आपकी security team के सवालों के संक्षिप्त, ईमानदार जवाब।

1. गोपनीयता-प्रथम analytics

ADR-0004 के अनुसार, scan pipeline कभी IP address या raw User-Agent log नहीं करता। Ingest पर हम CF-IPCountry (country) पढ़ते हैं और UA को device-class regex (mobile / tablet / desktop / unknown) से pass करते हैं, फिर raw string discard करते हैं। City-level data request.cf.city से populate किया aggregated rollup है, कोई per-scan row नहीं, कोई joinable identifier नहीं। 5 से कम scans वाले country aggregates re-identification defeat करने के लिए "Other" में fold।

2. Encrypted backups

हर रात 03:00 UTC पर एक separate Worker D1 को R2 में snapshot करता है। Backups AES-GCM encrypted हैं BACKUP_ENCRYPTION_KEY द्वारा wrapped KDF-rotated data key से। हर bundle tamper detection के लिए SHA-256 digest + manifest ले जाता है (backups table देखें)। Retention: Pro tenants के लिए 7 साल। Encryption key तीन independent copies में held है (Worker secret, 1Password vault, sealed offline), तीनों खोने से historical backups unrecoverable हो जाते हैं, इसलिए हम इसे single point of operational truth मानते हैं।

3. API Shield + strict CSP

हमारा public OpenAPI 3.1 spec Cloudflare API Shield पर uploaded है और /api/* पर हर request उसके खिलाफ validated है। Schema drift एक post_deploy hook द्वारा eliminate किया जाता है जो हर production deploy पर spec re-upload करता है। Front end पर, एक strict Content Security Policy inline scripts को हर जगह forbid करती है, हर page अपना JS <script src> के माध्यम से reference करता है, और हमारा pre-deploy make check rule violate करने वाला page ship करने से refuse करता है।

4. Audit log + GDPR ledger

हर mutation (code create/patch/delete, team invite, key issue, plan change, webhook edit) actor, scope और timestamp के साथ audit_log में append-only row लिखता है, 180 दिन retained और sweeper-pruned। GDPR request ledger (gdpr_requests) हर export / delete / restore track करता है; rows account deletion के बाद survive करते हैं (FK ON DELETE SET NULL, email preserved) ताकि हम account gone होने के सालों बाद भी हर statutory request के on-time honor का proof दे सकें।

5. Authentication protections

Auth shared abundera.ai identity layer (EdDSA JWT via JWKS) को delegated है। Pro customers के लिए उपलब्ध:

• 2FA (TOTP), RFC 6238 time-based one-time passwords, कोई भी standard authenticator app, enrollment पर backup codes issued।
• SAML 2.0 SSO, Okta, Entra ID, JumpCloud, Google Workspace, custom IdPs। Team+ पर उपलब्ध (Agency/Enterprise पर bundled)।
• SCIM 2.0 provisioning, RFC 7643/7644 user + group lifecycle, प्रति token rate-limited, audit-logged। Default off; प्रति customer enabled।
• API keys, Business+, sha256(raw) के रूप में stored; raw abnd_qrpro_... value केवल creation पर return होती है और फिर कभी नहीं।

6. Sub-processors

संक्षिप्त सूची: Cloudflare (hosting, D1, KV, R2, API Shield), Stripe (payments), Zoho / ZeptoMail (transactional email), Twilio (phone verification + SMS)। Regions, data categories और हमारी 30-day change-notification commitment के साथ canonical सूची के लिए /trust/subprocessors/ देखें।

7. Data Processing Agreement

हमारा GDPR-aligned DPA (EU SCCs, UK addendum, Swiss FADP addendum) abundera.ai/legal/dpa/ पर downloadable है। यह automatically सभी paying tiers पर apply होता है, कोई separate countersignature required नहीं जब तक आपका procurement process न मांगे (हम request पर legal@abundera.ai पर sign करेंगे)।

8. SOC 2

SOC 2 Type II, process में, target Q3 2026। हम Big-4-adjacent audit firm के साथ scoping / observation-window planning में हैं। Report issue होने तक हम SOC 2 badge display नहीं करेंगे। यदि SOC 2 completion आज आपके लिए hard procurement requirement है, enterprise@abundera.ai email करें, हम NDA पर current control evidence, हमारा draft system description और projected attest date share कर सकते हैं।

9. कोई third-party pixels नहीं, कभी

यह load-bearing promise है और product boundary, वह default नहीं जिसे हम चुपचाप बदल सकते। हम Google Analytics, Google Tag Manager, Meta Pixel, TikTok Pixel, LinkedIn Insight, Hotjar, FullStory, या कोई भी अन्य third-party tracker inject नहीं करते, न हमारे redirect responses में, न हमारे hosted landing pages में, न उन dashboard surfaces में जो आपके scanners देखते हैं। आपके scanners को कभी re-targeted नहीं किया जाता। यदि आपको अपने destination पर pixel-based attribution चाहिए, destination URL में अपने UTM (या pixel) parameters append करें; हम loop से बाहर रहते हैं। Redirect खुद हमारे worker से आपके URL पर एक 302 है, और कुछ नहीं चलता।

10. Responsible disclosure

कुछ मिला? Current contact, PGP key और scope के लिए /.well-known/security.txt से शुरू करें। security@abundera.ai email करें, हम 24h (business days) में acknowledge, 72h में triage, और आपके साथ fix + disclosure coordinate करते हैं। Good faith में report करने वाले researchers को fix ship होने पर abundera.ai/security/thanks/ पर public credit मिलता है।

11. Status + uptime

Live status, component health और incident history /status/ पर हैं। Redirect hot path को एक external Worker द्वारा हर 5 मिनट पर monitored किया जाता है; degraded या down components एक polling cycle के भीतर status page पर reflect होते हैं।