उद्यम-स्तरीय सुरक्षा

स्थिर अवस्था में एन्क्रिप्शन

• AES-256 एन्क्रिप्शन: हमारे डेटाबेस में संग्रहीत सभी डेटा 256-बिट कुंजियों के साथ उन्नत एन्क्रिप्शन मानक का उपयोग करके एन्क्रिप्ट किया गया है
• डेटाबेस एन्क्रिप्शन: Firebase Firestore सभी संग्रहीत डेटा के लिए स्वचालित एन्क्रिप्शन प्रदान करता है
• बायोमेट्रिक डेटा: फिंगरप्रिंट डेटा को SHA-256 का उपयोग करके हैश किया जाता है और एन्क्रिप्टेड प्रारूप में संग्रहीत किया जाता है, जिससे इसे रिवर्स-इंजीनियर करना असंभव हो जाता है
• बैकअप एन्क्रिप्शन: सभी बैकअप समान AES-256 मानक से एन्क्रिप्ट किए गए हैं
• फ़ाइल संग्रहण: कोई भी अपलोड की गई फ़ाइलें (रिपोर्ट, दस्तावेज़) संग्रहण से पहले एन्क्रिप्ट की जाती हैं

गतिशील अवस्था में एन्क्रिप्शन

• TLS 1.3: आपके ब्राउज़र और हमारे सर्वर के बीच प्रसारित सभी डेटा ट्रांसपोर्ट लेयर सिक्योरिटी 1.3 का उपयोग करते हैं
• हर जगह HTTPS: हमारा पूरा प्लेटफ़ॉर्म HSTS सक्षम के साथ HTTPS पर संचालित होता है
• API सुरक्षा: सभी API कॉल सुरक्षित टोकन का उपयोग करके एन्क्रिप्ट और प्रमाणित किए गए हैं
• सर्टिफिकेट पिनिंग: हमारे मोबाइल ऐप मैन-इन-द-मिडल हमलों को रोकने के लिए सर्टिफिकेट पिनिंग का उपयोग करते हैं

कुंजी प्रबंधन

• Google Cloud KMS: एन्क्रिप्शन कुंजियां Google Cloud Key Management Service द्वारा प्रबंधित की जाती हैं
• कुंजी रोटेशन: एन्क्रिप्शन कुंजियां हर 90 दिनों में स्वचालित रूप से घूमती हैं
• पहुंच नियंत्रण: केवल अधिकृत सिस्टम ही एन्क्रिप्शन कुंजियों तक पहुंच सकते हैं, पूर्ण ऑडिट लॉगिंग के साथ
• हार्डवेयर सिक्योरिटी मॉड्यूल (HSM): कुंजियां FIPS 140-2 स्तर 3 प्रमाणित HSM में संग्रहीत हैं

दो-कारक प्रमाणीकरण (2FA)

• TOTP समर्थन: Google Authenticator, Authy, या समान ऐप्स के माध्यम से समय-आधारित वन-टाइम पासवर्ड
• ईमेल 2FA: ईमेल सत्यापन कोड के माध्यम से वैकल्पिक 2FA
• अनिवार्य 2FA: संगठन सभी उपयोगकर्ताओं के लिए 2FA लागू कर सकते हैं
• बैकअप कोड: खोए हुए प्रमाणक डिवाइस के मामले में पुनर्प्राप्ति कोड प्रदान किए जाते हैं

पासवर्ड सुरक्षा

• Bcrypt हैशिंग: सभी पासवर्ड को नमक के साथ bcrypt का उपयोग करके हैश किया जाता है
• पासवर्ड नीतियां: न्यूनतम 8 वर्ण, जटिलता आवश्यकताएं लागू
• उल्लंघन पहचान: ज्ञात उल्लंघन डेटाबेस (Have I Been Pwned) के विरुद्ध पासवर्ड जांचे जाते हैं
• दर सीमा: विफल लॉगिन प्रयासों को ब्रूट फोर्स हमलों को रोकने के लिए दर-सीमित किया जाता है
• सत्र प्रबंधन: निष्क्रियता के बाद स्वचालित लॉगआउट, कॉन्फ़िगर करने योग्य समय सीमा अवधि

भूमिका-आधारित पहुंच नियंत्रण (RBAC)

• बारीक अनुमतियां: विभिन्न उपयोगकर्ता भूमिकाओं (व्यवस्थापक, प्रबंधक, कर्मचारी) के लिए सूक्ष्म पहुंच नियंत्रण
• न्यूनतम विशेषाधिकार का सिद्धांत: उपयोगकर्ताओं के पास केवल उनकी भूमिका के लिए आवश्यक डेटा तक पहुंच है
• संगठन अलगाव: मल्टी-टेनेंट आर्किटेक्चर संगठनों के बीच पूर्ण डेटा अलगाव सुनिश्चित करता है
• ऑडिट लॉग: सभी पहुंच और अनुमति परिवर्तनों को लॉग और निगरानी किया जाता है

Firebase प्रमाणीकरण

• उद्योग मानक: Google के Firebase प्रमाणीकरण प्लेटफ़ॉर्म द्वारा संचालित
• OAuth 2.0: OAuth 2.0 के साथ सोशल लॉगिन प्रदाताओं (Google, Microsoft) के लिए समर्थन
• ईमेल सत्यापन: सभी नए खातों के लिए अनिवार्य ईमेल सत्यापन
• खाता पुनर्प्राप्ति: समय-सीमित टोकन के साथ ईमेल के माध्यम से सुरक्षित पासवर्ड रीसेट

क्लाउड बुनियादी ढांचा

• Google Cloud Platform: ISO 27001, SOC 2, और SOC 3 प्रमाणपत्रों के साथ Google Cloud पर होस्ट किया गया
• बहु-क्षेत्र परिनियोजन: अतिरेक के लिए कई भौगोलिक क्षेत्रों में डेटा प्रतिकृत
• स्वतः-स्केलिंग: ट्रैफ़िक स्पाइक्स को संभालने के लिए बुनियादी ढांचा स्वचालित रूप से स्केल करता है
• DDoS सुरक्षा: Google Cloud Armor स्वचालित DDoS शमन प्रदान करता है
• नेटवर्क अलगाव: फ़ायरवॉल नियमों और नेटवर्क विभाजन के साथ निजी VPC नेटवर्क

उपलब्धता और विश्वसनीयता

• 99.9% अपटाइम SLA: डाउनटाइम के लिए वित्तीय क्रेडिट के साथ गारंटीकृत सेवा उपलब्धता
• स्वचालित फेलओवर: विफलता के मामले में अतिरिक्त सिस्टम स्वचालित रूप से संभाल लेते हैं
• लोड बैलेंसिंग: इष्टतम प्रदर्शन के लिए कई सर्वरों पर ट्रैफ़िक वितरित
• स्वास्थ्य निगरानी: तत्काल अलर्ट के साथ 24/7 स्वचालित निगरानी
• घटना प्रतिक्रिया: समर्पित टीम 15 मिनट के भीतर घटनाओं का जवाब देती है

बैकअप और आपदा पुनर्प्राप्ति

• निरंतर बैकअप: Firebase स्वचालित, निरंतर डेटा बैकअप प्रदान करता है
• समय-बिंदु पुनर्प्राप्ति: पिछले 35 दिनों के भीतर किसी भी बिंदु पर डेटा पुनर्स्थापित करें
• भौगोलिक अतिरेक: कई भौगोलिक स्थानों में संग्रहीत बैकअप
• आपदा पुनर्प्राप्ति योजना: 4 घंटे के पुनर्प्राप्ति समय उद्देश्य (RTO) के साथ व्यापक DR योजना
• बैकअप परीक्षण: डेटा अखंडता सुनिश्चित करने के लिए नियमित बैकअप पुनर्स्थापना परीक्षण

भौतिक सुरक्षा

• Google डेटा सेंटर: 24/7 सुरक्षा कर्मियों के साथ अत्याधुनिक सुविधाएं
• बायोमेट्रिक पहुंच: बायोमेट्रिक प्रमाणीकरण द्वारा डेटा सेंटर पहुंच नियंत्रित
• वीडियो निगरानी: वीडियो रिकॉर्डिंग के साथ निरंतर निगरानी
• पर्यावरण नियंत्रण: अग्नि दमन, जलवायु नियंत्रण, और बिजली अतिरेक

सुरक्षित विकास

• सुरक्षित SDLC: सॉफ्टवेयर विकास जीवनचक्र के हर चरण में सुरक्षा एकीकृत
• कोड समीक्षा: तैनाती से पहले कई डेवलपर्स द्वारा सभी कोड परिवर्तनों की समीक्षा की जाती है
• स्थैतिक विश्लेषण: सुरक्षा कमजोरियों के लिए स्वचालित कोड स्कैनिंग (SAST)
• निर्भरता स्कैनिंग: ज्ञात कमजोरियों के लिए तृतीय-पक्ष पुस्तकालयों को स्कैन किया जाता है
• सुरक्षा प्रशिक्षण: सभी विकास टीम सदस्यों के लिए नियमित सुरक्षा प्रशिक्षण

भेद्यता प्रबंधन

• पेनेट्रेशन टेस्टिंग: प्रमाणित सुरक्षा फर्मों द्वारा वार्षिक तृतीय-पक्ष पेनेट्रेशन परीक्षण
• बग बाउंटी प्रोग्राम: सुरक्षा शोधकर्ताओं के लिए पुरस्कारों के साथ जिम्मेदार प्रकटीकरण कार्यक्रम
• भेद्यता स्कैनिंग: सुरक्षा कमजोरियों के लिए साप्ताहिक स्वचालित स्कैन
• पैच प्रबंधन: महत्वपूर्ण सुरक्षा पैच 24 घंटों के भीतर तैनात
• CVE निगरानी: सामान्य कमजोरियों और जोखिमों की निरंतर निगरानी

OWASP शीर्ष 10 सुरक्षा

• SQL इंजेक्शन: पैरामीटरयुक्त क्वेरी और ORM SQL इंजेक्शन हमलों को रोकते हैं
• XSS रोकथाम: इनपुट सैनिटाइजेशन और कंटेंट सिक्योरिटी पॉलिसी (CSP) हेडर
• CSRF सुरक्षा: सभी स्थिति-परिवर्तन संचालन पर एंटी-CSRF टोकन
• प्रमाणीकरण दोष: Firebase Auth के माध्यम से उद्योग-मानक प्रमाणीकरण
• सुरक्षा गलत कॉन्फ़िगरेशन: स्वचालित कॉन्फ़िगरेशन जांच और सख्तीकरण
• संवेदनशील डेटा एक्सपोजर: सभी संवेदनशील डेटा का एन्क्रिप्शन और सुरक्षित संग्रहण

API सुरक्षा

• JWT टोकन: समाप्ति के साथ JSON वेब टोकन का उपयोग करके API प्रमाणीकरण
• दर सीमा: API दर सीमाएं दुरुपयोग और DDoS हमलों को रोकती हैं
• इनपुट सत्यापन: सभी API इनपुट मान्य और सैनिटाइज़ किए गए
• OAuth 2.0: OAuth 2.0 प्रोटोकॉल के साथ सुरक्षित तृतीय-पक्ष API पहुंच

डेटा न्यूनीकरण

• हम केवल सेवा कार्यक्षमता के लिए आवश्यक डेटा एकत्र करते हैं
• विपणन उद्देश्यों के लिए कोई ट्रैकिंग कुकीज़ नहीं
• बायोमेट्रिक डेटा हैश, गैर-प्रतिवर्ती प्रारूप में संग्रहीत
• वैकल्पिक सुविधाएं आपको कुछ डेटा संग्रहण को अक्षम करने की अनुमति देती हैं

उपयोगकर्ता अधिकार

• पहुंच का अधिकार: मानक प्रारूपों (CSV, JSON, Excel) में अपने सभी डेटा निर्यात करें
• मिटाने का अधिकार: अपने डेटा के स्थायी विलोपन का अनुरोध करें
• सुधार का अधिकार: गलत या अधूरे डेटा को सही करें
• पोर्टेबिलिटी का अधिकार: किसी अन्य सेवा प्रदाता को डेटा स्थानांतरित करें
• आपत्ति का अधिकार: विपणन संचार और विश्लेषण से ऑप्ट-आउट करें

डेटा प्रसंस्करण समझौते

• मानक संविदात्मक खंड: अंतर्राष्ट्रीय डेटा स्थानांतरण के लिए EU-अनुमोदित SCC
• GDPR अनुपालन: GDPR अनुच्छेद 28 प्रोसेसर दायित्वों का पूर्ण अनुपालन
• उप-प्रोसेसर पारदर्शिता: परिवर्तनों की सूचना के साथ सभी उप-प्रोसेसर की सार्वजनिक सूची
• डेटा उल्लंघन अधिसूचना: किसी भी डेटा उल्लंघन के 72 घंटे के भीतर सूचना

निरंतर निगरानी

• 24/7 निगरानी: बुनियादी ढांचे और अनुप्रयोगों की चौबीसों घंटे निगरानी
• SIEM एकीकरण: खतरे का पता लगाने के लिए सुरक्षा सूचना और घटना प्रबंधन
• विसंगति पहचान: असामान्य गतिविधि की मशीन लर्निंग-आधारित पहचान
• वास्तविक समय अलर्ट: सुरक्षा घटनाओं के लिए तत्काल सूचनाएं
• लॉग एकत्रीकरण: फोरेंसिक विश्लेषण के लिए प्रतिधारण के साथ केंद्रीकृत लॉगिंग

घटना प्रतिक्रिया

• समर्पित टीम: सुरक्षा घटना प्रतिक्रिया टीम 24/7 उपलब्ध
• प्रतिक्रिया समय: महत्वपूर्ण घटना पहचान के 15 मिनट के भीतर प्रारंभिक प्रतिक्रिया
• संचार: घटनाओं के दौरान प्रभावित ग्राहकों के साथ पारदर्शी संचार
• घटना के बाद समीक्षा: घटनाओं के बाद विस्तृत विश्लेषण और सुधारात्मक कार्रवाई
• नियामक अधिसूचना: उल्लंघन अधिसूचना आवश्यकताओं (GDPR, CCPA) का अनुपालन

ऑडिट लॉगिंग

• व्यापक लॉग: सभी उपयोगकर्ता क्रियाएं, सिस्टम इवेंट और सुरक्षा इवेंट लॉग किए गए
• अपरिवर्तनीय लॉग: लॉग को संशोधित या हटाया नहीं जा सकता, ऑडिट ट्रेल अखंडता सुनिश्चित करता है
• लॉग प्रतिधारण: अनुपालन और फोरेंसिक के लिए 2 वर्षों तक सुरक्षा लॉग बनाए रखे गए
• उपयोगकर्ता गतिविधि: ग्राहक अपनी संगठनात्मक गतिविधि के ऑडिट लॉग देख सकते हैं

पहुंच नियंत्रण

• न्यूनतम विशेषाधिकार: कर्मचारियों के पास केवल उनके कार्य कार्य के लिए आवश्यक डेटा तक पहुंच है
• पृष्ठभूमि जांच: सभी कर्मचारी भर्ती से पहले पृष्ठभूमि जांच से गुजरते हैं
• NDA और गोपनीयता: सभी कर्मचारी गैर-प्रकटीकरण समझौतों पर हस्ताक्षर करते हैं
• पहुंच समीक्षा: कर्मचारी पहुंच अनुमतियों की त्रैमासिक समीक्षा
• तत्काल निरस्तीकरण: समाप्ति पर तुरंत पहुंच रद्द

सुरक्षा प्रशिक्षण

• ऑनबोर्डिंग प्रशिक्षण: सभी नए कर्मचारियों के लिए अनिवार्य सुरक्षा प्रशिक्षण
• वार्षिक प्रशिक्षण: अद्यतन खतरों के साथ वार्षिक सुरक्षा जागरूकता प्रशिक्षण
• फिशिंग सिमुलेशन: सतर्कता बनाए रखने के लिए नियमित फिशिंग परीक्षण
• घटना प्रतिक्रिया अभ्यास: त्रैमासिक सुरक्षा घटना प्रतिक्रिया अभ्यास
• अनुपालन प्रशिक्षण: GDPR, SOC 2, और डेटा संरक्षण प्रशिक्षण

ग्राहक डेटा पहुंच

• कोई डिफ़ॉल्ट पहुंच नहीं: कर्मचारियों की डिफ़ॉल्ट रूप से ग्राहक डेटा तक कोई पहुंच नहीं है
• समर्थन पहुंच: ग्राहक सहायता केवल स्पष्ट अनुमति के साथ डेटा तक पहुंच सकती है
• ऑडिट ट्रेल: ग्राहक डेटा तक सभी कर्मचारी पहुंच लॉग और निगरानी की जाती है
• डेटा गुमनामीकरण: इंजीनियर डिबगिंग के लिए गुमनाम डेटा के साथ काम करते हैं

जिम्मेदार प्रकटीकरण कार्यक्रम

हम सुरक्षा समुदाय को महत्व देते हैं और सुरक्षा कमजोरियों की रिपोर्ट का स्वागत करते हैं। यदि आप कोई सुरक्षा समस्या खोजते हैं, तो कृपया इसे जिम्मेदारी से रिपोर्ट करें:

दिशानिर्देश

• बिना प्राधिकरण के ग्राहक डेटा तक पहुंच या संशोधित न करें
• सेवा-अस्वीकार हमले या विघटनकारी परीक्षण न करें
• सार्वजनिक प्रकटीकरण से पहले हमें मुद्दे को संबोधित करने के लिए उचित समय दें
• विस्तृत पुनरुत्पादन चरण और प्रभाव मूल्यांकन प्रदान करें
• हम सद्भावना से काम करने वाले शोधकर्ताओं के खिलाफ कानूनी कार्रवाई नहीं करेंगे