सुरक्षा जो आप सच में पढ़ सकें।
कोई मार्केटिंग डायग्राम नहीं। बस वो जो हम आपके डेटा को निजी, छोटा, और आपके हाथ में रखने के लिए करते हैं — इस साइट पर और हर उस उत्पाद में जो हम भेजते हैं।
एक उत्पत्ति। लाइन पर एन्क्रिप्टेड। शून्य तीसरे पक्ष। छोटी अवधि। नामित उप-प्रोसेसर।
ऊपर की पाँच पंक्तियाँ एक साँस में पूरी मुद्रा हैं। नीचे की हर बात सहायक प्रमाण है — हर पंक्ति का क्या मतलब, कैसे लागू होती है, और कुछ गलत होने पर समस्या की रिपोर्ट कैसे करें।
हम साइट और प्लेटफॉर्म कैसे चलाते हैं
हर तार पर एन्क्रिप्शन
सभी सार्वजनिक पृष्ठ और उत्पाद ट्रैफ़िक आधुनिक साइफरों के साथ TLS 1.3 पर यात्रा करता है। प्रमाणपत्र Let's Encrypt द्वारा जारी किए जाते हैं और स्वचालित रूप से रोटेट होते हैं। HTTP Strict Transport Security एक लंबे max-age के साथ सेट है। आपका टाइप किया कुछ भी कभी प्लेन टेक्स्ट में खुले वेब को पार नहीं करता। आंतरिक सेवा-से-सेवा कॉल वहाँ म्युचुअल TLS का उपयोग करते हैं जहाँ नेटवर्क पथ देखा जा सकता है।
शून्य तृतीय-पक्ष कॉल
कोई एनालिटिक्स नहीं, कोई पिक्सेल नहीं, कोई विज्ञापन नेटवर्क नहीं, कोई बाहरी फ़ॉन्ट नहीं, कोई एम्बेडेड वीडियो नहीं, कोई सोशल-मीडिया विजेट नहीं। आपका ब्राउज़र सिर्फ़ हमारे ओरिजिन से बात करता है। यह निरंतर एकीकरण में no-third-party.mjs नामक एक स्क्रिप्ट द्वारा लागू किया जाता है जो निर्मित साइट को स्कैन करती है और अगर बंडल में कोई बाहरी होस्ट दिखे तो रिलीज़ को विफल कर देती है। वादा एक यूनिट टेस्ट है, मार्केटिंग की लाइन नहीं। On this marketing site only. Individual products in our portfolio may use named subprocessors — see each product privacy notice for the full list.
हस्ताक्षरित और सत्यापित बिल्ड
हम जो हर कंटेनर इमेज भेजते हैं वह लॉक किए हुए हिस्सों के सेट से बनी है। लॉकफ़ाइल git में है। हम कोई भी हिस्सा बदलने से पहले सलाहकारी समीक्षा करते हैं। रिलीज़ें चलने से पहले हस्ताक्षरित और मेज़बान पर जाँची जाती हैं। कोई भी बिल्ड जो किसी गेट — बंडल आकार, a11y, तृतीय पक्ष — पर विफल होती है, उत्पादन तक नहीं पहुँच सकती।
छोटी प्रतिधारण विंडो
सर्वर लॉग चौदह दिन डीबगिंग के लिए रखे जाते हैं और फिर हटा दिए जाते हैं। संपर्क-फ़ॉर्म ईमेल केवल इतने समय रखे जाते हैं जितना जवाब देने और बातचीत फ़ाइल करने में लगे, फिर अधिकतम चौबीस महीनों तक रिकॉर्ड के लिए संग्रहित, फिर हटा दिए जाते हैं। बैकअप तीस दिन के चक्र पर रोल करते हैं और स्टैटिक पर एन्क्रिप्टेड हैं।
पृथक उत्पाद वातावरण
हर उत्पाद अपने डेटाबेस, अपने सीक्रेट और अपने नियमों के साथ चलता है। एक उपकरण पर सेंध दूसरे में नहीं फैल सकती। कुछ फ़ीचर उत्पादों के बीच जुड़ते हैं। सिंगल साइन-ऑन। सपोर्ट रूटिंग। धोखाधड़ी संकेत। हम उत्पादों के बीच केवल आवश्यक न्यूनतम स्थानांतरित करते हैं। हर प्रवाह उसके उत्पाद के निजता पृष्ठ पर है।
एडमिन एक allow-list के पीछे
Payload CMS एडमिन और अंतर्निहित सर्वर तक पहुँच प्रॉक्सी परत पर लिखित रूप से अनुमोदित इंटरनेट पतों की एक छोटी सूची तक सीमित है। हर एडमिनिस्ट्रेटर खाते के लिए मल्टी-फ़ैक्टर ऑथेंटिकेशन ज़रूरी है। कोई साझा "एडमिन" क्रेडेंशियल नहीं — हर क्रिया एक नामित व्यक्ति को सौंपी जा सकती है।
सीक्रेट वॉल्ट में, कोड में कभी नहीं
डेटाबेस पासवर्ड, API कीज़, साइनिंग सीक्रेट और प्रमाणपत्र एक एन्क्रिप्टेड सीक्रेट वॉल्ट में रहते हैं और रनटाइम पर इंजेक्ट होते हैं। सोर्स-कोड स्कैन किसी भी कमिट को रोकते हैं जो क्रेडेंशियल एम्बेड करने का प्रयास करता है। रोटेट किए गए सीक्रेट कुछ ही मिनटों में चल रही सेवाओं तक पहुँच जाते हैं।
हम आपके डेटा को कैसे संभालते हैं
आप कम भेजते हैं, हम कम स्टोर करते हैं
हम केवल वही माँगते हैं जो उत्पाद को काम करने के लिए न्यूनतम चाहिए। कोई पूर्व-चिह्नित बक्से नहीं। कोई "वैकल्पिक" फ़ील्ड नहीं जो परिणाम पाने के लिए चुपचाप अनिवार्य बन जाते हैं। हम तृतीय पक्षों से व्यक्तिगत डेटा नहीं खरीदते या समृद्ध नहीं करते।
आपका डेटा आपका है
हर उत्पाद से निर्यात फ़र्स्ट-क्लास फ़ीचर है, अपसेल नहीं। हटाएँ, और आपका डेटा हटा दिया जाता है — किसी ऐसे स्विच के पीछे "हमेशा के लिए सॉफ़्ट-डिलीटेड" नहीं जिसे आप देख न सकें। निर्गमन में मानक फ़ॉर्मैट (CSV, JSON, ICS, PDF)। कोई स्वामित्व लॉक-इन नहीं।
आपकी सामग्री पर कोई प्रशिक्षण नहीं
AI फ़ीचर केवल वही डेटा उपयोग करते हैं जो आप जमा करना चुनते हैं। डेटा आपके खाते के दायरे में ही रहता है। आपकी निजी सामग्री कभी भी साझा मॉडलों को प्रशिक्षित करने के लिए उपयोग नहीं की जाती। यह कभी किसी अन्य ग्राहक के डेटा में मिश्रित नहीं होती। यह कभी ऐसे तृतीय-पक्ष AI को नहीं भेजी जाती जो आपके प्रॉम्प्ट रखता है।
पारदर्शी घटना प्रतिक्रिया
अगर कोई सुरक्षा घटना आपके डेटा को छूती है, तो हम बहत्तर घंटों के भीतर आपको बताते हैं। साधारण शब्दों में। हम बताते हैं क्या हुआ, हमने क्या किया, और आप आगे क्या कर सकते हैं। काम पूरा होने पर हम सार्वजनिक पोस्ट-मॉर्टम प्रकाशित करते हैं। हम कभी किसी चुपचाप पॉलिसी अपडेट के पीछे सेंध नहीं छिपाएँगे।
पहुँच का अधिकार, अनुरोध पर
आप हमारे पास मौजूद हर बिट व्यक्तिगत डेटा की सादी कॉपी माँग सकते हैं। आप हमें ठीक करने को कह सकते हैं। आप हमें हटाने को कह सकते हैं। आप हमें किसी अन्य सेवा को साफ़ कॉपी भेजने को कह सकते हैं। हम तीस दिनों के भीतर निःशुल्क जवाब देते हैं। हम साइट की चौदह भाषाओं में से किसी में भी जवाब दे सकते हैं।
नामित उप-प्रोसेसर की एक छोटी सूची
मुट्ठी भर वेंडर हमें प्लेटफ़ॉर्म चलाने में मदद करते हैं — उदाहरण के लिए हमारा होस्टिंग पार्टनर, हमारा ईमेल-रिले पार्टनर, और कोई भी पेमेंट-रेल प्रोसेसर जो कोई उत्पाद चेकआउट पर उपयोग करता है। प्रत्येक का नाम हमारे ट्रस्ट पृष्ठ पर है, उसके उद्देश्य और छुए गए डेटा के साथ। हम कभी चुपचाप नया उप-प्रोसेसर नहीं जोड़ते।
मानक जिनका हम पालन करते हैं
हम एक छोटे, नामित मानकों के सेट का पालन करते हैं — और हम उन ऑडिट के बारे में ईमानदार हैं जो हमने अभी तक नहीं अर्जित किए हैं।
PIPEDA (कनाडा)
हमारी मूल कंपनी अल्बर्टा में स्थापित है। हम व्यक्तिगत सूचना संरक्षण और इलेक्ट्रॉनिक दस्तावेज़ अधिनियम का पालन करते हैं। हम कनाडा के गोपनीयता आयुक्त के कार्यालय के प्रति जवाबदेह हैं। आप हमें पहले लिखने के बाद वहाँ भी एक गोपनीयता चिंता ले जा सकते हैं।
GDPR-समतुल्य अधिकार, वैश्विक रूप से
हम यूरोपीय GDPR के अधिकारों को हर महाद्वीप के हर उपयोगकर्ता तक बढ़ाते हैं। समान व्यवहार मिशन का हिस्सा है। यह कोई अनुपालन चेकबॉक्स नहीं जो आपके निवास से बँधा हो।
WCAG 2.2 स्तर AA
सुलभता एक सुरक्षा गुण है — एक साइट जिसका आप उपयोग नहीं कर सकते वह साइट है जिस पर आप भरोसा नहीं कर सकते। हर पृष्ठ कम से कम WCAG 2.2 AA पर बनाया जाता है, जहाँ axe-core जाँचें किसी भी उल्लंघन पर बिल्ड को विफल कर देती हैं। पूर्ण कथन /legal/accessibility पर पढ़ें।
अभी तक FedRAMP नहीं, SOC 2 नहीं
हम जो हमारे पास नहीं है उसके बारे में ईमानदार हैं। हम आज SOC 2 Type II ऑडिट या FedRAMP प्राधिकरण बनाए रखने के लिए बहुत छोटे हैं, और हम उन्हें मार्केटिंग में दावा नहीं करेंगे। जब कोई उत्पाद ऐसे बाज़ार में प्रवेश करेगा जिसके लिए कोई आवश्यक है, हम उसे उस बाज़ार में पेश करने से पहले अर्जित करेंगे।
कुछ मिला? कृपया पहले हमें बताएँ।
विवरण और दोहराने के चरणों के साथ security@intelligentsingularityinc.com पर ईमेल करें। हम एक कार्य दिवस में रिपोर्ट की पुष्टि करते हैं। तीन में ट्रायेज करते हैं। फ़िक्स आने पर पोस्ट-मॉर्टम में हम शोधकर्ताओं को नाम से श्रेय देते हैं, जब तक वे गुमनाम रहना न माँगें। हम सद्भावपूर्ण सुरक्षा शोधकर्ताओं को धमकी या मुकदमा कभी नहीं देते, बस।