البنية التحتية
- نشر حاويات Docker عبر Kamal
- مراكز بيانات Hetzner في الاتحاد الأوروبي (ألمانيا)
- تشفير TLS/SSL عبر Let's Encrypt
- وكيل Thruster العكسي مع التخزين المؤقت HTTP
- تنفيذ الحاويات بدون صلاحيات الجذر
تشفير البيانات
- رموز OAuth مشفرة في حالة السكون (Active Record Encryption)
- TLS 1.2+ لجميع البيانات أثناء النقل
- تشفير كلمات المرور بـ bcrypt مع عوامل تكلفة مناسبة
- عدم تخزين بيانات الاعتماد كنص عادي في أي مكان
- نسخ احتياطية مشفرة لقاعدة البيانات
التحكم في الوصول
- وصول قائم على الأدوار (مسؤول، مدير، متخصص، مشاهد)
- صلاحيات محددة لكل مساحة عمل لكل عميل
- إدارة جلسات آمنة مع انتهاء الصلاحية
- تدفق دعوات الفريق مع التحقق القائم على الرموز
- سجل تدقيق للإجراءات الإدارية
أمان التطبيق
- حماية CSRF على جميع الطلبات التي تغيّر الحالة
- منع حقن SQL عبر الاستعلامات ذات المعلمات
- حماية XSS مع التهريب التلقائي للمخرجات
- رؤوس Content Security Policy
- تدقيقات منتظمة للتبعيات (bundler-audit وBrakeman)
أمان الأطراف الثالثة
نتكامل مع خدمات أطراف ثالثة موثوقة تحافظ على معايير أمان صارمة:
- Meta APIs — يتم التحقق من جميع حمولات webhook باستخدام التحقق من التوقيع لضمان المصداقية
- Stripe — معتمد PCI DSS المستوى 1. لا نخزّن أو نعالج أو ننقل بيانات البطاقات على خوادمنا أبدًا
- MercadoPago — متوافق مع PCI DSS. تُعالج بيانات الدفع بالكامل بواسطة بنيتهم التحتية الآمنة
الاستجابة للحوادث
في حالة وقوع حادث أمني:
- الكشف — مراقبة مستمرة وتنبيهات للنشاط المشبوه
- التحقيق — تقييم فوري للنطاق والتأثير والسبب الجذري
- الإخطار — سيتم إخطار العملاء المتأثرين خلال 72 ساعة، وفقًا لـ GDPR واللوائح المعمول بها
- المعالجة — إجراء سريع للاحتواء والحل ومنع التكرار
الإفصاح المسؤول
نقدّر عمل الباحثين الأمنيين. إذا اكتشفت ثغرة أمنية في منصتنا، يرجى الإبلاغ عنها بشكل مسؤول. نلتزم بالاعتراف ببلاغك خلال 48 ساعة والعمل معك لحل المشكلة.