انتقل إلى المحتوى الرئيسي
QriibQriib

سياسة الأمان

في توطين الرقمية، يُعدّ الأمان جزءًا أساسيًا من منصتنا والبنية التحتية لخدماتنا. نحن ملتزمون بحماية بياناتك وبيانات المستخدمين، وضمان اتصال آمن وموثوق. توضح هذه السياسة الإجراءات الأمنية التي نتبعها وفقًا لأفضل الممارسات في المجال.

1. التشفير

في توطين الرقمية، نلتزم بمعايير التشفير المعترف بها دوليًا، مثل تلك الصادرة عن المعهد الوطني للمعايير والتكنولوجيا (NIST) ومعيار ISO/IEC 27001، لضمان أعلى مستويات حماية المعلومات بما يتوافق مع أفضل الممارسات العالمية. على سبيل المثال:

أثناء النقل: جميع البيانات، بما في ذلك الرسائل والمكالمات والملفات المشتركة، مشفرة باستخدام بروتوكولات مثل SSL وTLS 1.2/1.3 لمنع الاعتراض غير المصرح به.

أثناء التخزين: البيانات الحساسة المخزنة على خوادمنا مشفرة باستخدام AES-256، مما يضمن مستوى عالٍ من الحماية ضد الوصول غير المصرح به.

التشفير من طرف إلى طرف (E2EE): حيثما أمكن، نوفر تشفيرًا من طرف إلى طرف للمكالمات والرسائل لضمان أقصى درجات الخصوصية.

2. الهوية والمصادقة

تسجيل الدخول الموحد (SSO): ندعم تكامل تسجيل الدخول الموحد باستخدام بروتوكولات مثل SAML 2.0 وOAuth 2.0 وOpenID Connect، مما يضمن وصولاً سلسًا وآمنًا للمستخدمين عبر مختلف الأنظمة والخدمات.

إدارة كلمات المرور: نفرض سياسات صارمة لإدارة كلمات المرور لضمان سرية وسلامة وتوفر أنظمتنا وبيانات المستخدمين. يجب أن تتوافق جميع بيانات اعتماد المستخدمين مع معايير التعقيد القائمة على أفضل الممارسات الأمنية العالمية، بما في ذلك NIST SP 800-63B وإرشادات مصادقة OWASP. تشمل هذه المتطلبات:

  • فرض مستويات كافية من تعقيد كلمات المرور.
  • منع استخدام الأنماط المتكررة أو القابلة للتنبؤ.
  • حظر إعادة استخدام كلمات المرور المخترقة.

تتكامل إدارة كلمات المرور مع المصادقة متعددة العوامل (MFA) وتقنيات تسجيل الدخول الموحد ومعايير OpenID وJWT لضمان مستويات حماية متقدمة.

قفل الحساب والاسترداد: لحماية الحسابات من الوصول غير المصرح به وهجمات القوة الغاشمة، يتم قفل الحسابات مؤقتًا بعد عدد محدد من محاولات تسجيل الدخول الفاشلة. في حالة القفل، يتم اتباع إجراءات تحقق آمنة لاستعادة الوصول، مثل التحقق عبر البريد الإلكتروني أو المصادقة متعددة العوامل، مما يضمن استرداد الحساب بشكل آمن دون المساس بالأمان. يتم إخطار المستخدمين بقفل الحساب مع تعليمات واضحة للاسترداد، مع تحقيق التوازن بين سهولة الاستخدام والحماية الصارمة.

3. حوكمة البيانات

تخزين البيانات والتحكم في الوصول: يتم تخزين البيانات باستخدام تشفير لا رجعة فيه لحماية المعلومات الحساسة، مع تقييد الوصول للأفراد المصرح لهم فقط، بناءً على مبادئ الحد الأدنى من الصلاحيات والتحقق الصارم من الهوية، مما يضمن أعلى مستويات الأمان والامتثال.

سياسة الاحتفاظ بالبيانات: نتبع سياسات منظمة للاحتفاظ بالبيانات للامتثال للمتطلبات القانونية والتجارية.

تحكم المستخدم وطلبات البيانات: يمكن للمستخدمين طلب حذف أو تصدير بياناتهم وفقًا لمتطلبات الامتثال للائحة حماية البيانات العامة (GDPR) وقانون خصوصية المستهلك في كاليفورنيا (CCPA).

4. أمن البنية التحتية

حماية الشبكة: ننفذ جدران حماية متقدمة وأنظمة كشف ومنع التسلل (IDPS) وحماية ضد هجمات رفض الخدمة الموزعة (DDoS) لتأمين بنيتنا التحتية.

الاستضافة السحابية الآمنة: تعمل منصتنا على بنية تحتية سحابية موثوقة من مزودين معتمدين يمتثلون لأعلى معايير الأمان والامتثال، بما في ذلك ISO 27001 وSOC 2 وPCI DSS وGDPR وHIPAA، مما يضمن حماية البيانات والعمليات وفقًا لأفضل الممارسات العالمية.

عمليات التدقيق الأمني الدورية: نجري تقييمات منتظمة للثغرات واختبارات أمنية لتحديد المخاطر والتخفيف منها.

5. الامتثال والشهادات

تلتزم توطين الرقمية بمعايير الأمان والخصوصية العالمية، وتضمن الامتثال لما يلي:

  • ISO 27001: المعيار الدولي لأنظمة إدارة أمن المعلومات لضمان حماية البيانات والأنظمة.
  • ISO 27017: إطار أمني للخدمات السحابية، يوفر إرشادات إضافية لحماية البيانات في البيئات السحابية.
  • ISO 27018: معيار يركز على حماية المعلومات الشخصية في التخزين السحابي، مما يعزز الامتثال للخصوصية.
  • ISO 27701: نظام إدارة معلومات الخصوصية (PIMS)، يحدد إطارًا لإدارة البيانات الشخصية وفقًا لأفضل الممارسات العالمية.
  • ISO 22301: معيار استمرارية الأعمال، يضمن قدرة المنصة على الاستجابة بفعالية للحوادث والتعافي السريع من الأزمات.
  • ISO 42001: معيار لأنظمة إدارة الذكاء الاصطناعي، يوفّر إطارًا لحوكمة استخدام وتطوير وتطبيق تقنيات الذكاء الاصطناعي بشكل مسؤول وآمن.
  • الامتثال للائحة حماية البيانات العامة (GDPR): ضمان المعالجة القانونية والشفافة للبيانات الشخصية للمستخدمين.
  • الامتثال لقانون خصوصية المستهلك في كاليفورنيا (CCPA): حماية حقوق المستهلكين بموجب قانون خصوصية المستهلك في كاليفورنيا.

6. الاستجابة للحوادث والمراقبة

المراقبة الأمنية المستمرة: نراقب الأنظمة والخدمات باستمرار، مع تحليل النشاط على مدار الساعة باستخدام أنظمة إدارة معلومات وأحداث الأمان (SIEM) وتقنيات الذكاء الاصطناعي والتعلم الآلي، مما يتيح الكشف عن التهديدات والاستجابة لها في الوقت الفعلي مع تحليلات داخلية دورية.

حماية الاتصالات الموحدة: باعتبارنا شركة تقدم حلول اتصالات موحدة، ننفذ إجراءات أمنية متقدمة للاجتماعات والفصول الافتراضية وواجهات برمجة التطبيقات ذات الصلة، بما في ذلك التشفير الشامل من طرف إلى طرف وحماية البيانات أثناء النقل والتخزين وفقًا لمعايير ISO 27001 وGDPR.

إجراءات الاستجابة للحوادث: لدينا خطة استجابة منظمة وفقًا لمعايير NIST وISO 22301، تشمل فرقًا متخصصة للتعامل مع الحوادث الأمنية وتقييم شدتها وعزل الأنظمة المتأثرة واستعادة البيانات وضمان استمرارية الأعمال دون التأثير على المستخدمين.

الإخطار الفوري بالحوادث: في حالة وقوع حادث أمني يؤثر على بيانات المستخدمين أو عمليات المنصة، نقوم بإخطار الأطراف المتأثرة بناءً على طبيعة الحادث وتأثيره، وفقًا لمتطلبات الامتثال التنظيمي.

تحليل الحوادث والتعلم المستمر: بعد الحادث، نجري تحليل السبب الجذري (RCA) ونعد تقارير مفصلة تحدد الثغرات وخطط التحسين، مع تحديث السياسات الأمنية والتدابير الوقائية لمنع التكرار.

التعاون بين الأقسام: يتم تنسيق الاستجابة للحوادث بين الفرق القانونية وتقنية المعلومات والجودة والبنية التحتية لضمان تدابير قانونية وتقنية متكاملة تحمي البيانات وتضمن الامتثال التنظيمي.

7. أمن التطبيقات وواجهات برمجة التطبيقات

أمن واجهات برمجة التطبيقات: جميع واجهات برمجة التطبيقات مؤمنة باستخدام آليات مصادقة قوية، بما في ذلك JSON Web Token (JWT) لإدارة الهوية والمصادقة بشكل آمن. نستخدم مفاتيح API فريدة للتحكم في الوصول وRefresh Tokens لتمديد صلاحية الجلسة بشكل آمن دون الحاجة إلى إعادة المصادقة المتكررة، مما يعزز أمان التطبيق وتجربة المستخدم.

دعم بروتوكول SAML: ندعم مصادقة SAML 2.0 لإمكانات تسجيل الدخول الموحد للمؤسسات التي تعتمد على هذا البروتوكول.

التقييمات الأمنية: نجري اختبارات اختراق دورية لجميع التطبيقات لضمان عدم وجود ثغرات أمنية.

أمن حزم تطوير البرمجيات (SDK): نقدم حزم تطوير برمجيات (SDKs) تتوافق مع أعلى المعايير الأمنية.

8. مسؤوليات المستخدم

أمان الحساب: يجب على المستخدمين الحفاظ على سرية بيانات اعتماد تسجيل الدخول الخاصة بهم، كما هو موضح في الشروط والأحكام

الإبلاغ عن المشكلات الأمنية: يُطلب من المستخدمين الإبلاغ فورًا عن أي نشاط مشبوه أو ثغرات محتملة لفريق الدعم لدينا.

الامتثال لسياسات توطين الرقمية: يتحمل المستخدمون مسؤولية الالتزام بجميع السياسات وشروط الخدمة والإرشادات الأخرى المتاحة في مركز الثقة على الموقع الرسمي

9. التحسين المستمر

نقوم بمراجعة وتعزيز سياساتنا الأمنية بانتظام بناءً على التهديدات المتطورة واتجاهات الصناعة وتحديثات الامتثال.

تم تصميم سياسة الأمان هذه لتوفير بيئة آمنة لك ولجميع مستخدمي توطين الرقمية. لأي استفسارات أو معلومات إضافية، يرجى التواصل مع فريق الدعم لدينا support@qriib.com