الأمن والامتثال

آخر تحديث: 1447/11/15هـ — 2026/05/03م

نتعامل مع بيانات مكتبك وبيانات عملائك بمسؤولية. هذه الصفحة تشرح الإجراءات الأمنية والتشغيلية التي نطبّقها.

١. مبدأ التصميم

صُمّمت المنصة منذ البداية بمنطق "أقلّ صلاحيات ضرورية" (Least Privilege) و"العزل الافتراضي" بين المكاتب. الهدف أن يكون انكشاف البيانات بين المستأجرين مستحيلاً منطقياً، لا فقط محظوراً.

٢. التشفير

  • تشفير جميع الاتصالات عبر شبكة الإنترنت (TLS 1.2 أو أعلى).
  • تشفير البيانات في حالة التخزين على مستوى قاعدة البيانات والملفات.
  • تخزين كلمات المرور بصيغة مُجزَّأة (Hashed) عبر دالة تشفير قياسية معتمدة.
  • إدارة المفاتيح السرّية في خزائن آمنة منفصلة عن الكود.

٣. عزل المستأجرين

  • كل مكتب يُمثَّل بمستأجر مستقلّ (Tenant) في قاعدة البيانات.
  • تطبيق سياسات الصفّ في قاعدة البيانات (Row-Level Security) لمنع وصول مكتب لبيانات مكتب آخر تقنياً.
  • الذاكرة المؤقتة للمحادثات معزولة بمفتاح المستأجر.

٤. ضوابط الوصول

  • دخول المكتب إلى لوحة التحكم بحساب البريد وكلمة سر، مع جلسات محدودة المدّة.
  • وصول الموظفين الإداريين لدينا مقيّد بمبدأ "الحاجة للمعرفة".
  • سجلّ تدقيق دقيق لأي عملية إدارية حسّاسة (audit log).
  • دعم آليات التحقق الإضافي عند الحاجة.

٥. حماية تشغيلية

  • التحقق من توقيع الرسائل الواردة لمنع تزوير الـ webhooks.
  • معدلات استنزاف مدارة على مستوى المستأجر لمنع إساءة الاستخدام.
  • حماية تلقائية ضدّ هجمات الحرمان من الخدمة على البنية التحتية.
  • اكتشاف محاولات تلاعب البرومبت وتنبيه المكتب عند تحقّقها.

٦. مراقبة الأخطاء

  • أدوات رصد أخطاء على مدار الساعة لاكتشاف الأعطال مبكّراً.
  • تنبيهات داخلية فور وقوع خطأ يؤثر على عمليات حسّاسة.
  • سجلّات مفلتَرة من البيانات الشخصية حيث أمكن.

٧. نسخ احتياطية واستمرارية الخدمة

  • نسخ احتياطية دورية لقاعدة البيانات.
  • إمكانية استعادة البيانات في حدود زمنية معقولة عند الحاجة.
  • توزيع جغرافي للبنية التحتية لتقليل أثر الأعطال.

٨. الاستجابة للحوادث الأمنية

  1. اكتشاف الحادث وتقدير نطاقه.
  2. احتواء الحادث ومنع توسّعه.
  3. إخطار المكاتب المتأثّرة خلال مهلة لا تتجاوز ٧٢ ساعة من تأكيد الحادث.
  4. إخطار الجهات المختصّة عند الاقتضاء وفقاً للنظام السعودي.
  5. تحليل ما بعد الحادث وتطبيق التحسينات لمنع تكراره.

٩. مراجعة دورية

  • مراجعة دورية للضوابط الأمنية والإعدادات.
  • اختبار الاختراق والمراجعات الأمنية بشكل منتظم.
  • تحديث المكتبات والمكوّنات لإغلاق الثغرات المعروفة.

١٠. مسؤولياتك كمكتب

  • اختيار كلمة سر قوية وعدم مشاركتها مع أي شخص.
  • تسجيل الخروج من الأجهزة المشتركة بعد الاستخدام.
  • إخطارنا فوراً بأي اشتباه في وصول غير مصرَّح به لحسابك.
  • عدم رفع بيانات حسّاسة لا تتوافق مع سياسة الاستخدام المقبول.

١١. الإبلاغ عن ثغرات

إذا اكتشفت ثغرة أمنية في المنصة، نشكر إبلاغك عبر صفحة التواصل ونتعامل مع البلاغ بسرّية وأولوية. نرجو عدم استغلال الثغرة بأي شكل، وعدم نشرها قبل إصلاحها.