PayCal Technologies Inc.

सत्यापन और शासन पारदर्शिता

यह पृष्ठ व्यवहार को सत्यापित करने और उत्पादन में परिचालन रेलिंग लागू करने के लिए PayCal द्वारा उपयोग किए जाने वाले नियंत्रणों की व्याख्या करता है।

Published:

शासन से हमारा क्या तात्पर्य है

हमारे लिए, शासन का अर्थ है कोड पथ, सीमाएं, परीक्षण और परिनियोजन जांच में एन्कोड की गई नीति। यह केवल दस्तावेज़-मात्र का वादा नहीं है।

नीचे दिए गए संदर्भ इस भंडार में कार्यान्वयन बिंदुओं को दर्शाते हैं ताकि दावों को स्वतंत्र रूप से सत्यापित किया जा सके।

सत्यापन मेटाडेटा

रूट मेटाडेटा

  • मार्ग: /transparency/verification-governance/
  • अंतिम बार सत्यापित:
  • अगली समीक्षा देय:
  • सत्यापन का दायरा: वर्तमान हुक, सीआई पाइपलाइन जांच और रनटाइम नियंत्रण पथों के विरुद्ध वर्णित गेट कार्यान्वयन की मैन्युअल समीक्षा।

ज्ञात सीमाएँ

  • गेट विवरण मैन्युअल रूप से बनाए रखा जाता है; इस पृष्ठ और हुक/पाइपलाइन कॉन्फ़िगरेशन के बीच स्वचालित क्रॉस-रेफरेंस को त्रैमासिक समापन के लिए योजनाबद्ध किया गया है।
  • रनटाइम सीमा मान डिफ़ॉल्ट दर्शाते हैं; गैर-विकास उदाहरणों पर पर्यावरण-विशिष्ट ओवरराइड भिन्न हो सकते हैं।

यह मेटाडेटा गवर्नेंस ऑडिट क्लोज-आउट के भाग के रूप में त्रैमासिक अद्यतन किया जाता है।

वर्तमान सुरक्षा ऑडिट स्थिति

2026-03-24 तक, PayCal BRS-01 से BRS-05 विस्तार और अनुवर्ती रिलीज़ स्वच्छता सिंक्रनाइज़ेशन के बाद PASS स्थिति में बना हुआ है।

सार्वजनिक स्थिति विवरण और साक्ष्य संदर्भ यहां प्रकाशित किए जाते हैं /transparency/security-audit/.

1) स्थानीय नीति द्वार (गिट हुक्स)

कोड साझा शाखाओं तक पहुंचने से पहले स्थानीय हुक असुरक्षित मर्ज को रोकते हैं।

  • githooks/pre-commit runs PHPStan Level 9 on staged PHP files under html/.
  • githooks/pre-commit blocks baseline usage in phpstan.neon and blocks phpstan-baseline.neon.
  • githooks/pre-push runs full-repo PHPStan Level 9 and applies the same baseline-blocking policy.

ये द्वार नीतिगत बहाव और मूक गुणवत्ता प्रतिगमन की संभावना को कम करते हैं।

2) सीआई सत्यापन पाइपलाइन

सीआई वर्कफ़्लो तेजी से सत्यापन से लेकर तनाव-शैली सत्यापन तक उत्तरोत्तर गहरी परीक्षण परतें चलाता है।

  • .github/workflows/phpunit.yml Stage 2: composer run test:all (unit + integration + contract).
  • .github/workflows/phpunit.yml Stage 3: composer run test:random (order-randomized).
  • .github/workflows/phpunit.yml Stage 3: composer run test:coverage.
  • .github/workflows/phpunit.yml Stage 4: mutation test job.

Representative contract/integration suites include html/tests/Integration/KekContractTest.php, html/tests/Integration/RedisContractTest.php, and contract tests under html/tests/Contract/.

3) रनटाइम दर सीमाएं और इनपुट गवर्नेंस

परिचालन समापन बिंदु स्पष्ट अनुरोध विंडो और पेलोड सत्यापन नियमों से बंधे हैं।

  • html/src/Domain/RateLimiter.php defines per-minute endpoint and IP limits, including telemetry (90/minute).
  • html/src/Controllers/TelemetryController.php enforces authentication and telemetry rate limits before accepting events.
  • html/src/Controllers/TelemetryController.php bounds event type format with a strict regex to control key cardinality.
  • html/src/Controllers/EmailVerificationController.php applies retry windows with TTL-backed rate-limit keys.

इन नियंत्रणों का उद्देश्य सामान्य और अपमानजनक ट्रैफ़िक पैटर्न दोनों के तहत व्यवहार को पूर्वानुमानित रखना है।

4) टीटीएल और सुरक्षा सीमा शासन

सुरक्षा-संवेदनशील प्रवाह सीमाएं केंद्रीय रूप से परिभाषित और न्यूनतम/अधिकतम बाधाओं से घिरी हुई हैं।

  • html/src/system-limits-master.php includes enable_rate_limiting and account-recovery controls.
  • खाता-पुनर्प्राप्ति सीमाओं में कोड टीटीएल, पुनः भेजें कूलडाउन, अधिकतम सत्यापन प्रयास, रीप्ले विंडो और हैशेड-आईपी ब्लॉक टीटीएल शामिल हैं।
  • html/src/Domain/AccountRecoveryAbuseGuard.php records replay telemetry and applies automatic hashed-IP blocking when thresholds are exceeded.
  • html/src/Domain/AccountRecoveryTransaction.php enforces transaction/proof/bootstrap expiries from system limits.

यह संरचना टाइप की गई सीमाओं को दरकिनार किए बिना नियंत्रित नीति अपडेट की अनुमति देती है।

5) सीएसपी और परिसंपत्ति वितरण नियंत्रण

सार्वजनिक-सामना वाले पृष्ठ स्पष्ट सामग्री सुरक्षा नीति और गैर-जागरूक स्क्रिप्ट/शैली प्रतिपादन द्वारा शासित होते हैं।

  • html/header.php builds and emits CSP directives including default-src 'none' and strict script-src/style-src policies.
  • html/header.php includes Trusted Types policy directives.
  • html/src/Domain/Render.php supports nonce-based module script rendering.

ये नियंत्रण निष्पादन योग्य सतहों को बाधित करते हैं और हमारे आधारभूत शासन मॉडल का हिस्सा हैं।

इन दावों को कैसे सत्यापित करें

डेवलपर्स सीधे इस रिपॉजिटरी में सत्यापन संकेतों को पुन: पेश कर सकते हैं:

# Static analysis gates
bash githooks/pre-commit
bash githooks/pre-push

# Test pipeline equivalents
cd html
composer run test:all
composer run test:random
composer run test:coverage

अंतिम अद्यतन: March 24, 2026.