सुरक्षा प्रथाएँ

यह पृष्ठ Tenvo क्लाइन्ट और tenvoai.com पर upDevTeam LTD द्वारा संचालित होस्टेड रिले सेवा की सुरक्षा आर्किटेक्चर का वर्णन करता है, और हमें रिपोर्ट करने के लिए जिम्मेदार-खुलासा प्रक्रिया।

यह सूचना प्रदायक है। संविदात्मक सुरक्षा प्रतिबद्धताएँ सेवा की शर्तों और DPA में होती हैं।

कनेक्शन्स TLS से एन्क्रिप्ट होते हैं। प्रत्येक डिवाइस को हमारी प्रमाणपत्र प्राधिकरण द्वारा एक अनूठा प्रमाणपत्र जारी किया जाता है। सीधे पीयर‑टू‑पीयर कनेक्शनों पर सेशन दोनों डिवाइसों के बीच सिरे से सिरे तक एन्क्रिप्टेड होता है; जब सीधे कनेक्शन संभव नहीं होता, तो ट्रैफ़िक रिले किया जाता है और ट्रांज़िट में एन्क्रिप्ट रहता है।

क्रिप्टोग्राफिक पुस्तकालयों को ऑडिट किए गए उच्च प्रवाह संस्करणों पर पिन किया गया है और इसे एक दस्तावेज़ित अनुसूची पर अपडेट किया गया है। हम अपनी खुद की प्राथमिकताओं को लागू नहीं करते।

प्रोडक्शन इन्फ्रास्ट्रक्चर कुछ ही प्रदाताओं पर चलता है:

जो भी प्रदाता व्यक्तिगत डेटा को हैंडल करता है वह डेटा‑प्रोसेसिंग समझौते द्वारा बाध्य है। जहाँ प्रसंस्करण EEA के बाहर होता है, वहाँ हम EU Standard Contractual Clauses जैसे उपयुक्त सुरक्षा उपायों पर निर्भर करते हैं।

उपयोगकर्ता स्तर की पहुँच नियंत्रण:

इस पृष्ठ के शीर्ष पर जिस दिनांक को देखें उस दिनांक पर ईमानदार स्थिति: Tenvo और upDevTeam LTD वर्तमान में SOC 2, ISO 27001, ISO 27017, ISO 27018, HIPAA, PCI-DSS, FedRAMP, या किसी अन्य औपचारिक तृतीय-पक्ष सुरक्षा मानक के लिए प्रमाणित नहीं हैं। इसके विपरीत सार्वजनिक दावे गलत हैं।

हमारे होस्टिंग, डेटाबेस (Supabase), और भुगतान (Stripe) प्रदाता स्वयं SOC 2 / ISO 27001 ऑडिटेड हैं; हमारी सुरक्षा उनका कुछ आश्वासन अपनाती है पर उसके बराबर नहीं है।

हम 2026 के लिए एक बाहरी सुरक्षा समीक्षा पर काम कर रहे हैं और इसके परिणाम इस पृष्ठ पर प्रकाशित करेंगे जब यह आएगा। हम प्रमाणनों का प्रदर्शन नहीं करेंगे जिनके हम धारक नहीं हैं।

उत्पादन प्रणालियों पर प्रशासनिक क्रियाएँ एक केंद्रीय, लेखा-जोखा करने के लिए केवल जोड़ने योग्य लॉग में लॉग की जाती हैं जिसमें कम से कम 90 दिनों की भंडारण अवधि होती है। लॉग में अभिनेता, क्रिया, समय, और स्रोत IP रिकॉर्ड किया जाता है। उत्पादन पहुँच नामांकित इंजीनियरों की एक छोटी संख्या तक सीमित है जिनके लिए अनिवार्य दो-चरणीय प्रमाणन है।

हम अपटाइम, त्रुटि दरों, और दुरुपयोग से संबंधित संकेतों (अचानक ट्रैफ़िक स्पाइक, ब्रूट-फोर्स प्रयास, प्रतिभागी-ID गणना) की निगरानी करते हैं और हर सप्ताह ऑन-काल कवरेज को बदलते हैं।

उत्पादन प्रणालियों तक पहुँचने के लिए उपयोग किए जाने वाले स्टाफ उपकरणों को:

Tenvo क्लाइंट AGPL-3.0 के अंतर्गत ओपन सोर्स है। कोई भी स्रोत कोड पढ़ सकता है, इसे बना सकता है, और यह सत्यापित कर सकता है कि यह वही करता है जो हम दावा करते हैं। रिले कोड (hbbr / hbbs का एक फोर्क) भी इसी प्रकार ओपन सोर्स है।

हम प्रत्येक जारी किए गए इंस्टॉलर के लिए SHA-256 हैश प्रकाशित करते हैं। हम Windows के लिए EV कोड-हस्ताक्षरिंग और macOS के लिए Apple मान्यता की दिशा में काम कर रहे हैं; वर्तमान निर्माण स्थिति डाउनलोड पृष्ठ पर है।

हम स्वतंत्र सुरक्षा शोधकर्ताओं से रिपोर्टों का स्वागत करते हैं। किसी सुरक्षा कमजोरी की रिपोर्ट करने के लिए:

हम वर्तमान में एक भुगतान किए गए बग-बाउंटी कार्यक्रम का संचालन नहीं करते हैं। हम एक बार मुद्दा ठीक होने पर आपकी अनुमति से एक हॉल-ऑफ-फेम पृष्ठ पर सार्वजनिक रूप से महत्वपूर्ण रिपोर्टों को मान्यता देते हैं।

महत्वपूर्ण निष्कर्ष (RCE, टूटी हुई सेशन एन्क्रिप्शन, बड़े पैमाने पर ऑथेंटिकेशन बाइपास) तुरंत ऑन‑कॉल इंजीनियर को उठाए जाते हैं और निर्धारित कार्यों पर प्राथमिकता दी जाती है।

निम्नलिखित सुरक्षित बंदरगाह उपचार के लिए योग्य नहीं हैं और रिपोर्ट किए जा सकते हैं लेकिन संभावित रूप से कमजोरियों के रूप में नहीं लिए जाएंगे:

हम पहचान, containment, eradication, recovery, और पोस्ट-घटना समीक्षा को कवर करते हुए एक लिखित घटना-प्रतिक्रिया प्लेबुक बनाए रखते हैं। प्लेबुक को साल में कम से कम एक बार और हर महत्वपूर्ण घटना के बाद समीक्षा की जाती है।

यदि व्यक्तिगत डेटा में उल्लंघन होता है, तो हमारी गोपनीयता नीति और DPA में नोटिफिकेशन समय सीमा लागू होती है।

जब भी आर्किटेक्चर या इस पृष्ठ पर कोई प्रतिबद्धता महत्वपूर्ण रूप से बदलती है, हम 'अंतिम अद्यतन' तिथि को अपडेट करते हैं और परिवर्तन को चेंज लॉग में घोषित करते हैं।