সার্ভার-ভেরিফাইড পরিচয়
সংবেদনশীল API অনুরোধে Firebase ID token বা session যাচাই করা হয়।
ডেটা সুরক্ষা শুরু হয় সঠিক প্রবেশাধিকার থেকে
PathshalaPro শিক্ষার্থী ও অভিভাবকের তথ্যকে সাধারণ public data হিসেবে বিবেচনা করে না। Authentication, center ownership এবং server-side validation প্রতিটি সংবেদনশীল workflow-এর অংশ।
কেন্দ্রের সদস্যপদ যাচাই
ব্যবহারকারী সংশ্লিষ্ট প্রতিষ্ঠানের owner বা অনুমোদিত member কি না server-side যাচাই করা হয়।
Tenant data isolation
Firestore rules ও server helper কেন্দ্রভিত্তিক ডেটা সীমার মধ্যে read/write রাখে।
Firebase Admin on server
API route-এ client SDK-এর বদলে server-side Admin SDK ব্যবহার করা হয়।
সুরক্ষিত ফাইল আপলোড
ফাইলের ধরন, আকার ও অনুমোদিত folder যাচাই করা হয়; SVG upload বন্ধ।
Input validation
পেমেন্ট, SMS, ইমেইল, শিক্ষার্থী ও অন্যান্য API-তে প্রয়োজনীয় field এবং access validation রয়েছে।
আমাদের নিরাপত্তা নীতি
ন্যূনতম প্রয়োজনীয় access, private route caching বন্ধ রাখা, internal error client-এ প্রকাশ না করা এবং server credential কখনো browser bundle-এ না পাঠানো।
API, dashboard, admin ও authentication data service worker cache করে না
Payment callback server-side verification workflow ব্যবহার করে
Admin access hardcoded email নয়, server-side role/custom claim ভিত্তিক
ব্যবহারকারীর আপলোড public হওয়ার আগে type ও size যাচাই হয়