ابدأ مجاناً
القائمة

إفصاح أمن المعلومات

الأمن افتراضياً

ضوابط أمن المعلومات التي تطبقها TapuGezgini في الإنتاج. تصف هذه الصفحة السلوك الفعلي للنظام في الإنتاج — وليست تسويقاً. تُحدَّث في اليوم نفسه عند إضافة ضوابط جديدة.

للإبلاغ عن ثغرة أمنية: سياسة الإفصاح المسؤول

الهوية + الوصول

من يستطيع فعل ماذا، وكيف يُتحقَّق منه

المصادقة متعددة العوامل (MFA)

MFA المعتمدة على TOTP إلزامية لكل الحسابات التي تحمل دوراً نظامياً. WebAuthn مدعوم؛ الرموز الاحتياطية SMS وفق اختيار المشغل. تُحفظ الرموز الاحتياطية بـ bcrypt.

سياسة كلمات المرور

12 حرفاً كحد أدنى؛ فحص التسريبات عبر HIBP k-anonymity API؛ لا يمكن إعادة استخدام آخر 5 كلمات مرور؛ تدوير مجدول اختياري.

الوصول القائم على الصلاحيات (RBAC)

~52 صلاحية، 10 أدوار نظامية + أدوار مؤسسية مخصصة. صلاحيات بنطاق الموارد (own / organization / global). تُخزَّن مجموعة الصلاحيات في الجلسة؛ تُلغى فوراً عند تغيير الدور.

إدارة الجلسات

رمز opaque 32 بايت (cookie tg_sid). TTL متجدد 30 يوماً، حد أقصى صارم 90 يوماً. يستطيع المستخدم إلغاء جميع جلساته فوراً.

قفل ضد القوة الغاشمة

حد معدل بنافذة منزلقة لكل IP + بريد إلكتروني (Redis). 5 محاولات فاشلة = قفل دقيقة؛ 10 = 15 دقيقة؛ 20 = 24 ساعة + تنبيه بريد.

حماية البيانات

التشفير عبر دورة حياة البيانات

تشفير الحقول الحساسة (envelope, v2)

تُشفَّر هوية TC ورموز وصول الموفّرين وأسرار MFA بـ AES-256-GCM. Wire format: v2:keyId:iv:tag:ct — تدوير المفاتيح مستمر؛ تُهجَّر الصفوف المشفّرة بمفاتيح قديمة إلى المفتاح الحالي بواسطة عامل خلفي.

تشفير التخزين

AWS RDS مُشفَّر (KMS)؛ كائنات S3 مشفَّرة من جانب الخادم (SSE-S3)؛ Bucket خاص + وصول signed URL للملفات السرية.

تشفير النقل

كل حركة HTTP تُجبَر عبر TLS 1.2+. HSTS مفعّل. حركة المرور بين الخدمات الداخلية على شبكة خاصة + مصادقة IAM.

إدارة الأسرار

جميع أسرار الإنتاج في AWS Secrets Manager. ذاكرة مؤقتة في الذاكرة TTL 5 دقائق؛ runbook التدوير موثّق.

التدقيق + السلامة

ما حدث، وكيف يُثبَت

سلسلة تدقيق غير قابلة للعبث (EG-34)

تُربَط كل سجلات AuditEvent بسلسلة هاش SHA-256 (eventHash + previousEventHash). الكتابات تُسلسَل عبر pg_advisory_xact_lock. أتمتة تحقق يومية تفحص سلامة السلسلة وتُصدر تنبيهاً حرجاً عند أي كسر.

تغطية واسعة

47 admin + 16 account endpoint تكتب AuditEvent. سلسلة الهاش تحمي 94+ نقطة استدعاء تلقائياً. تصعيد الخطورة: info → notice → warning → alert.

سياسة الاحتفاظ بالبيانات

تُعرَّف سياسات الاحتفاظ لكل نوع مورد (العقود 7 سنوات، الجلسات 30 يوماً، إلخ). تُحذف السجلات منتهية الصلاحية تلقائياً أو يُجرى لها scrub. الحذف نفسه يُدقَّق.

أمن التطبيق

تقليل سطح الهجوم

حد المعدل + CSRF + Idempotency

كل نقاط الكتابة محددة المعدل (per-IP + per-user). نقاط cross-origin المغيِّرة للحالة تتحقق من توكن CSRF. نقاط الدفع + الكريديت آمنة من retry-storm عبر Idempotency-Key.

إنفاذ FK متعدد الأشكال

الجداول متعددة الأشكال (Notification، Order، CreditEntry، إلخ) تُجبَر عبر check constraint على الانتماء لأب واحد بالضبط — لا يمكن إنشاء سجلات يتيمة.

سياسة scrub لبيانات PII

عند طلب حذف المستخدم يُطبَّق scrub قائم على الفئة: السجلات القانونية (العقود، التدقيق) محفوظة؛ معلومات الاتصال ومحتوى الرسائل والمرفقات يُجرى لها scrub في نهاية الاحتفاظ.

أمن التبعيات

تبعيات الإنتاج تُفحَص بـ CVE. الثغرات الحرجة تُرَقَّع خلال 24 ساعة.

تدقيقات مستقلة، شهادات

للاطلاع على تدقيقاتنا الجارية والشهادات المخطط لها، تواصل مع فريق الأمن. لعملاء المؤسسات نشارك ملخصات pentest ووثائق الامتثال عند الطلب.