যদি আপনার ব্যবসা স্বাস্থ্য রেকর্ড, পেমেন্ট ডেটা, বা EU বাসিন্দাদের ব্যক্তিগত তথ্য পরিচালনা করে, তাহলে সম্মতি ঐচ্ছিক নয়। এটি আপনার কাস্টম অ্যাপ ডেভেলপমেন্ট প্রক্রিয়ার প্রতিটি সিদ্ধান্তকে প্রভাবিত করে, ডাটাবেস ডিজাইন থেকে শুরু করে আপনার লগইন স্ক্রিন কীভাবে কাজ করে তা পর্যন্ত।
জটিল অংশটি কী? HIPAA, PCI-DSS এবং GDPR-এর মতো সম্মতি ফ্রেমওয়ার্কগুলি আপনাকে লেখার জন্য কোডের চেকলিস্ট দেয় না। তারা এমন ফলাফল নির্ধারণ করে যা আপনাকে অর্জন করতে হবে এবং বাস্তবায়ন আপনার উপর ছেড়ে দেয়। এই কারণেই এত বেশি কাস্টম অ্যাপ্লিকেশন হয় সম্মতি ওভার-ইঞ্জিনিয়ার করে (বাজেট নষ্ট করে) বা গুরুত্বপূর্ণ প্রয়োজনীয়তা মিস করে (আইনি ঝুঁকি তৈরি করে)।
এই গাইডটি প্রযুক্তিগত দৃষ্টিকোণ থেকে প্রতিটি নিয়ম আসলে কী প্রয়োজন তা ব্যাখ্যা করে এবং প্রথম দিন থেকে আপনার কাস্টম অ্যাপ ডেভেলপমেন্ট প্রক্রিয়ায় কীভাবে এটি তৈরি করতে হয় তা দেখায়।
কেন সম্মতি আর্কিটেকচারে শুরু করতে হবে, QA-তে নয়
সবচেয়ে ব্যয়বহুল সম্মতির ভুল হল এটিকে একটি পরীক্ষার পর্যায় হিসাবে বিবেচনা করা। কোম্পানিগুলি প্রথমে অ্যাপ তৈরি করে, তারপর এটি অডিট করার জন্য একটি সম্মতি দলের কাছে হস্তান্তর করে। অডিট ফাঁক খুঁজে পায়। সেই ফাঁকগুলি ঠিক করার জন্য এমন উপাদানগুলি পুনরায় আর্কিটেক্ট করা প্রয়োজন যা শুরু থেকেই ভিন্নভাবে ডিজাইন করা উচিত ছিল।
আমরা এই প্যাটার্নটি যথেষ্ট সময় দেখেছি এটি সম্পর্কে সরাসরি বলতে: একটি সমাপ্ত অ্যাপ্লিকেশনে সম্মতি পুনরায় ফিট করা শুরু থেকে এটির জন্য ডিজাইন করার চেয়ে ৩-৫ গুণ বেশি খরচ হয়। যদি আপনার অ্যাপ নিয়ন্ত্রিত ডেটা পরিচালনা করে, তাহলে সম্মতির প্রয়োজনীয়তাগুলি আপনার প্রাথমিক আর্কিটেকচার সিদ্ধান্তে থাকা উচিত।
এর অর্থ হল আপনার ডেভেলপমেন্ট পার্টনারকে একটি একক লাইন কোড লেখার আগে নিয়ন্ত্রক ল্যান্ডস্কেপ বুঝতে হবে। পরে নয়।
HIPAA: আপনার হেলথকেয়ার অ্যাপে আসলে কী প্রয়োজন
HIPAA যেকোনো অ্যাপ্লিকেশনের ক্ষেত্রে প্রযোজ্য যা সুরক্ষিত স্বাস্থ্য তথ্য (PHI) তৈরি, গ্রহণ, রক্ষণাবেক্ষণ বা সংক্রমণ করে। আপনি যদি একটি রোগী পোর্টাল, টেলিহেলথ প্ল্যাটফর্ম, ক্লিনিকাল ওয়ার্কফ্লো টুল বা মেডিকেল রেকর্ড স্পর্শ করে এমন যেকোনো অ্যাপ তৈরি করছেন, তাহলে HIPAA প্রযোজ্য।
প্রযুক্তিগত সুরক্ষা
এনক্রিপশন আলোচনাযোগ্য নয়। PHI অবশ্যই স্থির অবস্থায় (AES-256 স্ট্যান্ডার্ড) এবং ট্রানজিটে (TLS 1.2 বা উচ্চতর) এনক্রিপ্ট করা থাকতে হবে। এটি আপনার ডাটাবেস, ফাইল স্টোরেজ, API যোগাযোগ এবং ব্যাকআপের ক্ষেত্রে প্রযোজ্য। সর্বত্র ডেটার প্রতিটি কপি।
অ্যাক্সেস কন্ট্রোল অবশ্যই ভূমিকা-ভিত্তিক এবং অডিট যোগ্য হতে হবে। প্রতিটি ব্যবহারকারী তাদের প্রয়োজনীয় ন্যূনতম অ্যাক্সেস পায়। প্রতিটি অ্যাক্সেস ইভেন্ট লগ করা হয়। সেই লগগুলি টেম্পার-প্রুফ এবং কমপক্ষে ৬ বছর ধরে রাখা প্রয়োজন।
স্বয়ংক্রিয় সেশন টাইমআউট অযত্নে রেখে যাওয়া টার্মিনালগুলির বিরুদ্ধে সুরক্ষা দেয়। যদি একজন ব্যবহারকারী কর্মস্থান থেকে দূরে চলে যায়, অ্যাপটি একটি নির্দিষ্ট সময়ের পরে লক করা উচিত, সাধারণত ক্লিনিকাল সেটিংসের জন্য ১০-১৫ মিনিট।
প্রশাসনিক প্রয়োজনীয়তা
কোডের বাইরে, HIPAA প্রতিটি বিক্রেতার সাথে একটি বিজনেস অ্যাসোসিয়েট এগ্রিমেন্ট (BAA) প্রয়োজন যারা PHI পরিচালনা করে। এর মধ্যে আপনার ক্লাউড প্রোভাইডার, আপনার ডেভেলপমেন্ট পার্টনার এবং অ্যাপ যে কোনো তৃতীয় পক্ষের সেবা ব্যবহার করে সেগুলি অন্তর্ভুক্ত। AWS, Azure এবং GCP সকলে BAA অফার করে, তবে আপনাকে সেগুলি অনুরোধ এবং স্বাক্ষর করতে হবে। তারা স্বয়ংক্রিয় নয়।
ঝুঁকি মূল্যায়ন অবশ্যই নথিভুক্ত এবং নিয়মিত আপডেট করা উচিত। আপনার অ্যাপের নিরাপত্তা অবস্থানের আনুষ্ঠানিক মূল্যায়ন প্রয়োজন, শুধু একজন ডেভেলপার বলছে "আমরা সবকিছু এনক্রিপ্ট করেছি" এটি যথেষ্ট নয়।
সাধারণ ভুল
কাস্টম অ্যাপ ডেভেলপমেন্টে সবচেয়ে ঘন ঘন HIPAA লঙ্ঘন একটি অনুপস্থিত এনক্রিপশন অ্যালগরিদম নয়। এটি লগিং। যে অ্যাপ্লিকেশনগুলি ত্রুটি বার্তা, ডিবাগ আউটপুট বা বিশ্লেষণ ইভেন্টে PHI লগ করে সেগুলি সংবেদনশীল ডেটার অরক্ষিত কপি তৈরি করে যা কেউ ভাবেনি।
PCI-DSS: পেমেন্ট ডেটার জন্য নির্মাণ
PCI-DSS প্রযোজ্য যখন আপনার অ্যাপ্লিকেশন কার্ডহোল্ডার ডেটা সংরক্ষণ, প্রক্রিয়া বা সংক্রমণ করে। স্ট্যান্ডার্ডের ছয়টি বিভাগে বিভক্ত ১২টি প্রয়োজনীয়তা রয়েছে, তবে কাস্টম অ্যাপ ডেভেলপমেন্টে ব্যবহারিক প্রভাব কয়েকটি মূল ক্ষেত্রে নেমে আসে।
আপনার পরিধি হ্রাস করুন
PCI সম্মতির জন্য একক সেরা কৌশল হল আপনার অ্যাপ কী স্পর্শ করে তা হ্রাস করা। কার্ড ডেটা পরিচালনা করতে Stripe, Braintree বা Adyen-এর মতো পেমেন্ট প্রসেসর ব্যবহার করুন। তাদের হোস্টেড পেমেন্ট ফর্ম এবং টোকেনাইজেশন সেবাগুলির অর্থ হল কার্ড নম্বরগুলি কখনই আপনার সার্ভার স্পর্শ করে না।
এই পদ্ধতি আপনার PCI-DSS পরিধি সম্পূর্ণ ৩০০+ নিয়ন্ত্রণ থেকে অনেক ছোট উপসেটে (সাধারণত SAQ A বা SAQ A-EP) নামিয়ে আনে। এটি একটি ৬-মাসের সম্মতি প্রকল্প এবং একটি ২-সপ্তাহের প্রকল্পের মধ্যে পার্থক্য।
আপনি এখনও কী মালিক
টোকেনাইজড পেমেন্ট সহ, আপনার অ্যাপ্লিকেশনের PCI দায়িত্ব রয়েছে। আপনাকে অবশ্যই পেমেন্ট ফর্ম লোড করা পৃষ্ঠাগুলি সুরক্ষিত করতে হবে (সর্বত্র HTTPS, CSP হেডার, স্ক্রিপ্ট ইন্টিগ্রিটি চেক)। আপনাকে অবশ্যই কার্ড ডেটা উপস্থাপন করে এমন টোকেনগুলি সুরক্ষিত করতে হবে। এবং আপনাকে অবশ্যই যেকোনো লেনদেন লগের অ্যাক্সেস নিয়ন্ত্রণ করতে হবে।
নেটওয়ার্ক বিভাজন গুরুত্বপূর্ণ যদি আপনার পেমেন্ট প্রসেসিং উপাদানগুলি আপনার অ্যাপ্লিকেশনের অন্যান্য অংশের সাথে অবকাঠামো ভাগ করে। PCI প্রয়োজন যে কার্ডহোল্ডার ডেটা পরিবেশ বিচ্ছিন্ন থাকে। AWS বা Azure-এ, এর অর্থ হল পেমেন্ট-সম্পর্কিত সেবাগুলির জন্য আলাদা VPC, নিরাপত্তা গ্রুপ এবং অ্যাক্সেস কন্ট্রোল।
নিয়মিত পরীক্ষা
PCI-DSS কমপক্ষে ত্রৈমাসিক দুর্বলতা স্ক্যান এবং কমপক্ষে বার্ষিক পেনিট্রেশন পরীক্ষা প্রয়োজন। লঞ্চ থেকে এগুলি আপনার রক্ষণাবেক্ষণ ক্যালেন্ডারে তৈরি করুন। আপনার প্রথম সম্মতি অডিটের জন্য অপেক্ষা করবেন না সেগুলি আবিষ্কার করতে।
সম্মতির প্রয়োজনীয়তা বোঝে এমন একটি ডেভেলপমেন্ট পার্টনার খুঁজছেন? Saigon Technology-তে আমাদের দল নিয়ন্ত্রিত শিল্পের জন্য কাস্টম অ্যাপ্লিকেশন তৈরি করে, আর্কিটেকচারে সম্মতি বেক করা হয়।
GDPR: ডিজাইন দ্বারা গোপনীয়তা
GDPR যেকোনো অ্যাপ্লিকেশনের ক্ষেত্রে প্রযোজ্য যা EU বাসিন্দাদের ব্যক্তিগত ডেটা প্রক্রিয়া করে, আপনার কোম্পানি কোথায় অবস্থিত তা বিবেচনা না করেই। আপনার যদি ইউরোপীয় গ্রাহক বা ব্যবহারকারী থাকে, এটি গুরুত্বপূর্ণ।
মূল প্রযুক্তিগত প্রয়োজনীয়তা
সম্মতি ব্যবস্থাপনা অবশ্যই দানাদার এবং নথিভুক্ত হতে হবে। ব্যবহারকারীদের ডেটা সংগ্রহে স্পষ্টভাবে অপ্ট ইন করতে হবে এবং তাদের ঠিক ততটাই সহজে সম্মতি প্রত্যাহার করতে সক্ষম হতে হবে। আপনার অ্যাপে একটি সম্মতি ব্যবস্থাপনা সিস্টেম প্রয়োজন যা রেকর্ড করে প্রতিটি ব্যবহারকারী কী সম্মত হয়েছিল এবং কখন।
ডেটা হ্রাসকরণ অর্থ হল আপনি শুধুমাত্র যা প্রয়োজন তা সংগ্রহ করেন। আপনার অ্যাপ্লিকেশনের প্রতিটি ডেটা ক্ষেত্রের একটি নথিভুক্ত উদ্দেশ্য থাকা উচিত। আপনি যদি ব্যাখ্যা করতে না পারেন কেন আপনি কারও জন্মের তারিখ সংগ্রহ করছেন, তাহলে এটি সংগ্রহ করবেন না।
মুছে ফেলার অধিকার ("ভুলে যাওয়ার অধিকার") প্রয়োজন যে আপনার অ্যাপ্লিকেশন অনুরোধের ভিত্তিতে একটি নির্দিষ্ট ব্যবহারকারীর ব্যক্তিগত ডেটা সমস্ত সিস্টেম জুড়ে মুছতে পারে। এটি সহজ শোনায় যতক্ষণ না আপনি বুঝতে পারেন যে ডেটা আপনার প্রোডাকশন ডাটাবেস, ব্যাকআপ ফাইল, অ্যানালিটিক্স টুলস, লগ এবং তৃতীয় পক্ষের ইন্টিগ্রেশনে বিদ্যমান থাকতে পারে। আপনার ডেটা আর্কিটেকচার ডিজাইন করুন যাতে লঞ্চের আগে মুছে ফেলা সম্ভব হয়।
ডেটা পোর্টেবিলিটি মানে ব্যবহারকারীরা মেশিন-পাঠযোগ্য ফর্ম্যাটে তাদের ডেটা অনুরোধ করতে পারে। একটি এক্সপোর্ট ফাংশন তৈরি করুন যা একজন ব্যবহারকারীর ব্যক্তিগত ডেটার JSON বা CSV উৎপন্ন করে।
ডেটা প্রসেসিং রেকর্ড
GDPR আর্টিকেল ৩০ আপনাকে সমস্ত প্রসেসিং কার্যক্রমের রেকর্ড বজায় রাখতে প্রয়োজন। আপনার কাস্টম অ্যাপের জন্য, এর অর্থ হল আপনি কোন ডেটা সংগ্রহ করেন, কেন সংগ্রহ করেন, কোথায় সংরক্ষণ করা হয়, কার অ্যাক্সেস আছে এবং কতদিন রাখা হয় তা নথিভুক্ত করা। যেখানে সম্ভব এই ডকুমেন্টেশন স্বয়ংক্রিয় করুন।
সীমান্ত-পার ডেটা স্থানান্তর
যদি আপনার অ্যাপ EU-এর বাইরে সার্ভারে ডেটা সংরক্ষণ করে, তাহলে স্থানান্তরের জন্য আপনার একটি আইনি প্রক্রিয়া প্রয়োজন। Privacy Shield ফ্রেমওয়ার্ক বাতিল হওয়ার পর থেকে স্ট্যান্ডার্ড কন্ট্রাক্টুয়াল ক্লজ (SCCs) সবচেয়ে সাধারণ পদ্ধতি। আপনার ক্লাউড প্রোভাইডার সম্ভবত SCC-সম্মত ডেটা প্রসেসিং চুক্তি অফার করে, তবে এটি স্পষ্টভাবে যাচাই করুন।
সম্মতি-প্রথম ডেভেলপমেন্ট প্রক্রিয়া নির্মাণ
এখানে আমরা নিয়ন্ত্রিত শিল্পের জন্য কাস্টম অ্যাপ ডেভেলপমেন্টে কীভাবে যাই। এই প্রক্রিয়া HIPAA, PCI-DSS এবং GDPR জুড়ে কাজ করে এবং এমন কোম্পানিগুলির জন্য যাদের একাধিক সম্মতি প্রয়োজন।
ধাপ ১: আবিষ্কারের সময় নিয়ন্ত্রক ম্যাপিং। আর্কিটেকচার শুরু হওয়ার আগে, কোন নিয়মগুলি প্রযোজ্য এবং কোন নির্দিষ্ট প্রয়োজনীয়তা আপনার অ্যাপ্লিকেশনকে প্রভাবিত করে তা চিহ্নিত করুন। সমস্ত HIPAA প্রয়োজনীয়তা প্রতিটি হেলথকেয়ার অ্যাপে প্রযোজ্য নয়। শুধুমাত্র প্রাসঙ্গিক বিষয়গুলি ম্যাপ করুন।
ধাপ ২: সম্মতি-চালিত আর্কিটেকচার। ধাপ ১-এ চিহ্নিত সম্মতির প্রয়োজনীয়তার চারপাশে আপনার ডেটা ফ্লো, অ্যাক্সেস কন্ট্রোল, এনক্রিপশন কৌশল এবং লগিং পদ্ধতি ডিজাইন করুন।
ধাপ ৩: নিরাপত্তা-কেন্দ্রিক কোড রিভিউ। প্রতিটি পুল রিকোয়েস্ট সম্মতির প্রভাবের জন্য পর্যালোচনা করা হয়, শুধু কার্যকারিতার জন্য নয়। SonarQube এবং Snyk-এর মতো স্বয়ংক্রিয় সরঞ্জামগুলি সাধারণ দুর্বলতাগুলি ধরে, তবে মানুষের পর্যালোচনা লজিক-স্তরের সম্মতির ফাঁক ধরে।
ধাপ ৪: লঞ্চের আগে সম্মতি পরীক্ষা। প্রথম ব্যবহারকারী অ্যাপ স্পর্শ করার আগে পেনিট্রেশন টেস্ট, দুর্বলতা স্ক্যান এবং একটি সম্মতি ফাঁক বিশ্লেষণ চালান।
ধাপ ৫: চলমান পর্যবেক্ষণ। সম্মতি একটি এককালীন ইভেন্ট নয়। স্বয়ংক্রিয় পর্যবেক্ষণ, নিয়মিত অডিট এবং বার্ষিক পেনিট্রেশন পরীক্ষাগুলি আপনার অ্যাপকে সম্মত রাখে যখন নিয়ম এবং হুমকি বিকশিত হয়।
FAQ
আমি কি HIPAA ডেটা পরিচালনা করে এমন অ্যাপের জন্য অফশোর ডেভেলপার ব্যবহার করতে পারি?
হ্যাঁ, তবে যথাযথ সুরক্ষা সহ। আপনার ডেভেলপমেন্ট পার্টনারকে অবশ্যই একটি BAA স্বাক্ষর করতে হবে। ডেভেলপমেন্টের সময় PHI-এ অ্যাক্সেস একটি নিরাপদ পরিবেশের মাধ্যমে নিয়ন্ত্রিত হওয়া উচিত, ডেভেলপার মেশিনে ডেটা কপি করে নয়। Saigon Technology-তে, আমরা ISO 27001 প্রত্যয়িত এবং GDPR-সম্মত প্রক্রিয়া অনুসরণ করি, তাই আমরা নিয়ন্ত্রিত প্রকল্পগুলি প্রয়োজন এমন নিরাপত্তা নিয়ন্ত্রণের সাথে পরিচিত।
সম্মতি কাস্টম অ্যাপ ডেভেলপমেন্ট খরচে কতটা যোগ করে?
সাধারণত একক ফ্রেমওয়ার্কের জন্য মোট প্রকল্প খরচের ১৫-২৫% (HIPAA, PCI-DSS বা GDPR)। একাধিক ফ্রেমওয়ার্কের সাথে সম্মতি প্রয়োজন এমন অ্যাপ্লিকেশনের জন্য, প্রয়োজনীয়তাগুলির মধ্যে ওভারল্যাপের অর্থ হল খরচ রৈখিকভাবে গুণিত হয় না। মাল্টি-ফ্রেমওয়ার্ক সম্মতির জন্য ২০-৩৫% আশা করুন। বিকল্প, পরে সম্মতি পুনরায় ফিট করা, উল্লেখযোগ্যভাবে বেশি খরচ হয়।
অ্যাপ তৈরি হওয়ার পরে আমার কি আলাদা সম্মতি অডিট প্রয়োজন?
HIPAA-এর জন্য, একটি তৃতীয় পক্ষের ঝুঁকি মূল্যায়ন দৃঢ়ভাবে সুপারিশ করা হয় যদিও আইনগতভাবে প্রয়োজন নেই। PCI-DSS-এর জন্য, অডিটের স্তর আপনার লেনদেনের পরিমাণের উপর নির্ভর করে। বেশিরভাগ কোম্পানির হয় একটি সেল্ফ-অ্যাসেসমেন্ট কোয়েশ্চেয়ার বা একটি কোয়ালিফাইড সিকিউরিটি অ্যাসেসর থেকে একটি রিপোর্ট অন কমপ্লায়েন্স প্রয়োজন। GDPR-এর জন্য, উচ্চ-ঝুঁকিপূর্ণ প্রসেসিং কার্যক্রমের জন্য একটি ডেটা প্রটেকশন ইমপ্যাক্ট অ্যাসেসমেন্ট প্রয়োজন।
লঞ্চের পরে আমার অ্যাপ যদি সম্মতি অডিটে ব্যর্থ হয় তাহলে কী হবে?
এটি পাওয়া ফাঁকের উপর নির্ভর করে। ছোট সমস্যাগুলি (ডকুমেন্টেশন ফাঁক, অনুপস্থিত লগ রিটেনশন নীতি) দ্রুত ঠিক করা যেতে পারে। প্রধান সমস্যাগুলি (অ-এনক্রিপ্টেড PHI, অনুপস্থিত অ্যাক্সেস কন্ট্রোল) উল্লেখযোগ্য পুনর্নির্মাণের প্রয়োজন হতে পারে। সেরা সুরক্ষা হল আপনার ডেভেলপমেন্ট প্রক্রিয়ায় সম্মতি তৈরি করা যাতে অডিটগুলি ইতিমধ্যে যা আছে তা নিশ্চিত করে বরং যা অনুপস্থিত তা প্রকাশ করে না।
উপসংহার
কাস্টম অ্যাপ ডেভেলপমেন্টে সম্মতি একটি প্রকল্পের শেষে একটি চেকবক্স নয়। এটি সিদ্ধান্তের একটি সেট যা আর্কিটেকচার দিয়ে শুরু হয় এবং প্রতিটি স্প্রিন্টের মাধ্যমে অব্যাহত থাকে।
ফ্রেমওয়ার্কগুলি তাদের বিশদভাবে আলাদা, তবে নীতি একই: সংবেদনশীল ডেটা রক্ষা করুন, অ্যাক্সেস নিয়ন্ত্রণ করুন, সবকিছু নথিভুক্ত করুন এবং ব্যবহারকারীদের তাদের তথ্যের উপর নিয়ন্ত্রণ দিন। এই নীতিগুলি আপনার ডেভেলপমেন্ট প্রক্রিয়ায় তৈরি করুন, এবং সম্মতি একটি স্বাভাবিক আউটপুট হয়, একটি হুড়োহুড়ি নয়।
আপনি যদি নিয়ন্ত্রিত শিল্পের জন্য একটি কাস্টম অ্যাপ্লিকেশন তৈরি করছেন, তাহলে কোড লেখা শুরু করার আগে সম্মতির কথোপকথন শুরু করুন। Saigon Technology-তে আমাদের দল হেলথকেয়ার, অর্থ এবং ই-কমার্স জুড়ে অ্যাপ্লিকেশন তৈরি করেছে প্রথম দিন থেকে সম্মতির প্রয়োজনীয়তা বেক করা সহ। একটি বিনামূল্যে পরামর্শের জন্য যোগাযোগ করুন।
