You are Here
এক্সালাইড্রাও+ এখন এসওসি 2 প্রত্যয়িত
News

এক্সালাইড্রাও+ এখন এসওসি 2 প্রত্যয়িত

টিএল; ডিআর: আমাদের এসওসি 2 যাত্রা

আমরা অন্তহীন সুরক্ষা প্রশ্নাবলীতে ক্লান্ত হয়ে পড়েছি, তাই আমরা প্রত্যেকের জন্য জিনিসগুলি মসৃণ করার জন্য এসওসি 2 প্রত্যয়িত পেয়েছি।

প্রক্রিয়া:

  • আমাদের পরিষেবাগুলি সংযোগ করতে এবং সম্মতি ফাঁকগুলি ঠিক করতে ভান্তা ব্যবহার করেছেন
  • এক টন নীতি লিখেছেন
  • জিরো-ট্রাস্ট উত্পাদন অ্যাক্সেস বাস্তবায়িত
  • আমাদের প্রযুক্তি স্ট্যাক আপগ্রেড করা হয়েছে (এনএক্স, ইনফিসিকাল, মনিটরিং, ভিপিএন ইত্যাদি)
  • অনুপ্রবেশ পরীক্ষা করেছে
  • সমস্ত বিক্রেতাদের মূল্যায়ন

ফলাফল: পাস সোস 2 টাইপ আই 🎉

অগ্রগতিতে: টাইপ II

পরবর্তী: হতে পারে জিডিপিআর, সম্ভবত আইএসও 27001 (চাহিদার উপর নির্ভর করে)

আমরা ইতিমধ্যে যে সুরক্ষা স্টাফগুলি করছিলাম তার বেশিরভাগই, এসওসি 2 কেবল আমাদের এটি আনুষ্ঠানিকভাবে লিখতে বাধ্য করেছিল।

কেন এসওসি 2

এক পর্যায়ে, প্রতিটি সংস্থা যেখানে পর্যায়ে পৌঁছেছে “আমরা প্রতিশ্রুতি দিচ্ছি যে আমরা নিরাপদে জিনিস করছি” শুধু এটি আর কাটা না। আমরা অন্তহীন সুরক্ষা প্রশ্নাবলী পূরণ করে ক্লান্ত হয়ে পড়েছিলাম, এমন ধরণের জিনিস যা সহজেই একটি সঠিক বিশ্বাস কেন্দ্রে বাস করতে পারে।

এটা বলার একটি জিনিস, “আমরা এমএফএ ব্যবহার করি, আমরা স্টাফ এনক্রিপ্ট করি, আমরা আপনার ডেটা যত্ন করি,” তৃতীয় পক্ষের অডিটর যখন নিশ্চিত করে যে আমরা আসলে বইটি দিয়ে এটি করছি তখন এটি অন্যরকমভাবে আঘাত করে।

এবং যেহেতু আমাদের দলটি এখনও মোটামুটি ছোট, তাই আমরা বুঝতে পেরেছিলাম যে আমাদের অনুশীলনগুলি প্রথম দিকে লক করার সঠিক সময় ছিল।

আপনি যদি ভাবছেন যে কীভাবে এসওসি 2 কাজ করে বা নিজেকে প্রত্যয়িত করার পরিকল্পনা করে, এই পোস্টটি কিছুটা আলোকপাত করার লক্ষ্য।

এসওসি 2 কী?

এসওসি 2 হ’ল এআইসিপিএ দ্বারা নির্মিত একটি সুরক্ষা এবং সম্মতি কাঠামো। এটি সংজ্ঞায়িত করে যে কীভাবে সংস্থাগুলি পাঁচটি মানদণ্ড ব্যবহার করে গ্রাহকদের ডেটা পরিচালনা করা উচিত: সুরক্ষা, প্রাপ্যতা, প্রক্রিয়াজাতকরণ অখণ্ডতা, গোপনীয়তা এবং গোপনীয়তা।

আইএসও 27001 এর মতো অন্যান্য ফ্রেমওয়ার্ক রয়েছে এবং দীর্ঘমেয়াদে, এটি আপনার গ্রাহক বেস কী তার উপর নির্ভর করে এটিও পেতে অর্থ প্রদান করে তবে এসওসি 2 দিয়ে শুরু করা কখনই খারাপ ধারণা নয়। এটি মার্কিন সংস্থাগুলি দ্বারা ব্যাপকভাবে স্বীকৃত, আইএসও 27001 এর চেয়ে কম জটিল এবং এটি তৈরি করার জন্য একটি শক্ত সুরক্ষা ভিত্তি তৈরি করে।

এসওসি 2 এর দুটি স্বাদ রয়েছে:

  • এসওসি 2 টাইপ i আপনার সিস্টেম এবং নীতিগুলি সময়ে সময়ে বিদ্যমান রয়েছে তা পরীক্ষা করে। মূলত, আপনার সঠিক সেটআপ আছে কিনা।
  • এসওসি 2 টাইপ II এই নীতিগুলি সময়ের সাথে সাথে কাজ করে কিনা তা দেখে। এটিকে ভাবুন, “শীতল, তবে আপনি কি সত্যিই অনুসরণ করেন?”

আমরা শেষ করেছি এসওসি 2 টাইপ i (🎉) এবং আমরা ইতিমধ্যে দ্বিতীয় টাইপে কাজ করছি।

যাত্রা

এক্সকিউলিড্রা+ এসওসি 2 যাত্রা

আপনি নিজেই শংসাপত্র নিরীক্ষা শুরু করার আগে, আপনাকে নিশ্চিত করতে হবে যে আপনি শুরু করার জন্য সম্মতি পেয়েছেন। আপনি যদি তরুণ এবং সাহসী হন তবে আপনি এটি পড়তে পারেন মানদণ্ড প্রয়োজনীয়তা যেতে সহায়তা করার জন্য কোনও তৃতীয় পক্ষের পরিষেবা ব্যবহার না করে সরাসরি এআইসিপিএ থেকে সরাসরি, তবে এই জাতীয় দস্তাবেজটি আপনার হাত ধরে রাখে না বা আপনাকে কী করতে হবে তা আপনাকে জানায় না। আমরা এটি সুপারিশ করি না।

পরিবর্তে, আমরা এমন পরিষেবাগুলির সন্ধান করেছি যা আপনাকে সেট আপ করতে এবং সহজেই যেতে পারে (ভাল, সহজ)। তারা আপনাকে কমপ্লায়েন্স ডক্স, সুরক্ষা কর্মপ্রবাহ, নিরীক্ষণ, ঝুঁকি পর্যবেক্ষণ এবং অন্যান্য সমস্ত জিনিসকে কেন্দ্রীভূত করতে সহায়তা করে আপনি অবশ্যই আপনার পণ্যটি শিপিংয়ের পরিবর্তে আপ টু ডেট রাখতে চান না। আমরা তালিকাটি ড্রাটা এবং ভান্টায় সংকীর্ণ করেছিলাম এবং শেষ পর্যন্ত, আমরা ইতিমধ্যে ব্যবহার করি এমন বেশিরভাগ পরিষেবা এবং সরবরাহকারী হিসাবে ভেন্টার সাথে গিয়েছিলাম।

একবার আপনি আপনার সমস্ত পরিষেবাগুলিতে প্লাগ ইন করার পরে (আমাদের জন্য, এর অর্থ ভার্সেল, জিসিপি, ডিজিটাল ওসিয়ান, গিটহাব, অন্যদের মধ্যে), ভান্তা কী কী ফিক্সিংয়ের প্রয়োজন তা দেখার জন্য একটি চেক চালায়।

বিদ্যমান সংহতকরণ ব্যতীত যে কোনও কিছু, আপনাকে ম্যানুয়ালি ট্র্যাক করতে হবে। কখনও কখনও আপনাকে স্ক্রিনশট আকারে প্রমাণ সরবরাহ করতে হবে, তাই আপনার “রসিদগুলি” হাতে রাখুন! আপনি এটি গুগল ড্রাইভে বা অন্য কোথাও করতে পারেন তবে আমরা আমাদের অভ্যন্তরীণ অ্যাডমিন ড্যাশবোর্ডে এই জিনিসটি তৈরি করেছি। এটি সামনের দিকে কিছুটা কাজ লাগে তবে এটি দীর্ঘমেয়াদী অর্থ প্রদান করে এবং সবকিছু সুন্দর এবং সংগঠিত রাখে।

ভান্তা আপনাকে সুরক্ষিত ওয়ার্কস্টেশন নীতিগুলি প্রবর্তন করতে সহায়তা করে যেমন ডিস্ক এনক্রিপশন, স্ক্রিন লক এবং আপনার পুরো দল জুড়ে পাসওয়ার্ড পরিচালকদের ব্যবহার। হুবহু গ্রাউন্ডব্রেকিং স্টাফ নয়, তবে দরকারী এবং প্রয়োজনীয় এবং এটি আমাদের নিজেরাই রোল করার চেষ্টা করা একটি দুঃস্বপ্ন হতে পারে।

আমাদের পক্ষে উল্টো দিকটি হ’ল আমরা আমাদের দলের একটি পাখির চোখের দৃষ্টিভঙ্গি পেয়েছি: এমএফএ সক্ষম ছিল কিনা, কার কাছে অ্যাক্সেস রয়েছে, ইত্যাদি।

প্রথমে কিছুটা অপ্রতিরোধ্য ছিল, তবে একবার আমরা এটির হ্যাং পেয়ে গেলে এটি আশ্চর্যজনকভাবে পরিচালনাযোগ্য ছিল।

এখন পর্যন্ত সবচেয়ে কঠিন (বা বলা যাক, সবচেয়ে বিরক্তিকর) অংশটি ছিল নীতিগুলি। আপনার এগুলির একটি টন দরকার: “আচরণবিধি,” “মানবসম্পদ সুরক্ষা নীতি,” “অ্যাক্সেস নিয়ন্ত্রণ নীতি,” “অপারেশনাল সুরক্ষা নীতি,” এবং আরও অনেক কিছু। আমাদের শুরু করার জন্য ভান্তা কিছু বয়লারপ্লেট টেম্পলেট সরবরাহ করেছিল, তবে আমাদের এখনও আমাদের সংস্থার জন্য তাদের উপযুক্ত করতে হয়েছিল, বিশেষত যেহেতু আমরা প্রত্যন্ত-প্রথম। আমাদের স্টার্টআপ ভাইবগুলি রাখা এবং আরও অনমনীয় এবং কাঠামোগত প্রক্রিয়াগুলি প্রবর্তন করা মূল বিষয় ছিল।

প্রকৃতপক্ষে এই নীতিগুলি বাস্তবায়ন করা আমাদের পক্ষে সহজ ছিল, কারণ আমরা ইতিমধ্যে এগুলি লিখিত না করেই বেশিরভাগ কাজ করে চলেছি, তবে এখনও এমন কিছু প্রক্রিয়া ছিল যা আপডেট করার জন্য বা প্রযুক্তিগত পরিবর্তনগুলির প্রয়োজন যা বাস্তবায়নের প্রয়োজন ছিল। এটি সময়সাপেক্ষ হতে পারে, বিশেষত যখন আপনি একই সাথে কোনও পণ্য সক্রিয়ভাবে বিকাশ করছেন। মূলটি হ’ল এটির জন্য কিছু উত্সর্গীকৃত সময় তৈরি করা, একের পর এক কাজ গ্রহণ করা এবং ধীরে ধীরে রোল-আউটের জন্য লক্ষ্য করা।

যদিও কাগজপত্র ঠিক আমাদের প্রিয় জিনিস নয়, এর কিছু আসলে অনেকটা অর্থবোধ করেছে। এটি আমাদের বিট এবং টুকরোতে বিদ্যমান বা নির্দিষ্ট দলের সদস্যদের মনে লক করা পরিবর্তে কীভাবে আউটেজ এবং অনুরূপের মতো ঘটনাগুলি পরিচালনা করে তা সঠিকভাবে লিখতে বাধ্য করেছিল। এবং আমাদের গ্রাহকদের জন্য, এটি কীভাবে আমরা পর্দার আড়ালে কাজ করি সে সম্পর্কে এটি একটি উঁকি দেয়।

যেহেতু আমরা একটি প্রত্যন্ত দল, আমরা কঠোর ভূমিকা-ভিত্তিক নিয়ন্ত্রণ সহ একটি শূন্য-ট্রাস্ট প্রোডাকশন অ্যাক্সেস মডেল প্রয়োগ করেছি। উত্পাদন অ্যাক্সেস প্রয়োজনীয় কর্মীদের মধ্যে সীমাবদ্ধ (বর্তমানে প্রযুক্তিগত সহ-প্রতিষ্ঠাতা) এবং সমস্ত রুটিন ক্রিয়াকলাপের জন্য আমাদের স্বয়ংক্রিয় স্থাপনার পাইপলাইনের মাধ্যমে পরিচালনা করে। আমাদের সমর্থন দলটি আমাদের উদ্দেশ্য-নির্মিত অভ্যন্তরীণ অ্যাডমিন ড্যাশবোর্ডের মাধ্যমে গ্রাহকদের অনুরোধগুলি পরিচালনা করতে পারে তা নিশ্চিত করার সময় এই পদ্ধতির আক্রমণ পৃষ্ঠকে হ্রাস করে, যা সরাসরি উত্পাদন এক্সপোজার ছাড়াই প্রয়োজনীয় ফাংশনগুলিতে নিয়ন্ত্রিত অ্যাক্সেস সরবরাহ করে।

এটি আমাদের এসওসি 2 টি কার্যগুলি স্বয়ংক্রিয় করতে সহায়তা করে যেমন রিসোর্স অ্যাক্সেস ট্র্যাকিং এবং পরিচালনা করা, নিয়মিত অ্যাক্সেস পর্যালোচনা পরিচালনা করা এবং উপরে হাইলাইট করা সম্মতিযুক্ত কারণে একটি কাগজের ট্রেইল রাখতে সহায়তা করে। এবং হ্যাঁ, আমরা লগ কে কে স্পর্শ করে।

অবশ্যই, কয়েক মুহুর্ত ছাড়া কোনও সম্মতি যাত্রা সম্পূর্ণ হবে না যা মনে হয় যে তারা কোনও সংস্থার প্রশিক্ষণ ভিডিও থেকে সরাসরি আসে। ঠিক আছে, এগুলি দেখানো বেশ আক্ষরিক অর্থে এটির অংশ ছিল (না, শিলা, পাসওয়ার্ডগুলি পাসওয়ার্ড ম্যানেজারে যায়, আপনার মনিটরের স্টিকি নোটে নয়), তবে আমরা এখন নিয়মিত কর্মীদের প্রশিক্ষণ সেশনগুলিও চালাই। আমাদের নতুন সদস্য অন বোর্ডিং কলগুলিও আরও কাঠামোগত হয়ে উঠেছে।

প্রযুক্তিগত কাজ

এসওসি 2 প্রযুক্তিগত আর্কিটেকচার ওভারভিউ

আমরা এখানে কিছুটা পাগল হয়ে গেলাম। আমরা আমাদের মনোলিথকে আরও পরিষেবাগুলিতে বিভক্ত করে শুরু করেছি এবং বাড়ার সাথে সাথে আমাদের কোডবেসে নতুন অ্যাপ্লিকেশন যুক্ত করে চলেছি। এগুলি সব পরিচালনা করতে, আমরা বেছে নিয়েছি Nx⁠ আমাদের বিল্ড/মনোরপো ফ্রেমওয়ার্ক হিসাবে। এনএক্স -এ স্থানান্তরিত করা আমাদের গিটহাব সিআই/সিডি পাইপলাইনের মধ্যে কীভাবে উন্নয়ন, বিল্ড, শিপিং এবং পরীক্ষাগুলি চালায় তা মানিক করতে সহায়তা করে। এনএক্স আমাদের কাস্টম এক্সিকিউটার দেয় যা আমরা পরিবেশের ভেরিয়েবলগুলি পরিচালনা করতে ব্যবহার করি, ক্লাসিক স্পা এবং নেক্সট.জেএস এবং অন্যদের মতো ফ্রেমওয়ার্কগুলির মধ্যে পার্থক্যকে সামঞ্জস্য করি। ক্যাচিংয়ের কারণে স্পিডআপটি একটি দুর্দান্ত বোনাস ছিল (আপনি স্থানীয়ভাবে এটি করতে পারেন বা অতিরিক্ত সুবিধার জন্য মেঘে)।

পরিবেশ কীগুলি পরিচালনার জন্য, আমরা বাছাই করেছি Incicical⁠যা শেষ থেকে শেষ এনক্রিপ্ট করা, স্ব-মীমাংসিত এবং মূলত আমাদের সমস্ত বাক্সকে টিক দেয়। এই সেটআপটি বিকাশকারীদের কেবল বিকাশ কীগুলি অ্যাক্সেস করতে দেয় এবং আরও কিছু নয়, সিআইয়ের জন্য একই। কোডবেসে পরিবেশের ভেরিয়েবলগুলি আর কোনও প্রতিশ্রুতিবদ্ধ বা সিআই -তে ম্যানুয়ালি ইনজেকশন দেওয়ার মতো নয়। এটি একবার চেষ্টা করুন, এবং আপনি কখনই ফিরে যেতে চাইবেন না। সিক্রেটস ম্যানেজমেন্ট সরঞ্জামটি আমাদের সিআই -তে সমস্ত কিছু সহজেই চালাতে দেয় যেমন পরিবেশ কীগুলি অনুপস্থিত বা ফাঁস করার জন্য পরীক্ষা করা। কঠোর চ্যালেঞ্জগুলির মধ্যে একটি হ’ল সিআইকে আমাদের ভিপিএন এবং ফায়ারওয়ালগুলির পাশাপাশি সুচারুভাবে কাজ করা।

এবং আমাদের কাস্টম ফায়ারওয়াল এবং ভিপিএন সেটআপ অবশেষে আমাদের রানারদের জন্য ডেডিকেটেড আইপি পেতে গিটহাব এন্টারপ্রাইজে আপগ্রেড করতে বাধ্য করে।

আমরা আমাদের পরিষেবাগুলির জন্য মনিটরিং সেট আপ করেছি এবং একটি পাবলিক তৈরি করেছি স্থিতি পৃষ্ঠা ⁠। লগিংয়ের জন্য, আমরা ব্যবহার করি ভেক্টর ⁠ এবং এক্সিওম ⁠

আমরা যখন জিনিসগুলি গুটিয়ে রেখেছি, আমাদের যাচাই করা দরকার যে আমাদের পরিকল্পনার মতো সবকিছু সুরক্ষিত ছিল। সুতরাং, আমরা পুরো এক্সালাইড্রা+ প্ল্যাটফর্ম জুড়ে অনুপ্রবেশ পরীক্ষা পরিচালনা করেছি। এটি উন্মুক্ত শিরোনামগুলির মতো কিছু ছোটখাটো সমস্যা খুঁজে পেয়েছে, যা আমরা এখনই স্থির করেছি। সবকিছু স্কোয়ার আপ করা নিশ্চিত করার জন্য বছরে কমপক্ষে একবার অনুপ্রবেশ পরীক্ষা চালানো আবশ্যক।

বিক্রেতারা এবং ঝুঁকি ব্যবস্থাপনা

দেখা যাচ্ছে, আপনার বিক্রেতাদেরও তাদের কাজ একসাথে থাকা দরকার। গ্রাহকের ডেটা স্পর্শ করে এমন প্রতিটি পরিষেবা মূল্যায়ন ও নথিভুক্ত করা দরকার।

সুসংবাদ? আমরা নির্ভর করি বেশিরভাগ বড় খেলোয়াড় (ভার্সেল, গুগল ক্লাউড, গিটহাব) ইতিমধ্যে তাদের এসওসি 2 প্রতিবেদনগুলি প্রস্তুত হওয়ার জন্য প্রস্তুত রয়েছে।

আমরা ভান্তার সংমিশ্রণ ব্যবহার করি (যা বেশিরভাগ সাধারণ বিক্রেতাদের পরিচালনা করে) এবং ভান্টা যেগুলি কভার করে না তার জন্য আমাদের অভ্যন্তরীণ অ্যাডমিন ড্যাশবোর্ড, কারণ স্প্রেডশিটগুলিতে এটি পরিচালনা করা পুরানো দ্রুত হয়ে যায়। প্রতিটি বিক্রেতার জন্য, আমরা তারা কোন ডেটা অ্যাক্সেস করে, তাদের শংসাপত্রগুলি, মূল ঝুঁকিগুলি এবং কীভাবে আমরা সেগুলি প্রশমিত করি তা নথিভুক্ত করি।

প্রো টিপ: এটি তাড়াতাড়ি শুরু করুন। কিছু বিক্রেতারা প্রতিক্রিয়া জানাতে কয়েক সপ্তাহ সময় নেয় এবং বিকল্পগুলি খুঁজে পেতে আপনার সময় প্রয়োজন হতে পারে।

আরও এক ধাপ এগিয়ে যাচ্ছে

আমরা আমাদের গ্রাহকদের ট্র্যাক করার জন্য চিন্তা করি না, তবে আমাদের প্রয়োজনীয়গুলি জানতে হবে। আমাদের কতজন ব্যবহারকারীর কাছে রয়েছে, আসলে কী বৈশিষ্ট্যগুলি ব্যবহৃত হয়, এর মতো জিনিস।

এক্সালাইড্রাওর জন্য, আমরা একটি স্ব-হোস্টেড সংস্করণ ব্যবহার করি উম্মি ⁠। আমাদের ওপেন-সোর্স সম্পাদক এবং অবতরণ পৃষ্ঠাগুলির মতো সর্বজনীন মুখোমুখি স্টাফের জন্য আমরা ব্যবহার করি সাধারণ বিশ্লেষণ⁠।

উভয়ই আপনার গোপনীয়তায় আক্রমণ না করেই কাজ করে। সুতরাং আপনি যদি ভাবছেন যে আপনি কেন কোনও কুকি ব্যানার দেখতে পাচ্ছেন না (উম্মি FAQ, সাধারণ বিশ্লেষণ ⁠ ) আমাদের সাইটে, সে কারণেই।

নিরীক্ষা

এটি যখন অডিট নিজেই আসে, আপনি হয় আপনার সরবরাহকারীর (যেমন, ভান্তা) এর সাথে কাজ করে বা আপনার নিজের সন্ধান করতে পারেন এমন নিরীক্ষকদের কাছ থেকে বেছে নিতে পারেন। আমরা বেছে নিয়েছি অন্তর্দৃষ্টি আশ্বাস⁠। যদিও আমরা যা শিখেছি তা হ’ল আমাদের প্রক্রিয়াটির আগে তাদের সাথে যোগাযোগ করা উচিত ছিল, কারণ তারা আমাদের যে নীতিমালা এবং ঝুঁকিপূর্ণ সংজ্ঞাগুলি ছিল তার কিছুতে আমাদের সহায়তা করতে পারত, যা আমাদের অনেক সময় বাঁচাতে পারত। তবে ওহে, পাঠ শিখেছি।

ভাল সমাপ্তির জন্য, আমরা এসওসি 2 টাইপ 1 পেরিয়েছি। টাইপ 2 তালিকার পাশে রয়েছে এবং এটিই প্রত্যেকের লক্ষ্য করা উচিত, টাইপ 1 হ’ল পথের একটি ভাল পদক্ষেপ পাথর, কারণ এটি ইতিমধ্যে আপনার গ্রাহকদের কাছে আপনি গুরুতর এবং আপনি কোনও সরঞ্জাম শেডের পিছন থেকে আপনার ব্যবসা চালাচ্ছেন না।

আপনি যদি সন্ধ্যায় একটি ভাল ওয়াইন দিয়ে কাগজপত্রের মধ্য দিয়ে যেতে চান তবে আপনি নীচে আমাদের ট্রাস্ট সেন্টারে এটি সমস্ত খুঁজে পেতে পারেন।

সুরক্ষা পৃষ্ঠা এবং ট্রাস্ট সেন্টার

পরবর্তী কি

এসওসি 2 সার্টিফিকেশন রোডম্যাপ
  • এসওসি 2 টাইপ 2
  • জিডিপিআর (যদি না ইইউ প্রথমে এটি বাতিল করে দেয়)
  • আইএসও 27001 (যদি পর্যাপ্ত গ্রাহকরা জিজ্ঞাসা করেন)

Source link

Share
Facebook Twitter Pinterest Linkedin

Related Posts

মন্তব্য করুন

আপনার ই-মেইল এ্যাড্রেস প্রকাশিত হবে না। * চিহ্নিত বিষয়গুলো আবশ্যক।