|
1. আর্কিটেকচার এবং ডেটা বিভাজন |
ক্লায়েন্ট পরিচালিত এবং প্রদত্ত সেবাগুলি একটি multitenant আর্কিটেকচারে থাকা আবশ্যক যার ফলে গ্রাহক ডেটা অ্যাক্সেস কেবলমাত্র কোম্পানী দ্বারা নির্ধারিত অনুমোদনের ভিত্তিতে দেখা যাবে। এটি অনন্য কর্মচারী সনাক্তকরণের মাধ্যমে কার্যকর লজিক্যাল ডেটা বিভাজক প্রদান করে যা ভূমিকা অধিকারগুলির উপর ভিত্তি করে তথ্য অ্যাক্সেসের অনুমতি দেয়। ডেটা বিচ্ছিন্নতা বিভিন্ন ফাংশনগুলির জন্য আলাদা পরিবেশ প্রদান করে থাকে, অর্থাৎ পরীক্ষার জন্য এবং উত্পাদনের জন্য।
|
2. প্রক্রিয়াজাতকরণ নিয়ন্ত্রণ |
এটি গ্রাহকের কাছে ক্ষমতা ফেরত দেয়, তাদের নিশ্চিত করে যে গ্রাহক দ্বারা প্রক্রিয়াকরণের সমস্ত চেইন এবং প্রক্রিয়াকরণ পদ্ধতি অনুসরণ করে গ্রাহকের নির্দেশিত ডেটা শুধুমাত্র প্রক্রিয়াকরণ করা হয় এবং এটি নিরীক্ষা সাপেক্ষে প্রয়োগ করা হয়।
অন্তত একটি বার্ষিক ভিত্তিতে, সমস্ত প্রদত্ত সেবা অভ্যন্তরীণ কর্মীদের দ্বারা নিরাপত্তা মূল্যায়ন মাধ্যমে যেতে হবে যা অবকাঠামো দুর্বলতা মূল্যায়ন এবং অ্যাপ্লিকেশন নিরাপত্তা মূল্যায়ন অন্তর্ভুক্ত।
সমস্ত সিস্টেমগুলি অপারেটিং সিস্টেম সহ প্রদত্ত পরিষেবায় সমর্পণ করতে ব্যবহৃত হয়, তাদের নিজস্ব অ্যাপ্লিকেশন সিস্টেম লগ সুবিধা বা একটি কেন্দ্রীয় syslog সার্ভার (নেটওয়ার্ক সিস্টেমের জন্য) তথ্য লগ ইন করে নিরাপত্তা পর্যালোচনা এবং বিশ্লেষণ, এবং সিস্টেম এবং অ্যাপ্লিকেশন লগগুলি সক্ষম করার জন্য রাখা হবে অন্তত 60 (60) দিনের জন্য রাখা হবে।
প্রদত্ত সেবাগুলি ইন্টারনেট ব্রাউজার বা মোবাইল অ্যাপের মাধ্যমে উপলব্ধ করা হয়েছে এমন বিভিন্ন নিরাপত্তা বৈশিষ্ট্য থাকতে হবে যা কনফিগার করা যায়। এই নিয়ন্ত্রণ অন্তর্ভুক্ত, কিন্তু নিম্নলিখিতগুলি সীমাবদ্ধ নয়: |
|
• |
ইউজার আইডিগুলি অনন্য ব্যবহারকারীর শনাক্তকারী হিসাবে নিশ্চিত করে যে ক্রিয়াকলাপগুলি ব্যাক্তিটি ব্যাক করা যায় |
• |
বেশ কয়েকবার ব্যর্থ লগইন প্রচেষ্টাগুলির পরে অ্যাক্সেসকে চ্যালেঞ্জ করার জন্য পুনরায় ক্যাপচা নিয়ন্ত্রণ ব্যবহার করা। |
• |
নিষ্ক্রিয়তা একটি নির্দিষ্ট সময়ের পরে একটি ব্যবহারকারী সেশন বন্ধ করার জন্য। |
• |
পাসওয়ার্ডের দৈর্ঘ্য নিয়ন্ত্রণ করতে। |
• |
পাসওয়ার্ড জটিলতা প্রয়োজনীয়তা মেলে |
|
6. নিরাপত্তা নীতি এবং পদ্ধতি |
দেওয়া সেবা নিরাপত্তা উন্নত করার জন্য নিম্নলিখিত নীতি ও পদ্ধতিগুলির সাথে সঙ্গতিপূর্ণ হতে হবে: |
|
• |
ব্যবহারকারী পাসওয়ার্ড একটি salted হ্যাশ ফরম্যাট ব্যবহার করে রাখা হয় এবং unencrypted প্রেরণ করা হয় না। |
• |
ব্যবহারকারীর অ্যাক্সেস লগ এন্ট্রিগুলি রক্ষণাবেক্ষণ করা হবে, তারিখ, সময়, URL চালানো অথবা সত্ত্বা আইডি পরিচালিত হবে, পরিচালনা করা (সম্পাদিত, সম্পাদিত ইত্যাদি) এবং সোর্স আইপি অ্যাড্রেস। উল্লেখ্য যে যদি একটি নেটওয়ার্কে NAT (নেটওয়ার্ক অ্যাড্রেস ট্রান্সলেশন) বা PAT (পোর্ট অ্যাড্রেস ট্রান্সলেশন) গ্রাহক বা তার আইএসপি দ্বারা ব্যবহৃত হয় তবে সোর্স আইপি ঠিকানাটি উপলব্ধ নাও হতে পারে। |
• |
লগগুলি প্রতিরোধ করার জন্য লগগুলি একটি সুরক্ষিত কেন্দ্রীভূত হোস্টে সংরক্ষণ করা হবে। |
• |
পাসওয়ার্ড লগ করা হয় না। |
প্রদত্ত পরিষেবাদিটি নিরীক্ষণের জন্য বিকাশকারী বা তৃতীয় কর্মের দ্বারা নেটওয়ার্ক-ভিত্তিক অনুপ্রবেশের সনাক্তকরণ প্রক্রিয়া ব্যবহার করে অননুমোদিত হস্তক্ষেপের জন্য নিরীক্ষণ করা আবশ্যক। ব্যবহারকারীদের ওয়েব ব্রাউজার (যেমন, ডিভাইসের ধরন, স্ক্রিন রেজোলিউশন, টাইম জোন, অপারেটিং সিস্টেম সংস্করণ, ব্রাউজারের প্রকার এবং সংস্করণ, সিস্টেম ফন্ট, ইনস্টল করা ব্রাউজার প্লাগ-ইন, MIME প্রকারগুলি ইত্যাদি) দ্বারা সংগৃহীত ডেটাগুলির জন্য বিশ্লেষণ করা যেতে পারে জালিয়াতি প্রমাণীকরণ প্রতিরোধ করার জন্য নিরাপত্তা উদ্দেশ্যে এবং প্রদত্ত সেবাগুলি যথাযথভাবে ফাংশনটি নিশ্চিত করার জন্য।
একটি সরবরাহকারীকে নিরাপত্তা ঘটনার ব্যবস্থাপনা নীতি ও পদ্ধতিগুলি বজায় রাখতে হবে এবং বিকাশকারী বা এর এজেন্টদের দ্বারা তাদের নিজস্ব গ্রাহক ডেটার কোনও অননুমোদিত প্রকাশের অযাচিত দাবীর সাথে প্রতিক্রিয়া জানাতে হবে যা বিকাশকারী আইন দ্বারা অনুমোদিত পরিমাণে সচেতন হয়ে ওঠে।
|
9. ব্যবহারকারী প্রমাণীকরণ |
ইন্টারনেট ব্রাউজার, মোবাইল অ্যাপ বা API- এর মাধ্যমে অফারের পরিষেবাগুলিতে সমস্ত অ্যাক্সেস, বৈধ ইউজার আইডি এবং পাসওয়ার্ডের সংমিশ্রণকে সংযোজন করে যা ট্রান্সমিশনে HTTPS এর মাধ্যমে এনক্রিপ্ট করা হয়। প্রমাণীকরণ সফল হওয়ার পরে, একটি র্যান্ডম সেশন আইডি ব্যবহারকারীর ব্রাউজারে তৈরি এবং সঞ্চিত অবস্থায় সংরক্ষণ এবং ট্র্যাক করা হয়।
যদি আচ্ছাদিত পরিষেবা প্রদানের জন্য ব্যবহার করা উত্পাদনের ডেটা কেন্দ্র বাইরের পরিষেবাগুলি দ্বারা পরিচালিত হয় তবে এটির নিরাপত্তার প্রসেসের বিশদ বিবরণগুলি পাওয়া যাবে যেমন: AWS নিরাপত্তা হোয়াইটপোডি.pdf
|
11. নির্ভরযোগ্যতা এবং ব্যাকআপ |
সমস্ত নেটওয়ার্কিং উপাদান, লোড ব্যালেন্সার, ওয়েব সার্ভার এবং অ্যাপ্লিকেশন সার্ভারগুলি একটি অপ্রয়োজনীয় কনফিগারেশনে কনফিগার করা হয়। আচ্ছাদিত সেবা জমা দেওয়া সমস্ত গ্রাহক ডেটা পয়েন্ট-ইন-টাইম পুনরুদ্ধার বৈশিষ্ট্যগুলি ব্যবহার করে স্বয়ংক্রিয় ব্যাকআপ সহ একটি প্রাথমিক ডেটাবেস সার্ভারে সংরক্ষণ করা হয়। সমস্ত দৈনিক এএমআই ব্যাকআপ কমপক্ষে 2 দিন ধরে রাখা হবে এবং সাপ্তাহিক এএমআই ব্যাকআপ কমপক্ষে এক মাস ধরে রাখা হবে।
দেওয়া সেবা 'উত্পাদন সিস্টেম একটি বহুমুখী দুর্যোগ পুনরুদ্ধারের পরিকল্পনা দ্বারা সুরক্ষিত করা আবশ্যক যা গুরুত্বপূর্ণ তথ্য এবং সেবা ব্যাক আপ প্রদান করে ব্যবসার-সমালোচনামূলক সিস্টেমগুলির সংক্ষিপ্ত সময়ের মধ্যে সম্ভাব্য সংক্ষিপ্ত সময়ের মধ্যে অনলাইন পুনরুদ্ধার প্রক্রিয়ার একটি ব্যাপক সিস্টেম বিদ্যমান। ডেটাবেস, নিরাপত্তা, সিস্টেম প্রশাসন এবং নেটওয়ার্ক কনফিগারেশন এবং ডেটাগুলির জন্য পুনরুদ্ধারের প্রক্রিয়াগুলি কর্মের জন্য কর্মের জন্য একটি রোডম্যাপ প্রদান করে যা পরিষেবা ব্যাহত হওয়ার পরে পাওয়া যায়।
দেওয়া সেবা গ্রাহকদের দ্বারা অফার পরিষেবার মধ্যে আপলোড সংযুক্তি বা অন্যান্য তথ্য অন্তর্ভুক্ত করা যেতে পারে যে ভাইরাস জন্য স্ক্যান করা হবে না। আপলোড করা সংযুক্তিগুলি অফারকৃত পরিষেবাগুলিতে কার্যকর করা হয় না এবং এর ফলে, ভাইরাস ধারণকারী বৈশিষ্ট্য দ্বারা অনলাইন উপলব্ধ পরিষেবাদিদের ক্ষতি বা আপোষ করা যাবে না।
অফারকৃত পরিষেবাগুলি গ্রাহকের ডেটা এবং যোগাযোগ রক্ষা করার জন্য শিল্প-স্বীকৃত এনক্রিপশন পণ্যগুলি অবশ্যই গ্রাহকের নেটওয়ার্কের মধ্যে এবং অন্তত 128-বিট টিএলএস সার্টিফিকেট এবং ২048-বিট আরএসএ সর্বজনীন কী সহ অন্তর্মুখী পরিষেবার মধ্যে ব্যবহার করা উচিত।
প্রস্তাবিত পরিষেবাদিতে জমা দেওয়া গ্রাহক ডেটার অনুরোধের ভিত্তিতে গ্রাহকের কাছে ফেরত পাঠানো হবে।
|
16. গ্রাহক ডেটা মুছে ফেলা |
অফারকৃত পরিষেবাগুলি বন্ধ করার পরে, গ্রাহকরা অফারকৃত পরিষেবাদিতে জমা দেওয়া গ্রাহক ডেটা মুছে ফেলতে অনুরোধ করতে পারে এবং এই প্রযোজ্য প্রযোজ্য আইনী প্রয়োজনীয়তাগুলি সাপেক্ষে। প্রস্তাবিত পরিষেবার জন্য পরিকাঠামোতে সংরক্ষিত গ্রাহক ডেটা অনুযায়ী মোছা হবে।
গুরুত্বপূর্ণ: নিম্নোক্ত ধরনের সংবেদনশীল ব্যক্তিগত তথ্য অফারকৃত সার্ভারগুলিতে জমা দেওয়া যাবে না: আর্থিক তথ্য (যেমন ক্রেডিট বা ডেবিট কার্ড নম্বর, কোনও নিরাপত্তা কোড বা পাসওয়ার্ড এবং ব্যাঙ্ক অ্যাকাউন্ট নম্বর); একজন ব্যক্তির শারীরিক বা মানসিক স্বাস্থ্য সম্পর্কিত তথ্য; এবং স্বাস্থ্য যত্ন বা বিধান সংক্রান্ত তথ্য। স্বচ্ছতার জন্য, পূর্বানুমানিক বিধিনিষেধগুলি আর্থিক যোগ্যতা পরীক্ষা করার উদ্দেশ্যে এবং তার গ্রাহকদের কাছ থেকে অর্থ সংগ্রহ করার জন্য বিকাশকারীকে প্রদান করা আর্থিক তথ্যগুলিতে প্রযোজ্য হয় না।
একটি বিকাশকারী নিরাপত্তার উদ্দেশ্যে দেওয়া পরিষেবার ব্যবহার ট্র্যাক এবং বিশ্লেষণ করতে পারে এবং প্রস্তাবিত পরিষেবাগুলি ব্যবহার করে ব্যবহারকারীর অভিজ্ঞতা উভয়ই উন্নীত করতে সাহায্য করে। ডেভেলপারকে এই ধরনের ট্র্যাকিং, বিশ্লেষণ এবং উন্নতিতে সাহায্য করার উদ্দেশ্যে একটি বিকাশকারী তার পরিষেবা প্রদানকারীর সাথে অনামী ব্যবহার ডেটা ভাগ করতে পারে। উপরন্তু, বিকাশকারী আমাদের ব্যবসার পরিচালনা স্বাভাবিকের দিকে একটি সমষ্টিগত ভিত্তিতে এই ধরনের বেনামী ব্যবহারের তথ্য ভাগ করতে পারে; উদাহরণস্বরূপ, আমরা আমাদের পরিষেবার সাধারণ ব্যবহার সম্পর্কে প্রবণতাগুলি দেখানোর জন্য সর্বজনীনভাবে তথ্য ভাগ করতে পারি।
|
19. অন্য পরিষেবাগুলির সাথে ইন্টিগ্রেশন বা ইন্টারপোরেশন |
বিকাশকারী প্রদত্ত সেবাগুলি বিকাশকারী বা তৃতীয় পক্ষের দ্বারা প্রদত্ত অন্যান্য পরিষেবাগুলির সাথে একীভূত বা আন্তঃক্রমে জড়িত হতে পারে ডেভেলপার এছাড়াও অনেক প্ল্যাটফর্ম এবং বৈশিষ্ট্য যা ব্যবহারকারীদের পণ্যের সম্পর্কে জানতে, সম্প্রদায়গুলিতে অংশগ্রহণ করতে পারে, তৃতীয় পক্ষের অ্যাপ্লিকেশনগুলি সংযুক্ত করতে এবং পাইলট, টেস্টিং এবং মূল্যায়নগুলিতে অংশগ্রহণ করতে পারে, যা এই ডকুমেন্টেশনের সুযোগের বাইরে। যেসব প্ল্যাটফর্মে অংশগ্রহণকারী এবং বৈশিষ্ট্যগুলি এমনভাবে ব্যবহার করে এমন ব্যবহারকারীদের সাথে যোগাযোগ যা গোপনীয়তার বিবৃতির সাথে সামঞ্জস্যপূর্ণ হতে হবে। উপরন্তু, দেওয়া পরিষেবা সম্পর্কে লেনদেনমূলক তথ্য প্রদানের জন্য বিকাশকারী ব্যবহারকারীদের সাথে যোগাযোগ করতে পারে; উদাহরণস্বরূপ, অ্যাকাউন্ট ম্যানেজারের মাধ্যমে অথবা সিস্টেম-তৈরি ইমেল বার্তাগুলির মাধ্যমে। বিকাশকারীকে অবশ্যই গ্রাহক এবং ব্যবহারকারীদের এই বার্তাগুলি নিষ্ক্রিয় করার ক্ষমতা বা এই ধরনের বার্তা প্রাপ্তির অপটিমাইজ করার সুযোগ দিতে হবে। ক্লাউড-ভিত্তিক সিস্টেম বিকাশকারী হিসাবে, টাইম-টেক গ্রাহকের বিশ্বাস বজায় রাখার জন্য মূল উদ্দেশ্যের সাথে উপরের প্রয়োজনীয়তাগুলি পূরণ করেছে। TimeTec দ্বারা সরবরাহিত পরিষেবার জন্য নিরাপত্তা, গোপনীয়তা এবং স্থাপত্য ডকুমেন্টটি TimeTec Cloud Website- এ উপলব্ধ।