उबाऊ हिस्से, सही ढंग से।
EU निवास, प्रति-प्रीव्यू Firecracker आइसोलेशन, TLS 1.3 + AES-256, डिफ़ॉल्ट ट्रेनिंग ऑप्ट-आउट, पूर्ण कोड स्वामित्व। विवरण नीचे — इस तरह लिखे कि सुरक्षा प्रश्नावली बिना कॉल के उत्तर पा सके।
VULK कैसे बना है, छह स्तंभों में।
डेटा निवास
उत्पादन डेटाबेस AWS RDS eu-central-1 (फ्रैंकफर्ट) पर PostgreSQL 16। ऐप्लिकेशन सर्वर EU। स्थैतिक एसेट CDN-वितरित। बिना स्पष्ट DPA परिशिष्ट के कोई ग्राहक रिकॉर्ड EU से बाहर नहीं जाता।
- ▸डेटाबेस: AWS RDS eu-central-1 (फ्रैंकफर्ट)
- ▸ऐप सर्वर: AWS Frankfurt (eu-central-1)
- ▸CDN: Cloudflare वैश्विक edge (केवल HTTPS)
जनरेशन आइसोलेशन
हर लाइव प्रीव्यू अपने ही kernel, rootfs और नेटवर्क namespace के साथ समर्पित Firecracker microVM में चलता है। एक प्रोजेक्ट दूसरे का प्रोसेस ट्री, फ़ाइलसिस्टम या नेटवर्क पढ़ या प्रभावित नहीं कर सकता। सत्र के बाद VMs खत्म — कोई साझा persistent स्थिति नहीं।
- ▸प्रति-प्रीव्यू Firecracker microVM
- ▸नेटवर्क namespace + iptables egress फ़िल्टर
- ▸सत्र समाप्त होने पर मिटने वाला अल्पकालिक rootfs
एन्क्रिप्शन
हर जगह transit में TLS 1.3। RDS और R2 / S3 पर rest में AES-256। ग्राहक रहस्य keychain में (ऐप-साइड env vars, कभी log नहीं, API प्रतिक्रियाओं में कभी वापस नहीं)। Webhook payload HMAC-साइन्ड।
- ▸TLS 1.3 (केवल HTTPS)
- ▸rest में AES-256 (RDS, R2, S3)
- ▸रहस्य कभी log या प्रतिध्वनित नहीं
AI प्रदाता नीति
हम OpenRouter के माध्यम से Anthropic, Google, OpenAI और अन्य को रूट करते हैं। डिफ़ॉल्ट रूटिंग ज़ीरो-ट्रेनिंग कॉन्फ़िगर प्रदाताओं को। Pro और ऊपर पर हम अतिरिक्त रूप से नो-ट्रेनिंग endpoints पर पिन करते हैं और cross-session कैश बंद करते हैं।
- ▸रूट किए गए मॉडलों पर डिफ़ॉल्ट ज़ीरो-रिटेंशन
- ▸Max और Business पर training-data opt-out
- ▸Business में BYOK (अपनी कुंजी)
प्रमाणीकरण
उपयोगकर्ता auth NextAuth + PKCE से। Stripe Customer linking केवल server-side। वैकल्पिक MFA, Business पर SAML / OIDC SSO, आपके SIEM को audit log डिलीवरी।
- ▸NextAuth (PKCE, secure-only कुकीज़)
- ▸TOTP के माध्यम से वैकल्पिक MFA
- ▸Business में SAML / OIDC SSO
कोड स्वामित्व
हर प्रोजेक्ट आपका कोड। GitHub या zip में निर्यात; अपनी infra पर चलाएँ; कल हमें रद्द करें — आपके बनाए ऐप्स चलते रहेंगे। आपके आउटपुट पर हमारा लाइसेंस नहीं, और SaaS सदस्यता के पीछे कोई रनटाइम नहीं।
- ▸पूर्ण रिपॉज़िटरी निर्यात (GitHub या zip)
- ▸कोई स्वामित्व रनटाइम नहीं
- ▸अपनी शर्तों पर MIT-licensable
हम अनुपालन कैसे संभालते हैं।
आज हम क्या कर रहे हैं — सीधा, बिना उन प्रमाणपत्रों के जो हमारे पास नहीं हैं।
- GDPRसंरेखितVULK डेटा नियंत्रक है। अनुरोध पर DPA उपलब्ध। उप-प्रोसेसर खुले और बदलाव पर सूचित।
- डेटा प्रसंस्करण समझौताउपलब्धPro और Business योजनाओं के लिए मुफ्त भेजा जाता है। Enterprise शर्तें 5 कार्यदिवसों में समीक्षित।
- PCI-DSSलागू नहीं — कार्ड Stripe संभालता हैकार्ड डेटा कभी VULK सर्वरों को नहीं छूता। Stripe Checkout / Elements पूरे PCI scope को संभालता है।
और कौन आपके डेटा को छूता है।
हम हर बाहरी सेवा का खुलासा करने को बाध्य हैं जो आपके डेटा को संसाधित कर सकती है। बदलाव पर सूचना DPA का हिस्सा है।
| सेवा | उद्देश्य | क्षेत्र |
|---|---|---|
| AWS (RDS, S3) | डेटाबेस + भंडारण | eu-central-1 (फ्रैंकफर्ट) |
| Cloudflare | CDN, DNS, R2 भंडारण, डिप्लॉय | वैश्विक edge |
| Stripe | बिलिंग + भुगतान प्रसंस्करण | EU + USA (PCI-अनुपालक) |
| Resend | लेन-देन ईमेल | EU |
| OpenRouter | AI मॉडल रूटिंग | वैश्विक (ज़ीरो-रिटेंशन प्रदाता रूटिंग) |
| Sentry | त्रुटि निगरानी | EU |
भेद्यता मिली? हमें पहले बताएँ।
हम जिम्मेदार प्रकटीकरण का स्वागत करते हैं। ईमेल security@vulk.dev रेप्रोडक्शन चरण, अपेक्षित बनाम देखे गए व्यवहार, और CVSS-शैली गंभीरता मूल्यांकन के साथ। हम 24 घंटे में पुष्टि करते हैं और 72 घंटे में ट्रायेज। शोधकर्ताओं से बात करने के लिए NDA की ज़रूरत नहीं।
बाउंटी भुगतान प्रभाव के अनुसार केस-दर-केस। सार्वजनिक श्रेय (या गुमनाम, आपकी पसंद) Changelog में।
अंतिम समीक्षा: April 30, 2026