Anti-quishing issuer کی طرف سے۔ Data residency storage کی طرف سے۔
ہر Pro link issue کے وقت، ہر destination change پر، اور rolling schedule پر سات پرتوں کے anti-quishing pipeline سے گزرتا ہے۔ Scan log صرف ملک + device-class ہے؛ leak ہونے کے لیے کوئی IP نہیں، کوئی user agent نہیں، کوئی cookie نہیں، کوئی behavioral profile نہیں۔ Single-region D1 Agency اور Custom Enterprise پر دستیاب ہے۔
ہم جو ڈیٹا collect کرتے ہیں
ہمارے servers پر آنے والا ہر byte چار buckets میں سے ایک میں ہے:
Account data
Email، plan tier، plan status، Stripe customer + subscription IDs، optional team name + workspace label۔ بس۔ کوئی phone نہیں، کوئی address نہیں (billing address Stripe پر رہتا ہے)، کوئی behavioral profile نہیں۔
Code data
منزل URL، ایک 7-char Base58 shortcode، آپ کا set کیا ہوا label + tags، optional QR design (colors / logo / frame)، optional password gate، optional schedule۔ آپ کی ملکیت؛ کسی بھی وقت CSV کے طور پر exportable۔
Scan data
UTC day-bucket + ملک (CF-IPCountry سے) + device class (mobile / tablet / desktop / unknown)۔ Raw User-Agent classification کے فوراً بعد ضائع کر دیا جاتا ہے۔ IP کبھی database میں نہیں آتا۔ Redirect hot path کے لیے KV میں cached، ctx.waitUntil کے ذریعے D1 میں aggregated۔ 5 سے کم scans والے country aggregates re-identification کو روکنے کے لیے "Other" میں fold ہو جاتے ہیں۔
Audit / billing metadata
Mutations کا append-only log (کس نے کیا، کب، کس scope میں), 180 دن retention۔ Idempotency کے لیے Stripe webhook events deduplicated, Stripe customer ID سے آگے کوئی customer PII نہیں۔ GDPR request log (export / delete / restore), account deletion کے بعد بھی محفوظ (FK ON DELETE SET NULL، email preserved) تاکہ ہر export/delete request کی on-time honor ثابت کر سکیں۔
مکمل schema کے لیے، ہمارے source repo میں docs/SCHEMA.md دیکھیں؛ ہر column retention policy کے ساتھ documented ہے۔
ڈیٹا کہاں رہتا ہے
| Surface | Provider | Region | Single-region option؟ |
|---|---|---|---|
| Dashboard + API | Cloudflare Pages Functions | Global edge (قریب ترین PoP) | ہاں, صرف Agency+ |
| Code records (D1) | Cloudflare D1 (SQLite) | Provisioning پر assigned primary region (آج: ENAM) | ہاں, Agency+ per-tenant shard |
| Redirect hot path (KV) | Cloudflare Workers KV | <50ms p99 کے لیے globally edge-replicated | دستیاب نہیں (replication ہی product ہے) |
| Encrypted backups | Cloudflare R2 | Bucket create پر assigned primary region | ہاں, درخواست پر EU / APAC jurisdictional bucket |
| Payments | Stripe | US, Stripe کی اپنی residency کے ذریعے regional PII handling | Stripe contract کے ذریعے |
| Transactional email | ZeptoMail (Zoho) | IN (درخواست پر Zoho کا EU region دستیاب) | ہاں, Zoho EU region |
سرحد پار کیا کرتا ہے، بالکل
- Scans کبھی نقصاندہ طریقے سے سرحد پار نہیں کرتے۔ Lisbon کا scan Lisbon Cloudflare PoP سے ٹکراتا ہے، worker edge پر KV میں day/country/device لکھتا ہے، اور async طور پر اپنے primary region میں D1 میں aggregate کرتا ہے۔ اصل scanner کا IP HTTP request کی مدت کے لیے Cloudflare کی ephemeral request state میں رہتا ہے اور ہمارے database میں کبھی persist نہیں ہوتا۔
- Dashboard requests قریب ترین Cloudflare PoP پر terminate ہوتے ہیں اور Cloudflare کے private network پر D1 call کرتے ہیں۔ ہمارے Pages Functions اپنے assigned region میں D1 read/write کرتے ہیں؛ edge PoP global static-asset cache سے HTML + JS bundle serve کرتا ہے۔
- Stripe webhooks ایک بار سرحد پار کرتے ہیں, Stripe (US) ہمارے Cloudflare Pages endpoint کو POST کرتا ہے، جو HMAC verify کرتا ہے، idempotency کے لیے ایک minimal (event_id، type) row لکھتا ہے، اور downstream events dispatch کرتا ہے۔
- Transactional email (Zepto) فی send ایک بار سرحد پار کرتا ہے, ہمارا worker Zepto کی API کو rendered template دیتا ہے؛ Zepto recipient کے mailserver کو deliver کرتا ہے۔ Content invite links، billing-lifecycle notifications، اور scan-cap alerts ہے, کوئی customer scan data نہیں۔
Anti-quishing pipeline
QR phishing Q1 2026 میں 146% بڑھ گئی۔ عام short-link vendor customer complaint کے بعد react کرتا ہے۔ ہم ہر link کو issue کے وقت، ہر بار جب ہماری طرف سے destination بدلا جائے، اور rolling schedule پر check کرتے ہیں کیونکہ customer اپنے server پر اپنا URL repoint کر سکتا ہے بغیر کبھی ہمارا API call کیے۔ وہی threat-intel pipeline جو ہمارے public scanner check.qr.abundera.ai کو power کرتی ہے ہماری issue کردہ ہر link پر چلتی ہے۔
سات detection layers، ہر ایک کی pending US patent application۔ ہر layer ایک unified verdict میں feed کرتی ہے؛ کسی ایک پر hit create block کر سکتی ہے، destination change refuse کر سکتی ہے، یا پہلے سے live link suspend کر سکتی ہے۔
| Layer | کیا پکڑتا ہے | کب چلتا ہے |
|---|---|---|
| Redirect-chain mutability | ہمارے short link اور final page کے درمیان راستے کو کتنی آزاد parties control کرتی ہیں۔ کسی اور کے redirector سے گزرنے والی two-hop chain ایک مختلف risk class ہے براہ راست destination سے۔ | Create، destination change، rolling re-check |
| Multi-modal payload analysis | WiFi، contact، telephony، mail، calendar، geolocation، cryptocurrency، Android intent، اور inline-data payloads ہر ایک کو type-specific analyzer ملتا ہے۔ Hard-blocked schemes submit پر refuse ہو جاتے ہیں۔ | Create، destination change |
| Crawler-vs-browser cloaking | Pages جو scanners کو صاف content اور humans کو phishing serve کرتے ہیں۔ Controlled fingerprint variance کے ساتھ parallel fetches اور divergence score سے detected۔ | Create، rolling re-check |
| Destination-server mutability | Freshly-registered domains، brand-new certificates، high-churn TLDs، missing HSTS، اور transport-scheme degradation۔ Redirect chain سے آزاد؛ ایک مشکوک TLD پر چھ دن پرانے cert کی طرف static one-hop chain بھی flag ہوتی ہے۔ | Create، destination change، rolling re-check |
| Physical-instance provenance | Decoded payload سے keyed crowd-sourced hash ledger۔ ایک QR جو مختصر وقت میں کئی disparate regions میں scan ہو وہ sticker-attack candidate کے طور پر surface ہوتا ہے۔ ہماری issue کردہ ہر link تخلیق پر clean provenance entry پاتی ہے، تاکہ legitimate Pro codes پر overlay attacks پکڑے جائیں۔ | Continuous |
| Visual-brand divergence | اگر کوئی code ایسے brand logo کے ساتھ ہو جس کے canonical-domain set میں decoded destination شامل نہیں، تو code brand-divergent ہے۔ ہمارے center-logo feature والے ہر Pro code پر apply ہوتا ہے؛ phisher Chase-logoed code کو non-Chase domain کی طرف نہیں بھیج سکتا۔ | Create، logo change، destination change |
| Sensor / venue topology | Venue-bound codes (parking meters، hotel check-in، restaurant menus، museum exhibits) کے لیے، scanning device کا ambient RF context اس venue کی registered topology سے check کیا جاتا ہے۔ Mismatch fraudulent sticker کے پہلے scan پر بھی sensor-context anomaly return کرتا ہے۔ Enterprise tier؛ venue operator code creation پر expected topology register کرتا ہے۔ | ہر scan |
Customer-side change کا مسئلہ
Pro link کا destination URL customer کے server پر ہے، ہمارے نہیں۔ Customer بغیر Abundera API call کیے example.com/promo کو real promo سے phishing page کی طرف repoint کر سکتا ہے۔ ہم اسے primary abuse path سمجھتے ہیں، نہ کہ edge case۔ Active destinations کے خلاف rolling re-checks schedule پر چلتے ہیں، اور ہماری cloaking-detection layer خاص طور پر ان pages کو target کرتی ہے جو submit کے بعد flip ہوتے ہیں۔ جب کوئی destination تخلیق کے بعد checks fail کرنا شروع کرے، link auto-pause ہو جاتا ہے، owner کو specific verdict کے ساتھ email جاتا ہے، اور event audit trail میں log ہوتا ہے۔
False positives اور appeals
Threat intel کبھی کبھی غلط ہوتی ہے۔ Newly-issued cert پر legitimate brand، legitimately بدلا ہوا real promo page، moved domain۔ ہر block اور ہر auto-pause میں وہ specific verdict layer شامل ہے جو fire ہوئی، جو input نے trigger کیا، اور ایک one-click appeal جو ایک business day میں human تک escalate ہوتی ہے۔ ہم delete کے بجائے pause کرنے کو ترجیح دیتے ہیں؛ appeal clear ہونے پر paused link سیکنڈوں میں re-enable ہو سکتا ہے۔
Single-region residency (Agency+ اور Custom Enterprise)
EU-only یا APAC-only خریداروں کے لیے، Agency-tier customers درخواست کر سکتے ہیں:
- ایک jurisdiction میں D1 placed (EU: EEUR یا WEUR؛ APAC: APAC)۔ Cloudflare database تخلیق پر
locationhint honor کرتا ہے؛ ہم درخواست کردہ region میں per-tenant D1 shard spin up کرتے ہیں (ADR-0010)۔ - اسی jurisdiction میں R2 bucket, nightly encrypted D1 → R2 backups matching region میں land کرتے ہیں۔
- Transactional email کے لیے Zepto EU region, service level پر configured، کوئی code تبدیلی نہیں۔
- KV global رہتا ہے, edge replication <50ms redirect guarantee کا core ہے۔ اگر single-region KV hard requirement ہے، ہم سے بات کریں؛ ہم evaluate کر سکتے ہیں کہ آیا آپ کی campaign کے لیے regional-only Worker variant feasible ہے۔
Single-region add-on کی قیمت flat rate ہے (کوئی per-seat markup نہیں) اور مخصوص combination پر depend کرتی ہے۔ اپنے target jurisdiction + projected scan volume کے ساتھ enterprise@abundera.ai کو email کریں اور ہم quote دیں گے۔
Compliance posture
- GDPR, minimum-data-by-design (صرف ملک + device-class، کوئی IP نہیں، کوئی UA نہیں، کوئی cookies نہیں) plus one-click export اور 30 دن hard-delete۔ تمام paying tiers کے لیے DPA + EU SCCs دستیاب۔
- CCPA, وہی export + delete surface سے covered۔ ہم ڈیٹا نہیں بیچتے: کوئی third-party sharing نہیں، کوئی ad partners نہیں، کوئی retargeting نہیں۔
- SSO + SCIM provisioning, SAML 2.0 + OIDC single sign-on اور SCIM 2.0 user & group lifecycle (Agency + Custom Enterprise tiers)۔ RFC 7643/7644 compliance verified (PingIdentity-derived test suite پر 20/20)۔ Per-connection feature flag: SCIM default off، فی customer enabled؛ فی token 50 RPS تک rate-limited؛ audit-logged۔ Okta/Entra/JumpCloud آج custom-SCIM apps کے طور پر کام کرتے ہیں جبکہ partner-catalog listings progress میں ہیں۔
- SOC 2 Type II, scoping میں۔ 6-9 ماہ کا process۔ اگر یہ آپ کے لیے hard requirement ہے، enterprise@abundera.ai کو email کریں؛ ہم current status + projected timeline share کر سکتے ہیں۔
- PCI-DSS, ہمارے لیے براہ راست out of scope؛ payments end-to-end Stripe (PCI Level 1 certified) سے handled۔
Security disclosure
کوئی vulnerability ملی؟ security@abundera.ai کو email کریں۔ Coordinated disclosure, ہم 24 گھنٹے میں acknowledge کریں گے (business days)، 72 گھنٹے میں triage کریں گے، اور آپ کے ساتھ fix + disclosure timeline coordinate کریں گے۔ ابھی تک کوئی bug bounty program نہیں؛ fix ship ہونے پر ہم abundera.ai/security/thanks/ پر researchers کو علانیہ acknowledge کرتے ہیں۔