एनडीए और गोपनीय सूचना का संरक्षण

1) लक्ष्य और सिद्धांत

• व्यापार रहस्य (एंटी-फ्रॉड एल्गोरिदम, बोनस प्रोफाइल, एमएल मॉडल, आरएनजी गणित);
• बातचीत सामग्री (मूल्य टैग, ऑफ़ र, एम एंड ए, उचित परिश्रम);
• तकनीकी प्रक्रियाएं और स्रोत (वास्तुकला, IaC, API आरेख, कुंजी);
• पार्टनर डेटा (एसडीके, रोडमैप, बीटा);
• व्यक्तिगत/व्यावसायिक डेटा (डीपीए/डीएसए के भीतर)।

सिद्धांत: डिफ़ॉल्ट रूप से एन्क्रिप्शन, भूमिकाओं/जिम्मेदारियों का अलगाव, संयुक्त विकास के लिए "स्वच्छ कमरा" की आवश्यकता है।

2) सूचना का वर्गीकरण और अंकन

मार्किंग: '[CONFIDENTIAL]', डेटा मालिक, रिलीज की तारीख, टिकट/एक्सेस कारण से लिंक।

3) व्यापार रहस्य मोड

कानूनी कार्रवाई/नीति: सूचना की सूची, सुरक्षा उपाय, जिम्मेदारी।

तकनीकी उपाय: आरबीएसी/एबीएसी, एक्सेस लॉग, डीएलपी, वॉटरमार्किंग, प्रिंट/स्क्रीनशॉट नियंत्रण।

संगठनात्मक: ऑनबोर्डिंग/ऑफबोर्डिंग चेकलिस्ट, प्रशिक्षण, गैर-प्रकटीकरण समझौते, पंजीकरण के बिना मीडिया को लाने/बाहर निकालने के लिए निषेध।

डॉक अनुशासन: संस्करण, कलाकृति रजिस्ट्री, लेबलिंग, "गुप्त" चैनल (बंद स्थान/भंडार)।

4) एनडीए के प्रकार

वन-वे: एक तरफ (आमतौर पर एसडीके प्रदाता) को उजागर करता है।

पारस्परिक: दोनों दिशाओं में गोपनीय जानकारी का आदान-प्रदान (वार्ता, एकीकरण)।

बहुपक्षीय: कंसोर्टिया, संयुक्त पायलट।

एनसीए/एनडीए + एनसीए: गैर-परिधि (मध्यस्थ को बायपास करने के लिए निषेध) को एनडीए में जोड़ा जाता है।

एनडीए डेवलपर/ठेकेदार के साथ: आविष्कारों/असाइनमेंट (परिणामों के अधिकार) के साथ संयोजन करें।

5) एनडीए के प्रमुख खंड (जो अनिवार्य है)

1. गोपनीय सूचना की परिभाषा: इंक। मौखिक (आगे लिखित पुष्टि पर), इलेक्ट्रॉनिक, मूर्त मीडिया; विशिष्ट उदाहरणों (कोड, योजनाएं, मूल्य, डैशबोर्ड) की सूची दें।

2. अपवाद: (i) सार्वजनिक रूप से उल्लंघन के बिना जाना जाता है; () पहले से ही कानूनी कब्जे में था; () स्वतंत्र रूप से (संभवतः) विकसित; (iv) सरकारी एजेंसियों को कानूनी रूप से प्रकट किया गया (नोटिस के साथ)।

3. प्रकटीकरण का उद्देश्य: विशिष्ट (साझेदारी मूल्यांकन, पायलट, लेखा परीक्

4. प्राप्तकर्ता के दायित्व: संरक्षण का स्तर उनके स्वयं से कम नहीं है; जरूरत-से-ज्ञात, लक्ष्य से परे नकल करने का निषेध, बिना सहमति के रिवर्स इंजीनियरिंग/बेंचमार्किंग का निषेध।

5. शब्द और "अस्तित्व": अनुबंध शब्द (जैसे) 2-5 वर्ष) + रहस्यों की पोस्ट-टर्म सुरक्षा (जैसे) 5-10 साल/रहस्यों के लिए अनिश्चितकालीन)।

6. वापसी/विनाश: अनुरोध या पूरा होने पर - पुष्टि के साथ वापसी/विलोपन; बैकअप - ऑटो-टर्म तक भंडारण मोड के तहत।

7. लेखा परीक्षा और घटना अधिसूचनाएं: अधिसूचना की गति (जैसे घंटे), जांच में सहयोग।

8. कानूनी उपाय: निषेधात्मक राहत, मुआवजा, सीमाएं जानबूझकर उल्लंघन पर लागू नहीं होती हैं।

9. लागू कानून/मध्यस्थता: अधिकारिता/मंच, भाषा, एडीआर/मध्यस्थता।

10. निर्यात/प्रतिबंध: उप-प्रतिबंधों/न्यायालयों में हस्तांतरण पर प्रतिबंध; निर्यात नियंत्रण (क्रिप्टोग्राफी) का अनुपालन।

11. "अवशिष्ट ज्ञान" (जैसा कि सहमत है): कर्मचारियों के "अपरिवर्तित ज्ञान" का उपयोग करना संभव/असंभव है (आमतौर पर - बाहर करने या सीमा लगाने के लिए)।

12. उपमहाद्वीप/संबद्ध: केवल समान दायित्वों और लिखित सहमति के साथ अनुमति दी जाती है।

13. डेटा संरक्षण (यदि पीआईआई): डीपीए/डीएसए, पार्टियों की भूमिका (नियंत्रक/प्रोसेसर), उद्देश्य/कानूनी आधार, सीमा पार हस्तांतरण, प्रतिधारण अवधि का संदर्भ।

6) एनडीए को गोपनीयता और सुरक्षा से जोड़ ना

यदि व्यक्तिगत डेटा स्थानांतरित किया जाता है, तो एनडीए पर्याप्त नहीं है - डीपीए/डीएसए और जीडीपीआर/एनालॉग उपायों की आवश्यकता होती है (कानूनी आधार, विषयों के अधिकार, उच्च जोखिम के लिए डीपीआईए)।

तकनीकी नियंत्रण: पारगमन में एन्क्रिप्शन (टीएलएस 1। 2 +), एट-रेस्ट (एईएस -56), गुप्त प्रबंधन, कुंजी रोटेशन, उपकरणों के लिए एमडीएम, 2FA, SSO, पीआईआई लॉग को कम करना।

7) पहुंच और विनिमय प्रक्रियाएं

चैनल: डोमेन मेल, संरक्षित कमरे (वीडीआर), एसएफटीपी/एमटीएलएस, एन्क्रिप्टेड अभिलेखागार (AES-256 + आउट-ऑफ-बैंड पासवर्ड)।

प्रतिबंध: कॉर्पोरेट एकीकरण, व्यक्तिगत बादल, सार्वजनिक लिंक, अप्रबंधित उपकरणों के बिना तत्काल संदेशवाहक।

मुद्रण/निर्यात का नियंत्रण, व्यक्तिगत फ्लैश मीडिया का निषेध, भू-प्रतिबंध (जियोफेंस)।

8) स्वच्छ कमरा और सह-विकास

"देखने" और "साफ" आदेशों को अलग करें, एकतरफा कलाकृतियों को अलग से स्टोर करें।

दस्तावेज़ स्रोत और सिद्ध।

संयुक्त पीओसी के लिए: परिणामों (संयुक्त/असाइनमेंट) के अधिकारों पर सहमत हैं जो व्युत्पन्न डेटा के मालिक हैं।

9) आरएजी जोखिम मैट्रिक्स

10) चेकलिस्ट

सूचना का आदान-प्रदान करने से

• एनडीए द्वारा हस्ताक्षरित (दाएं/मंच/शब्द/अपवाद/प्रतिबंध)।
• क्या मुझे डीपीए/डीएसए की आवश्यकता है? यदि हां, तो हस्ताक्षर किए।
• सेट मालिक और वर्गीकरण स्तर सौंपा गया है।
• एक्सचेंज चैनल और एन्क्रिप्शन सुसंगत हैं।
• जरूरत से ज्ञात सूची, VDR पहुँच/फ़ोल्डर कॉन्फ़िगर किए गए.

विनिमय के दौरान

• फाइल अंकन और संस्करण, वॉटरमार्क।
• एक्सेस लॉग, बिना सहमति के कोई री-शेयरिंग नहीं।
• हैश रकम/कलाकृति रजिस्टर।

पूरा होने के बाद

• वापसी/विलोपन और लिखित पुष्टि।
• एक्सेस निरस्त, टोकन/कुंजी घुमाया गया।
• पोस्ट-ऑडिट: प्रक्रियाओं/टेम्पलेट में क्या सुधार करना है।

11) साँचे (संविदात्मक खंडों के टुकड़े)

ए। परिभाषा और अपवाद

बी। प्रतिबद्धताएँ और पहुँच

सी। टर्म/सर्वाइवल

डी. वापसी/विनाश

ई। कानूनी उपाय

एफ। निर्यात/प्रतिबंध

जी अवशिष्ट ज्ञान (वैकल्पिक)

पक्षकार सहमत हैं कि प्राप्तकर्ता के कर्मचारियों के निर्विवाद सामान्य कौशल और ज्ञान को गोपनीय जानकारी नहीं माना जाता है, बशर्ते कि कोई जानबूझकर स्रोत कोड/गुप्त सूत्रों का उपयोग नहीं है। (यह उच्च जोखिम वाली परियोजनाओं में बाहर या गंभीर रूप से प्रतिबंधित करने की सिफारिश की जाती है।)

12) अनुशंसित रजिस्ट्रियां (YAML)

12. 1 एनडीए रजिस्टर

yaml nda_id: "NDA-2025-0142"
counterparty: "GameProvider X Ltd"
type: "mutual"
purpose: "SDK integration and technical support"
term_months: 36 survival_years: 7 includes_dpa: true export_sanctions_clause: true residual_knowledge: "excluded"
owner: "Legal"
vault_folder: "vdr/providers/gpx"

12. 2 कलाकृति विनिमय रजिस्ट्री

yaml exchange_id: "XCH-2025-009"
nda_id: "NDA-2025-0142"
classification: "Confidential"
channel: "VDR"
files:
- "api_specs_v3. pdf"  # sha256:...
- "kpis_q1. xlsx"    # sha256:...
recipients: ["a. smith@gpx. com","techlead@gpx. com"]
access_start: "2025-11-05"
access_end: "2026-01-31"
destroy_confirmed: false

13) सुरक्षा नीतियां और व्यवहार (संक्षिप्त)

उपकरण: कॉर्पोरेट, पूर्ण डिस्क एन्क्रिप्शन, एमडीएम, "सीक्रेट" के लिए BYOD प्रतिबंध।

पहुंच: SSO/2FA, सशर्त पहुंच (जियो/डिवाइस), अस्थायी भूमिकाएँ (बस-इन-टाइम)।

लॉग: पहुँच का भंडारण और निगरानी; मास अनलोडिंग/गैर-मानक घंटे के लिए अलर्ट।

डीएलपी: डोमेन के बाहर संलग्नक का ब्लॉक/एन्क्रिप्शन के बिना, पीडीएफ में वॉटरमार्क।

सुविधा: सुरक्षित कमरा टेम्पलेट (VDR), रेडी-मेड आर्काइव एन्क्रिप्शन स्क्रिप्ट, मानक NDA/DPA।

14) हादसा प्रबंधन (एनडीए के संदर्भ में)

1. निर्धारण: क्या, कब, कौन, क्या फ़ाइलें/भंडार; ठंड सत्र।

2. अलगाव: क्लाउड में एक्सेस/कुंजियों का निरसन, अस्थायी "फ्रीजर"।

3. नोटिस: डेटा मालिक, वकील, भागीदार; पीआईआई - डीपीए/जीडीपीआर द्वारा।

4. जांच: लॉग का संग्रह, फोरेंसिक, क्षति की मात्रा का निर्धारण।

5. उपचार: रहस्य, पैच की जगह, प्लेबुक को अपडेट करना, सीखना।

6. कानूनी उपाय: एनडीए पर दावा/दावा कार्य, मुआवजा।

15) मिनी-एफएक्यू

क्या एनडीए व्यक्तिगत आंकड़ों के लिए पर्याप्त नहीं, आपको डीपीए/डीएसए और गोपनीयता उपायों की आवश्यकता है।

क्या दूत को गोपनीय भेजना संभव है? डीएलपी/लॉग सक्षम के साथ केवल उद्यम-अनुमोदित और एंड-टू-एंड में।

सामग्री को संग्रहीत करने के लि जितना उद्देश्य/संविदा द्वारा अपेक्षित है; पूरा होने पर - पुष्टि के साथ वापसी/विलोपन।

क्या मुझे आंतरिक ड्राइव एनक्रिप्ट करने की आवश्यकता है? हां, पूरा डिस्क + फ़ाइल/गुप्त गोपन।

16) निष्कर्ष

एनडीए सिर्फ हिमखंड का सिरा है। वास्तविक सुरक्षा व्यापार रहस्य, गोपनीयता (डीपीए), सख्त तकनीकी और संगठनात्मक नियंत्रण, विनिमय अनुशासन और त्वरित घटना प्रतिक्रिया पर आधारित है। टेम्पलेट को मानकीकृत करें, रजिस्टर और प्लेबुक बनाएं - और आपके रहस्य, कोड और वार्ता एक संपत्ति बनी रहेगी, न कि भेद्यता।