আপনার ডেটা নিরাপত্তা আমাদের শীর্ষ অগ্রাধিকার
AskERP-তে নিরাপত্তা একটি পরবর্তী চিন্তাভাবনা নয় — এটি আমাদের প্ল্যাটফর্ম ডিজাইন এবং অপারেশনের মৌলিক আমরা বুঝি যে আপনার ডেটা আপনার ব্যবসার জন্য গুরুত্বপূর্ণ এবং আমরা প্রতিটি স্তরে এটি রক্ষা করতে ব্যাপক ব্যবস্থা গ্রহণ করি আমাদের ব্যাপক নিরাপত্তা কাঠামো প্রযুক্তিগত নিয়ন্ত্রণ, অপারেশনাল পদ্ধতি এবং শিল্প সেরা অনুশীলনগুলি একত্রিত করে আপনার তথ্য গোপনীয়, অবিচল এবং উপলব্ধ থাকে তা নিশ্চিত করতে
আমরা নিয়মিত অডিট, অনুপ্রবেশ পরীক্ষা এবং হুমকি মূল্যায়নের সাথে একটি ক্রমাগত নিরাপত্তা অবস্থান বজায় রাখি আমাদের নিবেদিত নিরাপত্তা দল ২৪/৭ হুমকি পর্যবেক্ষণ করে, মিনিটের মধ্যে ঘটনার প্রতিক্রিয়া জানায় এবং আন্তর্জাতিক মান এবং নিয়মকানুন মেনে চলে
AWS-এ ক্লাউড হোস্টিং: We host AskERP on Amazon Web Services, a world-class cloud infrastructure provider. AWS provides enterprise-grade নিরাপত্তা, global data centre redundancy, and compliance certifications across multiple frameworks. This ensures your data benefits from AWS's extensive নিরাপত্তা investments and infrastructure hardening.
মাল্টি-অঞ্চল অপ্রয়োজনীয়তা: Our প্ল্যাটফর্ম is deployed across multiple AWS regions to ensure high availability and disaster recovery. If one region experiences an outage, traffic automaticসবy routes to backup regions, ensuring continuous service. Your data is replicated across geographicসবy dispersed data centres to prevent single points of failure.
DDoS সুরক্ষা: AWS Shield Standard বিতরণকৃত অস্বীকার-অফ-সার্ভিস (DDoS) আক্রমণের বিরুদ্ধে স্বয়ংক্রিয় সুরক্ষা প্রদান করে বর্ধিত সুরক্ষার জন্য, আমরা পরিশীলিত আক্রমণগুলি সনাক্ত এবং প্রশমিত করতে AWS Shield Advanced এবং WAF নিয়ম ব্যবহার করি
ফায়ারওয়াল এবং নেটওয়ার্ক নিরাপত্তা: Our infrastructure is protected by multiple layers of firewসবs, নিরাপত্তা groups, and network access control lists. Inbound traffic is restricted to necessary ports and protocols, while outbound traffic is monitored and logged. We employ both perimeter and internal segmentation to isolate critical systems.
বিশ্রামে এনক্রিপশন: আমাদের ডেটাবেস, স্টোরেজ সিস্টেম এবং ব্যাকআপে সংরক্ষিত সমস্ত ডেটা শিল্প-মানের ২৫৬-বিট AES-256 এনক্রিপশন ব্যবহার করে এনক্রিপ্ট করা হয় এনক্রিপশন কী AWS Key Management Service (KMS) এর মাধ্যমে পরিচালিত হয়, কঠোর অ্যাক্সেস নিয়ন্ত্রণ এবং স্বয়ংক্রিয় কী রোটেশন নীতিগুলির সাথে
ট্রানজিটে এনক্রিপশন: আপনার ডিভাইস এবং আমাদের সার্ভারের মধ্যে প্রেরিত সমস্ত তথ্য TLS ১.৩ এনক্রিপশন ব্যবহার করে, যা ট্রান্সপোর্ট লেয়ার সিকিউরিটি প্রোটোকলের সর্বশেষ এবং সবচেয়ে সুরক্ষিত সংস্করণ এটি API কল, ওয়েব ট্রাফিক এবং ফাইল আপলোড সহ সমস্ত যোগাযোগের জন্য প্রযোজ্য দুর্বল সাইফার স্যুট নিষ্ক্রিয় করা হয়েছে
এনক্রিপ্ট করা ব্যাকআপ: দৈনিক ব্যাকআপ স্ন্যাপশটগুলি এনক্রিপ্ট করা হয় এবং সংস্করণ সক্ষম করে সুরক্ষিত AWS S3 বাকেটে সংরক্ষিত হয় ব্যাকআপ এনক্রিপশন উৎপাদন ডেটার মতো একই AES-256 মান ব্যবহার করে ব্যাকআপগুলিতে অ্যাক্সেস শুধুমাত্র অনুমোদিত কর্মীদের মধ্যে সীমাবদ্ধ এবং ব্যাকআপের অখণ্ডতা নিয়মিত যাচাই করা হয়
এন্ড-টু-এন্ড সুরক্ষা: সংবেদনশীল অপারেশনগুলি ম্যান-ইন-দ্য-মিডল আক্রমণ প্রতিরোধ করতে সার্টিফিকেট পিনিং ব্যবহার করে HTTP Strict পরিবহন নিরাপত্তা (HSTS) শিরোনামগুলি এনক্রিপ্টেড সংযোগ প্রয়োগ করে এবং Perfect Forward Secrecy নিশ্চিত করে যে এমনকি দীর্ঘমেয়াদী কী আপস করা হলেও অতীতের সেশনগুলি সুরক্ষিত থাকে
ভূমিকা-ভিত্তিক অ্যাক্সেস নিয়ন্ত্রণ (RBAC): AskERP বিস্তারিত ভূমিকা-ভিত্তিক অ্যাক্সেস নিয়ন্ত্রণ প্রয়োগ করে, যা প্রশাসকদের বিভিন্ন ব্যবহারকারীর ভূমিকার জন্য নির্দিষ্ট অনুমতি সংজ্ঞায়িত করতে দেয় ব্যবহারকারীরা শুধুমাত্র তাদের ভূমিকার সাথে প্রাসঙ্গিক তথ্য এবং বৈশিষ্ট্যগুলি অ্যাক্সেস করতে পারে যখন ব্যবহারকারীরা ভূমিকা পরিবর্তন করে বা সংস্থা ছেড়ে যায় তখন অ্যাক্সেস স্বয়ংক্রিয়ভাবে প্রত্যাহার করা হয়
একক সাইন-অন (SSO) এবং SAML: আমরা SAML . এর মাধ্যমে এন্টারপ্রাইজ SSO ইন্টিগ্রেশন সমর্থন করি, আপনার সংস্থাকে কেন্দ্রীয়ভাবে প্রমাণীকরণ পরিচালনা করতে দেয় এটি শক্তিশালী পাসওয়ার্ড, সহজ শংসাপত্র ব্যবস্থাপনা এবং পূর্ববর্তী কর্মীদের দ্রুত অফবোর্ডিং নিশ্চিত করে
দ্বি-ফ্যাক্টর প্রমাণীকরণ (2FA): ব্যবহারকারীরা অথেন্টিকেটর অ্যাপ (TOTP) বা SMS ব্যবহার করে দুই-ফ্যাক্টর প্রমাণীকরণ সক্ষম করতে পারেন 2FA সমস্ত ব্যবহারকারীদের জন্য সুপারিশ করা হয় এবং প্রশাসনিক অ্যাকাউন্টগুলির জন্য বাধ্যতামূলক এটি সুরক্ষার একটি অতিরিক্ত স্তর যোগ করে এমনকি যদি পাসওয়ার্ডগুলি আপস করা হয়
ব্যাপক অডিট লগ: সমস্ত ব্যবহারকারী পদক্ষেপ, ডেটা অ্যাক্সেস এবং সিস্টেম পরিবর্তনগুলি টাইমস্ট্যাম্প এবং ব্যবহারকারী সনাক্তকারীগুলির সাথে লগ করা হয় এই লগ অপরিবর্তনীয় এবং সম্মতির উদ্দেশ্যে রাখা হয় প্রশাসকরা সন্দেহজনক কার্যকলাপ তদন্ত করতে এবং জবাবদিহিতা বজায় রাখতে অডিট ট্রেইল পর্যালোচনা করতে পারে
সেশন ব্যবস্থাপনা: ব্যবহারকারীর সেশনগুলি টাইমআউট নীতি সহ নিরাপদে পরিচালিত হয়, পরিত্যক্ত ডিভাইস থেকে অননুমোদিত অ্যাক্সেস প্রতিরোধ করে লগআউটে সেশন টোকেনগুলি অবৈধ করা হয় এবং সমসাময়িক সেশন সীমা কনফিগার করা যেতে পারে
SOC 2 টাইপ II: আমরা SOC 2 Type II সম্মতি বজায় রাখি, যা প্রদর্শন করে যে আমাদের নিয়ন্ত্রণগুলি ডিজাইন করা হয়েছে, বাস্তবায়িত হয়েছে এবং শিল্প মান পূরণের জন্য কার্যকরভাবে পরিচালিত হচ্ছে নিয়মিত স্বাধীন অডিট আমাদের নিরাপত্তা, প্রাপ্যতা, প্রক্রিয়াকরণের অখণ্ডতা, গোপনীয়তা এবং গোপনীয়তা নিয়ন্ত্রণ যাচাই করে
ISO 27001: আমাদের তথ্য নিরাপত্তা ব্যবস্থাপনা সিস্টেম ISO এর সাথে প্রমাণিত, তথ্য নিরাপত্তার জন্য আন্তর্জাতিক মান এই সার্টিফিকেশন আমাদের সমগ্র সংস্থা জুড়ে আমাদের নীতি, পদ্ধতি এবং প্রযুক্তিগত নিয়ন্ত্রণগুলি কভার করে
GDPR সম্মতি: AskERP is fully compliant with the General ডেটা সুরক্ষা Regulation (GDPR). We have data processing agreements in place, respect user rights, enable lawful data transfers, and maintain breach notification procedures. Our privacy controls and consent mechanisms meet GDPR requirements.
ভারতীয় IT আইন সম্মতি: ভারতীয় এন্টারপ্রাইজ সেবাকারী একটি প্ল্যাটফর্ম হিসাবে, আমরা Information প্রযুক্তি Act, 2000 এবং এর নিয়মগুলি মেনে চলি আমরা প্রয়োজন অনুযায়ী ডেটা স্থানীয়করণ বজায় রাখি, উপযুক্ত প্রযুক্তিগত এবং সাংগঠনিক ব্যবস্থা প্রয়োগ করি এবং দায়িত্বশীল প্রকাশ অনুশীলন অনুসরণ করি
অতিরিক্ত সম্মতি: আমরা যেখানে কাজ করি সেখানে সমস্ত এখতিয়ারে প্রাসঙ্গিক নিয়ন্ত্রক কাঠামোর সাথে সম্মতি বজায় রাখতে প্রতিশ্রুতিবদ্ধ আমাদের সম্মতি অবস্থান নিয়মিত পর্যালোচনা এবং বিকশিত নিয়ন্ত্রক প্রয়োজনীয়তা প্রতিফলিত করার জন্য আপডেট করা হয়
স্বয়ংক্রিয় দৈনিক ব্যাকআপ: আমরা প্রতি ঘণ্টায় সমস্ত গ্রাহক ডেটার স্বয়ংক্রিয় এনক্রিপ্ট করা ব্যাকআপ সম্পাদন করি ব্যাকআপগুলি ভৌগোলিক অপ্রয়োজনীয়তার জন্য একাধিক AWS অঞ্চলে সংরক্ষণ করা হয় এটি অ্যাক্সিডেন্টাল ডিলিশন, দুর্নীতি বা দুর্যোগের ক্ষেত্রে দ্রুত পুনরুদ্ধার নিশ্চিত করে
৩০-দিনের ধারণ নীতি: ব্যাকআপ স্ন্যাপশটগুলি কমপক্ষে ৩০ দিনের জন্য ধরে রাখা হয়, ৩০ দিন আগে মোছা ডেটা পুনরুদ্ধার করার অনুমতি দেয় আইনত প্রয়োজনীয় সম্মতি উদ্দেশ্যগুলির জন্য পুরানো ব্যাকআপগুলি দীর্ঘ সময়ের জন্য ধরে রাখা হয়
পুনরুদ্ধার পয়েন্ট উদ্দেশ্য (RPO) < 1 Hour: আমাদের ব্যাকআপ ফ্রিকোয়েন্সি নিশ্চিত করে যে জরুরি অবস্থায় ডেটা হারানো ন্যূনতম, সাধারণত এক ঘন্টার কম ডেটা এই RPO বেশিরভাগ ব্যবসায়-সমালোচনামূলক অ্যাপ্লিকেশনের জন্য উপযুক্ত
পুনরুদ্ধার সময় উদ্দেশ্য (RTO) < 4 Hours: আমরা পুনরুদ্ধার শুরু করার ৪ ঘন্টার মধ্যে একটি ব্যাকআপ থেকে সম্পূর্ণ প্ল্যাটফর্ম পুনরুদ্ধার করতে পারি আংশিক পুনরুদ্ধারের জন্য (নির্দিষ্ট ডাটাবেস বা ব্যবহারকারী), পুনরুদ্ধার সাধারণত অনেক দ্রুত
নিয়মিত পুনরুদ্ধার পরীক্ষা: আমরা কার্যকারিতা নিশ্চিত করতে নিয়মিত ব্যাকআপ এবং পুনরুদ্ধার পদ্ধতি পরীক্ষা করি এই পরীক্ষাগুলি নথিভুক্ত করা হয় এবং কোন ফাঁক চিহ্নিত এবং সমাধান করতে পর্যালোচনা করা হয়
OWASP শীর্ষ ১০ সুরক্ষা: আমাদের উন্নয়ন অনুশীলনগুলি OWASP (ওপেন ওয়েব অ্যাপ্লিকেশন সিকিউরিটি প্রজেক্ট) নির্দেশিকা অনুসরণ করে শীর্ষ ১০ অ্যাপ্লিকেশন নিরাপত্তা ঝুঁকি থেকে রক্ষা করতে, যার মধ্যে রয়েছে ইনজেকশন আক্রমণ, ভাঙ্গা প্রমাণীকরণ, সংবেদনশীল ডেটা এক্সপোজার, XML বাহ্যিক সত্তা, ভাঙ্গা অ্যাক্সেস নিয়ন্ত্রণ, নিরাপত্তা ভুল কনফিগারেশন, ক্রস-সাইট স্ক্রিপ্টিং, অসুরক্ষিত ডিসেরিয়ালাইজেশন, পরিচিত দুর্বলতা সহ উপাদান ব্যবহার এবং অপর্যাপ্ত লগিং
SQL ইনজেকশন প্রতিরোধ: সমস্ত ডাটাবেস প্রশ্নপত্র প্যারামিটার করা বিবৃতি এবং প্রস্তুত বিবৃতি ব্যবহার করে ব্যবহারকারী ইনপুট কখনই সরাসরি SQL প্রশ্নপত্রে সংযুক্ত করা হয় না, SQL ইনজেকশন দুর্বলতা দূর করে
ক্রস-সাইট স্ক্রিপ্টিং (XSS) সুরক্ষা: ব্যবহারকারী-উত্পাদিত সামগ্রী রেন্ডারিংয়ের আগে পরিচ্ছন্ন এবং এস্কেপ করা হয় কন্টেন্ট সিকিউরিটি পলিসি (CSP) হেডারগুলি ইনলাইন স্ক্রিপ্টের বাস্তবায়ন সীমাবদ্ধ করে আমরা টেমপ্লেট ইঞ্জিন ব্যবহার করি যা ডিফল্টরূপে সামগ্রী স্বয়ংক্রিয়ভাবে এস্কেপ করে
CSRF টোকেন সুরক্ষা: সমস্ত অবস্থা-পরিবর্তনশীল অপারেশনের জন্য বৈধ ক্রস-সাইট অনুরোধ জালিয়াতি (CSRF) টোকেন প্রয়োজন এই টোকেনগুলি প্রতিটি সেশনের জন্য অনন্য এবং প্রতিটি অনুরোধে যাচাই করা হয়, বাহ্যিক ওয়েবসাইট থেকে অননুমোদিত ব্যবস্থা প্রতিরোধ করে
নিয়মিত অনুপ্রবেশ পরীক্ষা: আমরা বার্ষিক তৃতীয় পক্ষের অনুপ্রবেশ পরীক্ষা পরিচালনা করি আক্রমণকারীরা সেগুলি কাজে লাগানোর আগে দুর্বলতা চিহ্নিত করতে ফলাফলগুলি পর্যালোচনা করা হয় এবং ফলাফলগুলি অবিলম্বে সমাধান করা হয় ক্রমাগত স্বয়ংক্রিয় নিরাপত্তা স্ক্যানিং ম্যানুয়াল পরীক্ষার পরিপূরক
নিরাপত্তা শিরোনাম: আমাদের সার্ভারগুলি X-Frame-Options (ক্লিকজ্যাকিং প্রতিরোধ করে), X-Content-Type-Options (MIME স্নিফিং প্রতিরোধ করে) এবং Referrer-Policy সহ নিরাপত্তা শিরোনাম নির্গত করে এই শিরোনামগুলি ব্রাউজারগুলিকে অতিরিক্ত নিরাপত্তা ব্যবস্থা প্রয়োগ করতে নির্দেশ দেয়
গোপনীয়তা নীতি: আমাদের বিস্তারিত গোপনীয়তা নীতি আমরা কীভাবে আপনার ব্যক্তিগত ডেটা সংগ্রহ, ব্যবহার, সংরক্ষণ এবং সুরক্ষা করি তা বর্ণনা করে আমরা আপনার অধিকার এবং আমাদের বাধ্যবাধকতা বুঝতে এটি পর্যালোচনা করার সুপারিশ করি
ডেটা প্রক্রিয়াকরণ চুক্তি: GDPR বা অন্যান্য চুক্তিগত প্রতিশ্রুতি প্রয়োজন এমন গ্রাহকদের জন্য, আমরা ব্যাপক ডেটা প্রক্রিয়াকরণ চুক্তি (DPA) প্রদান করি যা নিয়ন্ত্রক এবং প্রক্রিয়াকরণকারীর ভূমিকা স্পষ্ট করে, আইনসম্মত প্রক্রিয়াকরণ ভিত্তি সংজ্ঞায়িত করে এবং নিরাপত্তা বাধ্যবাধকতা নির্দিষ্ট করে
ন্যূনতম ডেটা সংগ্রহ: আমরা শুধুমাত্র AskERP প্রদান করতে এবং আমাদের সেবা উন্নত করতে প্রয়োজনীয় ডেটা সংগ্রহ করি ব্যবহারকারীরা তারা কী ডেটা শেয়ার করেন তা নিয়ন্ত্রণ করতে পারে এবং আমরা ব্যক্তিগত ডেটা রপ্তানি এবং মুছে দেওয়ার সরঞ্জাম অনুরোধের উপর ভিত্তি করে প্রদান করি
তৃতীয়-পক্ষ পরীক্ষা: আমরা একীভূত করি এমন সমস্ত তৃতীয় পক্ষের সেবাগুলি নিরাপত্তা এবং গোপনীয়তা সম্মতির জন্য যাচাই করা হয় বিক্রেতাদের অবশ্যই আমাদের নিরাপত্তা মান পূরণ করতে হবে এবং একীকরণের আগে ডেটা প্রসেসিং চুক্তিতে স্বাক্ষর করতে হবে
/ নিরাপত্তা নিরীক্ষণ: আমাদের নিরাপত্তা অপারেশন কেন্দ্র (SOC) সন্দেহজনক কার্যকলাপ, অসঙ্গতি এবং সম্ভাব্য লঙ্ঘনের জন্য / প্ল্যাটফর্ম পর্যবেক্ষণ করে স্বয়ংক্রিয় সনাক্তকরণ সিস্টেমগুলি সম্ভাব্য হুমকি সম্পর্কে রিয়েল-টাইমে আমাদের দলকে সতর্ক করে
ঘটনা প্রতিক্রিয়া দল: সনাক্তকরণ, অবরোধ, নির্মূল এবং পুনরুদ্ধার কভার করে একটি নথিভুক্ত ঘটনা প্রতিক্রিয়া পরিকল্পনা অনুসরণ করে নিরাপত্তা ঘটনা মোকাবেলা করতে একটি নিবেদিত ঘটনা প্রতিক্রিয়া দল অন-কল রয়েছে
সংকটপূর্ণ সমস্যা প্রতিক্রিয়া সময় < 1 Hour: ডেটা গোপনীয়তা বা প্রাপ্যতা প্রভাবিত করে এমন গুরুত্বপূর্ণ নিরাপত্তা সমস্যার জন্য, আমাদের দল সনাক্তকরণের ১ ঘন্টার মধ্যে প্রতিক্রিয়া শুরু করে আমরা হুমকি প্রতিরোধ এবং প্রভাব কমানোকে অগ্রাধিকার দিই
লঙ্ঘন বিজ্ঞপ্তি: নিশ্চিত ডেটা লঙ্ঘনের ক্ষেত্রে, আমরা GDPR এবং অন্যান্য প্রবিধান দ্বারা প্রয়োজনীয় ৭ ঘণ্টার মধ্যে প্রভাবিত গ্রাহকদের অবহিত করি বিজ্ঞপ্তিতে লঙ্ঘনের বিবরণ, প্রভাবিত ডেটা, গৃহীত ব্যবস্থা এবং সুপারিশকৃত গ্রাহক ব্যবস্থা অন্তর্ভুক্ত রয়েছে
ঘটনা-পরবর্তী পর্যালোচনা: যেকোনো নিরাপত্তা ঘটনার পরে, আমরা মূল কারণ চিহ্নিত করতে এবং পুনরাবৃত্তি প্রতিরোধ করতে সংশোধনমূলক পদক্ষেপ প্রয়োগ করতে একটি পুঙ্খানুপুঙ্খ ঘটনা-পরবর্তী পর্যালোচনা পরিচালনা করি
যদি আপনার আমাদের নিরাপত্তা অনুশীলন সম্পর্কে প্রশ্ন থাকে, একটি দুর্বলতা রিপোর্ট করতে চান বা সম্মতি প্রয়োজনীয়তা আলোচনা করতে চান, তথ্যপূর্ণ আমাদের নিরাপত্তা দলকে যোগাযোগ করুন:
ইমেল: নিরাপত্তা@askerp.com
প্রতিক্রিয়া সময়: আমরা ২৪ ঘন্টার মধ্যে সমস্ত নিরাপত্তা অনুসন্ধান স্বীকার করার লক্ষ্য রাখি
দায়িত্বশীল প্রকাশ: আমরা দায়িত্বশীল নিরাপত্তা প্রকাশকে স্বাগত জানাই আমাদের সেগুলি সমাধান করার সময় দেওয়ার আগে দুর্বলতাগুলি জনসম্মুখে প্রকাশ করবেন না