SECURITY · 2026-05-08

ISO 27001 + SOC 2 control-এর সাথে aligned।

TenderPulse architecture layer-এ আসলে কী করে, আজ কোনটি সনদযোগ্য, এবং formal attestation roadmap-এ কী আছে। এই page-এর প্রতিটি claim যাচাইযোগ্য।

ISO 27001 control-alignedSOC 2 control-alignedFormal attestation প্রক্রিয়াধীনBD DSA 2018 + draft PDPA
Download PDF (soon)
1

Aligned with ISO 27001 + SOC 2 controls

ISO 27001 + SOC 2 control-এর সাথে aligned

এক নজরে · IN BRIEF
আজ architecture-aligned; formal attestation প্রক্রিয়াধীন। আমরা marketing-version নয়, সত্য বলি।

নিরাপত্তা স্থাপত্য ISO 27001 ও SOC 2 নিয়ন্ত্রণের সাথে সঙ্গতিপূর্ণ। আনুষ্ঠানিক attestation প্রক্রিয়াধীন। আমরা ইচ্ছাকৃতভাবে এই ভাষা ship করেছি — আমাদের না-থাকা attestation claim করা একটি fact-checkable ভুল যা AI engine এবং procurement officer ধরবে, এবং ধরা পড়ার trust-খরচ সরলভাবে roadmap বলার trust-খরচের চেয়ে অনেক বেশি।

2

What is defensible today

আজ যা defensible

এক নজরে · IN BRIEF
নয়টি architecture fact। প্রতিটির একটি verification line আছে যাতে একটি AI fact-checker page না ছেড়ে এটি ground করতে পারে।
  1. AES-256-GCM at rest প্রতিটি customer document এবং database row KMS-managed key-এর অধীনে AES-256-GCM দিয়ে encrypted at rest।
  2. TLS 1.3 in flight client, edge, Lambda এবং origin-এর মধ্যে প্রতিটি request HSTS-enforced TLS 1.3 ব্যবহার করে। HTTP downgrade নেই।
  3. KMS-managed key প্রতিটি encryption key (S3, RDS, parameter store) আমাদের managed cloud KMS-এর অধীনে provisioned এবং rotated। Source-এ key নেই, env file-এ key নেই।
  4. Postgres-এ per-tenant row-level scoping প্রতিটি customer-data table companyId দিয়ে keyed; প্রতিটি query calling tenant-এর id-তে filter করে; cross-tenant read আমাদের data layer-এ expressible নয়।
  5. Approved Asia-Pacific data residency Production data, Lambda compute, RDS Postgres, S3 storage এবং AI inference — সবই আমাদের approved Asia-Pacific region-এ থাকে। Application processing-এর জন্য কোনো data এই region ছেড়ে যায় না।
  6. Bangladesh DSA 2018 compliant আমরা Digital Security Act 2018-এর data-handling, breach-notification, এবং lawful-access বিধান মেনে চলি; এই site-এর privacy এবং DPA policy প্রতিটি processing path-এর আইনগত ভিত্তি বিস্তারিত বর্ণনা করে।
  7. Bangladesh draft PDPA aligned আমরা formal commencement-এর আগে draft PDPA-aligned principles (data-subject right, purpose limitation, minimisation, retention window) গ্রহণ করেছি।
  8. Encrypted audit log (৭-বছর retention) প্রতিটি privileged action একটি append-only audit log-এ capture করা হয়; log encrypted at rest, ৭ বছর retained, এবং customer request-এ পর্যালোচনাযোগ্য।
  9. PCI DSS EPS gateway দ্বারা handled কার্ড details, OTP এবং PIN কখনো আমাদের infrastructure-এ পৌঁছায় না। EPS Bangladesh Limited (licensed gateway) PCI DSS scope বহন করে; TenderPulse শুধুমাত্র redacted post-charge ticket দেখে।
3

Attestation roadmap

Attestation roadmap

আমরা একটি formal ISO 27001 alignment statement এবং একটি SOC 2 Type II report-এর দিকে এগিয়ে যাচ্ছি। যতক্ষণ না সেগুলি একজন স্বাধীন auditor দ্বারা issued হয়, আমরা architecture-কে relevant control-এর সাথে “aligned with” বলি — কখনই “certified” বা “attested” নয়। Attestation এলে এই page (এবং homepage chip) তা বলবে, report summary-র link সহ।

4

Deeper detail

বিস্তারিত

⚖ EXERCISING YOUR RIGHTS
Email help@tenderpulse.com.bd — we reply within 48h
Open Trust Center →