Skip to main content

Security & compliance

Last updated:

Operators nuke.ai पर real money move करते हैं। Platform का security posture हर brand के पीछे का load-bearing guarantee है। यह page उन controls को document करता है जो हम चलाते हैं, उन standards को जो हमने खुद पर लगाए हैं, और जब कुछ गलत होता है तब के response process को। यह जानबूझकर specific है — vague security pages उन vendors की पहचान हैं जिनके पास असल में controls नहीं हैं।

Publicly link करने से पहले verify करें। नीचे की कुछ बातें (ISO 27001, exact pen-test cadence और firm name) marketing nav से इस page को link करने से पहले nuke.ai security team से confirmation मांगती हैं।

1. Data residency

Operator और player data brand के licensing jurisdiction के अनुसार region में store होता है। EU brands EU regions में store करते हैं; LATAM brands North-America-South में; Asia brands AP regions में। Cross-region replication opt-in है, default कभी नहीं। Database backups वही region constraints inherit करते हैं; off-region disaster-recovery copies region-bound KMS keys के साथ at-rest encrypted होती हैं।

2. Encryption

हर public endpoint पर TLS 1.3 with HSTS preload; सिर्फ perfect-forward-secrecy ciphers। Data at rest AES-256-GCM के साथ envelope encryption use करता है — payment instruments और KYC records के लिए column-level keys, बाकी के लिए schema-level keys। Key rotation 90-day cadence पर automatic है; incident response के लिए manual rotation एक API call दूर है।

3. Access controls

Operator-side console access के लिए SSO (Google Workspace, Okta, Azure AD) और MFA enforce होता है। Permissions RBAC हैं, सात default roles plus custom-role builder। हर administrative action — config change, payout, KYC override, brand deploy — एक immutable audit-log entry produce करता है जो operator के admins और nuke.ai support को incident triage में दिखता है।

4. Penetration testing

External penetration tests एक independent CREST-accredited firm द्वारा हर quarter perform किए जाते हैं। Findings internal CVE register में track होती हैं; critical/high findings SLA के अंदर (24h / 7d respectively) fix होती हैं और engineering changelog में reflect होती हैं। Redacted summary operator security teams को NDA के तहत मिलता है।

5. Certifications

ISO 27001 roadmap पर। PCI-DSS scope tokenization gateway तक confined है — operators का cardholder data nuke.ai application servers से नहीं गुज़रता। Compliance reports NDA के तहत available।

6. Vulnerability disclosure

Security researchers findings disclose कर सकते हैं [email protected] पर। हम 72 hours में acknowledge करने, 14 days में remediation status देने, और public security changelog में external researchers को credit देने (opt-in) के लिए committed हैं।

7. Incident response

Sev-1 incidents (operator-affecting outages, data exposure) 15 minutes में acknowledged होते हैं, हर 30 minutes पर status-page updates जब तक resolved नहीं, और 5 business days में public post-mortem। Sev-2 incidents (degraded performance, partial feature outage) 1 hour में acknowledged होते हैं। Current platform-wide status publish होता है Homepage status strip पर, और हर release पर update होता है।

8. Contact

Security inquiries: [email protected].
General compliance: [email protected].