सुरक्षा नीति
अंतिम अपडेट: 1 दिसंबर, 2024
Apilium Corp OU में, सुरक्षा हमारे द्वारा बनाई गई हर चीज़ की नींव है। स्वयं डेवलपर्स के रूप में, हम आपके कोड और डेटा की सुरक्षा के महत्वपूर्ण महत्व को समझते हैं। यह सुरक्षा नीति Apilium Forge IDE और सभी संबंधित सेवाओं को सुरक्षित करने के लिए हमारे व्यापक दृष्टिकोण की रूपरेखा देती है।
1. हमारी सुरक्षा प्रतिबद्धता
हम प्रतिबद्ध हैं:
- आपके कोड और डेटा की गोपनीयता, अखंडता और उपलब्धता की रक्षा करना
- स्पष्ट सहमति के बिना AI मॉडल को प्रशिक्षित करने के लिए कभी भी आपके कोड का उपयोग न करना
- उद्योग-अग्रणी सुरक्षा नियंत्रण और सर्वोत्तम प्रथाओं को लागू करना
- इस नीति के माध्यम से हमारी सुरक्षा प्रथाओं के बारे में पारदर्शिता प्रदान करना
- लगातार हमारी सुरक्षा स्थिति की निगरानी, परीक्षण और सुधार करना
- सुरक्षा घटनाओं के लिए तुरंत और पारदर्शी रूप से प्रतिक्रिया करना
प्रमाणन और मूल्यांकन
हम निम्नलिखित सुरक्षा प्रमाणन बनाए रखते हैं और नियमित मूल्यांकन करते हैं:
- SOC 2 Type II प्रमाणन (प्रगति में)
- वार्षिक तृतीय-पक्ष पेनेट्रेशन परीक्षण
- निरंतर भेद्यता स्कैनिंग
- स्वतंत्र फर्मों द्वारा नियमित सुरक्षा ऑडिट
विस्तृत सुरक्षा रिपोर्ट apilium.com/security पर उपलब्ध हैं
2. बुनियादी ढांचा सुरक्षा
कोड डेटा प्रवाह
जब आप Apilium Forge IDE का उपयोग करते हैं, तो आपका कोड हमारे सुरक्षित बुनियादी ढांचे से होकर प्रवाहित होता है:
- आपका कोड TLS 1.3 का उपयोग करके ट्रांजिट में एन्क्रिप्ट किया गया है
- अनुरोध AWS पर होस्ट किए गए हमारे बैकएंड सर्वर के माध्यम से संसाधित किए जाते हैं
- AI प्रसंस्करण शून्य-प्रतिधारण समझौतों के साथ हमारे मॉडल प्रदाताओं द्वारा किया जाता है
- गोपनीयता मोड सक्षम होने पर, अनुरोध पूर्ण होने के बाद कोई प्लेनटेक्स्ट कोड संग्रहीत नहीं किया जाता है
बुनियादी ढांचा साझेदार
प्राथमिक बुनियादी ढांचा
- AWS (Amazon Web Services) - प्राथमिक क्लाउड बुनियादी ढांचा (US और EU क्षेत्र)
- Cloudflare - DDoS सुरक्षा, WAF, और CDN सेवाएं
- Google Cloud Platform - द्वितीयक/बैकअप बुनियादी ढांचा
AI मॉडल प्रदाता
हम अग्रणी AI प्रदाताओं के साथ साझेदारी करते हैं, सभी गोपनीयता मोड उपयोगकर्ताओं के लिए शून्य डेटा प्रतिधारण समझौतों के साथ:
- Anthropic (Claude मॉडल)
- OpenAI (GPT मॉडल)
- सुरक्षित बुनियादी ढांचे पर कस्टम फाइन-ट्यून्ड मॉडल
3. तकनीकी सुरक्षा उपाय
एन्क्रिप्शन
ट्रांजिट में डेटा: Apilium Forge और हमारे सर्वर के बीच प्रसारित सभी डेटा मजबूत सिफर सूट के साथ TLS 1.3 का उपयोग करके एन्क्रिप्ट किया गया है
आराम पर डेटा: सभी संग्रहीत डेटा AES-256-GCM एन्क्रिप्शन का उपयोग करके एन्क्रिप्ट किया गया है
एन्क्रिप्शन कुंजियां हर 90 दिनों में स्वचालित रोटेशन के साथ AWS KMS का उपयोग करके प्रबंधित की जाती हैं
एंटरप्राइज ग्राहकों के लिए, हम एंड-टू-एंड एन्क्रिप्शन प्रदान करते हैं जहां केवल आप डिक्रिप्शन कुंजी रखते हैं
पहुंच नियंत्रण
- सभी कर्मचारी खातों के लिए बहु-कारक प्रमाणीकरण (MFA) आवश्यक
- विशेषाधिकार प्राप्त पहुंच के लिए हार्डवेयर सुरक्षा कुंजी (FIDO2/WebAuthn)
- न्यूनतम विशेषाधिकार के सिद्धांत के साथ भूमिका-आधारित पहुंच नियंत्रण (RBAC)
- उत्पादन सिस्टम के लिए समय पर पहुंच प्रावधान
- त्रैमासिक पहुंच समीक्षा और प्रस्थान के लिए तत्काल डिप्रोविजनिंग
- प्रशासनिक पहुंच के लिए IP अनुमति सूची और VPN आवश्यकताएं
नेटवर्क सुरक्षा
- कस्टम नियम सेट के साथ वेब एप्लिकेशन फ़ायरवॉल (WAF)
- एंटरप्राइज-ग्रेड DDoS शमन (Cloudflare Magic Transit)
- संवेदनशील सेवाओं के लिए निजी सबनेट के साथ नेटवर्क विभाजन
- घुसपैठ पहचान/रोकथाम सिस्टम (IDS/IPS)
- निरंतर नेटवर्क ट्रैफ़िक निगरानी और विसंगति पहचान
- नियमित बाहरी और आंतरिक पेनेट्रेशन परीक्षण
एप्लिकेशन सुरक्षा
- सुरक्षा गेट के साथ सुरक्षित सॉफ्टवेयर विकास जीवनचक्र (SSDLC)
- सुरक्षा-केंद्रित चेकलिस्ट के साथ अनिवार्य कोड समीक्षा
- CI/CD पाइपलाइन में स्थैतिक एप्लिकेशन सुरक्षा परीक्षण (SAST)
- तैनात एप्लिकेशनों के लिए गतिशील एप्लिकेशन सुरक्षा परीक्षण (DAST)
- निर्भरता भेद्यताओं के लिए सॉफ्टवेयर संरचना विश्लेषण (SCA)
- सभी डेवलपर्स के लिए नियमित सुरक्षा प्रशिक्षण
- OWASP Top 10 और SANS Top 25 भेद्यताओं के खिलाफ सुरक्षा
क्लाइंट (IDE) सुरक्षा
Apilium Forge IDE सुरक्षा को ध्यान में रखते हुए बनाया गया है:
- सभी प्लेटफार्मों (Windows, macOS, Linux) के लिए कोड-हस्ताक्षरित बाइनरी
- रोलबैक क्षमता के साथ स्वचालित सुरक्षा अपडेट
- सैंडबॉक्स एक्सटेंशन निष्पादन वातावरण
- कैश किए गए डेटा और क्रेडेंशियल का स्थानीय एन्क्रिप्शन
- अनुमति सूची डोमेन के साथ कॉन्फ़िगर करने योग्य नेटवर्क पहुंच
- AI प्रसंस्करण से संवेदनशील फाइलों को बाहर करने के लिए .apiliumignore का समर्थन
4. संगठनात्मक सुरक्षा
कर्मचारी सुरक्षा प्रशिक्षण
सभी Apilium कर्मचारी व्यापक सुरक्षा प्रशिक्षण से गुजरते हैं:
- ऑनबोर्डिंग के दौरान सुरक्षा जागरूकता प्रशिक्षण
- त्रैमासिक सुरक्षा प्रशिक्षण अपडेट और मूल्यांकन
- मासिक फ़िशिंग अनुकरण अभ्यास
- इंजीनियरों के लिए भूमिका-विशिष्ट सुरक्षा प्रशिक्षण
- वार्षिक घटना प्रतिक्रिया टेबलटॉप अभ्यास
सुरक्षा नीतियां
हम व्यापक सुरक्षा नीतियां बनाए रखते और लागू करते हैं:
- सूचना सुरक्षा नीति और मानक
- स्वीकार्य उपयोग और पहुंच नियंत्रण नीतियां
- घटना प्रतिक्रिया और संचार योजना
- व्यावसायिक निरंतरता और आपदा वसूली योजना
- विक्रेता सुरक्षा मूल्यांकन आवश्यकताएं
- डेटा वर्गीकरण और हैंडलिंग दिशानिर्देश
- परिवर्तन प्रबंधन और रिलीज़ प्रक्रियाएं
कर्मचारी जांच
ग्राहक डेटा तक पहुंच वाले सभी कर्मचारी उनकी भूमिका और क्षेत्राधिकार के लिए उपयुक्त पृष्ठभूमि जांच से गुजरते हैं, और गोपनीयता समझौतों पर हस्ताक्षर करते हैं।
5. गोपनीयता मोड सुरक्षा गारंटी
जब Apilium Forge में गोपनीयता मोड सक्षम है (डिफ़ॉल्ट रूप से सक्षम), हम निम्नलिखित सुरक्षा गारंटी प्रदान करते हैं:
- सभी AI मॉडल प्रदाताओं द्वारा शून्य डेटा प्रतिधारण
- तत्काल अनुरोध प्रसंस्करण से परे हमारे सर्वर पर कोई प्लेनटेक्स्ट कोड संग्रहीत नहीं
- आपका कोड AI मॉडल को प्रशिक्षित करने के लिए कभी उपयोग नहीं किया जाता है
- सभी AI अनुरोधों में लागू गोपनीयता हेडर (x-privacy-mode) शामिल हैं
- हेडर गायब होने पर अनुरोध डिफ़ॉल्ट रूप से गोपनीयता-संरक्षण व्यवहार के लिए
- कोडबेस इंडेक्सिंग केवल अस्पष्ट एम्बेडिंग संग्रहीत करती है, प्लेनटेक्स्ट कोड नहीं
एंटरप्राइज गोपनीयता विकल्प
- पूर्ण डेटा संप्रभुता के लिए ऑन-प्रिमाइसेस तैनाती
- अन्य ग्राहकों से अलग समर्पित बुनियादी ढांचा
- कस्टम डेटा निवास आवश्यकताएं (केवल EU, विशिष्ट क्षेत्र)
- अपनी-खुद-की-कुंजी लाएं (BYOK) एन्क्रिप्शन
- निजी नेटवर्क कनेक्टिविटी (AWS PrivateLink, VPN)
6. डेटा सुरक्षा
डेटा वर्गीकरण
हम सभी डेटा को संवेदनशीलता स्तर के आधार पर वर्गीकृत करते हैं:
- सार्वजनिक: विपणन सामग्री, सार्वजनिक दस्तावेज़
- आंतरिक: आंतरिक प्रक्रियाएं, गैर-संवेदनशील व्यावसायिक डेटा
- गोपनीय: ग्राहक खाता डेटा, समर्थन संचार
- प्रतिबंधित: ग्राहक कोड, क्रेडेंशियल, सुरक्षा कॉन्फ़िगरेशन
बैकअप और वसूली
हम मजबूत बैकअप और आपदा वसूली क्षमताएं बनाए रखते हैं:
- एन्क्रिप्टेड, भौगोलिक रूप से-वितरित बैकअप
- डेटाबेस के लिए समय-बिंदु वसूली (35 दिनों तक)
- वसूली समय उद्देश्य (RTO): 4 घंटे
- वसूली बिंदु उद्देश्य (RPO): 1 घंटा
- त्रैमासिक आपदा वसूली परीक्षण
- बहु-क्षेत्र फेलओवर क्षमता
7. सुरक्षा घटना प्रतिक्रिया
घटना प्रतिक्रिया प्रक्रिया
हम एक संरचित घटना प्रतिक्रिया प्रक्रिया का पालन करते हैं:
- पहचान: 24/7 स्वचालित निगरानी और अलर्टिंग
- ट्राइएज: 15 मिनट के भीतर सुरक्षा टीम मूल्यांकन
- कंटेनमेंट: प्रभावित सिस्टम का तत्काल अलगाव
- जांच: मूल कारण विश्लेषण और प्रभाव मूल्यांकन
- उन्मूलन: खतरे को हटाना और सिस्टम सख्त करना
- वसूली: सेवाओं की नियंत्रित बहाली
- पोस्ट-मॉर्टम: सीखे गए पाठ और प्रक्रिया सुधार
उल्लंघन अधिसूचना
आपके डेटा को प्रभावित करने वाली सुरक्षा उल्लंघन की स्थिति में, हम प्रतिबद्ध हैं:
- पुष्टि किए गए उल्लंघन के 72 घंटों के भीतर प्रभावित उपयोगकर्ताओं को सूचित करें
- किस डेटा को प्रभावित किया गया था, इसके बारे में स्पष्ट विवरण प्रदान करें
- घटना को संबोधित करने के लिए हम जो कार्रवाई कर रहे हैं, उसे समझाएं
- अपनी सुरक्षा के लिए आप जो कदम उठा सकते हैं, उस पर मार्गदर्शन प्रदान करें
- कानून द्वारा आवश्यकतानुसार प्रासंगिक नियामक प्राधिकरणों को सूचित करें
- घटना के हल होने तक नियमित अपडेट प्रदान करें
8. भेद्यता प्रकटीकरण कार्यक्रम
हम एक जिम्मेदार प्रकटीकरण कार्यक्रम बनाए रखते हैं और सुरक्षा अनुसंधान का स्वागत करते हैं।
दायरे में
- Apilium Forge IDE (सभी प्लेटफार्म)
- api.apilium.com और सभी सबडोमेन
- portal.apilium.com (ग्राहक पोर्टल)
- apilium.com (वेबसाइट)
रिपोर्ट कैसे करें
यदि आप सुरक्षा भेद्यता की खोज करते हैं:
- विस्तृत भेद्यता जानकारी के साथ [email protected] पर ईमेल करें
- पुन: उत्पन्न करने के चरण, संभावित प्रभाव और कोई प्रूफ-ऑफ-कॉन्सेप्ट शामिल करें
- संवेदनशील रिपोर्ट के लिए, हमारी PGP कुंजी का उपयोग करें (हमारे सुरक्षा पृष्ठ पर उपलब्ध)
- सार्वजनिक प्रकटीकरण से पहले सुधार के लिए 90 दिन तक की अनुमति दें
हमारी प्रतिबद्धता
हम सुरक्षा शोधकर्ताओं को प्रतिबद्ध हैं:
- 24 घंटों के भीतर रसीद स्वीकार करें
- 5 व्यावसायिक दिनों के भीतर प्रारंभिक मूल्यांकन प्रदान करें
- आपको सुधार प्रगति के बारे में सूचित रखें
- हमारी सुरक्षा स्वीकृतियों में आपको श्रेय दें (जब तक कि गुमनामी पसंद न हो)
- अच्छे विश्वास सुरक्षा अनुसंधान के लिए कानूनी कार्रवाई नहीं करें
हम योग्य भेद्यताओं के लिए बाउंटी प्रदान करते हैं। वर्तमान कार्यक्रम विवरण के लिए हमसे संपर्क करें।
9. तृतीय-पक्ष सुरक्षा
विक्रेता सुरक्षा आवश्यकताएं
ग्राहक डेटा तक पहुंच वाले सभी विक्रेताओं को हमारी सुरक्षा आवश्यकताओं को पूरा करना होगा:
- पूर्ण सुरक्षा प्रश्नावली और जोखिम मूल्यांकन
- SOC 2 Type II या समकक्ष प्रमाणन
- GDPR-अनुरूप खंडों के साथ डेटा प्रसंस्करण समझौता (DPA)
- वार्षिक सुरक्षा समीक्षा और पुन: प्रमाणन
- तत्काल उल्लंघन अधिसूचना आवश्यकताएं
उप-प्रोसेसर
ग्राहक डेटा तक पहुंच वाले वर्तमान उप-प्रोसेसर:
- AWS (बुनियादी ढांचा) - US/EU
- Anthropic, OpenAI (AI मॉडल) - शून्य-प्रतिधारण के साथ US
- Stripe (भुगतान प्रसंस्करण) - US/EU
- Cloudflare (CDN/सुरक्षा) - वैश्विक
- MongoDB Atlas (डेटाबेस) - EU
- SendGrid (ईमेल) - US
हम नए उप-प्रोसेसर जोड़ने से 30 दिन पहले ग्राहकों को सूचित करते हैं। वर्तमान सूची apilium.com/compliance पर उपलब्ध है
10. भौतिक सुरक्षा
हमारा बुनियादी ढांचा व्यापक भौतिक सुरक्षा वाले एंटरप्राइज-ग्रेड डेटा केंद्रों में होस्ट किया गया है:
- 24/7/365 सुरक्षा कर्मी और वीडियो निगरानी
- बहु-कारक भौतिक पहुंच नियंत्रण (बायोमेट्रिक + बैज)
- मैनट्रैप प्रवेश सिस्टम और आगंतुक एस्कॉर्ट आवश्यकताएं
- पर्यावरणीय नियंत्रण (अग्नि दमन, जलवायु नियंत्रण, UPS, जनरेटर)
- SOC 2 Type II प्रमाणित सुविधाएं
- नियमित भौतिक सुरक्षा ऑडिट
11. नीति अपडेट
हम इस सुरक्षा नीति की त्रैमासिक समीक्षा करते हैं और हमारी सुरक्षा प्रथाओं, प्रौद्योगिकी और विनियमों में परिवर्तनों को प्रतिबिंबित करने के लिए इसे अपडेट करते हैं। महत्वपूर्ण परिवर्तनों को सभी उपयोगकर्ताओं को ईमेल के माध्यम से संप्रेषित किया जाता है।
12. संपर्क जानकारी
सुरक्षा-संबंधित प्रश्नों के लिए या सुरक्षा समस्याओं की रिपोर्ट करने के लिए:
Company: Apilium Corp OU
Address: तालिन, एस्टोनिया
सुरक्षा टीम: [email protected]
PGP कुंजी: apilium.com/security पर उपलब्ध
ट्रस्ट सेंटर: apilium.com/security
सामान्य पूछताछ: [email protected]