सुरक्षा प्रथाएँ

यह पृष्ठ GoDesk क्लाइन्ट और godeskflow.com पर upDevTeam LTD द्वारा संचालित होस्टेड रिले सेवा की सुरक्षा आर्किटेक्चर का वर्णन करता है, और हमें रिपोर्ट करने के लिए जिम्मेदार-खुलासा प्रक्रिया।

यह सूचना प्रदायक है। संविदात्मक सुरक्षा प्रतिबद्धताएँ सेवा की शर्तों और DPA में होती हैं।

एंड-टू-एंड एन्क्रिप्शन सेवा की केंद्रीय सुरक्षा विशेषता है। रिले कभी भी सत्र की सामग्री को प्लेन टेक्स्ट में नहीं रखता।

क्रिप्टोग्राफिक पुस्तकालयों को ऑडिट किए गए उच्च प्रवाह संस्करणों पर पिन किया गया है और इसे एक दस्तावेज़ित अनुसूची पर अपडेट किया गया है। हम अपनी खुद की प्राथमिकताओं को लागू नहीं करते।

उत्पादन इन्फ्रास्ट्रक्चर निम्नलिखित प्रदाताओं पर चलती है:

सभी प्रदाता हमारे DPA में दायित्वों को दर्शाने वाले डेटा-प्रसंस्करण समझौतों के लिए बाध्य हैं।

उपयोगकर्ता स्तर की पहुँच नियंत्रण:

इस पृष्ठ के शीर्ष पर जिस दिनांक को देखें उस दिनांक पर ईमानदार स्थिति: GoDesk और upDevTeam LTD वर्तमान में SOC 2, ISO 27001, ISO 27017, ISO 27018, HIPAA, PCI-DSS, FedRAMP, या किसी अन्य औपचारिक तृतीय-पक्ष सुरक्षा मानक के लिए प्रमाणित नहीं हैं। इसके विपरीत सार्वजनिक दावे गलत हैं।

हमारे होस्टिंग और इन्फ्रास्ट्रक्चर प्रदाता (Hetzner, Cloudflare, Supabase, Stripe) स्वयं SOC 2 / ISO 27001 ऑडिट किए गए हैं; हमारी सुरक्षा उनकी सुरक्षा से कुछ आश्वासन विरासत में लेती है लेकिन इसकी बराबरी नहीं करती।

हम 2026 के लिए एक बाहरी सुरक्षा समीक्षा पर काम कर रहे हैं और इसके परिणाम इस पृष्ठ पर प्रकाशित करेंगे जब यह आएगा। हम प्रमाणनों का प्रदर्शन नहीं करेंगे जिनके हम धारक नहीं हैं।

उत्पादन प्रणालियों पर प्रशासनिक क्रियाएँ एक केंद्रीय, लेखा-जोखा करने के लिए केवल जोड़ने योग्य लॉग में लॉग की जाती हैं जिसमें कम से कम 90 दिनों की भंडारण अवधि होती है। लॉग में अभिनेता, क्रिया, समय, और स्रोत IP रिकॉर्ड किया जाता है। उत्पादन पहुँच नामांकित इंजीनियरों की एक छोटी संख्या तक सीमित है जिनके लिए अनिवार्य दो-चरणीय प्रमाणन है।

हम अपटाइम, त्रुटि दरों, और दुरुपयोग से संबंधित संकेतों (अचानक ट्रैफ़िक स्पाइक, ब्रूट-फोर्स प्रयास, प्रतिभागी-ID गणना) की निगरानी करते हैं और हर सप्ताह ऑन-काल कवरेज को बदलते हैं।

उत्पादन प्रणालियों तक पहुँचने के लिए उपयोग किए जाने वाले स्टाफ उपकरणों को:

GoDesk क्लाइंट AGPL-3.0 के अंतर्गत ओपन सोर्स है। कोई भी स्रोत कोड पढ़ सकता है, इसे बना सकता है, और यह सत्यापित कर सकता है कि यह वही करता है जो हम दावा करते हैं। रिले कोड (hbbr / hbbs का एक फोर्क) भी इसी प्रकार ओपन सोर्स है।

हम प्रत्येक जारी किए गए इंस्टॉलर के लिए SHA-256 हैश प्रकाशित करते हैं। हम Windows के लिए EV कोड-हस्ताक्षरिंग और macOS के लिए Apple मान्यता की दिशा में काम कर रहे हैं; वर्तमान निर्माण स्थिति डाउनलोड पृष्ठ पर है।

हम स्वतंत्र सुरक्षा शोधकर्ताओं से रिपोर्टों का स्वागत करते हैं। किसी सुरक्षा कमजोरी की रिपोर्ट करने के लिए:

हम वर्तमान में एक भुगतान किए गए बग-बाउंटी कार्यक्रम का संचालन नहीं करते हैं। हम एक बार मुद्दा ठीक होने पर आपकी अनुमति से एक हॉल-ऑफ-फेम पृष्ठ पर सार्वजनिक रूप से महत्वपूर्ण रिपोर्टों को मान्यता देते हैं।

महत्वपूर्ण निष्कर्ष (RCE, टूटी हुई एंड-टू-एंड एन्क्रिप्शन, सामूहिक प्रमाणीकरण बायपास) तुरंत ऑन-कॉल इंजीनियर को अग्रेषित किए जाते हैं और निर्धारित कार्यों पर प्राथमिकता दी जाती है।

निम्नलिखित सुरक्षित बंदरगाह उपचार के लिए योग्य नहीं हैं और रिपोर्ट किए जा सकते हैं लेकिन संभावित रूप से कमजोरियों के रूप में नहीं लिए जाएंगे:

हम पहचान, containment, eradication, recovery, और पोस्ट-घटना समीक्षा को कवर करते हुए एक लिखित घटना-प्रतिक्रिया प्लेबुक बनाए रखते हैं। प्लेबुक को साल में कम से कम एक बार और हर महत्वपूर्ण घटना के बाद समीक्षा की जाती है।

यदि व्यक्तिगत डेटा में उल्लंघन होता है, तो हमारी गोपनीयता नीति और DPA में नोटिफिकेशन समय सीमा लागू होती है।

जब भी आर्किटेक्चर या इस पृष्ठ पर कोई प्रतिबद्धता महत्वपूर्ण रूप से बदलती है, हम 'अंतिम अद्यतन' तिथि को अपडेट करते हैं और परिवर्तन को चेंज लॉग में घोषित करते हैं।