Skip to content

इस दस्तावेज़ का अंग्रेज़ी संस्करण आधिकारिक है। यह अनुवाद केवल सुविधा के लिए प्रदान किया गया है।

कानूनी

Security Overview

v1.0 · प्रभावी 2026-07-06

1. अवलोकन

यह पृष्ठ उन सुरक्षा उपायों का वर्णन करता है जो Brainpercent में आपके डेटा की रक्षा करते हैं, जिसे Brainpercent, LLC (डेलावेयर, अमेरिका) संचालित करती है। हम केवल वही बताते हैं जो आज वास्तव में मौजूद है। हम ऐसे प्रमाणपत्रों का दावा नहीं करते जो हमारे पास नहीं हैं। हम व्यक्तिगत डेटा कैसे संसाधित करते हैं, इसके लिए हमारी गोपनीयता नीति और डेटा प्रोसेसिंग परिशिष्ट (DPA) देखें।

2. एन्क्रिप्शन

आपका डेटा हर चरण में एन्क्रिप्टेड है:

  • संग्रहण के समय: डेटाबेस और फ़ाइल स्टोरेज के लिए AES-256 एन्क्रिप्शन (Supabase Postgres और Storage, EU के फ्रैंकफर्ट क्षेत्र में होस्टेड)।
  • जुड़े खातों के टोकन: आपके जुड़े सोशल खातों के OAuth टोकन एप्लिकेशन स्तर पर AES-256-GCM से अतिरिक्त रूप से एन्क्रिप्ट किए जाते हैं, प्रत्येक सीक्रेट के लिए एक अद्वितीय इनिशियलाइज़ेशन वेक्टर और ऑथेंटिकेशन टैग के साथ।
  • संचरण के समय: आपके ब्राउज़र, हमारे सर्वरों और हमारे सेवा प्रदाताओं के बीच सभी कनेक्शनों के लिए TLS 1.2 या उससे ऊपर।

3. एक्सेस नियंत्रण

आपके डेटा तक पहुँच कई परतों में सीमित है:

  • पंक्ति-स्तरीय सुरक्षा: Postgres की पंक्ति-स्तरीय सुरक्षा (RLS) डेटाबेस स्तर पर हर क्वेरी को आपके अपने उपयोगकर्ता तक सीमित करती है, इसलिए एक उपयोगकर्ता दूसरे उपयोगकर्ता की पंक्तियाँ नहीं पढ़ सकता।
  • भूमिका पृथक्करण: डेटाबेस क्लाइंट भूमिकाओं के अनुसार अलग किए गए हैं। आपके ब्राउज़र में चलने वाला क्लाइंट कभी प्रशासनिक क्रेडेंशियल नहीं रखता; विशेषाधिकार प्राप्त संचालन केवल सर्वर-साइड चलते हैं।
  • एन्क्रिप्टेड सीक्रेट: API कुंजियाँ और पर्यावरण सीक्रेट Vercel और Supabase में एन्क्रिप्टेड संग्रहीत हैं और कभी सोर्स कंट्रोल में कमिट नहीं किए जाते।

4. एप्लिकेशन सुरक्षा

एप्लिकेशन और उसके एकीकरण सुदृढ़ किए गए हैं:

  • सुरक्षा हेडर: HTTPS लागू करने और सामान्य वेब हमले की सतह कम करने के लिए प्रतिक्रियाओं पर HSTS और अतिरिक्त सुरक्षा हेडर सेट किए जाते हैं।
  • Webhook हस्ताक्षर सत्यापन: आने वाले webhooks (Stripe, Inngest) किसी भी प्रोसेसिंग से पहले उनके क्रिप्टोग्राफ़िक हस्ताक्षरों के विरुद्ध सत्यापित किए जाते हैं।
  • दर सीमा: प्रमाणीकरण एंडपॉइंट्स पर वितरित दर सीमा क्रेडेंशियल स्टफ़िंग और ब्रूट-फ़ोर्स प्रयासों को धीमा करती है।

5. भुगतान सुरक्षा

भुगतान कार्ड डेटा पूरी तरह से Stripe द्वारा संभाला जाता है, जो एक PCI-DSS प्रमाणित भुगतान प्रोसेसर है। कार्ड नंबर कभी हमारे सर्वरों तक नहीं पहुँचते और हम उन्हें कभी संग्रहीत नहीं करते। हम केवल Stripe द्वारा प्रदान किए गए गैर-संवेदनशील संदर्भ (जैसे ग्राहक और सब्सक्रिप्शन ID) रखते हैं।

6. निगरानी और घटना प्रतिक्रिया

हम समस्याओं पर नज़र रखते हैं और महत्वपूर्ण होने पर आपको सूचित करने के लिए प्रतिबद्ध हैं:

  • त्रुटि निगरानी: एप्लिकेशन त्रुटियाँ Sentry के माध्यम से पकड़ी और मॉनिटर की जाती हैं।
  • उल्लंघन की सूचना: यदि कोई डेटा उल्लंघन आपके व्यक्तिगत डेटा को प्रभावित करता है, तो जहाँ कानून अपेक्षा करता है (जैसे GDPR अनुच्छेद 33), हम प्रभावित उपयोगकर्ताओं और संबंधित अधिकारियों को 72 घंटों के भीतर सूचित करेंगे।

7. वर्तमान सीमाएँ

हम सुरक्षा के दिखावे के बजाय ईमानदारी पसंद करते हैं। यह है जो हमारे पास अभी नहीं है:

  • एकल-संचालक कंपनी: Brainpercent वर्तमान में एक व्यक्ति द्वारा बनाया और संचालित किया जाता है। कोई 24/7 सुरक्षा टीम नहीं है और कई लोगों के बीच कर्तव्यों का कोई पृथक्करण नहीं है। प्रोडक्शन तक पहुँच उसी एक व्यक्ति तक सीमित है, जो आंतरिक हमले की सतह को भी न्यूनतम रखता है।
  • SOC 2 / ISO 27001: अभी उपलब्ध नहीं है। हम SOC 2, ISO 27001 या ऐसा कोई अन्य प्रमाणपत्र का दावा नहीं करते जो हमारे पास नहीं है, और हमने तृतीय-पक्ष पेनेट्रेशन टेस्ट पूरा नहीं किया है।

8. ज़िम्मेदार प्रकटीकरण

यदि आपको लगता है कि आपने कोई सुरक्षा कमज़ोरी खोजी है, तो ईमेल करें edward@brainpercent.com विषय "Security" के साथ.

पुनरुत्पादन के चरण शामिल करें। कृपया अन्य उपयोगकर्ताओं के डेटा तक न पहुँचें, सेवा को बाधित न करें, और हमें ठीक करने का उचित अवसर मिलने से पहले समस्या को सार्वजनिक रूप से प्रकट न करें। हम हर रिपोर्ट पढ़ते हैं और 72 घंटों के भीतर उत्तर देने का लक्ष्य रखते हैं।