सुरक्षा एवं अनुपालन

वास्तुकला एवं डेटा सुरक्षा

असल में क्या है सच.

कोई बैज थिएटर नहीं. यहां वह आर्किटेक्चर है जो आपके डेटा की सुरक्षा करता है - यह सत्यापित किया जा सकता है कि प्लेटफ़ॉर्म कैसे बनाया और संचालित किया जाता है, फ़्रेम किए गए प्रमाणपत्र में नहीं।

ढेर

स्व-होस्टेड ऑपरेटिंग स्टैक

मेल, डेटाबेस और ऐप रनटाइम सभी Mewayz-संचालित बुनियादी ढांचे पर चलते हैं - तृतीय-पक्ष SaaS पर नहीं। आपका ग्राहक डेटा कभी भी किसी अन्य विक्रेता के शासन में प्रवेश नहीं करता है।

डिज़ाइन द्वारा

ऐ

अपनी खुद की चाबी लाओ एआई

AI सुविधाएँ आपकी अपनी API कुंजी पर OpenAI, Anthropic, या Google पर चलती हैं - आप प्रदाता और उसकी डेटा शर्तें चुनते हैं, और आप AI को पूरी तरह से बंद कर सकते हैं। हम कभी भी आपके डेटा पर प्रशिक्षण नहीं लेते हैं।

आपकी कुंजी · आपका प्रदाता

किरायेदार

डेटाबेस-प्रति-किरायेदार अलगाव

प्रत्येक कार्यक्षेत्र अपने स्वयं के डेटाबेस में चलता है, जिसे फ्रेमवर्क स्तर (स्टैनक्ल टेनेंसी v3.10) पर अलग किया जाता है - खाता आईडी द्वारा फ़िल्टर की गई साझा पंक्तियाँ नहीं। एक कंपनी का डेटा कभी भी दूसरी कंपनी द्वारा पूछताछ योग्य नहीं होता है।

लागू

ईएनसी

हर जगह एन्क्रिप्शन

आराम में एईएस-256, पारगमन में टीएलएस 1.3। एमएफए व्यवस्थापक खातों पर उपलब्ध है। एन्क्रिप्शन हमारे द्वारा संचालित बुनियादी ढांचे के अंदर समाप्त हो जाता है।

सक्रिय

पीसीआई

धारी पीसीआई डीएसएस

कार्ड डेटा को स्ट्राइप (पीसीआई डीएसएस लेवल 1) और, भारत में, रेज़रपे (आरबीआई-अनुपालक) द्वारा नियंत्रित किया जाता है। Mewayz कभी भी कच्चे कार्ड नंबरों को संग्रहित नहीं करता।

प्रोसेसर के माध्यम से

धार

बादल का किनारा

DDoS सुरक्षा, CDN और DNS हर अनुरोध के सामने बैठते हैं। दुर्भावनापूर्ण ट्रैफ़िक को ऐप तक पहुंचने से पहले फ़िल्टर कर दिया जाता है।

सक्रिय

सीएसपी

चेकआउट बंद कर दिया गया

कंटेंट-सिक्योरिटी-पॉलिसी फॉर्म-एक्शन checkout.stripe.com और buy.stripe.com पर लॉक है - भुगतान फॉर्म को कहीं और रीडायरेक्ट नहीं किया जा सकता है।

लागू

डीपीए

जीडीपीआर-संरेखित + डीपीए

एक डेटा-प्रोसेसिंग समझौता चेकआउट पर पूर्व-हस्ताक्षर और स्वतः-हस्ताक्षरित उपलब्ध है। किसी भी समय, मानक प्रारूपों में अपने सभी डेटा का एक-क्लिक निर्यात।

अनुरोध पर

समर्पित एवं क्षेत्रीय बुनियादी ढाँचा

अलगाव वह है भौतिक, केवल एक फ़िल्टर नहीं।

अधिकांश प्लेटफ़ॉर्म प्रत्येक ग्राहक को एक बड़े साझा डेटाबेस में रखते हैं और आपको एक से अलग करते हैं account_id स्तंभ. Mewayz नहीं है. प्रत्येक किरायेदार को अपना स्वयं का डेटाबेस और वातावरण मिलता है - और प्रत्येक व्हाइट-लेबल भागीदार को अपना स्वयं का एक पूरी तरह से पृथक बॉक्स मिलता है।

एक डेटाबेस प्रति कार्यक्षेत्र

आपके रिकॉर्ड अकेले आपके कार्यक्षेत्र के लिए प्रावधानित डेटाबेस में रहते हैं - किसी फ़िल्टर द्वारा अलग की गई साझा तालिका में नहीं। कोई शोर-शराबा नहीं, कोई क्रॉस-टेनेंट क्वेरी सतह नहीं, कोई "एक बुरा" नहीं WHERE खंड सभी को लीक करता है” जोखिम।

पृथक श्वेत-लेबल वातावरण

प्रत्येक व्हाइट-लेबल भागीदार को लगभग दो मिनट में स्वचालित रूप से अपने स्वयं के लिनक्स उपयोगकर्ता, डेटाबेस और फ़ाइल स्थान का प्रावधान किया जाता है। किसी भागीदार के ग्राहक, फ़ाइलें और डेटा उस भागीदार के बॉक्स के अंदर रहते हैं। कुछ भी मिश्रित नहीं है.

एक ऐप उदाहरण प्रति क्षेत्र

Mewayz प्रत्येक क्षेत्र में एक अलग ऐप इंस्टेंस, डेटाबेस और वातावरण चलाता है। आपका डेटा बनाया जाता है और उस क्षेत्र में रहता है जिसे आप साइनअप करते समय चुनते हैं - ईयू, यूएस, या एपीएसी - इसलिए रेजीडेंसी और कम विलंबता डिफ़ॉल्ट हैं, ऐड-ऑन नहीं।

हम सुरक्षा के बारे में कैसे सोचते हैं

छह सिद्धांत.

ये वे नियम हैं जिनके लिए हमारी सुरक्षा टीम डिज़ाइन करती है। वे आकांक्षी नहीं हैं - वे वे द्वार हैं जिनसे एक सुविधा को जहाज चलाने से पहले गुजरना पड़ता है।

ग्राहक डेटा है ग्राहक डेटा.

हम एकत्रित अंतर्दृष्टि नहीं बेचते हैं. हम आपके रिकॉर्ड पर एमएल मॉडल को प्रशिक्षित नहीं करते हैं। हम उत्पाद-बाज़ार में आने वाले ईमेल नहीं पढ़ते हैं। आपका डेटा वह उत्पाद है जिसे हम होस्ट करते हैं, फीडस्टॉक नहीं।

निर्यात बटन है विश्वास अनुबंध.

सेटिंग्स में एक क्लिक सब कुछ मानक प्रारूपों में निर्यात करता है। हम जानबूझकर छोड़ना आसान बनाते हैं। सबसे अच्छा ग्राहक वह है जो जानता है कि वे जा सकते हैं और न छोड़ने का विकल्प चुनता है।

आराम पर एन्क्रिप्शन और पारगमन में.

एईएस-256 आराम पर। पारगमन में टीएलएस 1.3. एजेंसी स्तर पर ग्राहक-प्रबंधित-कुंजी विकल्प के साथ AWS KMS के माध्यम से कुंजी प्रबंधन। नहीं, "हम प्रीमियम ग्राहकों को एन्क्रिप्ट करेंगे" टियरिंग।

द्वारा कम से कम विशेषाधिकार गलती करना।

कर्मचारी केवल ऑडिट के तहत ग्राहक डेटा तक पहुंचते हैं, केवल तभी जब ग्राहक ने उनसे समर्थन टिकट खोलने के लिए कहा हो, और केवल उन रिकॉर्डों के लिए जिनसे टिकट संबंधित है। प्रत्येक एक्सेस लॉग किया गया, अनिश्चित काल के लिए।

डेटा रेजिडेंसी है आपकी पसंद.

साइनअप के समय EU, US, या APAC क्षेत्र चुनें। डेटा डिफ़ॉल्ट रूप से क्षेत्र में ही रहता है. डीपीए में स्पष्ट सहमति के साथ, क्रॉस-क्षेत्र प्रतिकृति ऑप्ट-इन है।

भीतर खुलासा 72 घंटे.

यदि हमारे पास ग्राहक डेटा को प्रभावित करने वाली कोई सुरक्षा घटना है, तो हम प्रभाव की पुष्टि के 72 घंटों के भीतर प्रभावित ग्राहकों को सूचित करते हैं। कोई अपवाद नहीं, कोई पीआर-अनुमोदित विलंब विंडो नहीं।

डेटा रेजीडेंसी · आप क्षेत्र चुनें

तीन क्षेत्र.

साइनअप पर चुनें. नियोजित माइग्रेशन के बिना डेटा लोड होने के बाद बदला नहीं जा सकता। ट्रस्ट पोर्टल पर सूचीबद्ध प्रति क्षेत्र उप-प्रोसेसर।

क्षेत्र	प्राथमिक AZs	द्वारा होस्ट किया गया	बैकअप	उप-प्रोसेसर
ईयू	फ्रैंकफर्ट · डबलिन · स्टॉकहोम	एडब्लूएस ईयू-सेंट्रल-1, ईयू-वेस्ट-1, ईयू-नॉर्थ-1	क्षेत्र में · 35 दिन	केवल ईयू
यू.एस	वर्जीनिया · ओरेगन · ओहियो	AWS हमें-पूर्व-1, हमें-पश्चिम-2, हमें-पूर्व-2	क्षेत्र में · 35 दिन	केवल यू.एस
एपीएसी	सिंगापुर · टोक्यो · मुंबई	एडब्ल्यूएस एपी-साउथईस्ट-1, एपी-नॉर्थईस्ट-1, एपी-साउथ-1	क्षेत्र में · 35 दिन	क्षेत्रीय

परिचालन सुरक्षा

उबाऊ विवरण, उबाऊ रखा.

अपटाइम और लचीलापन.

बिजनेस पर 99.95% अपटाइम एसएलए, एजेंसी पर 99.99%। स्वचालित विफलता के साथ मल्टी-एज़ेड परिनियोजन। परीक्षणित डीआर रनबुक का त्रैमासिक निष्पादन किया गया। status.mewayz.com पर सार्वजनिक स्थिति पृष्ठ।

बैकअप और पुनर्प्राप्ति.

पिछले 35 दिनों में किसी भी क्षण के लिए पॉइंट-इन-टाइम पुनर्प्राप्ति। पिछले 7 दिनों के प्रति घंटे के स्नैपशॉट. बहाली का मासिक परीक्षण किया गया। आरटीओ 4 घंटे; आरपीओ 15 मिनट.

पहचान एवं पहुंच.

बिजनेस+ पर एसएएमएल 2.0/ओआईडीसी के माध्यम से एसएसओ। एजेंसी पर एससीआईएम प्रावधान। सभी व्यवस्थापक खातों के लिए एमएफए आवश्यक है। 14 डिफ़ॉल्ट भूमिकाओं और कस्टम-रोल बिल्डर के साथ भूमिका-आधारित पहुंच।

ऑडिट लॉग और निगरानी.

प्लेटफ़ॉर्म की प्रत्येक गतिविधि एक अपरिवर्तनीय ऑडिट ट्रेल में लॉग की जाती है। 7 साल तक बरकरार रखा. एकीकरण के माध्यम से स्प्लंक/डेटाडॉग/इलास्टिक में स्ट्रीम करने योग्य। संदिग्ध-गतिविधि चेतावनी अंतर्निहित।

विक्रेता एवं उप-प्रोसेसर प्रबंधन।

प्रत्येक उप-प्रोसेसर की वार्षिक सुरक्षा समीक्षा। सीधे अनुबंध के तहत टियर-1 विक्रेता (एडब्ल्यूएस, स्ट्राइप, ट्विलियो)। टियर-2 सूची प्रकाशित; नए जोड़ने से पहले 30 दिन का नोटिस।

कलम-परीक्षण एवं लाल टीम.

साल में दो बार बाहरी पेन-टेस्ट। आंतरिक रेड-टीम त्रैमासिक। HackerOne के साथ बग बाउंटी कार्यक्रम - $250 (कम) से $10,000 (महत्वपूर्ण) तक पुरस्कार। प्रकाशित दायरा, किसी एनडीए की आवश्यकता नहीं।

सामान्य प्रश्न, स्पष्ट रूप से कहा गया

सुरक्षा अक्सर पूछे जाने वाले प्रश्न.

मेरा डेटा वास्तव में कहाँ रहता है?

बुनियादी ढांचे पर हम स्वयं काम करते हैं - हमारा अपना डेटाबेस और मेल सर्वर क्लाउडफ्लेयर के पीछे AWS EC2 पर चल रहा है। इसे तृतीय-पक्ष SaaS विक्रेताओं की श्रृंखला को नहीं सौंपा गया है। "स्वयं-होस्टेड स्टैक" का यही अर्थ है: आपका मुख्य डेटा हमारे द्वारा नियंत्रित शासन के अंदर रहता है। दो अपवाद, दोनों आपके नियंत्रण में: कार्ड डेटा को स्ट्राइप (पीसीआई डीएसएस स्तर 1) द्वारा नियंत्रित किया जाता है, इसलिए हम कभी भी कच्चे कार्ड नंबरों को संग्रहीत नहीं करते हैं, और एआई सुविधाएं आपकी अपनी एपीआई कुंजी का उपयोग करके ओपनएआई, एंथ्रोपिक या Google को कॉल करती हैं - जिसे आप कॉन्फ़िगर या अक्षम कर सकते हैं।

क्या आप ग्राहक डीपीए पर हस्ताक्षर करते हैं?

हाँ. हमारे पास एक मानक डीपीए है जिसे अधिकांश खरीद टीमें यथावत स्वीकार करती हैं। कस्टम डीपीए की समीक्षा वकील द्वारा की जाती है - आमतौर पर 5 व्यावसायिक दिनों के भीतर अनुमोदित किया जाता है।

मेरा डेटा कहाँ होस्ट किया गया है?

उस क्षेत्र में जिसे आप साइनअप के समय चुनते हैं। EU-क्षेत्र डेटा EU में रहता है. अमेरिका में अमेरिका. APAC में APAC. कोई मूक क्रॉस-क्षेत्र प्रतिकृति नहीं।

क्या आपके कर्मचारी मेरा डेटा देख सकते हैं?

डिफ़ॉल्ट रूप से, नहीं. एक्सेस के लिए ग्राहक द्वारा शुरू किए गए समर्थन टिकट और स्पष्ट भूमिका अनुदान की आवश्यकता होती है। प्रत्येक एक्सेस लॉग किया गया है और अनुरोध पर आपके सामने पेश किया जा सकता है।

यदि आपने उल्लंघन किया तो क्या होगा?

प्रभावित ग्राहकों को 72 घंटे की अधिसूचना। सुधार के बाद घटना की रिपोर्ट सार्वजनिक करें। हम प्रेस चक्र के अनुसार खुलासे का समय निर्धारित नहीं करते हैं।

मैं अपना डेटा कैसे हटाऊं?

सेटिंग्स → खाता में अपना खाता रद्द करें। 30 दिनों के बाद, डेटा को उत्पादन से हटा दिया जाता है। बैकअप 35 दिनों में समाप्त हो जाता है। ऑडिट लॉग 7 वर्षों तक खाता मेटाडेटा बनाए रखता है (कानूनी आवश्यकता); सामग्री डेटा मिटा दिया गया है.

क्या आप मेरे डेटा पर AI को प्रशिक्षित करते हैं?

नहीं, मॉडलों को प्रशिक्षित करने के लिए ग्राहक डेटा का उपयोग कभी नहीं किया जाता है। एआई सुविधाएँ केवल तत्काल अनुरोध के लिए ग्राहक डेटा का उपयोग करती हैं (उदाहरण के लिए इस ग्राहक के लिए एक ईमेल का मसौदा तैयार करना) और अनुरोध को मॉडल प्रदाता द्वारा बरकरार नहीं रखा जाता है।

मैं किसी भेद्यता की रिपोर्ट कैसे कर सकता हूँ?

ईमेल [email protected] विवरण और पुनरुत्पादन के चरणों के साथ। हम महत्वपूर्ण रिपोर्टों के लिए 1 व्यावसायिक दिन के भीतर जवाब देते हैं और जिम्मेदार प्रकटीकरण का समन्वय करते हैं।

सुरक्षा, ने कहा स्पष्ट रूप से.