सुरक्षा

​

सुरक्षा चेकलिस्ट

​

डेटा सुरक्षा

​

संचार एन्क्रिप्शन

• एप्लिकेशन और ऑडियो/वीडियो डेटा केवल TLS 1.3 का उपयोग करते हैं
• HTTPS संचार अनिवार्य (AWS ELB के माध्यम से कॉन्फ़िगर)

​

बैकअप

• बैकअप चक्र: AWS Database के माध्यम से मासिक बैकअप
• रिटेंशन अवधि: सर्वर एक्सेस लॉग S3 में स्थायी रूप से संग्रहीत
• BCP उपाय: AWS Database पर मल्टी-रीजन रिमोट स्टोरेज

​

डेटा एक्सेस प्रतिबंध

• डेटाबेस और सर्वर एक्सेस AWS Security Groups के माध्यम से विशिष्ट IP पतों तक सीमित
• कंपनियों के बीच डेटा डेटाबेस के माध्यम से तार्किक रूप से पृथक

​

उपलब्धता

​

अपटाइम

• सेवा घंटे: सिद्धांत रूप में 24 घंटे, 365 दिन
• SLA: 99.9% या अधिक
• ट्रैक रिकॉर्ड: 99.99% या अधिक (सेवा शुरू होने के बाद से कई दसियों मिनट से अधिक का कोई सर्वर डाउनटाइम नहीं)

​

घटना प्रतिक्रिया

• स्रोत कोड डिफरेंशियल बैकअप और DB बैकअप उपलब्ध, जो किसी भी समय 24/7 तत्काल रोलबैक (रिकवरी) सक्षम करते हैं
• सभी सर्वर प्रक्रियाएं और सिस्टम स्थितियां AWS CloudWatch या हमारी प्रोप्राइटरी अलर्ट सिस्टम के माध्यम से विज़ुअलाइज़ की जाती हैं
• किसी भी डाउनटाइम की स्थिति में अलर्ट सूचनाएं

​

नियोजित रखरखाव

• हर शुक्रवार को लगभग 21:00 बजे अपडेट निर्धारित, कुछ सेकंड के कनेक्शन व्यवधान संभव
• व्यावसायिक घंटों के दौरान अपडेट आवश्यक होने पर ईमेल या टेक्स्ट चैट सपोर्ट (Intercom) के माध्यम से रीयल-टाइम अधिसूचना

​

सहायता प्रणाली

​

घटना सूचनाएं

• संपर्क विधि: ईमेल और इन-ऐप टेक्स्ट चैट सेवा (Intercom) के माध्यम से अधिसूचना

​

आपातकालीन संपर्क

• टेक्स्ट चैट सेवा (Intercom) या संपर्क फॉर्म के माध्यम से सहायता उपलब्ध
• व्यावसायिक घंटों (9:00-18:00) के दौरान 5 मिनट के भीतर प्रतिक्रिया

​

उपयोगकर्ता प्रबंधन

​

खाता प्रबंधन

• प्रति उपयोगकर्ता एक खाता
• उपयोगकर्ता इस्तीफे या स्थानांतरण पर खाते को भौतिक रूप से हटा सकते हैं

​

पासवर्ड प्रबंधन

• उपयोगकर्ता पासवर्ड बदल सकते हैं
• ईमेल टोकन के माध्यम से दो-कारक प्रमाणीकरण उपलब्ध

​

वेब एप्लिकेशन सुरक्षा

​

SQL इंजेक्शन रोकथाम

• बैकएंड डेटाबेस संचालन के लिए ORM मिडलवेयर का उपयोग करता है
• सभी SQL स्टेटमेंट निर्माण प्लेसहोल्डर का उपयोग करते हैं
• डेटाबेस खातों को उचित अनुमतियां दी गई हैं (केवल आवश्यक READ, WRITE अनुमतियों वाले खाते)

​

OS कमांड इंजेक्शन रोकथाम

• शेल निष्पादन मूल रूप से नहीं किया जाता
• जब शेल-स्तरीय तर्क की आवश्यकता होती है, तो केवल सत्यापित सुरक्षित लाइब्रेरी के माध्यम से निष्पादन

​

पाथ पैरामीटर/डायरेक्टरी ट्रैवर्सल रोकथाम

• डेटा बाहरी होस्टिंग या डेटाबेस पर संग्रहीत
• वेब सर्वर पर कोई प्रत्यक्ष फ़ाइल एक्सेस कार्यक्षमता नहीं
• फ़ाइल नाम यादृच्छिक नामों का उपयोग करते हैं, अप्रत्याशित

​

सत्र प्रबंधन

• सत्र ID अप्रत्याशित, पर्याप्त लंबी यादृच्छिक स्ट्रिंग का उपयोग करती हैं
• सत्र ID कुकीज़ में संग्रहीत (URL पैरामीटर में नहीं)
• HTTPS संचार के लिए कुकीज़ Secure विशेषता का उपयोग करती हैं
• लॉगिन की आवश्यकता वाले पृष्ठ सार्वजनिक रूप से सुलभ पृष्ठों से अलग हैं

​

क्रॉस-साइट स्क्रिप्टिंग (XSS) रोकथाम

• संगत फ्रंटएंड लाइब्रेरी का उपयोग
• AWS ELB के माध्यम से HTTPS अनिवार्य
• HTTP प्रतिक्रिया हेडर के Content-Type फ़ील्ड में वर्ण एन्कोडिंग (charset) निर्दिष्ट
• कुकीज़ में HttpOnly विशेषता जोड़ी गई

​

CSRF रोकथाम

• POST विधि के माध्यम से बैकएंड-साइड एक्सेस नियंत्रण
• Referer सत्यापन
• महत्वपूर्ण संचालन के लिए पंजीकृत ईमेल पते पर स्वचालित ईमेल अधिसूचना

​

HTTP हेडर इंजेक्शन रोकथाम

• बैकएंड मिडलवेयर में हेडर आउटपुट API का उपयोग

​

क्लिकजैकिंग रोकथाम

• X-Frame-Options हेडर फ़ील्ड आउटपुट
• वैध सत्र के बिना निष्पादन संभव नहीं
• महत्वपूर्ण संचालन केवल माउस से निष्पादित नहीं किए जा सकते

​

बफर ओवरफ्लो रोकथाम

• Node.js का उपयोग, जो प्रत्यक्ष मेमोरी एक्सेस की अनुमति नहीं देता
• GitHub के माध्यम से नियमित लाइब्रेरी जांच, कमजोर लाइब्रेरी के लिए PR बनाए जाते हैं और समय पर अपडेट

​

एक्सेस नियंत्रण और प्राधिकरण

• प्रबंधक विशेषाधिकारों के लिए ईमेल टोकन के साथ दो-कारक प्रमाणीकरण उपलब्ध
• प्रमाणीकरण के अलावा प्राधिकरण नियंत्रण लागू, लॉग इन उपयोगकर्ताओं को दूसरों का प्रतिरूपण करने से रोकता है