लोगों को यह सूचना देता है कि उनका कोई सहकर्मी ऑफ़िस में नहीं है.
  4. ऐसे ऐप्लिकेशन जो मैसेज, पैसे चुकाकर ली जाने वाली सदस्यताओं, ग्रुप या Google Chat की अन्य मिलती-जुलती सुविधाओं को इंपोर्ट करते हैं.
  5. ऐसे ऐप्लिकेशन जो Google Chat API के ज़रिए मिले डेटा का इस्तेमाल करते हैं और उसे शेयर करते हैं, ताकि अन्य मैसेजिंग प्रॉडक्ट, सेवाओं या सुविधाओं के साथ इंटरऑपरेट किया जा सके.

Google Chat API का इस्तेमाल कुछ मामलों में नहीं किया जा सकता. इनमें ये शामिल हैं, लेकिन इनके अलावा और भी चीज़ें शामिल हो सकती हैं:

  1. Chat का इस्तेमाल, बड़े पैमाने पर कॉन्टेंट डिलीवरी नेटवर्क (सीडीएन) के तौर पर करना.
  2. ऐसे ऐप्लिकेशन जो Google की नीतियों का गलत इस्तेमाल करने, Google Chat खाते की सीमाओं को अनदेखा करने या सुरक्षा से जुड़ी पाबंदियों को टालने के लिए, एक से ज़्यादा खातों का इस्तेमाल करते हैं.
  3. ऐसे ऐप्लिकेशन जो स्पैम या अनचाहे व्यावसायिक मैसेज भेजते हैं. उदाहरण के लिए, ग्राहक संबंध प्रबंधन जैसे ऐप्लिकेशन को मंज़ूरी दी जाती है. ये ऐप्लिकेशन, एक साथ कई व्यावसायिक मैसेज भेजते हैं. हालांकि, ऐसा तब ही किया जाता है, जब उपयोगकर्ता ने मैसेज पाने की सहमति दी हो.

Google Meet API को ऐक्सेस करने और इस्तेमाल करने का सही तरीका

Google Meet API के ऐक्सेस का अनुरोध सिर्फ़ तब करें, जब आपका ऐप्लिकेशन या सेवा, इस्तेमाल के ऐसे मामलों में शामिल हो जिनके लिए अनुमति ली जा सकती है.

Google Meet API के स्कोप की अनुमतियों को ऐक्सेस करने के लिए, इस्तेमाल के उन मामलों के बारे में यहां बताया गया है जिनके लिए अनुमति ली जा सकती है:

  1. वेब और वेब ऐप्लिकेशन में पहले से मौजूद ऐसी सुविधाएं जो मीटिंग में शामिल लोगों के ऑडियो और वीडियो को रीयल-टाइम में प्रोसेस, स्ट्रीम या सेव करने की सुविधा देती हैं. ये सुविधाएं, उपयोगकर्ता इंटरफ़ेस के ज़रिए लोगों को फ़ायदा पहुंचाने के लिए उपलब्ध कराई जाती हैं.
  2. ऐसे ऐप्लिकेशन जो मीटिंग में शामिल लोगों की प्रोडक्टिविटी बढ़ाने में मदद करते हैं. उदाहरण के लिए, स्क्रीन रिकॉर्ड करने वाला ऐसा ऐप्लिकेशन जो आपको मीटिंग में इमेज शेयर करने की सुविधा देता है.
  3. ऐसे ऐप्लिकेशन जो लोगों को फ़ायदे पहुंचाने के लिए, Google Meet से मिली जानकारी का इस्तेमाल करके रिपोर्टिंग या निगरानी की सेवाएं देते हैं. उदाहरण के लिए, मीटिंग या बोलने से जुड़ी अहम जानकारी देने वाला ऐप्लिकेशन.
  4. ऐसे ऐप्लिकेशन जो Google Meet API से मिले डेटा का इस्तेमाल करके, वीडियो से जुड़े अन्य प्रॉडक्ट, सेवाओं या सुविधाओं के साथ काम करते हैं.

Google Meet API का इस्तेमाल कुछ मामलों में नहीं किया जा सकता. इनमें ये शामिल हैं, लेकिन इनके अलावा और भी चीज़ें शामिल हो सकती हैं:

  1. ऐसे ऐप्लिकेशन जो कानूनी अनुमति के बिना या सहमति के बिना, Google Meet इस्तेमाल करने वाले लोगों के डेटा, कॉन्टेंट या मेटाडेटा को मॉनिटर करते हैं या उसे डिस्ट्रिब्यूट करते हैं.
  2. वीडियो को बड़े पैमाने पर शेयर करना या बिना अनुमति के गैर-कानूनी कॉन्टेंट या कॉपीराइट वाला कॉन्टेंट फैलाना.
  3. ऐसे ऐप्लिकेशन जो Google की नीतियों का गलत इस्तेमाल करने, Meet खाते की सीमाओं को अनदेखा करने, फ़िल्टर और स्पैम से बचने या किसी अन्य तरीके से गलत इस्तेमाल या सुरक्षा से जुड़ी पाबंदियों से बचने के लिए, एक से ज़्यादा खातों का इस्तेमाल करते हैं. उदाहरण के लिए, लोगों की डिजिटल तस्वीरों को गलत मकसद से सेव करना या उन्हें डिस्ट्रिब्यूट करना या एपीआई का इस्तेमाल करके, लोगों को गलत जानकारी देना या गुमराह करना.

काम की कम से कम अनुमतियों का अनुरोध करना

सिर्फ़ उन अनुमतियों के ऐक्सेस का अनुरोध किया जा सकता है जो आपके ऐप्लिकेशन या सेवा को लागू करने के लिए ज़रूरी हैं. इसका मतलब है कि:

ऐसी जानकारी को ऐक्सेस करने का अनुरोध न करें जिसकी आपको ज़रूरत नहीं है. सिर्फ़ उन अनुमतियों के ऐक्सेस का अनुरोध करें जो आपके ऐप्लिकेशन की सुविधाओं या सेवाओं को लागू करने के लिए ज़रूरी हैं. अगर आपके ऐप्लिकेशन को खास अनुमतियों के ऐक्सेस की ज़रूरत नहीं है, तो आपको इन अनुमतियों के ऐक्सेस का अनुरोध नहीं करना चाहिए. ऐसी सेवाएं या सुविधाएं जो अभी तक लागू नहीं हुई हैं उन्हें फ़ायदा पहुंचाने के मकसद से, उपयोगकर्ता के डेटा को "आने वाले समय के लिए तैयार" के तौर पर पेश करने के लिए, अनुमति का अनुरोध न करें.

जहां हो सके वहां कॉन्टेक्स्ट के हिसाब से अनुमतियों का अनुरोध करें. जब भी हो सके, उपयोगकर्ता के डेटा को ऐक्सेस करने का अनुरोध सिर्फ़ ज़रूरत के मुताबिक करें. इसके लिए, इंक्रीमेंटल ऑथराइज़ेशन का इस्तेमाल करें, ताकि उपयोगकर्ता यह समझ सकें कि आपको डेटा की ज़रूरत क्यों है.

साफ़ तौर पर दी गई सही सूचना और कंट्रोल

आपके पास एक निजता नीति होनी चाहिए. इसमें यह जानकारी दी गई हो कि आपका ऐप्लिकेशन या वेब सेवा, उपयोगकर्ता के डेटा को कैसे इकट्ठा, इस्तेमाल, और शेयर करती है.

ऐप्लिकेशन और सेवाओं को, उपयोगकर्ता के डेटा को ऐक्सेस करने का अनुरोध भी करना होगा. इसके लिए, उन्हें इंक्रीमेंटल ऑथराइज़ेशन का इस्तेमाल करना होगा. साथ ही, उन्हें यह भी बताना होगा कि उन्हें डेटा की ज़रूरत क्यों है और उसका इस्तेमाल कैसे किया जाएगा. लागू होने वाले कानून की ज़रूरी शर्तों के अलावा, आपको इन ज़रूरी शर्तों का पालन भी करना होगा. ये शर्तें, हमारी OAuth 2.0 और Google API सेवाओं की उपयोगकर्ता के डेटा से जुड़ी नीति के बारे में बताती हैं:

  1. आपको डेटा को ऐक्सेस करने, इकट्ठा करने, इस्तेमाल करने, और शेयर करने के बारे में जानकारी देनी होगी. जानकारी:

    1. उस ऐप्लिकेशन या सेवा की पहचान साफ़ तौर पर ज़ाहिर करनी होगी जिसके लिए उपयोगकर्ता के डेटा का ऐक्सेस मांगा गया है;
    2. अगर ऐप्लिकेशन पर आधारित है, तो ऐप्लिकेशन के अंदर ही होना चाहिए. अगर वेब पर आधारित है, तो अलग डायलॉग विंडो में होना चाहिए;
    3. अगर ऐप्लिकेशन पर आधारित है, तो ऐप्लिकेशन के सामान्य इस्तेमाल के दौरान दिखनी चाहिए. अगर वेब पर आधारित है, तो वेबसाइट पर दिखनी चाहिए. साथ ही, उपयोगकर्ता को इसके लिए मेन्यू या सेटिंग में जाने की ज़रूरत नहीं पड़नी चाहिए;
    4. इस बारे में साफ़ और सही तौर पर बताना होगा कि किस तरह का डेटा ऐक्सेस किया जाएगा, मांगा जाएगा, और/या इकट्ठा किया जाएगा;
    5. यह बताना होगा कि डेटा को इस्तेमाल और/या शेयर कैसे किया जाएगा. अगर किसी एक काम के लिए डेटा मांगा गया है और उसका इस्तेमाल किसी दूसरी जगह भी किया जाएगा, तो इस्तेमाल के इन दोनों मामलों की सूचना उपयोगकर्ताओं को देनी होगी;
    6. इसे सिर्फ़ किसी निजता नीति या सेवा की शर्तों में नहीं रखा जा सकता; और,
    7. इसे ऐसी दूसरी जानकारी के साथ नहीं दिखाया जाना चाहिए जो निजी और संवेदनशील डेटा इकट्ठा करने से जुड़ी नहीं है.

  2. ऐप्लिकेशन में दी जाने वाली जानकारी के साथ, ऐप्लिकेशन इस्तेमाल करने वाले व्यक्ति की सहमति लेने का अनुरोध शामिल होना चाहिए. साथ ही, जानकारी से ठीक पहले इसे दिखाया जाना चाहिए. आपको सहमति मिलने से पहले, डेटा इकट्ठा करना शुरू नहीं करना चाहिए. सहमति के लिए अनुरोध:

    1. सहमति वाले डायलॉग को साफ़ और सीधे तौर पर पेश किया जाना चाहिए;
    2. सहमति देने के लिए, ऐसा कोई विकल्प देना ज़रूरी है जिसका इस्तेमाल करके लोग अपनी सहमति दे सकें. उदाहरण के लिए, स्वीकार करने के लिए टैप करना, चेक बॉक्स पर सही का निशान लगाना, बोलकर निर्देश देना वगैरह;
    3. जहां जानकारी दी गई है वहां से कहीं और जाने को, ऐप्लिकेशन इस्तेमाल करने वाले व्यक्ति की सहमति नहीं समझा जाना चाहिए. इसमें टैप करके बाहर जाना या वापस जाने के लिए बैक या होम बटन दबाना शामिल है; और,
    4. अपने-आप खारिज या खत्म होने वाले मैसेज का इस्तेमाल नहीं किया जाना चाहिए.

  3. आपको उपयोगकर्ताओं की मदद के लिए एक दस्तावेज़ उपलब्ध कराना होगा. इसमें यह जानकारी होनी चाहिए कि उपयोगकर्ता आपके ऐप्लिकेशन या सेवा में अपना डेटा किस तरह मैनेज कर सकते हैं और उसे कैसे मिटा सकते हैं.

उपयोगकर्ता के डेटा का सीमित इस्तेमाल

Workspace API का सही इस्तेमाल करने का मतलब यह है कि इसकी मदद से ऐक्सेस किए गए डेटा का इस्तेमाल करते समय इन ज़रूरी शर्तों का भी पालन किया जाना चाहिए. ये ज़रूरी शर्तें, संवेदनशील और पाबंदी वाले, दोनों स्कोप से मिले डेटा पर लागू होती हैं.

  1. डेटा का इस्तेमाल, सिर्फ़ उन मामलों या सुविधाओं को उपलब्ध कराने या उन्हें बेहतर बनाने के लिए करें जिनके लिए इस डेटा का इस्तेमाल करने की अनुमति है. ये सुविधाएं, उस ऐप्लिकेशन के यूज़र इंटरफ़ेस की मुख्य सुविधाएं होनी चाहिए जिसके लिए अनुमति पाने का अनुरोध किया जा रहा है.

  2. डेटा ट्रांसफ़र करने की अनुमति नहीं है. हालांकि, इन मामलों में अनुमति है:

    1. इसका इस्तेमाल, उन मामलों या सुविधाओं को उपलब्ध कराने या उन्हें बेहतर बनाने के लिए किया जाए जिनके लिए इस डेटा का इस्तेमाल करने की अनुमति है. ये सुविधाएं, उस ऐप्लिकेशन के यूज़र इंटरफ़ेस की मुख्य सुविधाएं होनी चाहिए जिसके लिए अनुमति पाने का अनुरोध किया जा रहा है. इस डेटा को ट्रांसफ़र करने के लिए, उपयोगकर्ता की सहमति लेना भी ज़रूरी है;
    2. ऐसा करना सुरक्षा के लिहाज़ से ज़रूरी हो. उदाहरण के लिए, गलत इस्तेमाल की जांच करने के लिए;
    3. ऐसा करना लागू होने वाले कानूनों और/या नियमों का पालन करने के लिए ज़रूरी हो; या
    4. डेवलपर की ऐसेट मर्ज करनी हों, हासिल करनी हों या बेचनी हों. ऐसा करने से पहले, उपयोगकर्ता की सहमति लेना ज़रूरी है.

  3. लोगों को उपयोगकर्ता का डेटा देखने की अनुमति सिर्फ़ तब दें, जब:

    1. आपने उपयोगकर्ता से किसी खास डेटा को पढ़ने की अनुमति ली हो और उसका दस्तावेज़ बनाया हो. उदाहरण के लिए, किसी उपयोगकर्ता को पासवर्ड भूल जाने के बाद, प्रॉडक्ट या सेवा को फिर से ऐक्सेस करने में मदद करना;
    2. डेटा को इकट्ठा करके, उसकी पहचान छिपा दी जाती है. इसके बाद, उसका इस्तेमाल निजता और अधिकार क्षेत्र से जुड़ी, लागू होने वाली अन्य कानूनी ज़रूरतों के हिसाब से अंदरूनी कार्रवाइयों के लिए किया जाता है. इसमें, रॉ डेटा से तैयार किया गया डेटा भी शामिल है;
    3. ऐसा करना सुरक्षा के लिहाज़ से ज़रूरी हो. उदाहरण के लिए, गलत इस्तेमाल की जांच करने के लिए; या,
    4. लागू होने वाले कानूनों और/या नियमों का पालन करने के लिए.

इसके अलावा, किसी और तरह से उपयोगकर्ता के डेटा का इस्तेमाल नहीं किया जाना चाहिए और न ही इसे ट्रांसफ़र किया जाना चाहिए. इस डेटा को बेचा भी नहीं जाना चाहिए. जैसे:

  1. उपयोगकर्ता के डेटा को तीसरे पक्षों को ट्रांसफ़र करना या बेचना. जैसे, विज्ञापन प्लैटफ़ॉर्म, डेटा ब्रोकर या जानकारी को दोबारा बेचने वाले लोग (रीसेलर).
  2. विज्ञापन दिखाने के लिए, उपयोगकर्ता के डेटा को इस्तेमाल करना, ट्रांसफ़र करना या बेचना. इसमें, रीटारगेटिंग, लोगों के हिसाब से बनाए गए विज्ञापन या दिलचस्पी के आधार पर विज्ञापन दिखाना भी शामिल है.
  3. क़र्ज़ लेने या देने की स्थिति तय करने के लिए, उपयोगकर्ता के डेटा को इस्तेमाल करना, ट्रांसफ़र करना या बेचना.
  4. उपयोगकर्ता के डेटा को ट्रांसफ़र करना, बेचना या उसका इस्तेमाल करना. ऐसा, मशीन लर्निंग या आर्टिफ़िशियल इंटेलिजेंस मॉडल को बनाने, ट्रेन करने या उसे बेहतर बनाने के लिए किया जाता है. हालांकि, यह काम सिर्फ़ उस उपयोगकर्ता के हिसाब से बनाए गए मॉडल के लिए किया जाता है. ऐसा, इस्तेमाल के सही तरीके या उपयोगकर्ता को दिखने वाली सुविधा के लिए किया जाता है.

आपको अपनी ऐप्लिकेशन या वेब-सेवा की वेबसाइट पर, सहमति या इस तरह का कोई अन्य स्टेटमेंट देना होगा. इसमें यह बताना होगा कि डेटा का इस्तेमाल, सीमित इस्तेमाल से जुड़ी पाबंदियों के मुताबिक किया जाता है. उदाहरण के लिए, होम पेज पर किसी ऐसे पेज या निजता नीति का लिंक दिया जा सकता है जिसमें यह लिखा हो: "Workspace API से मिली जानकारी का इस्तेमाल, Google के उपयोगकर्ता के डेटा से जुड़ी नीति के मुताबिक किया जाएगा. इसमें सीमित इस्तेमाल से जुड़ी ज़रूरी शर्तें भी शामिल हैं."

सुरक्षित ऑपरेटिंग एनवायरमेंट बनाए रखना

उपयोगकर्ता के सभी डेटा को एक जगह से दूसरी जगह भेजने के दौरान और सेव करके रखे जाने के दौरान सुरक्षित तरीके से मैनेज करें. Workspace API और उससे मिले डेटा का इस्तेमाल करने वाले सभी ऐप्लिकेशन या सिस्टम की सुरक्षा के लिए, उचित और सही कदम उठाएं. इससे, बिना अनुमति के या गैर-कानूनी तरीके से डेटा को ऐक्सेस, इस्तेमाल या ज़ाहिर न किया जा सकेगा. इसके अलावा, उसे नष्ट न किया जा सकेगा, नुकसान न पहुंचाया जा सकेगा या उसमें बदलाव न किया जा सकेगा.

पाबंदी वाले स्कोप को ऐक्सेस करने वाले ऐप्लिकेशन को यह दिखाना होगा कि वे सुरक्षा से जुड़े कुछ तरीकों का पालन करते हैं.

सुरक्षा के जो तरीके सुझाए गए हैं उनमें इंफ़ॉर्मेशन सिक्योरिटी मैनेजमेंट सिस्टम को लागू करना और उसका रखरखाव करना शामिल है. इसके बारे में, आईएसओ/आईईसी 27001 में बताया गया है. इसके अलावा, आपको यह भी पक्का करना होगा कि आपका ऐप्लिकेशन या वेब सेवा बेहतरीन है और उसमें सुरक्षा से जुड़ी आम समस्याएं नहीं हैं. इन समस्याओं की जानकारी, OWASP टॉप 10 में दी गई है.

सुरक्षा से जुड़े ज़रूरी उपायों में ये शामिल हैं:

  1. उपयोगकर्ता के डेटा को एन्क्रिप्ट (सुरक्षित) करने के लिए, इंडस्ट्री में स्वीकार किए गए एन्क्रिप्शन स्टैंडर्ड का इस्तेमाल करना. यह डेटा:

    1. पोर्टेबल डिवाइसों या पोर्टेबल इलेक्ट्रॉनिक मीडिया पर सेव किया गया हो;
    2. Google या आपके सिस्टम के बाहर मैनेज किया जाता है;
    3. किसी ऐसे बाहरी नेटवर्क पर ट्रांसफ़र किया गया हो जिसे सिर्फ़ आप मैनेज नहीं करते हों; और,
    4. आपके सिस्टम पर सेव किया जाता है.

  2. डेटा को सुरक्षित मॉर्डन प्रोटोकॉल (उदाहरण के लिए, एचटीटीपीएस पर) का इस्तेमाल करके ट्रांसफ़र करना.

  3. उपयोगकर्ता के डेटा और क्रेडेंशियल को सुरक्षित रखना. खास तौर पर, OAuth ऐक्सेस और रीफ़्रेश टोकन जैसे टोकन को एन्क्रिप्ट (सुरक्षित) करना.

  4. यह पक्का करना कि कुंजियों और कुंजी मटीरियल को सही तरीके से मैनेज किया गया हो. जैसे, उन्हें हार्डवेयर सुरक्षा मॉड्यूल या इसी तरह के मज़बूत कुंजी मैनेजमेंट सिस्टम में सेव किया गया हो.

पाबंदी वाले स्कोप के लिए, सुरक्षा से जुड़े ज़रूरी उपायों में क्लाउड ऐप्लिकेशन सुरक्षा आकलन (कासा) का पालन करना भी शामिल है. इसके अलावा, ऐक्सेस किए जाने वाले एपीआई और उपयोगकर्ता की अनुमतियों की संख्या या उपयोगकर्ताओं की संख्या के हिसाब से, हम यह भी ज़रूरी कर सकते हैं कि आपका ऐप्लिकेशन या सेवा समय-समय पर सुरक्षा आकलन से गुज़रे. साथ ही, Google की ओर से तय किए गए तीसरे पक्ष से 'आकलन पत्र' हासिल करे.

आप इस बात से सहमत हैं कि अगर आपको सिस्टम, नेटवर्क, खातों या Google के डेटा को सेव करने की अन्य जगहों ("सुरक्षा से जुड़ा उल्लंघन") का बिना अनुमति के ऐक्सेस मिलने के बारे में पता चलता है या आपको ऐसा लगता है, तो आपको Google को इसकी सूचना तुरंत देनी होगी. इसके लिए, security@google.com पर ईमेल भेजें. आपको Google के साथ पूरी तरह से सहयोग करना होगा, ताकि सुरक्षा से जुड़ी किसी भी ऐसी घटना को ठीक किया जा सके जिसके बारे में आपको पता है या जिसके बारे में आपको शक है. साथ ही, ऐसी किसी भी घटना के बारे में, आपको Google को security@google.com पर सूचना देनी होगी. ऐसा तब करना होगा, जब आपको सुरक्षा से जुड़ी किसी ऐसी घटना के बारे में सार्वजनिक तौर पर कोई बयान देना हो जिसके बारे में आपको पता है या जिसके बारे में आपको शक है.

पाबंदी वाले स्कोप

Workspace के प्रतिबंधित स्कोप में ये शामिल हैं:

  1. Gmail API का कोई भी ऐसा स्कोप जो किसी ऐप्लिकेशन को ये काम करने की अनुमति देता है:

    1. मैसेज के मुख्य हिस्से (अटैचमेंट शामिल हैं), मेटाडेटा या हेडर को पढ़ना, बनाना या उनमें बदलाव करना; या
    2. मेलबॉक्स के ऐक्सेस, ईमेल फ़ॉरवर्ड करने या एडमिन सेटिंग को कंट्रोल करें.

  2. Google Drive API का कोई भी ऐसा स्कोप जो किसी ऐप्लिकेशन को ये काम करने की अनुमति देता हो:

    1. उपयोगकर्ता की Drive फ़ाइलों के कॉन्टेंट या मेटाडेटा को पढ़ना, उसमें बदलाव करना या उसे मैनेज करना. इसके लिए, उपयोगकर्ता को हर फ़ाइल के लिए अलग-अलग ऐक्सेस देने की ज़रूरत नहीं होती.

  3. Google Chat API का ऐसा कोई भी स्कोप जो किसी ऐप्लिकेशन को ये काम करने की अनुमति देता हो:

    1. किसी उपयोगकर्ता के Chat मैसेज के कॉन्टेंट या मेटाडेटा को पढ़ना, उसमें बदलाव करना या उसे मैनेज करना.

  4. Google Meet API का कोई भी ऐसा स्कोप जो किसी ऐप्लिकेशन को ये काम करने की अनुमति देता है:

    1. मीटिंग में हिस्सा लेने वाले लोगों के ऑडियो और वीडियो को रीयल-टाइम में प्रोसेस करने की सुविधा को ऐक्सेस करना, उसमें बदलाव करना या उसे मैनेज करना.

ज़्यादा जानकारी के लिए, प्रतिबंधित स्कोप की सूची देखें.