नया

EDDI v6 अब डेवलपर प्रीव्यू के रूप में उपलब्ध है! शुरू करें

शुरू करें

वैश्विक गोपनीयता और नियामक अनुपालन

EDDI GDPR, CCPA, EU AI अधिनियम, HIPAA, PIPEDA, LGPD, APPI, POPIA, PDPA मलेशिया PDPA, PIPL और अधिक के लिए बिल्ट-इन अनुपालन प्रदान करता है — कैस्केड डेटा डिलीशन, क्रिप्टोग्राफ़िक ऑडिट ट्रेल्स और एक एकीकृत API के साथ।

शुरू करें → GitHub पर देखें ↗
वैश्विक गोपनीयता और नियामक अनुपालन

आर्किटेक्चर द्वारा अनुपालन

विनियमित उद्योग AI सिस्टम पर अनुपालन बाद में नहीं जोड़ सकते। EDDI वैश्विक नियामक अनुपालन की तकनीकी नींव को प्लेटफ़ॉर्म आर्किटेक्चर में ही एम्बेड करता है — अपरिवर्तनीय ऑडिट ट्रेल्स, कैस्केड डेटा डिलीशन, प्रोसेसिंग प्रतिबंध, क्रिप्टोग्राफ़िक अखंडता और रोल-आधारित एक्सेस कंट्रोल कोर क्षमताएँ हैं, ऐड-ऑन नहीं। एक एकीकृत API हर अधिकार क्षेत्र के डेटा सब्जेक्ट अधिकारों को कवर करता है।

AI गवर्नेंस फ्रेमवर्क

जैसे-जैसे दुनिया भर की सरकारें AI-विशिष्ट कानून पेश कर रही हैं, संगठनों को ऐसे प्लेटफ़ॉर्म चाहिए जो पारदर्शिता, ट्रेसेबिलिटी और मानवीय निगरानी पहले दिन से प्रदान करें। EDDI का आर्किटेक्चर प्रमुख AI गवर्नेंस फ्रेमवर्क की मूल तकनीकी आवश्यकताओं को पूरा करता है।

EU AI अधिनियम — यूरोपीय संघ

EU AI अधिनियम (विनियमन 2024/1689) दुनिया का पहला व्यापक AI कानून है, जो AI सिस्टम के लिए जोखिम-आधारित आवश्यकताएँ स्थापित करता है। EDDI उच्च-जोखिम AI सिस्टम अनुपालन के लिए तकनीकी नींव प्रदान करता है:

  • अपरिवर्तनीय ऑडिट ट्रेल्स — हर ऑपरेशन HMAC-SHA256 क्रिप्टोग्राफ़िक अखंडता के साथ रिकॉर्ड (अनुच्छेद 12 — रिकॉर्ड-कीपिंग)
  • निर्णय पारदर्शिता — पूर्ण पाइपलाइन ट्रेसिंग दिखाती है कि AI निर्णय कैसे लिए गए, मॉडल नाम, प्रॉम्प्ट और रिस्पॉन्स सहित (अनुच्छेद 13 — पारदर्शिता)
  • मानवीय निगरानी — मैनेजमेंट UI मानवीय समीक्षा, हस्तक्षेप और आपातकालीन रोक को सक्षम करता है (अनुच्छेद 14 — मानवीय निगरानी)
  • जोखिम वर्गीकरण — आर्किटेक्चर कॉन्फ़िगर करने योग्य नियंत्रणों के साथ उच्च-जोखिम AI सिस्टम आवश्यकताओं का समर्थन करता है (अनुच्छेद 9 — जोखिम प्रबंधन)
  • पुनरुत्पादनीयता — Configuration-as-Code नियामक ऑडिट के लिए AI व्यवहार का सटीक पुनरुत्पादन सक्षम करता है (अनुच्छेद 17 — गुणवत्ता प्रबंधन)
  • डेटा गवर्नेंस — OIDC/Keycloak RBAC, Vault-आधारित सीक्रेट मैनेजमेंट, इनपुट/आउटपुट लॉगिंग (अनुच्छेद 10 — डेटा गवर्नेंस)

NIST AI जोखिम प्रबंधन फ्रेमवर्क — संयुक्त राज्य अमेरिका

NIST AI RMF (AI 100-1) चार कार्यों में AI जोखिमों के प्रबंधन के लिए एक स्वैच्छिक फ्रेमवर्क प्रदान करता है: गवर्न, मैप, मेजर और मैनेज। EDDI का आर्किटेक्चर NIST AI RMF संरेखण के लिए तकनीकी क्षमताएँ प्रदान करता है:

  • गवर्न (Govern) — RBAC रोल्स (eddi-admin, eddi-editor, eddi-viewer), अपरिवर्तनीय ऑडिट लेजर और दस्तावेज़ीकृत डेटा प्रवाह AI गवर्नेंस संरचनाओं का समर्थन करते हैं
  • मैप (Map) — पाइपलाइन ट्रेसिंग और कन्वर्सेशन लॉगिंग व्यापक AI जोखिम पहचान और दस्तावेज़ीकरण सक्षम करती है
  • मेजर (Measure) — Prometheus मेट्रिक्स, टोकन/लागत ट्रैकिंग और प्रति-एजेंट उपयोग एनालिटिक्स मापने योग्य AI प्रदर्शन और जोखिम संकेतक प्रदान करते हैं
  • मैनेज (Manage) — प्रोसेसिंग प्रतिबंध API, मैनेजर UI के माध्यम से मानवीय निगरानी और कॉन्फ़िगर करने योग्य रिटेंशन नीतियाँ जोखिम शमन नियंत्रण सक्षम करती हैं

ISO/IEC 42001 — AI प्रबंधन प्रणालियाँ

ISO/IEC 42001:2023 AI प्रबंधन प्रणाली (AIMS) के लिए आवश्यकताएँ स्थापित करता है। EDDI ISO 42001 प्रमाणन के लिए तकनीकी क्षमताएँ प्रदान करता है:

  • दस्तावेज़ीकृत AI नीतियाँ — Configuration-as-Code का अर्थ है कि सभी एजेंट व्यवहार ऑडिट योग्य JSON में परिभाषित — नियम, वर्कफ़्लो, LLM कॉन्फ़िगरेशन और डिप्लॉयमेंट डिस्क्रिप्टर
  • जोखिम मूल्यांकन — ऑडिट ट्रेल्स जोखिम मूल्यांकन और प्रभाव विश्लेषण के लिए पूर्ण निर्णय इतिहास कैप्चर करते हैं
  • परिचालन नियंत्रण — RBAC, Vault-आधारित सीक्रेट मैनेजमेंट और प्रोसेसिंग प्रतिबंध परिचालन गवर्नेंस प्रदान करते हैं
  • प्रदर्शन निगरानी — Prometheus मेट्रिक्स, Grafana डैशबोर्ड और CQRS टेलीमेट्री निरंतर AI प्रदर्शन मूल्यांकन सक्षम करते हैं

डेटा गोपनीयता विनियम

EDDI एकीकृत डेटा सब्जेक्ट अधिकार एंडपॉइंट प्रदान करता है जो दुनिया भर के हर प्रमुख गोपनीयता विनियम की तकनीकी आवश्यकताओं को पूरा करते हैं। एक API कैस्केड डिलीशन, पूर्ण डेटा एक्सपोर्ट और प्रोसेसिंग प्रतिबंध को कवर करता है — अधिकार क्षेत्र की परवाह किए बिना।

GDPR — यूरोपीय संघ / EEA

सामान्य डेटा संरक्षण विनियमन (EU 2016/679) डेटा गोपनीयता का स्वर्ण मानक है। EDDI GDPR डेटा सब्जेक्ट अधिकारों को प्रथम-श्रेणी API एंडपॉइंट के रूप में लागू करता है, सभी 5 डेटा स्टोर में कैस्केड ऑपरेशन द्वारा समर्थित:

  • मिटाने का अधिकार (अनुच्छेद 17)DELETE /admin/gdpr/{userId} यूज़र मेमोरी, कन्वर्सेशन, मैनेज्ड कन्वर्सेशन मैपिंग, डेटाबेस लॉग (SHA-256 स्यूडोनिमाइज़्ड) और ऑडिट लेजर (SHA-256 स्यूडोनिमाइज़्ड) में कैस्केड करता है
  • एक्सेस / पोर्टेबिलिटी का अधिकार (अनुच्छेद 15/20)GET /admin/gdpr/{userId}/export सभी यूज़र डेटा को स्ट्रक्चर्ड, मशीन-रीडेबल JSON के रूप में लौटाता है
  • प्रतिबंध का अधिकार (अनुच्छेद 18)POST /admin/gdpr/{userId}/restrict डेटा संरक्षित रखते हुए प्रोसेसिंग फ्रीज करता है, नई कन्वर्सेशन और मैसेज प्रोसेसिंग को ब्लॉक करता है
  • PII-सुरक्षित लॉगिंग — GDPR ऑपरेशन SHA-256 स्यूडोनिम लॉग करते हैं, कभी कच्चे यूज़र ID नहीं
  • कॉन्फ़िगर करने योग्य रिटेंशन — प्रति-श्रेणी रिटेंशन नीतियाँ कन्वर्सेशन (डिफ़ॉल्ट 365 दिन), यूज़र मेमोरी (मैनुअल) और ऑडिट एंट्रीज़ (EU AI अधिनियम के लिए अनिश्चित) के लिए
  • MCP टूल्सdelete_user_data और export_user_data AI-ऑर्केस्ट्रेटेड अनुपालन वर्कफ़्लो सक्षम करते हैं

CCPA / CPRA — कैलिफ़ोर्निया, संयुक्त राज्य अमेरिका

कैलिफ़ोर्निया उपभोक्ता गोपनीयता अधिनियम और कैलिफ़ोर्निया गोपनीयता अधिकार अधिनियम उपभोक्ताओं को जानने, हटाने और डेटा बिक्री से ऑप्ट-आउट करने के अधिकार प्रदान करते हैं। EDDI अपने GDPR-संगत API के माध्यम से CCPA की तकनीकी आवश्यकताओं को पूरा करता है:

  • जानने का अधिकार (§1798.100) — GDPR एक्सपोर्ट एंडपॉइंट सभी व्यक्तिगत जानकारी स्ट्रक्चर्ड, मशीन-रीडेबल फ़ॉर्मेट में प्रदान करता है
  • हटाने का अधिकार (§1798.105) — GDPR डिलीशन एंडपॉइंट सभी डेटा स्टोर में कैस्केड डिलीशन प्रदान करता है
  • बिक्री न करें (§1798.120) — EDDI आर्किटेक्चरल रूप से व्यक्तिगत जानकारी बेचने में असमर्थ है — यह एक मिडलवेयर इंफ्रास्ट्रक्चर है जो डेटा विशेष रूप से डिप्लॉयर की ओर से प्रोसेस करता है

PIPEDA — कनाडा

कनाडा का व्यक्तिगत सूचना संरक्षण और इलेक्ट्रॉनिक दस्तावेज़ अधिनियम (2000, संशोधित 2023) 10 निष्पक्ष सूचना सिद्धांतों के माध्यम से वाणिज्यिक डेटा प्रोसेसिंग को नियंत्रित करता है। EDDI का आर्किटेक्चर सीधे प्रत्येक सिद्धांत से मैप करता है:

  • जवाबदेही — अपरिवर्तनीय HMAC-हस्ताक्षरित ऑडिट लेजर सभी ऑपरेशन ट्रेस करता है
  • संग्रह सीमित करना — टोकन-अवेयर विंडोइंग LLMs को भेजे जाने वाले डेटा को सीमित करती है; कॉन्फ़िगर करने योग्य रिटेंशन पुरानी कन्वर्सेशन ऑटो-डिलीट करता है
  • उपयोग/प्रकटीकरण सीमित करना — डेटा केवल कॉन्फ़िगर किए गए एजेंट इंटरैक्शन के लिए उपयोग; ऑडिट ट्रेल हर LLM इनवोकेशन लॉग करता है
  • सुरक्षा उपाय — AES-256-GCM एनवलप एन्क्रिप्शन (Secrets Vault), HMAC-SHA256 ऑडिट अखंडता, Keycloak OIDC, RBAC
  • व्यक्तिगत एक्सेस — REST API के माध्यम से पूर्ण डेटा एक्सपोर्ट सभी मेमोरी, कन्वर्सेशन और मैनेज्ड कन्वर्सेशन मैपिंग JSON के रूप में लौटाता है
  • अनुपालन को चुनौती — सभी 5 डेटा स्टोर में कैस्केड डिलीशन; कानूनी रिटेंशन दायित्वों के लिए ऑडिट ट्रेल स्यूडोनिमाइज़्ड (डिलीट नहीं)

LGPD — ब्राज़ील

ब्राज़ील का सामान्य डेटा संरक्षण कानून (2018, 2020 से प्रभावी) GDPR के समान व्यापक डेटा सब्जेक्ट अधिकार प्रदान करता है। EDDI बिल्ट-इन तकनीकी क्षमताओं के साथ अनुच्छेद 18 के सभी अधिकारों को कवर करता है:

  • डेटा एक्सेस (अनुच्छेद 18, II) — पूर्ण JSON डेटा एक्सपोर्ट
  • सुधार (अनुच्छेद 18, III) — यूज़र मेमोरी PUT /usermemorystore/memories के माध्यम से अपडेट योग्य
  • अनामीकरण/डिलीशन (अनुच्छेद 18, IV) — ऑडिट रिकॉर्ड के SHA-256 स्यूडोनिमाइज़ेशन के साथ कैस्केड डिलीशन
  • डेटा पोर्टेबिलिटी (अनुच्छेद 18, V) — मशीन-रीडेबल JSON एक्सपोर्ट सभी यूज़र डेटा शामिल करता है
  • अनावश्यक डेटा का डिलीशन (अनुच्छेद 18, VI) — ऑटोमैटिक क्लीनअप के साथ कॉन्फ़िगर करने योग्य रिटेंशन नीतियाँ
  • सहमति वापसी (अनुच्छेद 18, IX) — कन्वर्सेशन समाप्त करना और कैस्केड डिलीट एंडपॉइंट तकनीकी तंत्र प्रदान करते हैं

APPI — जापान

जापान का व्यक्तिगत सूचना संरक्षण अधिनियम (2003, 2022 में महत्वपूर्ण संशोधन) एशिया के सबसे परिपक्व डेटा संरक्षण कानूनों में से एक है। जापान के पास EU पर्याप्तता निर्णय है। EDDI प्रदान करता है:

  • सुरक्षा उपाय (अनुच्छेद 23) — AES-256-GCM Vault एन्क्रिप्शन, HMAC-SHA256 ऑडिट अखंडता, Keycloak OIDC, RBAC, SSRF सुरक्षा
  • डेटा सब्जेक्ट को प्रकटीकरण (अनुच्छेद 33) — REST API के माध्यम से पूर्ण डेटा एक्सपोर्ट
  • सुधार और डिलीशन (अनुच्छेद 34-35) — सुधार के लिए मेमोरी अपडेट; मिटाने के लिए कैस्केड डिलीशन
  • स्यूडोनिमाइज़्ड सूचना (2022 संशोधन) — GDPR मिटाना SHA-256 स्यूडोनिमाइज़ेशन का उपयोग करता है, APPI की स्यूडोनिमाइज़्ड सूचना श्रेणी को पूरा करता है
  • सीमा-पार हस्तांतरण दस्तावेज़ीकरण (अनुच्छेद 28) — LLM प्रदाता डेटा प्रवाह दस्तावेज़ीकृत; ऑडिट ट्रेल रिकॉर्ड करता है कि किस मॉडल/प्रदाता ने प्रत्येक टर्न प्रोसेस किया

POPIA — दक्षिण अफ्रीका

दक्षिण अफ्रीका का व्यक्तिगत सूचना संरक्षण अधिनियम (2013, 2021 से प्रभावी) EU मानकों के अनुरूप 8 डेटा प्रोसेसिंग शर्तें स्थापित करता है। EDDI प्रत्येक शर्त के लिए बिल्ट-इन तकनीकी क्षमताएँ प्रदान करता है:

  • जवाबदेही (शर्त 1) — HMAC-हस्ताक्षरित ऑडिट लेजर, दस्तावेज़ीकृत डेटा प्रवाह, Apache 2.0 ओपन-सोर्स कोड
  • प्रोसेसिंग सीमा (शर्त 2) — टोकन-अवेयर विंडोइंग, कॉन्फ़िगर करने योग्य रिटेंशन, निष्क्रिय कन्वर्सेशन ऑटो-एंड
  • सूचना गुणवत्ता (शर्त 5) — टाइमस्टैम्प्ड, वर्जन्ड कन्वर्सेशन स्टेट; REST API के माध्यम से यूज़र मेमोरी अपडेट योग्य
  • सुरक्षा सुरक्षा उपाय (शर्त 7) — AES-256-GCM एन्क्रिप्शन, HMAC अखंडता, Keycloak OIDC, RBAC, SSRF सुरक्षा
  • डेटा सब्जेक्ट भागीदारी (शर्त 8) — पूर्ण डेटा एक्सपोर्ट और कैस्केड डिलीशन एंडपॉइंट

PDPA — सिंगापुर और थाईलैंड

सिंगापुर (2012, संशोधित 2021) और थाईलैंड (2019, 2022 से प्रभावी) के व्यक्तिगत डेटा संरक्षण अधिनियम दक्षिण पूर्व एशिया के सबसे परिपक्व गोपनीयता फ्रेमवर्क हैं। EDDI दोनों अधिकार क्षेत्रों के तकनीकी दायित्वों को कवर करता है:

  • एक्सेस दायित्व — REST API और MCP टूल्स के माध्यम से पूर्ण डेटा एक्सपोर्ट
  • सुधार दायित्व — REST API के माध्यम से यूज़र मेमोरी अपडेट योग्य
  • सुरक्षा दायित्व — AES-256-GCM एन्क्रिप्शन, HMAC ऑडिट अखंडता, Keycloak OIDC, RBAC
  • रिटेंशन सीमा — निष्क्रिय कन्वर्सेशन टाइमआउट के साथ कॉन्फ़िगर करने योग्य ऑटो-क्लीनअप
  • डेटा ब्रीच नोटिफ़िकेशन — EDDI दस्तावेज़ीकरण में इंसिडेंट रिस्पॉन्स रनबुक टेम्प्लेट शामिल

PDPA — मलेशिया

मलेशिया का व्यक्तिगत डेटा संरक्षण अधिनियम 2010 (अधिनियम 709, 2024 में संशोधित) 7 डेटा संरक्षण सिद्धांतों के माध्यम से वाणिज्यिक व्यक्तिगत डेटा प्रसंस्करण को नियंत्रित करता है। EDDI तैनाती करने वालों के अनुपालन का समर्थन करने के लिए तकनीकी नियंत्रण प्रदान करता है:

  • सामान्य सिद्धांत (§6) — कॉन्फ़िगर करने योग्य प्रतिधारण नीतियां और प्रसंस्करण-प्रतिबंध एंडपॉइंट उद्देश्य-सीमित, सहमति-आधारित प्रसंस्करण का समर्थन करते हैं
  • सुरक्षा सिद्धांत (§9) — AES-256-GCM वॉल्ट एन्क्रिप्शन, HMAC-SHA256 ऑडिट अखंडता, Keycloak OIDC, RBAC, SSRF सुरक्षा
  • प्रतिधारण सिद्धांत (§10) — श्रेणी के अनुसार कॉन्फ़िगर करने योग्य प्रतिधारण और स्वचालित सफाई; निष्क्रिय वार्तालाप स्वचालित समाप्ति
  • डेटा अखंडता सिद्धांत (§11) — टाइमस्टैम्प के साथ संस्करणित वार्तालाप स्थिति; REST API के माध्यम से उपयोगकर्ता मेमोरी अपडेट करने योग्य
  • पहुँच सिद्धांत (§12)GET /admin/gdpr/{userId}/export के माध्यम से पूर्ण डेटा निर्यात सभी उपयोगकर्ता डेटा को संरचित JSON के रूप में लौटाता है
  • सीमा-पार स्थानांतरण (§129) — स्व-होस्टेड आर्किटेक्चर तैनाती करने वालों को डेटा रेसीडेंसी नियंत्रित करने में सक्षम बनाता है; ऑडिट ट्रेल सभी LLM प्रदाता डेटा प्रवाह को दस्तावेज़ित करता है

PIPL — चीन

चीन का व्यक्तिगत सूचना संरक्षण कानून (2021) दुनिया के सबसे व्यापक डेटा संरक्षण कानूनों में से एक है, जो चीन के भीतर व्यक्तियों की व्यक्तिगत जानकारी के प्रसंस्करण को नियंत्रित करता है। EDDI PIPL-अनुपालक तैनाती के लिए तकनीकी बुनियादी ढांचा प्रदान करता है:

  • वैध प्रसंस्करण (अनुच्छेद 13) — कॉन्फ़िगरेशन-संचालित एजेंट व्यवहार सुनिश्चित करता है कि प्रसंस्करण परिभाषित उद्देश्यों के भीतर रहे; प्रसंस्करण प्रतिबंध API मांग पर गतिविधि को फ्रीज करता है
  • व्यक्तिगत अधिकार (अनुच्छेद 44-49) — पूर्ण डेटा निर्यात, कैस्केड विलोपन और प्रसंस्करण प्रतिबंध एंडपॉइंट जानने, कॉपी करने, सही करने, हटाने और प्रतिबंधित करने के अधिकार को कवर करते हैं
  • डेटा सुरक्षा (अनुच्छेद 51) — AES-256-GCM वॉल्ट एन्क्रिप्शन, HMAC-SHA256 ऑडिट अखंडता, Keycloak OIDC, RBAC, शून्य eval()
  • सीमा-पार स्थानांतरण (अनुच्छेद 38-39) — स्व-होस्टेड आर्किटेक्चर चीन के भीतर ऑन-प्रिमाइसेस तैनाती को सक्षम बनाता है; ऑडिट ट्रेल सुरक्षा मूल्यांकन के लिए सभी बाहरी डेटा प्रवाह दस्तावेज़ित करता है
  • स्वचालित निर्णय-निर्माण (अनुच्छेद 24) — पूर्ण पाइपलाइन ट्रेसिंग के साथ अपरिवर्तनीय ऑडिट ट्रेल AI निर्णय-निर्माण में पारदर्शिता प्रदान करते हैं; प्रबंधन UI के माध्यम से मानव निगरानी
  • डेटा प्रतिधारण (अनुच्छेद 19) — स्वचालित सफाई के साथ कॉन्फ़िगर करने योग्य प्रतिधारण नीतियां न्यूनतम-आवश्यक भंडारण अवधि लागू करती हैं

अतिरिक्त अधिकार क्षेत्र

UK GDPR (यूनाइटेड किंगडम) — EU GDPR को पर्याप्त रूप से प्रतिबिंबित करता है; EDDI के GDPR एंडपॉइंट सभी UK GDPR डेटा सब्जेक्ट अधिकारों को पूरा करते हैं। ICO निगरानी।PIPA (दक्षिण कोरिया) — सख्त सहमति आवश्यकताएँ, अनिवार्य DPO, 72-घंटे ब्रीच नोटिफ़िकेशन। EDDI तकनीकी ऑडिट और मिटाने का इंफ्रास्ट्रक्चर प्रदान करता है।DPDPA (भारत, 2023) — सीमा-पार प्रतिबंधों के साथ सहमति-आधारित फ्रेमवर्क। EDDI के एक्सपोर्ट और मिटाने के एंडपॉइंट डिजिटल व्यक्तिगत डेटा संरक्षण अधिनियम आवश्यकताओं को पूरा करते हैं।Privacy Act + APPs (ऑस्ट्रेलिया) — 13 ऑस्ट्रेलियाई गोपनीयता सिद्धांत। EDDI का ऑडिट ट्रेल और डेटा एक्सपोर्ट तकनीकी दायित्वों को कवर करते हैं।CCPA-शैली राज्य कानून (वर्जीनिया VCDPA, कोलोराडो CPA, कनेक्टिकट CTDPA आदि) — GDPR/CCPA-संगत API सभी उभरते US राज्य गोपनीयता कानूनों को पूरा करता है।

उद्योग-विशिष्ट अनुपालन

HIPAA — US स्वास्थ्य सेवा

स्वास्थ्य बीमा पोर्टेबिलिटी और जवाबदेही अधिनियम संरक्षित स्वास्थ्य सूचना (PHI) के लिए सुरक्षा उपाय स्थापित करता है। EDDI HIPAA-अनुपालन AI डिप्लॉयमेंट के लिए तकनीकी इंफ्रास्ट्रक्चर प्रदान करता है:

  • एक्सेस नियंत्रण (§164.312(a)) — Keycloak OIDC रोल-आधारित एक्सेस (eddi-admin, eddi-editor, eddi-viewer) के साथ
  • ऑडिट नियंत्रण (§164.312(b)) — HMAC-हस्ताक्षरित, अपरिवर्तनीय ऑडिट लेजर हर ऑपरेशन को टाइमस्टैम्प, यूज़र ID और परिणामों के साथ रिकॉर्ड करता है
  • अखंडता नियंत्रण (§164.312(c)) — सभी ऑडिट एंट्रीज़ पर HMAC-SHA256 टैम्पर डिटेक्शन
  • ट्रांसमिशन सुरक्षा (§164.312(e)) — ट्रांज़िट के लिए TLS; Secrets Vault के माध्यम से रेस्ट पर सीक्रेट्स के लिए AES-256-GCM
  • डेटा निपटान (§164.310(d)(2)(i)) — GDPR कैस्केड डिलीशन एंडपॉइंट सभी डेटा स्टोर से PHI स्थायी रूप से हटाता है
  • BAA टेम्प्लेट — स्वास्थ्य सेवा डिप्लॉयमेंट के लिए Business Associate Agreement टेम्प्लेट EDDI दस्तावेज़ीकरण में शामिल

SOC 2 तत्परता

SOC 2 Type II ट्रस्ट सर्विसेज़ क्राइटेरिया के विरुद्ध सिस्टम का मूल्यांकन करता है। EDDI का आर्किटेक्चर SOC 2 प्रमाणन के लिए तकनीकी नियंत्रण प्रदान करता है:

  • सुरक्षा — OIDC/Keycloak ऑथेंटिकेशन, RBAC, Secrets Vault (AES-256-GCM), शून्य eval(), पाथ ट्रैवर्सल प्रोटेक्शन, URL वैलिडेशन
  • उपलब्धता — NATS JetStream के माध्यम से हॉरिज़ॉन्टल स्केलिंग, ड्यूअल डेटाबेस सपोर्ट (MongoDB/PostgreSQL), Kubernetes-नेटिव डिप्लॉयमेंट
  • प्रोसेसिंग अखंडता — प्रति-ऑपरेशन क्रिप्टोग्राफ़िक अखंडता सत्यापन के साथ अपरिवर्तनीय HMAC-हस्ताक्षरित ऑडिट लेजर
  • गोपनीयता — सीक्रेट रिडक्शन फ़िल्टर ऑडिट एंट्रीज़ से API कुंजियाँ और Vault संदर्भ हटाता है; SHA-256 स्यूडोनिम्स के साथ PII-सुरक्षित लॉगिंग
  • प्राइवेसी — पूर्ण डेटा सब्जेक्ट अधिकार API (मिटाना, एक्सपोर्ट, प्रतिबंध), कॉन्फ़िगर करने योग्य रिटेंशन, प्रोसेसिंग प्रतिबंध नियंत्रण

वैश्विक अनुपालन के लिए एक API

ऊपर सूचीबद्ध हर गोपनीयता विनियम एक ही एकीकृत REST API और MCP टूल्स द्वारा सेवित है। चाहे आप जर्मनी में GDPR मिटाने के अनुरोध का जवाब दे रहे हों, कैलिफ़ोर्निया में CCPA डिलीशन अनुरोध का, या सिंगापुर में PDPA एक्सेस अनुरोध का — वही एंडपॉइंट सब संभालते हैं:

DELETE /admin/gdpr/{userId} — 5 डेटा स्टोर में कैस्केड डिलीशन (यूज़र मेमोरी, कन्वर्सेशन, मैनेज्ड मैपिंग, लॉग, ऑडिट एंट्रीज़)
GET /admin/gdpr/{userId}/export — स्ट्रक्चर्ड JSON के रूप में पूर्ण यूज़र डेटा एक्सपोर्ट (मेमोरी, कन्वर्सेशन, ऑडिट रिकॉर्ड)
POST /admin/gdpr/{userId}/restrict — विवाद समाधान के लिए डेटा संरक्षित रखते हुए प्रोसेसिंग फ्रीज
MCP: delete_user_data — AI-ऑर्केस्ट्रेटेड कैस्केड डिलीशन (स्पष्ट पुष्टि आवश्यक)
MCP: export_user_data — स्वचालित DSAR वर्कफ़्लो के लिए AI-ऑर्केस्ट्रेटेड डेटा एक्सपोर्ट

विश्व भर के विनियमित उद्योगों के लिए निर्मित

स्वास्थ्य सेवा, वित्तीय सेवाएँ, सरकार, विनिर्माण और अन्य विनियमित क्षेत्र EDDI को विश्वास के साथ डिप्लॉय कर सकते हैं। प्लेटफ़ॉर्म 17+ नियामक फ्रेमवर्क द्वारा आवश्यक पारदर्शिता, ऑडिटेबिलिटी और नियंत्रण तंत्र प्रदान करता है — यूरोप में EU AI अधिनियम और GDPR से लेकर संयुक्त राज्य अमेरिका में HIPAA, कनाडा में PIPEDA, ब्राज़ील में LGPD, जापान में APPI, दक्षिण अफ्रीका में POPIA और दक्षिण पूर्व एशिया में PDPA तक। अनुपालन कोई बाद का विचार नहीं है — यह एक आर्किटेक्चरल नींव है।

शुरू करें → GitHub पर देखें ↗