मुख्यपृष्ठ / सुरक्षा आणि अनुपालन

सुरक्षा आणि अनुपालन

आपल्या डेटा सुरक्षा आमचे प्रमुख प्राधान्य आहे

२५६-बिट एन्क्रिप्शन
प्रशिक्षणादरम्यान आणि विश्रांतीमध्ये सर्व डेटांसाठी सैन्य-श्रेणी एन्क्रिप्शन
९९.९९% अपटाइम
रिडंडंट अवसंरचनासह गॅरंटीकृत सेवा उपलब्धता
SOC २ प्रमाणित
स्वतंत्रपणे ऑडिट केलेले सुरक्षा नियंत्रण आणि प्रक्रिया
दैनिक बैकअप
30-दिवसीय प्रतिधारण नीति सह स्वयंचल दैनिक बॅकअप

आमची सुरक्षा प्रतिबद्धता

AskERP येथे, सुरक्षा एक उत्तरविचार नाही — हे आमच्या प्लॅटफॉर्म डिজाइन आणि कार्यांसाठी मूलभूत आहे. आम्हाला समजते की आपका डेटा आपले व्यावसायिक गंभीर आहे, आणि आम्ही प्रत्येक स्तरावर ते संरक्षित करण्यासाठी विस्तृत उपाय करतो. आमचे व्यापक सुरक्षा फ्रेमवर्क तांत्रिक नियंत्रण, कार्यचारी प्रक्रिया आणि उद्योग सर्वोत्तम प्रथांचे संयोजन करते ताकि आपली माहिती गोपनीय, अखंड आणि उपलब्ध राहे.

आम्ही नियमित ऑडिट, पेनिट्रेशन टेस्टिंग आणि धमकी मूल्यांकनांसह सतत सुरक्षा स्थिति राखतो. आमची समर्पित सुरक्षा टीम 24/7 धमक्या निरीक्षण करते, मिनिटांमध्ये घटनांना प्रतिसाद देते, आणि आंतरराष्ट्रीय मानकांचा आणि नियमांचा अनुपालन राखते.

अवसंरचना सुरक्षा

AWS वर क्लाउड होस्टिंग: आम्ही अमेজाँन वेब सेवा वर AskERP होस्ट करतो, एक विश्वमानाचा क्लाउड अवसंरचना प्रदाता. AWS एंटरप्राइज-ग्रेड सुरक्षा, वैश्विक डेटा केंद्र नकल आणि अनेक रचना व्यापी अनुपालन प्रमाणपत्र प्रदान करते. हे सुनिश्चित करते की आपल्या डेटा AWS च्या व्यापक सुरक्षा गुंतवणुका आणि अवसंरचना कठोरीकरणाचा लाभ घेते.

बहु-क्षेत्र रिडंडेंसी: आमचा प्लॅटफॉर्म उच्च उपलब्धता आणि आपत्ती पुनर्प्राप्ती सुनिश्चित करण्यासाठी अनेक AWS क्षेत्रांमध्ये तैनात आहे. जर एक क्षेत्र आऊटेज अनुभवत असेल तर ट्रॅफिक स्वयंचलितपणे बॅकअप क्षेत्रांकडे वळतो, सतत सेवा सुनिश्चित करते. आपल्या डेटाचे प्रतिकृती अपयशाच्या एकल बिंदू रोखण्यासाठी भौगोलिकरित्या विखुरलेल्या डेटा केंद्रांमध्ये केले जाते.

DDoS संरक्षण: AWS Shield प्रमाण वितरित सेवा अस्वीकार (DDoS) आक्रमणांविरुद्ध स्वयंचलित संरक्षण प्रदान करते. वर्धित संरक्षणासाठी, आम्ही AWS Shield Advanced आणि WAF नियम वापरून परिष्कृत आक्रमण वास्तविक-वेळी शोधतो आणि कमी करतो।

फायरवॉल आणि नेटवर्क सुरक्षा: आमची अवसंरचना फायरवॉल, सुरक्षा गटांचे अनेक स्तर आणि नेटवर्क प्रवेश नियंत्रण सूचींद्वारे संरक्षित आहे. इनबाउंड ट्रॅफिक आवश्यक पोर्ट आणि प्रोटोकॉलपर्यंत प्रतिबंधित आहे, तर आउटबाउंड ट्रॅफिक निरीक्षण आणि लॉग केले जाते. आम्ही गंभीर प्रणाली अलग करण्यासाठी परिमिति आणि आंतरिक विभाजन दोन्ही नियुक्त करतो.

डेटा एन्क्रिप्शन

विश्राम पर एन्क्रिप्शन: आमच्या डेटाबेस, संग्रहण प्रणाली आणि बॅकअपमध्ये संग्रहित सर्व डेटा उद्योग-मानक 256-बिट AES-256 एन्क्रिप्शन वापरून एन्क्रिप्ट केला जातो. एन्क्रिप्शन की AWS Key Management Service (KMS) द्वारे व्यवस्थापित केल्या जातात, कठोर प्रवेश नियंत्रण आणि स्वयंचलित की रोटेशन नीतींसह.

संक्रमणात एन्क्रिप्शन: आपल्या डिव्हाइस आणि आमच्या सर्व्हरमधील प्रेषित केलेला सर्व डेटा TLS 1.3 एन्क्रिप्शन वापरतो, हे ट्रान्सपोर्ट लेयर सिक्युरिटी प्रोटोकॉलची सर्वশेष आणि सर्वात सुरक्षित आवृत्ती आहे. हे API कॉल, वेब ट्रॅफिक आणि फाइल अपलोड सह सर्व संप्रेषणांना लागू होते. कमजोर सायफर सूट अक्षम केले आहेत.

एन्क्रिप्ट किए गए बैकअप: दैनिक बॅकअप स्नॅपशॉट एन्क्रिप्ट केले जातात आणि संस्करण सक्षम असलेल्या सुरक्षित AWS S3 बकेटमध्ये संग्रहित केले जातात. बॅकअप एन्क्रिप्शन उत्पादन डेटाप्रमाणे समान AES-256 मान वापरते. बॅकअपचा प्रवेश केवळ अधिकृत कर्मचार्यांपर्यंत मर्यादित आहे, आणि बॅकअप अखंडता नियमितपणे सत्यापित केली जाते.

अंत-ते-अंत सुरक्षा: संवेदनशील ऑपरेशन मध्य-मध्य हल्ले प्रतिबंधित करण्यासाठी प्रमाणपत्र पिनिंग वापरतात. HTTP Strict परिवहन सुरक्षा (HSTS) शीर्षले एन्क्रिप्ट केलेले कनेक्शन लागू करतात, आणि Perfect Forward Secrecy सुनिश्चित करते की जरी दीर्घकालीन की तडजोड झाली असली तरी भूतकाळीन सेशन सुरक्षित राहतात.

प्रवेश नियंत्रण

भूमिका-आधारित प्रवेश नियंत्रण (RBAC): AskERP granular भूमिका-आधारित प्रवेश नियंत्रण लागू करते, ज्यामुळे प्रशासकांना विविध वापरकर्ता भूमिकांसाठी विशिष्ट परवानग्या परिभाषित करता येते. वापरकर्त्यांना त्यांच्या भूमिकेशी संबंधित डेटा आणि वैशिष्ट्यांचा प्रवेश मिळू शकतो. वापरकर्ते भूमिका बदलतात किंवा संस्था सोडतात तेव्हा प्रवेश स्वयंचलितपणे रद्द केला जातो.

सिंगल साइन-ऑन (SSO) आणि SAML: आम्ही SAML 2.0 द्वारे एंटरप्राइज SSO एकीकरण समर्थन करतो, जो आपल्या संस्थाला प्रमाणीकरण केंद्रीयरित्या व्यवस्थापित करण्यास अनुमती देते. हे मजबूत पासवर्ड, सहज सांख्यिक व्यवस्थापन आणि माजी कर्मचार्यांचे वेगवान ऑफबोर्डिंग सुनिश्चित करते।

दोन-घटक प्रमाणीकरण (2FA): उपयोगकर्ते प्रमाणक अ‍ॅप्स (TOTP) किंवा SMS वापरून दोन-घटक प्रमाणीकरण सक्षम करू शकतात. 2FA सर्व उपयोगकर्त्यांसाठी शिफारस केली जाते आणि प्रशासकीय खात्यांसाठी अनिवार्य आहे. हे पासवर्ड तडजन्य झाले तरीही सुरक्षेचा अतिरिक्त स्तर जोडते।

व्यापक ऑडिट लॉग: सर्व वापरकर्ता क्रिया, डेटा प्रवेश आणि सिस्टम बदल टाइमस्टँप आणि वापरकर्ता ओळखीकरणासह लॉग केले जातात. हे लॉग अपरिवर्तनीय आहेत आणि अनुपालन उद्देशांसाठी राखले जातात. प्रशासक संदिग्ध कृत्यविषयक तपास करण्यास आणि जबाबदारिता राखण्यासाठी ऑडिट ट्रेल पुनरावलोकन करू शकतात.

सत्र प्रबंधन: उपयोगकर्ता सेशन टाइमआउट नीतीसह सुरक्षितरित्या व्यवस्थापित केले जातात, परित्यक्त उपकरणांपासून अनधिकृत प्रवेश रोखते. सेशन टोकन लॉगआउटवर अमान्य केले जातात आणि समवर्ती सेशन मर्यादा कॉन्फिगर केली जाऊ शकते।

अनुपालन मानक

SOC २ Type II: आम्ही SOC 2 Type II अनुपालन राखतो, जो दर्शविते की आमचे नियंत्रण उद्योग मानकांची पूर्तता करण्यासाठी डिझाइन, कार्यान्वित आणि प्रभावीरीत्या कार्यरत आहेत. नियमित स्वतंत्र ऑडिट आमच्या सुरक्षा, उपलब्धता, प्रक्रिया अखंडता, गोपनीयता आणि गोपनीयता नियंत्रणांचा सत्यापन करतात.

ISO 27001: आमची माहिती सुरक्षा व्यवस्थापन प्रणाली ISO 27001 साठी प्रमाणित आहे, माहिती सुरक्षेचा आंतरराष्ट्रीय मानक. हे प्रमाणपत्र संपूर्ण संस्थेमध्ये आमच्या नीती, प्रक्रिया आणि तांत्रिक नियंत्रणे कव्हर करते।

GDPR अनुपालन: AskERP सामान्य डेटा संरक्षण विनियमातून (GDPR) पूर्ण अनुपालन आहे. आमच्याकडे डेटा प्रोसेसिंग करार आहेत, वापरकर्ता अधिकारांचा आदर करतो, कायदेशीर डेटा स्थानांतरण सक्षम करतो आणि उल्लंघन सूचना प्रक्रिया राखून ठेवतो. आमचे गोपनीयता नियंत्रण आणि सहमती यंत्रणा GDPR आवश्यकता पूरण करते.

भारतीय IT कायदा अनुपालन: भारतीय एंटरप्राइजसेवा करणार्या मंचाप्रमाणे, आम्ही Information तकनीक Act, 2000 आणि त्याच्या नियमांचा अनुपालन करतो. आम्ही जेथे आवश्यक आहे तेथे डेटा स्थानीयकरण राखतो, योग्य तांत्रिक आणि संस्थात्मक उपाय लागू करतो, आणि जबाबदारीपूर्ण प्रकटीकरण पद्धतींचा अनुसरण करतो.

अतिरिक्त अनुपालन: आम्ही आमच्या कार्यरत सर्व न्यायक्षेत्रांमध्ये संबंधित नियामक फ्रेमवर्कसह अनुपालन राखण्यास प्रतिबद्ध आहे. आमचे अनुपालन स्थिती नियामक आवश्यकतांद्ये विकसित होणे प्रतिबिंबित करण्यासाठी नियमितपणे पुनरावलोकन आणि अद्यतन केले जाते।

डेटा बॅकअप आणि पुनर्प्राप्ती

स्वयंचल दैनिक बॅकअप: आम्ही प्रत्येक 24 तासांनी सर्व ग्राहक डेटाची स्वयंचलित एन्क्रिप्ट केलेली प्रतिकृती करतो. भौगोलिक अतिरेकांसाठी प्रतिकृतिया अनेक AWS क्षेत्रांमध्ये संग्रहित केल्या जातात. हे अनावधान हटवण्याच्या, खराबीच्या किंवा आपत्तीच्या बाबतीत जलद पुनरुद्धार सुनिश्चित करते।

३०-दिवसीय ठेवण धोरण: बॅकअप स्नॅपशॉट किमान 30 दिवसांसाठी ठेवले जातात, 30 दिवस आधी हटविलेल्या डेटाचे पुनरुद्धार अनुमती देते. कायदेशीरपणे आवश्यक असलेल्या अनुपालन उद्देशांसाठी जुने बॅकअप अधिक काळ ठेवले जातात।

पुनर्प्राप्ति बिंदू उद्देश्य (RPO) < 1 Hour: आमचे बॅकअप वारंवारता आपत्तीच्या बाबतीत डेटा हानी किमान सुनिश्चित करते, सामान्यतः एक तासाचा डेटा कमी. हा RPO बहुतेक व्यावसायिक-महत्त्वपूर्ण अनुप्रयोगांसाठी उपयुक्त आहे।

पुनर्प्राप्ति समय उद्देश्य (RTO) < 4 Hours: आम्ही पुनरुद्धार प्रारंभ केल्यापासून 4 तासांमध्ये संपूर्ण प्लॅटफॉर्म बॅकअपमधून पुनरुद्धार करू शकतो. आंशिक पुनरुद्धरांसाठी (विशिष्ट डेटाबेस किंवा उपयोगकर्ते), पुनरुद्धार सामान्यतः खूप वेगवान असते।

नियमित पुनर्प्राप्ति परीक्षण: आम्ही प्रभावीता सुनिश्चित करण्यासाठी नियमितपणे बॅकअप आणि पुनरुद्धार प्रक्रियांची चाचणी करतो. हे परीक्षा कोणत्याही अंतर ओळखण्यास आणि संबोधित करण्यासाठी नोंदलेली आणि पुनरावलोकन केली जातात।

अनुप्रयोग सुरक्षा

OWASP शीर्ष १० संरक्षण: आमच्या विकास अभ्यास OWASP (ओपन वेब अ‍ॅप्लिकेशन सिक्युरिटी प्रोजेक्ट) दिशानिर्देशांचे पालन करतात ताकि टॉप १० अ‍ॅप्लिकेशन सिक्युरिटी जोखिम विरुद्ध संरक्षण करता यावे, ज्यामध्ये इंजेक्शन अटॅक, तुटलेली प्रमाणीकरण, संवेदनशील डेटा प्रकटीकरण, XML बाहेरील घटक, तुटलेली प्रवेश नियंत्रण, सुरक्षा गैरकॉन्फिगरेशन, क्रॉस-साइट स्क्रिप्टिंग, असुरक्षित डेसेरिअलाइজेशन, ज्ञात असुरक्षा सह घटक वापरणे आणि अपुरी लॉगिंग समाविष्ट आहे.

SQL इंजेक्शन प्रतिबंध: सर्व डेटाबेस क्वेरी पॅरामीटराइज केलेल्या विधान आणि तयार केलेल्या विधान वापरतात. उपयोगकर्ते इनपुट कधीही सरावतः SQL क्वेरीमध्ये संयोजित केले जात नाही, SQL इंजेक्शन असुरक्षिततेला खाली घेते।

क्रॉस-साइट स्क्रिप्टिंग (XSS) सुरक्षा: उपयोगकर्ता-निर्मित सामग्री रेंडरिंगपूर्वी स्वच्छ आणि सुरक्षित केली जाते. सामग्री सुरक्षा नीति (CSP) हेडर इनलाइन स्क्रिप्ट्सचे अंमलबजावणी प्रतिबंधित करते. आम्ही टेम्पलेट इंजिन वापरतो जे सामग्री डिफॉल्टनुसार स्वयंचलितरित्या सुरक्षित करते।

CSRF टोकन संरक्षण: सर्व स्थिति-बदलणार्या ऑपरेशनसाठी वैध क्रॉस-साइट विनंती जाळ (CSRF) टोकन आवश्यक आहेत. हे टोकन प्रति सेशन अद्वितीय आहेत आणि प्रत्येक विनंतीवर सत्यापित केले जातात, बाह्य वेबसाइटमधील अनधिकृत कृतींना रोखते।

नियमित पेनिट्रेशन टेस्टिंग: आम्ही वार्षिक तृतीय-पक्ष पेनिट्रेशन परीक्षण करतो ज्यामुळे आक्रमणकारी त्यांचा फायदा उठवू शकतील याआधी असुरक्षिततेची ओळख पटते. परिणामांचे पुनरावलोकन केले जाते आणि निष्कर्षांचे तातडीने निवारण केले जाते. सतत स्वयंचलित सुरक्षा स्कॅनिंग हाताने चालविलेल्या परीक्षणाची पूरक भूमिका बजावते।

सुरक्षा शीर्षलेख: आमचे सर्व्हर X-Frame-Options (क्लिकजॅकिंग रोखते), X-Content-Type-Options (MIME स्निफिंग रोखते) आणि Referrer-Policy यासह सुरक्षा हेडर उत्सर्जित करतात. हे हेडर ब्राउজरला अतिरिक्त सुरक्षा उपाय लागू करण्यास निर्देश देतात।

गोपनीयता आणि डेटा प्रक्रिया

गोपनीयता नीति: हमारा विस्तृत गोपनीयता धोरण आम्ही कसे संकलित, वापर, स्टोर आणि आपल्या व्यक्तिगत डेटा संरक्षित करतो हे रेखांकित करते. आपल्या अधिकार आणि आमच्या दायित्व समजण्यासाठी आम्ही याचे पुनरावलोकन करण्याची शिफारस करतो।

डेटा प्रक्रिया समझौता: GDPR किंवा इतर संविदात्मक प्रतिबद्धता आवश्यक असलेल्या ग्राहकांसाठी, आम्ही व्यापक डेटा प्रोसेसिंग करार (DPA) प्रदान करतो जो नियंत्रक आणि प्रोसेसरच्या भूमिका स्पष्ट करतो, कायदेशीर प्रक्रिया आधार परिभाषित करतो आणि सुरक्षा दायित्व निर्दिष्ट करतो।

किमान डेटा संग्रह: आम्ही AskERP देण्यास आणि आमच्या सेवा सुधारण्यासाठी आवश्यक डेटा केवळ संकलित करतो. उपयोगकर्ते त्यांच्या साझा केलेल्या डेटा नियंत्रित करू शकतात आणि आम्ही विनंतीवर व्यक्तिगत डेटा निर्यात आणि हटवण्यांचे साधने प्रदान करतो।

तृतीय-पक्ष जाचना: आम्ही एकीकृत केलेल्या सर्व तृतीय-पक्ष सेवा सुरक्षा आणि गोपनीयता अनुपालनांसाठी तपासल्या जातात. विक्रेत्यांनी एकीकरणापूर्वी आमच्या सुरक्षा मानकांची पूर्तता करावी आणि डेटा प्रोसेसिंग करार स्वाक्षर करावे लागते।

घटना प्रतिक्रिया

24/7 सुरक्षा निगरानी: आमचा सुरक्षा ऑपरेशन केंद्र (SOC) संदिग्ध क्रिया, विसंगती आणि संभाव्य उल्लंघनांसाठी 24/7 प्लॅटफॉर्मचे निरीक्षण करते. स्वयंचलित शोध प्रणाली आमच्या संघाला संभाव्य धोक्यांचा रिअल-टाइममध्ये सतर्क करतात।

घटना प्रतिक्रिया दल: सुरक्षा घटना संबोधित करण्यासाठी एक समर्पित घटना प्रतिक्रिया संघ कॉल सक्रिय आहे. आम्ही शोध, निरोधन, निर्मूलन आणि पुनरुद्धार कव्हर करणार्या नोंदलेली घटना प्रतिक्रिया योजना अनुसरण करतो।

गंभीर समस्या प्रतिक्रिया समय < 1 Hour: डेटा गोपनीयता किंवा उपलब्धता प्रभावित करणार्या महत्त्वपूर्ण सुरक्षा समस्यांसाठी, आमचा संघ शोध लावल्या 1 तासांमध्ये प्रतिक्रिया प्रारंभ करते. आम्ही धोक्यांचे निरोधन आणि प्रभाव कमी करण्यास प्राधान्य देतो।

उल्लंघन सूचना: डेटा उल्लंघनाच्या पुष्टी झाल्यास, आम्ही GDPR आणि इतर नियमांनुसार 72 तासांमध्ये प्रभावित ग्राहकांना सूचित करतो. सूचनांमध्ये उल्लंघनाचे तपशील, प्रभावित डेटा, घेतल्या गेलेल्या उपाय आणि अनुशंसित ग्राहक कृती समाविष्ट आहेत।

घटना-पश्चात समीक्षा: कोणत्याही सुरक्षा घटनेनंतर, आम्ही मूळ कारणे ओळखण्यास आणि पुनरावृत्ती रोखण्यासाठी सुधारक कृती लागू करण्यासाठी संपूर्ण पोस्ट-घटना पुनरावलोकन आयोजित करतो।

आमच्या सुरक्षा संघाशी संपर्क साधा

आपल्याकडे आमच्या सुरक्षा पद्धतीबद्दल प्रश्न असल्यास, असुरक्षिततेची अहवाल देऊ इच्छित असल्यास, किंवा अनुपालन आवश्यकतांची चर्चा करायची असल्यास, कृपया आमच्या सुरक्षा संघाशी संपर्क साधा:

ईमेल: सुरक्षा@askerp.com
प्रतिक्रिया समय: आम्ही सर्व सुरक्षा प्रश्नांची 24 तासांमध्ये स्वीकृती देण्याचा लक्ष्य घेतो.
जबाबदार प्रकटीकरण: आम्ही जबाबदार सुरक्षा प्रकटीकरणचे स्वागत करतो. कृपया असुरक्षितता सार्वजनिकरित्या प्रकट करू नका आम्हाला त्यांना संबोधित करण्यासाठी वेळ देण्यापूर्वी.