|
1. वास्तुकला र डेटा एकीकरण |
सेवा सञ्चालन र क्लाउडमा प्रस्तावित बहुविध वास्तुकलामा रहन अनिवार्य छ जसको कारण ग्राहक डाटा पहुँच मात्र कम्पनी द्वारा निर्दिष्ट प्रमाणीकरण द्वारा आधारित हुन सक्छ। यसले एक अद्वितीय तार्किक डाटा विभाजन प्रदान गर्दछ जुन अद्वितीय कर्मचारी पहिचान को माध्यम ले जानकारी लाई अनुमति प्रदान गर्दछ जुन भूमिका विशेषाधिकार को आधार मा उपलब्ध छ। डेटा अलगाव अलग अलग कार्यहरु को लागि, यानी परीक्षण र उत्पादन को लागि अलग वातावरण प्रदान गरेर ले जाना चाहिए।
यो ग्राहकलाई पावरलाई फिर्ता दिइन्छ, ग्राहकलाई निर्देशन दिईएको बेला मात्र डाटा प्रोसेस गरिएको छ भनेर सुनिश्चित गर्न, प्रोसेसिंग गतिविधिको सम्पूर्ण श्रृंखला र लागू हुने उपायहरूको अनुपालनले लेखा परीक्षाको विषय हो।
|
3. लेखा परीक्षा र प्रमाणपत्र |
कम्तिमा एक वार्षिक आधारमा, सबै प्रस्तावित सेवाहरू आन्तरिक कर्मचारीहरूले सुरक्षा आकलनको माध्यमबाट जान पर्ने गर्दछन् जसमा आधारभूत हानिकारक आकलन र आवेदन सुरक्षा आकलन समावेश छ।
सुरक्षा प्रणालीहरू र विश्लेषण सक्षम गर्नका लागि अपरेटिङ सर्भरहरू समावेश गर्ने सबै प्रणालीहरू प्रयोग गरिएका प्रणालीहरू, लग जानकारी तिनीहरूको सम्बन्धित अनुप्रयोग प्रणाली लग सुविधामा वा केन्द्रीकृत syslog सर्भर (सञ्जाल प्रणालीका लागि) राखिनेछ, र प्रणाली र अनुप्रयोग लगहरू सक्षम हुनेछन्। साठ (60) दिनको न्यूनतम अवधिको लागि राखिनेछ।
प्रस्तावित सेवाहरू इन्टरनेट ब्राउजर वा मोबाईल अनुप्रयोग मार्फत उपलब्ध गराईएको विभिन्न प्रकारका सुरक्षा विशेषताहरू हुनुपर्छ जुन कन्फिगर योग्य हुन्छ। यी नियन्त्रणहरू समावेश छन् तर निम्नमा सीमित छैनन्: |
|
• |
प्रयोगकर्ता आइडीहरू अनौठो प्रयोगकर्ता परिचयकर्ताको रूपमा सुनिश्चित गर्नका लागि कि क्रियाकलाप फिर्ता व्यक्तिलाई पत्ता लगाउन सकिन्छ। |
• |
धेरै असफल असफल लगइन प्रयासहरू पछि पहुँच को चुनौती गर्न को लागी reCaptcha नियन्त्रण को उपयोग। |
• |
निष्क्रियता अवधि पछि प्रयोगकर्ता सत्र समाप्त गर्न। |
• |
पासवर्ड लम्बाइमा नियन्त्रण गर्न। |
• |
पासवर्ड जटिलताको आवश्यकताहरू मेल खाने। |
|
6. सुरक्षा नीति र कार्यविधि |
प्रस्तावित सेवाहरु लाई निम्न नीतिहरु र प्रक्रियाहरु लाई सुरक्षा को बढावा गर्न को लागी संचालित गरिनु पर्छ: |
|
• |
प्रयोगकर्ता पासवर्डहरू नमकीन हैश ढाँचा प्रयोग गरी राखिएको छ र इन्टरनेटमा पठाइएको छैन। |
• |
प्रयोगकर्ता पहुँच लग प्रविष्टिहरू राखिनेछन्, जुन मिति, समय, यूआरएल निष्पादित वा इकाई ID मा सञ्चालन गरियो, सञ्चालन प्रदर्शन (हेरे, सम्पादन गरिएको, आदि) र स्रोत IP ठेगाना। ध्यान दिनुहोस् कि स्रोत आईपी ठेगाना उपलब्ध नहुन सक्छ यदि NAT (नेटवर्क ठेगाना अनुवाद) वा PAT (पोर्ट ठेगाना अनुवाद) ग्राहक वा यसको ISP द्वारा प्रयोग गरिन्छ। |
• |
छेउछाउबाट बच्नको लागि सुरक्षित केन्द्रित होस्टमा लगहरू भण्डारण गरिने छ। |
• |
पासवर्डहरू लगइन छैनन्। |
|
7. इन्फ्रोजन पत्ता लगाउनुहोस् |
प्रस्तावित सेवाहरू विकासकर्ता वा त्यस कार्यको लागि तोकिएको तेस्रो पक्षले सञ्जाल आधारित इन्फ्रोजन पत्ता लगाउने तंत्र प्रयोग गरेर अनधिकृत घुसपैठहरूको लागि अनुगमन गर्नुपर्छ। प्रयोगकर्ताका वेब ब्राउजरहरू द्वारा एकत्रित डेटा (उदाहरणका लागि, यन्त्र प्रकार, स्क्रिन रिजोल्युसन, समय क्षेत्र, अपरेटिङ सिस्टम संस्करण, ब्राउजर प्रकार र संस्करण, प्रणाली फन्टहरू, स्थापित ब्राउजर प्लग-इन, सक्षम गरिएको MIME टाइपहरू, आदि) सुरक्षाको लागि विश्लेषण हुन सक्छ। धोखाधड़ी प्रमाणीकरण रोक्न उद्देश्यहरू, र सुनिश्चित गर्नका लागि अफरित सेवाहरू ठीकसँग कार्य गर्दछ।
एक प्रदायकले सुरक्षा घटना व्यवस्थापन नीतिहरू र प्रक्रियाहरू राख्नको लागि आवश्यक छ, र विकासकर्ता वा यसको एजेन्सीहरू जसले कानून द्वारा अनुमति दिइएको हदसम्म जानकारीको बारेमा जान्दछ, द्वारा सम्बन्धित ग्राहक डेटा को कुनै अनधिकृत प्रकटीकरण को अनधिकृत विलम्ब बिना प्रभावित ग्राहकहरु लाई सूचित गर्दछ।
|
9। प्रयोगकर्ता प्रमाणिकरण |
इन्टरनेट ब्राउजर, मोबाइल एप्स वा एपीआई मार्फत अफर ईन्टरनेट सेवाहरूमा सबै पहुँच, वैध प्रयोगकर्ता आईडी र पासवर्डको संयोजन चाहिन्छ जुन प्रसारणमा HTTPS मार्फत इन्क्रिप्ट गरिएको छ। प्रमाणीकरण सफल भएपछि, एक यादृच्छिक सत्र आईडी उत्पन्न हुन्छ र सत्र स्थिति सुरक्षित र ट्रयाक गर्न प्रयोगकर्ताको ब्राउजरमा भण्डार गरिएको छ।
यदि उत्पादन डाटा केन्द्रित सेवाहरू प्रदान गर्न प्रयोग गरिएको बाह्य सेवाहरू द्वारा संभाला गरिन्छ भने, यसको सुरक्षा प्रक्रिया विवरणहरू जस्तै यो: यो हो। AWS सुरक्षा Whitepaper.pdf पाउनुहोस्।
सबै सञ्जाल घटकहरू, लोड ब्यालेन्सहरू, वेब सर्भरहरू र अनुप्रयोग सर्भरहरू एक अपरिवर्तित कन्फिगरेसनमा कन्फिगर गरिएको छ। आवरण सेवाहरूमा पठाईएको सबै ग्राहक डेटा प्राथमिक डेटाबेस सर्भरमा इन्ट-इन-टाइम रिकभरी सुविधाहरू प्रयोग गरी स्वचालित ब्याकअप संग भण्डार गरिएको छ। सबै दैनिक AMI ब्याकअप कम्तीमा 2 दिनसम्म राखिनेछ र साप्ताहिक AMI ब्याकअप कम्तिमा एक महिनाको बृद्धि गरिनेछ।
प्रस्तावित सेवा उत्पादन उत्पादन प्रणाली बहु-तहमा आपदा रिकभरी योजना द्वारा संरक्षित हुनुपर्छ जुन महत्त्वपूर्ण डेटा र सेवाहरूको ब्याकअप प्रदान गर्दछ। व्यावसायिक-महत्वपूर्ण प्रणालीहरू सबै भन्दा कम सम्भव समयको समयमा अनलाइन फिर्ता ल्याउन रिकभरी प्रक्रियाहरूको व्यापक प्रणाली अवस्थित छ। डेटाबेस, सुरक्षा, प्रणाली प्रशासन, र सञ्जाल कन्फिगरेसन र डेटाका लागि पुन: प्राप्ति प्रक्रिया सेवा सेवा अवरोध पछि उपलब्ध प्रक्रियाहरू बनाउनका लागि एक सडकमैप प्रदान गर्दछ।
प्रस्तावित सेवाहरू भाइरसहरूका लागि स्कैन हुने छैन जुन ग्राहकहरू द्वारा अफर गरिएको सेवाहरूमा अपलोड गरिएको संलग्नक वा अन्य डेटामा समावेश गर्न सकिन्छ। अपलोड गरिएका एट्याचमेन्टहरू अफिसर सेवाहरूमा क्रियान्वित गरिएको छैन र यसैले अनलाईन अफेर्टेड सेवाहरू लाई क्षतिपूर्ति वा सम्झौता गर्दैन जुन विषाणुको कारण हो।
प्रस्तावित सेवाहरूले ग्राहक-स्वीकृत एन्क्रिप्शन उत्पादनहरू प्रयोग गर्नुपर्छ ग्राहक डेटा र संचार ग्राहकको नेटवर्क र आवरण सेवाहरू बीच, 128-बिट TLS प्रमाणपत्रहरू र कम्तिमा न्यूनतम 2048 बिट आरएसएस सार्वजनिक कुञ्जीहरू बीच।
|
15. ग्राहक डेटाको फर्कनुहोस् |
प्रस्तावित सेवाहरूमा पेश गरिएको ग्राहक डेटा अनुरोधमा ग्राहकलाई फर्काइनेछ।
अफरित सेवाहरूको समाप्ति पछि, ग्राहकले प्रस्तावित सेवाहरूमा पेश गरिएको ग्राहक डेटा को मेटाउन अनुरोध गर्न सक्छन्, र यो प्रक्रिया लागू कानुन अनुसार आवश्यक छ। ग्राहक डेटा आधारभूत ढाँचामा भण्डारण गरिएको ग्राहक अनुसार तलको रूपमा मेटिनेछ।
महत्त्वपूर्ण: निम्न प्रकारका संवेदनशील व्यक्तिगत डेटा अफरक्षित सर्भरहरूमा पेश गर्न सकिँदैन: वित्तीय जानकारी (जस्तै क्रेडिट वा डेबिट कार्ड नम्बरहरू, कुनै सम्बन्धित सुरक्षा कोडहरू वा पासवर्डहरू, र बैंक खाता नम्बरहरू); एक व्यक्तिको शारीरिक वा मानसिक स्वास्थ्य सम्बन्धी जानकारी; र स्वास्थ्य सेवाको प्रावधान वा भुक्तानी सम्बन्धी जानकारी। स्पष्टताका लागि, अग्रगामी प्रतिबंध वित्तीय जानकारी को लागी, र आफ्नो ग्राहकहरु बाट भुक्तान सङ्कलन को उद्देश्य को लागि विकासकर्ता को प्रदान वित्तीय जानकारी मा लागू छैन।
एक विकासकर्ताले सुरक्षा उद्देश्यका लागि अफर सेवाहरूको प्रयोगलाई ट्रयाक गर्न र विश्लेषण गर्न सक्छ र विकासकर्तालाई अफगानिस्तान सेवाहरू प्रयोग गरी दुवै प्रस्तावित सेवाहरू र प्रयोगकर्ता अनुभव सुधार गर्न मद्दत पुर्याउन सक्छ। विकासकर्ताले यस्तो ट्र्याकिङ, विश्लेषण र सुधारमा विकासकर्तालाई मद्दतको उद्देश्यका लागि यसको सेवा प्रदायकहरूको साथ अज्ञात उपयोग डेटा साझेदारी गर्न सक्छ। यसको अतिरिक्त, विकासकर्ताले हाम्रो व्यवसाय सञ्चालन गर्ने सामान्य पाठ्यक्रममा समग्र आधारमा यस्तो अज्ञात उपयोग डेटा साझेदारी गर्न सक्छ; उदाहरणको लागि, हामी हाम्रो सेवाको सामान्य प्रयोगको बारेमा प्रवृत्तिहरू देखाउन सार्वजनिक रूपमा साझा गर्न सक्छौं।
|
1 9। अन्य सेवाहरूसँग एकीकरण वा इन्टरपेरेरेशन |
प्रस्तावित एक विकासकर्ता सेवाहरू विकासकर्ता वा तेस्रो पक्षहरू द्वारा प्रदान गरिएका अन्य सेवाहरूको साथ एकीकृत वा अन्तरप्राय गर्न सक्छ। विकासकर्ताले धेरै प्लेटफर्महरू र सुविधाहरू प्रदान गर्न सक्दछ जुन प्रयोगकर्ताहरू उत्पादनहरूको बारेमा जान्न, समुदायहरूमा भाग लिन, तेस्रो पक्षका अनुप्रयोगहरू जडान गर्न, र पायलटहरू, परीक्षण र आकलनमा भाग लिन अनुमति दिन्छ जुन यस दस्तावेजको दायराभन्दा बाहिर छन्। एक तरिकामा यस्ता प्लेटफर्महरू र विशेषताहरूमा सहभागी हुने प्रयोगकर्ताहरूसँग कुराकानी गर्नुहोस् कि गोपनीयता कथनसँग अनुरूप हुनुपर्छ। थप रूपमा, विकासकर्ताले प्रस्तावित सेवाहरूको बारेमा लेनदेन जानकारी प्रदान गर्न प्रयोगकर्ताहरूलाई सम्पर्क गर्न सक्छन्; उदाहरणका लागि, खाता प्रबन्धक वा सिस्टम उत्पन्न गरिएको इमेल सन्देशहरू मार्फत। विकासकर्तालाई ग्राहकहरू र प्रयोगकर्ताहरूलाई यस्ता सन्देशहरू प्राप्त गर्न निष्क्रिय वा अप्ट आउट गर्ने क्षमता प्रस्ताव गर्न आवश्यक छ। क्लाउड-आधारित प्रणाली विकासकर्ताको रूपमा, टाइमटेक ले ग्राहकको विश्वास कोयम राख्न को लागी मुख्य उद्देश्यसँग माथिको आवश्यकताहरू पूरा गरेको छ। TimeTec द्वारा प्रदान गरिएको सेवाहरूको लागि सुरक्षा, गोपनीयता र वास्तुकला कागजातहरू टाइमटेक क्लाउड वेबसाइटमा उपलब्ध छ।