أمان على مستوى المؤسسات

أمان بياناتك هو أولويتنا القصوى. تعرف على تدابيرنا الأمنية الشاملة ومعايير الامتثال وكيف نحمي معلوماتك الحساسة.

تشفير AES-256

تشفير على المستوى العسكري لجميع البيانات أثناء السكون والنقل

متوافق مع SOC 2

ضوابط أمان مدققة ومعايير امتثال

ضمان وقت التشغيل 99.9%

بنية تحتية موثوقة مع تحويل تلقائي ونسخ احتياطية

تشفير البيانات

تشفير على المستوى العسكري يحمي بياناتك على كل مستوى

التشفير أثناء السكون

  • تشفير AES-256: يتم تشفير جميع البيانات المخزنة في قواعد بياناتنا باستخدام معيار التشفير المتقدم بمفاتيح 256 بت
  • تشفير قاعدة البيانات: يوفر Firebase Firestore تشفيراً تلقائياً أثناء السكون لجميع البيانات المخزنة
  • البيانات البيومترية: يتم تجزئة بيانات بصمات الأصابع باستخدام SHA-256 وتخزينها بصيغة مشفرة، مما يجعل من المستحيل عكس هندستها
  • تشفير النسخ الاحتياطية: يتم تشفير جميع النسخ الاحتياطية بنفس معيار AES-256
  • تخزين الملفات: يتم تشفير أي ملفات محملة (تقارير، مستندات) قبل التخزين

التشفير أثناء النقل

  • TLS 1.3: تستخدم جميع البيانات المنقولة بين متصفحك وخوادمنا أمان طبقة النقل 1.3
  • HTTPS في كل مكان: تعمل منصتنا بالكامل عبر HTTPS مع تمكين HSTS
  • أمان API: يتم تشفير جميع استدعاءات API ومصادقتها باستخدام رموز آمنة
  • تثبيت الشهادات: تستخدم تطبيقات الجوال لدينا تثبيت الشهادات لمنع هجمات الوسيط

إدارة المفاتيح

  • Google Cloud KMS: تُدار مفاتيح التشفير بواسطة خدمة إدارة مفاتيح Google Cloud
  • تدوير المفاتيح: يتم تدوير مفاتيح التشفير تلقائياً كل 90 يوماً
  • ضوابط الوصول: يمكن للأنظمة المعتمدة فقط الوصول إلى مفاتيح التشفير، مع تسجيل كامل للمراجعة
  • وحدات الأمان للأجهزة (HSM): يتم تخزين المفاتيح في وحدات HSM معتمدة من FIPS 140-2 المستوى 3

المصادقة والتحكم في الوصول

أمان متعدد الطبقات لحماية الوصول إلى الحساب

المصادقة الثنائية (2FA)

  • دعم TOTP: كلمات مرور لمرة واحدة تعتمد على الوقت عبر Google Authenticator أو Authy أو تطبيقات مماثلة
  • البريد الإلكتروني 2FA: مصادقة ثنائية بديلة عبر رموز التحقق بالبريد الإلكتروني
  • إلزامية 2FA: يمكن للمؤسسات فرض 2FA على جميع المستخدمين
  • رموز احتياطية: يتم توفير رموز استرداد في حالة فقدان جهاز المصادقة

أمان كلمة المرور

  • تجزئة Bcrypt: يتم تجزئة جميع كلمات المرور باستخدام bcrypt مع الملح
  • سياسات كلمة المرور: الحد الأدنى 8 أحرف، ومتطلبات التعقيد مفروضة
  • كشف الانتهاكات: يتم التحقق من كلمات المرور مقابل قواعد بيانات الانتهاكات المعروفة (Have I Been Pwned)
  • تحديد المعدل: يتم تحديد محاولات تسجيل الدخول الفاشلة لمنع هجمات القوة الغاشمة
  • إدارة الجلسات: تسجيل خروج تلقائي بعد عدم النشاط، وفترات مهلة قابلة للتكوين

التحكم في الوصول القائم على الأدوار (RBAC)

  • أذونات دقيقة: ضوابط وصول دقيقة لأدوار المستخدمين المختلفة (مسؤول، مدير، موظف)
  • مبدأ أقل امتياز: يمتلك المستخدمون فقط إمكانية الوصول إلى البيانات الضرورية لدورهم
  • عزل المؤسسة: تضمن بنية متعددة المستأجرين عزلاً كاملاً للبيانات بين المؤسسات
  • سجلات المراجعة: يتم تسجيل ومراقبة جميع تغييرات الوصول والأذونات

مصادقة Firebase

  • معيار الصناعة: مدعوم بمنصة Firebase Authentication من Google
  • OAuth 2.0: دعم موفري تسجيل الدخول الاجتماعي (Google، Microsoft) مع OAuth 2.0
  • التحقق من البريد الإلكتروني: التحقق من البريد الإلكتروني إلزامي لجميع الحسابات الجديدة
  • استرداد الحساب: إعادة تعيين كلمة المرور الآمنة عبر البريد الإلكتروني برموز محدودة الوقت

أمان البنية التحتية

بنية تحتية سحابية على مستوى المؤسسات مع تكرار عالمي

البنية التحتية السحابية

  • Google Cloud Platform: مستضاف على Google Cloud مع شهادات ISO 27001 و SOC 2 و SOC 3
  • نشر متعدد المناطق: البيانات متكررة عبر مناطق جغرافية متعددة للتكرار
  • التحجيم التلقائي: تتوسع البنية التحتية تلقائياً للتعامل مع زيادة حركة المرور
  • حماية DDoS: يوفر Google Cloud Armor تخفيفاً تلقائياً لـ DDoS
  • عزل الشبكة: شبكات VPC خاصة مع قواعد جدار الحماية وتقسيم الشبكة

التوافر والموثوقية

  • ضمان وقت التشغيل 99.9%: توافر خدمة مضمون مع أرصدة مالية لوقت التوقف
  • التحويل التلقائي: الأنظمة الزائدة تتولى تلقائياً في حالة الفشل
  • موازنة التحميل: يتم توزيع حركة المرور عبر خوادم متعددة للأداء الأمثل
  • مراقبة الصحة: مراقبة آلية على مدار الساعة طوال أيام الأسبوع مع تنبيه فوري
  • الاستجابة للحوادث: يستجيب الفريق المخصص للحوادث خلال 15 دقيقة

النسخ الاحتياطي والتعافي من الكوارث

  • نسخ احتياطية مستمرة: يوفر Firebase نسخاً احتياطية تلقائية ومستمرة للبيانات
  • الاسترداد في نقطة زمنية: استعادة البيانات إلى أي نقطة خلال آخر 35 يوماً
  • التكرار الجغرافي: النسخ الاحتياطية المخزنة في مواقع جغرافية متعددة
  • خطة التعافي من الكوارث: خطة شاملة للتعافي من الكوارث مع هدف وقت الاسترداد (RTO) 4 ساعات
  • اختبار النسخ الاحتياطي: اختبارات منتظمة لاستعادة النسخ الاحتياطية لضمان سلامة البيانات

الأمان المادي

  • مراكز بيانات Google: مرافق حديثة مع موظفي أمن على مدار الساعة طوال أيام الأسبوع
  • الوصول البيومتري: يتم التحكم في الوصول إلى مركز البيانات بواسطة المصادقة البيومترية
  • المراقبة بالفيديو: مراقبة مستمرة مع تسجيل الفيديو
  • الضوابط البيئية: إخماد الحرائق، والتحكم في المناخ، وتكرار الطاقة

أمان التطبيقات

ممارسات برمجة آمنة وإدارة الثغرات الأمنية

التطوير الآمن

  • دورة حياة تطوير البرمجيات الآمنة: الأمان متكامل في كل مرحلة من مراحل دورة حياة تطوير البرمجيات
  • مراجعات الكود: تتم مراجعة جميع تغييرات الكود من قبل مطورين متعددين قبل النشر
  • التحليل الثابت: مسح آلي للكود للثغرات الأمنية (SAST)
  • مسح التبعيات: يتم فحص مكتبات الطرف الثالث للثغرات المعروفة
  • التدريب الأمني: تدريب أمني منتظم لجميع أعضاء فريق التطوير

إدارة الثغرات الأمنية

  • اختبار الاختراق: اختبارات اختراق سنوية من طرف ثالث بواسطة شركات أمان معتمدة
  • برنامج مكافآت الأخطاء: برنامج إفصاح مسؤول مع مكافآت لباحثي الأمان
  • مسح الثغرات الأمنية: عمليات مسح آلية أسبوعية للثغرات الأمنية
  • إدارة التصحيحات: يتم نشر تصحيحات الأمان الحرجة في غضون 24 ساعة
  • مراقبة CVE: مراقبة مستمرة للثغرات والتعرضات الشائعة

حماية OWASP العشرة الأوائل

  • حقن SQL: الاستعلامات المعلمية و ORM تمنع هجمات حقن SQL
  • منع XSS: تعقيم الإدخال ورؤوس سياسة أمان المحتوى (CSP)
  • حماية CSRF: رموز مكافحة CSRF على جميع العمليات المغيرة للحالة
  • عيوب المصادقة: مصادقة معيارية في الصناعة عبر Firebase Auth
  • سوء التكوين الأمني: فحوصات تكوين آلية وتقوية
  • كشف البيانات الحساسة: تشفير وتخزين آمن لجميع البيانات الحساسة

أمان API

  • رموز JWT: مصادقة API باستخدام رموز JSON Web مع انتهاء الصلاحية
  • تحديد المعدل: حدود معدل API تمنع الإساءة وهجمات DDoS
  • التحقق من الإدخال: يتم التحقق من جميع مدخلات API وتعقيمها
  • OAuth 2.0: وصول آمن لـ API من طرف ثالث مع بروتوكول OAuth 2.0

الامتثال والشهادات

تلبية معايير الأمان والخصوصية العالمية

SOC 2 النوع II

عمليات تدقيق سنوية لضوابط الأمان والتوافر والسرية من قبل مدققي طرف ثالث مستقلين.

الامتثال لـ GDPR

الامتثال الكامل للائحة العامة لحماية البيانات في الاتحاد الأوروبي، بما في ذلك حقوق أصحاب البيانات وإخطار الانتهاكات.

الامتثال لـ CCPA

الامتثال لقانون خصوصية المستهلك في كاليفورنيا للعملاء في الولايات المتحدة مع ضوابط خصوصية شاملة.

ISO 27001 (GCP)

يحتفظ مزود البنية التحتية لدينا (Google Cloud) بشهادة ISO 27001 لإدارة أمن المعلومات.

PCI DSS

معالجة الدفع من خلال معالجات دفع متوافقة مع PCI DSS المستوى 1. لا نقوم أبداً بتخزين تفاصيل بطاقة الائتمان.

جاهز لـ HIPAA

تدعم البنية التحتية متطلبات الامتثال لـ HIPAA للمؤسسات الصحية (BAA متاح عند الطلب).

الخصوصية وحماية البيانات

ممارسات بيانات شفافة وضوابط خصوصية المستخدم

تقليل البيانات

  • نجمع فقط البيانات الضرورية لوظائف الخدمة
  • لا توجد ملفات تعريف ارتباط تتبع لأغراض التسويق
  • يتم تخزين البيانات البيومترية بصيغة مجزأة وغير قابلة للعكس
  • تتيح لك الميزات الاختيارية تعطيل جمع بيانات معينة

حقوق المستخدم

  • الحق في الوصول: تصدير جميع بياناتك بتنسيقات قياسية (CSV، JSON، Excel)
  • الحق في المحو: طلب الحذف الدائم لبياناتك
  • الحق في التصحيح: تصحيح البيانات غير الدقيقة أو غير الكاملة
  • الحق في النقل: نقل البيانات إلى مزود خدمة آخر
  • الحق في الاعتراض: إلغاء الاشتراك في الاتصالات التسويقية والتحليلات

اتفاقيات معالجة البيانات

  • البنود التعاقدية القياسية: البنود التعاقدية القياسية المعتمدة من الاتحاد الأوروبي لعمليات نقل البيانات الدولية
  • الامتثال لـ GDPR: الامتثال الكامل لالتزامات المعالج بموجب المادة 28 من GDPR
  • شفافية المعالج الفرعي: قائمة عامة لجميع المعالجين الفرعيين مع إخطار بالتغييرات
  • إخطار انتهاك البيانات: الإخطار في غضون 72 ساعة من أي انتهاك للبيانات

مراقبة الأمان والاستجابة للحوادث

مراقبة على مدار الساعة طوال أيام الأسبوع واستجابة سريعة للحوادث

المراقبة المستمرة

  • مراقبة على مدار الساعة طوال أيام الأسبوع: مراقبة على مدار الساعة للبنية التحتية والتطبيقات
  • تكامل SIEM: معلومات الأمان وإدارة الأحداث لكشف التهديدات
  • كشف الحالات الشاذة: الكشف القائم على التعلم الآلي للنشاط غير العادي
  • تنبيهات في الوقت الفعلي: إشعارات فورية للحوادث الأمنية
  • تجميع السجلات: تسجيل مركزي مع الاحتفاظ للتحليل الجنائي

الاستجابة للحوادث

  • فريق مخصص: فريق الاستجابة للحوادث الأمنية متاح على مدار الساعة طوال أيام الأسبوع
  • وقت الاستجابة: الاستجابة الأولية في غضون 15 دقيقة من كشف الحادث الحرج
  • الاتصال: اتصال شفاف مع العملاء المتأثرين أثناء الحوادث
  • المراجعة بعد الحادث: تحليل مفصل وإجراءات تصحيحية بعد الحوادث
  • الإخطار التنظيمي: الامتثال لمتطلبات إخطار الانتهاكات (GDPR، CCPA)

تسجيل المراجعة

  • سجلات شاملة: يتم تسجيل جميع إجراءات المستخدم وأحداث النظام والأحداث الأمنية
  • سجلات غير قابلة للتغيير: لا يمكن تعديل أو حذف السجلات، مما يضمن سلامة مسار المراجعة
  • الاحتفاظ بالسجلات: يتم الاحتفاظ بسجلات الأمان لمدة عامين للامتثال والطب الشرعي
  • نشاط المستخدم: يمكن للعملاء عرض سجلات المراجعة لنشاط مؤسستهم

وصول الموظفين والتدريب

ضوابط صارمة على وصول الموظفين إلى بيانات العملاء

ضوابط الوصول

  • أقل امتياز: يمتلك الموظفون فقط إمكانية الوصول إلى البيانات المطلوبة لوظيفة عملهم
  • فحوصات الخلفية: يخضع جميع الموظفين لفحوصات خلفية قبل التوظيف
  • اتفاقية عدم الإفشاء والسرية: يوقع جميع الموظفين اتفاقيات عدم إفشاء
  • مراجعات الوصول: مراجعات ربع سنوية لأذونات وصول الموظفين
  • الإلغاء الفوري: يتم إلغاء الوصول فوراً عند الإنهاء

التدريب الأمني

  • التدريب عند التوظيف: تدريب أمني إلزامي لجميع الموظفين الجدد
  • التدريب السنوي: تدريب سنوي على الوعي الأمني مع التهديدات المحدثة
  • محاكاة التصيد: اختبارات تصيد منتظمة للحفاظ على اليقظة
  • تدريبات الاستجابة للحوادث: تمارين ربع سنوية للاستجابة للحوادث الأمنية
  • التدريب على الامتثال: تدريب على GDPR و SOC 2 وحماية البيانات

الوصول إلى بيانات العملاء

  • لا يوجد وصول افتراضي: ليس لدى الموظفين إمكانية الوصول إلى بيانات العملاء بشكل افتراضي
  • وصول الدعم: يمكن لدعم العملاء الوصول إلى البيانات بإذن صريح فقط
  • مسار المراجعة: يتم تسجيل ومراقبة جميع وصول الموظفين إلى بيانات العملاء
  • إخفاء هوية البيانات: يعمل المهندسون بالبيانات المجهولة لتصحيح الأخطاء

أفضل الممارسات الأمنية للعملاء

نوصي بالممارسات التالية لتعزيز أمان حسابك:

  • تفعيل المصادقة الثنائية (2FA) لجميع المستخدمين
  • استخدام كلمات مرور قوية وفريدة (الحد الأدنى 12 حرفاً)
  • مراجعة أذونات وصول المستخدمين بانتظام وإزالة الوصول غير الضروري
  • تدريب الموظفين على الوعي بالتصيد والهندسة الاجتماعية
  • تنفيذ ضوابط وسياسات وصول داخلية خاصة بك
  • تصدير ونسخ احتياطي لبياناتك بانتظام
  • مراقبة سجلات المراجعة للنشاط المشبوه
  • الإبلاغ عن أي مخاوف أمنية فوراً إلى [email protected]

برنامج الإفصاح المسؤول

نقدر مجتمع الأمان ونرحب بالتقارير عن الثغرات الأمنية. إذا اكتشفت مشكلة أمنية، يرجى الإبلاغ عنها بشكل مسؤول:

البريد الإلكتروني للأمان: [email protected]

مفتاح PGP: متاح عند الطلب للاتصالات المشفرة

وقت الاستجابة: نقر بالتقارير في غضون 24 ساعة

مكافآت الأخطاء: المكافآت متاحة للثغرات المؤهلة

إرشادات

  • لا تصل أو تعدل بيانات العملاء دون إذن
  • لا تقم بهجمات رفض الخدمة أو الاختبارات المدمرة
  • امنحنا وقتاً معقولاً لمعالجة المشكلة قبل الإفصاح العام
  • قدم خطوات إعادة إنتاج مفصلة وتقييم التأثير
  • لن نتخذ إجراءً قانونياً ضد الباحثين الذين يتصرفون بحسن نية

أسئلة حول الأمان؟

فريق الأمان لدينا هنا للمساعدة في الإجابة على أسئلتك

اتصل بفريق الأمان عرض سياسة الخصوصية