โมเดลความปลอดภัย

SaaS Control Plane: Castovia เป็น SaaS แบบมีการจัดการ ไม่มีการส่งมอบ source code ไม่มีตัวเลือก self-hosting โครงสร้างพื้นฐานบริหารโดย Castovia.

Tenant Isolation: ผู้ให้บริการแต่ละรายทำงานใน tenant ที่แยกเชิงตรรกะ ผู้ให้บริการไม่สามารถเข้าถึงข้อมูล ผู้สมัครใช้งาน สตรีม หรือการตั้งค่าของผู้ให้บริการรายอื่น.

RBAC (Role-Based Access Control): มี 4 บทบาท: super_admin, admin (provider), supplier, viewer แต่ละบทบาทมีสิทธิ์แบบจำกัดขอบเขตอย่างเคร่งครัด.

Plan Enforcement: โมเดลแพ็กเกจ 7 ระดับพร้อมการบังคับใช้แบบ soft + hard ระดับ API การบังคับใช้แบบ hard ทำงานบนเส้นทางเชิงพาณิชย์ที่สำคัญ.

Password Security: รหัสผ่านถูกแฮชด้วย bcrypt ไม่มีการเก็บแบบ plaintext สำหรับบัญชี admin/supplier.

Node Authentication: โหนดของผู้ให้บริการยืนยันตัวตนด้วย server token แบบกำหนดขอบเขตต่อโหนด ซึ่งหมุนเปลี่ยนแยกจากแดชบอร์ดแอดมินได้.

Rate Limiting: การเข้าสู่ระบบ, สมัครใช้งาน, แบบฟอร์มติดต่อ, และ endpoint ของ API ถูกจำกัดอัตราต่อ IP เพื่อป้องกัน brute-force attacks.

Session Management: เซสชันแบบ JWT ที่หมดอายุภายใน 24 ชั่วโมง.

Suspicious Activity Detection: ตรวจจับและบันทึกพฤติกรรมการเข้าสู่ระบบที่น่าสงสัยแบบอัตโนมัติ.

No sourceUrl Exposure: URL แหล่งที่มาสตรีมภายในจะไม่ถูกเปิดเผยต่ออุปกรณ์ผู้ใช้ปลายทางหรือโค้ดฝั่ง client.

No storagePath Exposure: เส้นทางจัดเก็บข้อมูลภายในคงอยู่เฉพาะฝั่งเซิร์ฟเวอร์.

Signed Playback URLs: URL สำหรับการเล่นมีอายุจำกัดและลงลายเซ็นทางคริปโต เมื่อหมดอายุจะถูกปฏิเสธ.

Signed Playback Metadata: อุปกรณ์ผู้ใช้ปลายทางได้รับเพียง metadata ที่ปลอดภัย ไม่มีรายละเอียดโครงสร้างพื้นฐานภายใน.

Audit Logs: บันทึกการดำเนินการของแอดมินเพื่อความรับผิดชอบ.

CDN API Keys: จัดเก็บแบบเข้ารหัสในฐานข้อมูล ไม่ส่งกลับในคำตอบของ API และปิดบังใน UI.

DRM Secrets: จัดเก็บแบบเข้ารหัส ไม่เปิดเผยไปยังอุปกรณ์ลูกข่าย ไม่มีความลับของไลเซนส์แบบ raw ใน log ของแอปพลิเคชัน.

No Origin Secret Exposure: ความลับของ origin ใน CDN จะไม่ถูกเปิดเผยต่ออุปกรณ์ผู้ใช้ปลายทาง.

Stripe Secret Key: ใช้เฉพาะฝั่งเซิร์ฟเวอร์ ไม่เปิดเผยในโค้ดฝั่ง client หรือคำตอบของ API.

Webhook Signature Verification: เหตุการณ์ webhook ทั้งหมดของ Stripe จะถูกตรวจสอบด้วยลายเซ็น HMAC ก่อนประมวลผล.

Idempotent Processing: เหตุการณ์ webhook ถูก deduplicate เพื่อป้องกันการประมวลผลซ้ำ.

Publishable Key: ใช้เฉพาะ publishable key (อ่านอย่างเดียว) ในขั้นตอน checkout ฝั่ง client.

No Content Provision: Castovia ไม่ได้ให้บริการ โฮสต์ หรือแจกจ่ายเนื้อหา TV/video ผู้ให้บริการต้องรับผิดชอบสิทธิ์ทางกฎหมายของเนื้อหาเต็มรูปแบบ.

Abuse Reporting: มีกลไกรายงานการละเมิดแบบสาธารณะ รายงานจะถูกตรวจสอบและดำเนินการ.

Account Suspension: Castovia ขอสงวนสิทธิ์ในการระงับบัญชีที่แจกจ่ายเนื้อหาอย่างผิดกฎหมาย.

Log Preservation: ระบบอาจเก็บรักษา log ที่เกี่ยวข้องเมื่อกฎหมายกำหนดเพื่อการปฏิบัติตามข้อกำหนด.

Acceptable Use Policy: ผู้ให้บริการทุกคนต้องยอมรับ การละเมิดอาจนำไปสู่การระงับทันที.