आपकी डेटा सुरक्षा हमारी शीर्ष प्राथमिकता है
AskERP में, सुरक्षा एक दूसरी सोच नहीं है—यह हमारे प्लेटफॉर्म डिज़ाइन और संचालन के लिए मौलिक है। हम समझते हैं कि आपका डेटा आपके व्यावसायिक के लिए महत्वपूर्ण है, और हम इसे हर स्तर पर रक्षा करने के लिए व्यापक उपायों को अपनाते हैं। हमरा व्यापक सुरक्षा ढांचा तकनीकी नियंत्रण, परिचालन प्रक्रियाओं और उद्योग सर्वोत्तम प्रथाओं को जोड़ता है ताकि आपकी जानकारी गोपनीय, अभिन्न और उपलब्ध रहे।
हम नियमित ऑडिट, पेनिट्रेशन टेस्टिंग और खतरे के आकलन के साथ एक निरंतर सुरक्षा मुद्रा बनाए रखते हैं। हमारी समर्पित सुरक्षा टीम 24/7 खतरों की निगरानी करती है, मिनटों में घटनाओं का जवाब देती है और अंतर्राष्ट्रीय मानकों और विनियमों के साथ अनुपालन बनाए रखती है।
AWS पर क्लाउड होस्टिंग: हम AskERP को Amazon Web Services पर होस्ट करते हैं, एक विश्व-स्तरीय क्लाउड बुनियादी ढांचा प्रदाता। AWS विभिन्न ढांचे में एंटरप्राइज-ग्रेड सुरक्षा, वैश्विक डेटा केंद्र अनावश्यकता और अनुपालन प्रमाणपत्र प्रदान करता है। यह सुनिश्चित करता है कि आपका डेटा AWS की व्यापक सुरक्षा निवेश और बुनियादी ढांचा सख्ती से लाभान्वित होता है।
बहु-क्षेत्र अनावश्यकता: उच्च उपलब्धता और आपदा पुनरावृत्ति सुनिश्चित करने के लिए हमारा प्लेटफॉर्म कई AWS क्षेत्रों में तैनात है। यदि एक क्षेत्र में आउटेज होता है, तो ट्रैफिक स्वचालित रूप से बैकअप क्षेत्रों में रूट होता है, निरंतर सेवा सुनिश्चित करता है। विफलता के एकल बिंदुओं को रोकने के लिए आपका डेटा भौगोलिक रूप से अलग-अलग डेटा केंद्रों में दोहराया जाता है।
DDoS सुरक्षा: AWS Shield Standard वितरित अस्वीकार-सेवा (DDoS) हमलों के खिलाफ स्वचालित सुरक्षा प्रदान करता है। बेहतर सुरक्षा के लिए, हम AWS Shield Advanced और WAF नियमों का उपयोग करते हैं ताकि परिष्कृत हमलों को वास्तविक समय में पता लगाया जा सके और हल किया जा सके।
फायरवॉल और नेटवर्क सुरक्षा: हमरा बुनियादी ढांचा फायरवॉल, सुरक्षा समूहों और नेटवर्क पहुंच नियंत्रण सूचियों की कई परतों द्वारा संरक्षित है। आने वाले ट्रैफिक आवश्यक बंदरगाहों और प्रोटोकॉल तक सीमित है, जबकि आउटगोइंग ट्रैफिक की निगरानी और लॉगिंग की जाती है। हम महत्वपूर्ण सिस्टम को अलग करने के लिए परिधि और आंतरिक विभाजन दोनों को नियोजित करते हैं।
आराम में एन्क्रिप्शन: हमारे डेटाबेस, भंडारण प्रणाली और बैकअप में संग्रहीत सभी डेटा उद्योग-मानक 256-बिट AES-256 एन्क्रिप्शन का उपयोग करके एन्क्रिप्ट किए जाते हैं। एन्क्रिप्शन कुंजियों को AWS कुंजी प्रबंधन सेवा (KMS) के माध्यम से प्रबंधित किया जाता है, कड़े पहुंच नियंत्रण और स्वचालित कुंजी रोटेशन नीतियों के साथ।
ट्रांजिट में एन्क्रिप्शन: आपकी डिवाइस और हमारे सर्वर के बीच प्रेषित सभी डेटा TLS 1.3 एन्क्रिप्शन का उपयोग करते हैं, ट्रांसपोर्ट लेयर सुरक्षा प्रोटोकॉल का नवीनतम और सबसे सुरक्षित संस्करण। यह सभी संचार पर लागू होता है, जिसमें API कॉल, वेब ट्रैफिक और फ़ाइल अपलोड शामिल हैं। कमजोर साइफर सूट को अक्षम किया जाता है।
एन्क्रिप्ट किए गए बैकअप: दैनिक बैकअप स्नैपशॉट एन्क्रिप्ट किए जाते हैं और संस्करण के साथ सुरक्षित AWS S3 बाल्टियों में संग्रहीत होते हैं। बैकअप एन्क्रिप्शन उत्पादन डेटा के समान AES-256 मानक का उपयोग करता है। बैकअप तक पहुंच केवल अधिकृत कर्मियों के लिए प्रतिबंधित है, और बैकअप अखंडता नियमित रूप से सत्यापित की जाती है।
अंत से अंत सुरक्षा: संवेदनशील संचालन आदमी-बीच-आदमी हमलों को रोकने के लिए प्रमाणपत्र पिनिंग का उपयोग करते हैं। HTTP Strict Transport सुरक्षा (HSTS) हेडर एन्क्रिप्ट किए गए कनेक्शनों को लागू करते हैं, और Perfect Forward Secrecy सुनिश्चित करता है कि भले ही दीर्घमेयादी कुंजियों से समझौता किया गया हो, पिछले सत्र सुरक्षित रहते हैं।
भूमिका-आधारित पहुंच नियंत्रण (RBAC): AskERP granular भूमिका-आधारित पहुंच नियंत्रण को लागू करता है, जिससे प्रशासकों को विभिन्न उपयोगकर्ता भूमिकाओं के लिए विशिष्ट अनुमतियों को परिभाषित करने की अनुमति मिलती है। उपयोगकर्ता केवल उनकी भूमिका के लिए प्रासंगिक डेटा और सुविधाओं तक पहुंच सकते हैं। जब उपयोगकर्ता भूमिकाएं बदलते हैं या संगठन छोड़ते हैं तो पहुंच स्वचालित रूप से रद्द की जाती है।
सिंगल साइन-ऑन (SSO) और SAML: हम SAML 2.0 के माध्यम से एंटरप्राइज SSO एकीकरण का समर्थन करते हैं, जिससे आपके संगठन को केंद्रीय रूप से प्रमाणीकरण प्रबंधित करने की अनुमति मिलती है। यह मजबूत पासवर्ड, आसान साख प्रबंधन और पूर्व कर्मचारियों की तेजी से ऑफबोर्डिंग सुनिश्चित करता है।
दो-कारक प्रमाणीकरण (2FA): उपयोगकर्ता प्रमाणक ऐप्स (TOTP) या SMS का उपयोग करके दो-कारक प्रमाणीकरण को सक्षम कर सकते हैं। 2FA सभी उपयोगकर्ताओं के लिए अनुशंसित है और प्रशासनिक खातों के लिए अनिवार्य है। यह भले ही पासवर्ड से समझौता किया गया हो तब भी सुरक्षा की एक अतिरिक्त परत जोड़ता है।
व्यापक ऑडिट लॉग: सभी उपयोगकर्ता कार्य, डेटा पहुंच और सिस्टम परिवर्तन टाइमस्टैम्प और उपयोगकर्ता पहचानकर्ताओं के साथ लॉग किए जाते हैं। ये लॉग अपरिवर्तनीय हैं और अनुपालन उद्देश्यों के लिए प्रतिधारित हैं। प्रशासक संदिग्ध गतिविधि की जांच करने और जवाबदेही बनाए रखने के लिए ऑडिट ट्रेल की समीक्षा कर सकते हैं।
सेशन प्रबंधन: उपयोगकर्ता सत्र समय सीमा नीतियों के साथ सुरक्षित रूप से प्रबंधित किए जाते हैं, परित्यक्त डिवाइस से अनधिकृत पहुंच को रोकते हुए। सत्र टोकन लॉगआउट पर अमान्य किए जाते हैं, और समवर्ती सत्र सीमाओं को कॉन्फ़िगर किया जा सकता है।
SOC 2 Type II: हम SOC 2 Type II अनुपालन बनाए रखते हैं, यह दर्शाते हुए कि हमारे नियंत्रण उद्योग मानकों को पूरा करने के लिए प्रभावी ढंग से डिज़ाइन, कार्यान्वित और संचालित किए जाते हैं। नियमित स्वतंत्र ऑडिट हमारी सुरक्षा, उपलब्धता, प्रसंस्करण अखंडता, गोपनीयता और गोपनीयता नियंत्रण को सत्यापित करते हैं।
ISO 27001: हमरा सूचना सुरक्षा प्रबंधन प्रणाली ISO 27001 के लिए प्रमाणित है, सूचना सुरक्षा के लिए अंतर्राष्ट्रीय मानक। यह प्रमाणपत्र हमारी नीतियों, प्रक्रियाओं और पूरे संगठन में तकनीकी नियंत्रण को कवर करता है।
GDPR अनुपालन: AskERP सामान्य डेटा संरक्षण विनियमन (GDPR) के साथ पूरी तरह अनुरूप है। हमने डेटा प्रसंस्करण समझौते स्थापित किए हैं, उपयोगकर्ता अधिकारों का सम्मान करते हैं, वैध डेटा स्थानांतरण सक्षम करते हैं, और उल्लंघन अधिसूचना प्रक्रियाएं बनाए रखते हैं। हमरा गोपनीयता नियंत्रण और सहमति तंत्र GDPR आवश्यकताओं को पूरा करते हैं।
भारतीय IT अधिनियम अनुपालन: भारतीय उद्यमों को परिवहन करने वाले प्लेटफॉर्म के रूप में, हम सूचना प्रौद्योगिकी अधिनियम, 2000 और इसके नियमों का पालन करते हैं। हम जहां आवश्यक हो डेटा स्थानीयकरण बनाए रखते हैं, उपयुक्त तकनीकी और संगठनात्मक उपायों को लागू करते हैं, और जिम्मेदार प्रकटीकरण प्रथाओं का पालन करते हैं।
अतिरिक्त अनुपालन: हम उन सभी अधिक्षेत्रों में प्रासंगिक नियामक ढांचे के साथ अनुपालन बनाए रखने के लिए प्रतिबद्ध हैं जहां हम संचालित करते हैं। हमरा अनुपालन मुद्रा नियमित रूप से समीक्षा और विकसित नियामक आवश्यकताओं को प्रतिबिंबित करने के लिए अपडेट किया जाता है।
स्वचालित दैनिक बैकअप: हम हर 24 घंटे सभी ग्राहक डेटा के स्वचालित एन्क्रिप्ट किए गए बैकअप करते हैं। भौगोलिक अनावश्यकता के लिए बैकअप कई AWS क्षेत्रों में संग्रहीत किए जाते हैं। यह आकस्मिक हटाने, भ्रष्टाचार या आपदा की स्थिति में तेजी से पुनरावृत्ति सुनिश्चित करता है।
30 दिन की प्रतिधारण नीति: बैकअप स्नैपशॉट कम से कम 30 दिनों के लिए प्रतिधारित किए जाते हैं, जिससे 30 दिन पहले हटाए गए डेटा की पुनरावृत्ति की अनुमति मिलती है। पुरानी बैकअप कानूनी रूप से आवश्यक अनुपालन उद्देश्यों के लिए अधिक समय तक प्रतिधारित की जाती है।
पुनरावृत्ति बिंदु उद्देश्य (RPO) < 1 Hour: हमरा बैकअप आवृत्ति सुनिश्चित करती है कि आपातकाल की स्थिति में डेटा नुकसान न्यूनतम है, आमतौर पर एक घंटे से कम डेटा। यह RPO अधिकांश व्यावसायिक-महत्वपूर्ण अनुप्रयोगों के लिए उपयुक्त है।
पुनरावृत्ति समय उद्देश्य (RTO) < 4 Hours: हम पुनरावृत्ति शुरू करने के 4 घंटे के भीतर बैकअप से पूरे प्लेटफॉर्म को पुनर्स्थापित कर सकते हैं। आंशिक पुनरावृत्ति (विशिष्ट डेटाबेस या उपयोगकर्ता) के लिए, पुनर्स्थापन आमतौर पर बहुत तेजी है।
नियमित पुनरावृत्ति परीक्षण: हम प्रभावशीलता सुनिश्चित करने के लिए बैकअप और पुनरावृत्ति प्रक्रियाओं को नियमित रूप से परीक्षण करते हैं। ये परीक्षण किसी भी अंतराल की पहचान और समाधान के लिए प्रलेखित और समीक्षा की जाती है।
OWASP शीर्ष 10 सुरक्षा: हमरी विकास प्रथाएं शीर्ष 10 आवेदन सुरक्षा जोखिमों के खिलाफ सुरक्षा के लिए OWASP (खुली वेब आवेदन सुरक्षा परियोजना) दिशानिर्देशों का पालन करती हैं, जिनमें इंजेक्शन हमले, टूटी हुई प्रमाणीकरण, संवेदनशील डेटा जोखिम, XML बाहरी संस्थाएं, टूटी हुई पहुंच नियंत्रण, सुरक्षा गलतकारिता, क्रॉस-साइट स्क्रिप्टिंग, असुरक्षित deserialisation, ज्ञात कमजोरियों के साथ घटकों का उपयोग, और अपर्याप्त लॉगिंग शामिल हैं।
SQL इंजेक्शन रोकथाम: सभी डेटाबेस प्रश्न पैरामीटर किए गए स्टेटमेंट और तैयार स्टेटमेंट का उपयोग करते हैं। उपयोगकर्ता इनपुट को कभी भी SQL प्रश्नों में सीधे जोड़ा नहीं जाता है, SQL इंजेक्शन कमजोरियों को समाप्त करता है।
क्रॉस-साइट स्क्रिप्टिंग (XSS) सुरक्षा: उपयोगकर्ता-जनित सामग्री प्रदान करने से पहले कीटाणुरहित और बच जाती है। सामग्री सुरक्षा नीति (CSP) हेडर इनलाइन स्क्रिप्ट के निष्पादन को प्रतिबंधित करते हैं। हम टेम्पलेट इंजन का उपयोग करते हैं जो डिफ़ॉल्ट रूप से सामग्री को स्वचालित करते हैं।
CSRF टोकन सुरक्षा: सभी राज्य-परिवर्तन संचालन वैध क्रॉस-साइट अनुरोध जाली (CSRF) टोकन की आवश्यकता होती है। ये टोकन प्रति सेशन अद्वितीय हैं और हर अनुरोध पर सत्यापित किए जाते हैं, बाहरी वेबसाइटों से अनधिकृत कार्यों को रोकते हैं।
नियमित पेनिट्रेशन टेस्टिंग: हम आक्रमणकारियों से पहले कमजोरियों की पहचान करने के लिए वार्षिक तृतीय-पक्ष पेनिट्रेशन टेस्टिंग आयोजित करते हैं। परिणामों की समीक्षा की जाती है, और निष्कर्षों को तुरंत ठीक किया जाता है। निरंतर स्वचालित सुरक्षा स्कैनिंग मैनुअल टेस्टिंग को पूरक करता है।
सुरक्षा हेडर: हमरे सर्वर X-Frame-Options (क्लिकजैकिंग को रोकता है), X-Content-Type-Options (MIME स्निफिंग को रोकता है) और रेफरर-नीति सहित सुरक्षा हेडर उत्सर्जित करते हैं। ये हेडर ब्राउजर को अतिरिक्त सुरक्षा उपायों को लागू करने का निर्देश देते हैं।
गोपनीयता नीति: हमारा विस्तृत गोपनीयता नीति बताता है कि हम आपकी व्यक्तिगत जानकारी को कैसे संग्रहित, उपयोग, स्टोर और रक्षा करते हैं। हम आपने अधिकारों और हमारे दायित्वों को समझने के लिए इसकी समीक्षा करने की सलाह देते हैं।
डेटा प्रसंस्करण समझौते: GDPR या अन्य संविदात्मक प्रतिबद्धताओं की आवश्यकता वाले ग्राहकों के लिए, हम व्यापक डेटा प्रसंस्करण समझौते (DPA) प्रदान करते हैं जो नियंत्रक और प्रोसेसर की भूमिकाओं को स्पष्ट करते हैं, वैध प्रसंस्करण आधार को परिभाषित करते हैं और सुरक्षा दायित्वों को निर्दिष्ट करते हैं।
न्यूनतम डेटा संग्रह: हम केवल AskERP प्रदान करने और हमारी सेवा में सुधार के लिए आवश्यक डेटा संग्रहित करते हैं। उपयोगकर्ता नियंत्रित कर सकते हैं कि वे कौन सा डेटा साझा करते हैं, और हम अनुरोध पर व्यक्तिगत डेटा को निर्यात और हटाने के लिए उपकरण प्रदान करते हैं।
तृतीय-पक्ष जांच: हम जो सभी तृतीय-पक्ष सेवाएं एकीकृत करते हैं वे सुरक्षा और गोपनीयता अनुपालन के लिए सत्यापित की जाती हैं। विक्रेताओं को एकीकरण से पहले हमारे सुरक्षा मानकों को पूरा करना चाहिए और डेटा प्रसंस्करण समझौतों पर हस्ताक्षर करना चाहिए।
24/7 सुरक्षा निगरानी: हमारे सुरक्षा संचालन केंद्र (SOC) संदिग्ध गतिविधि, विसंगतियों और संभावित उल्लंघनों के लिए प्लेटफॉर्म की 24/7 निगरानी करते हैं। स्वचालित पहचान प्रणाली हमारी टीम को वास्तविक समय में संभावित खतरों के बारे में अलर्ट करती है।
घटना प्रतिक्रिया टीम: एक समर्पित घटना प्रतिक्रिया टीम सुरक्षा घटनाओं को संबोधित करने के लिए कॉल पर है। हम पहचान, निहितार्थ, उन्मूलन और पुनरावृत्ति को कवर करने वाली एक प्रलेखित घटना प्रतिक्रिया योजना का पालन करते हैं।
महत्वपूर्ण समस्या प्रतिक्रिया समय < 1 Hour: डेटा गोपनीयता या उपलब्धता को प्रभावित करने वाले महत्वपूर्ण सुरक्षा समस्याओं के लिए, हमारी टीम पहचान के 1 घंटे के भीतर प्रतिक्रिया शुरू करती है। हम खतरों को नियंत्रित करने और प्रभाव को कम करने को प्राथमिकता देते हैं।
उल्लंघन अधिसूचना: एक पुष्टि किए गए डेटा उल्लंघन की स्थिति में, हम GDPR और अन्य विनियमों द्वारा आवश्यक 72 घंटों के भीतर प्रभावित ग्राहकों को सूचित करते हैं। सूचनाओं में उल्लंघन के विवरण, प्रभावित डेटा, किए गए उपायों और सिफारिश किए गए ग्राहक कार्य शामिल हैं।
घटना पश्चात समीक्षा: किसी भी सुरक्षा घटना के बाद, हम मूल कारणों की पहचान करने और पुनरावृत्ति को रोकने के लिए सुधारात्मक कार्यों को लागू करने के लिए एक पूर्ण घटना पश्चात समीक्षा करते हैं।
यदि आपके पास हमारी सुरक्षा प्रथाओं के बारे में कोई प्रश्न है, कमजोरी की रिपोर्ट करना चाहते हैं, या अनुपालन आवश्यकताओं पर चर्चा करना चाहते हैं, तो कृपया हमारी सुरक्षा टीम से संपर्क करें:
ईमेल: सुरक्षा@askerp.com
प्रतिक्रिया समय: हम 24 घंटे के भीतर सभी सुरक्षा पूछताछ को स्वीकार करने का लक्ष्य रखते हैं।
जिम्मेदार प्रकटीकरण: हम जिम्मेदार सुरक्षा प्रकटीकरण का स्वागत करते हैं। कृपया हमें उन्हें संबोधित करने के लिए समय देने से पहले कमजोरियों को सार्वजनिक रूप से प्रकट न करें।