أمنك هو أولويتنا. نطبق معايير أمنية من الدرجة الأولى لضمان أن بياناتك الشخصية محمية على الدوام.

نهجنا الأمني متعدد الطبقات

نعتمد نهج "الدفاع في العمق" (Defense in Depth) — أي أن أمن البيانات لا يعتمد على طبقة واحدة بل على منظومة متكاملة من الضمانات التقنية والإجرائية والبشرية.

التشفير

نوع البياناتمعيار التشفيرالتفاصيل
النقل عبر الشبكة TLS 1.3 جميع الاتصالات مشفرة HTTPS إلزامياً
كلمات المرور bcrypt تجزئة مع salt عشوائي — لا نحفظ كلمات المرور نصاً
قواعد البيانات AES-256 تشفير كامل للبيانات الحساسة في حالة السكون
الاحتياطيات (Backups) AES-256 مشفرة ومخزنة في مواقع جغرافية متعددة
الرموز المؤقتة (Tokens) HMAC-SHA256 جلسات مشفرة بصلاحيات محدودة المدة

أمن البنية التحتية

3.1 الاستضافة والخوادم

  • استضافة على خوادم سحابية مزودة بشهادات أمنية دولية
  • جدران الحماية (Firewalls) متعددة الطبقات على مستوى الشبكة والتطبيق
  • نظام كشف التطفل (IDS/IPS) يعمل على مدار الساعة
  • عزل الأنظمة عبر شبكات VPC خاصة

3.2 قواعد البيانات

  • قواعد البيانات معزولة تماماً عن الوصول العام (No Public Access)
  • مبدأ الحد الأدنى من الصلاحيات (Principle of Least Privilege)
  • نسخ احتياطية يومية تلقائية مع الاحتفاظ لمدة 30 يوماً
  • مراقبة الاستعلامات غير الطبيعية في الوقت الفعلي

3.3 الحماية من الهجمات الشائعة

  • SQL Injection: Prepared Statements إلزامية في جميع استعلامات قاعدة البيانات
  • XSS: تصفية وترميز جميع المدخلات والمخرجات
  • CSRF: رموز حماية على جميع النماذج
  • DDoS: حماية على مستوى الشبكة + تحديد معدل الطلبات (Rate Limiting)
  • Brute Force: قفل الحساب بعد محاولات تسجيل دخول فاشلة متعددة

التحكم في الوصول

لا يتمتع أي فرد من فريقنا بوصول كامل غير مقيد إلى بيانات المستخدمين — كل صلاحية محددة ومسجلة ومراجعة.

  • RBAC (Role-Based Access Control): صلاحيات مبنية على الأدوار الوظيفية
  • MFA: التحقق الثنائي إلزامي على جميع حسابات الموظفين ذات الصلاحيات
  • سجلات Audit: تسجيل كامل لكل عملية وصول إلى البيانات الحساسة
  • مبدأ الحاجة إلى المعرفة: الموظف يرى فقط البيانات اللازمة لعمله
  • مراجعة دورية: مراجعة صلاحيات الوصول كل 3 أشهر

المراقبة والاستجابة للحوادث

5.1 المراقبة المستمرة

  • مراقبة الأنظمة 24/7/365 بأدوات آلية
  • تنبيهات فورية عند أي نشاط غير طبيعي
  • مراجعة سجلات الأمان يومياً
  • اختبارات الاختراق (Penetration Testing) دورية

5.2 خطة الاستجابة للحوادث

في حال اكتشاف أي خرق أمني:

  1. العزل الفوري — تحييد التهديد خلال ساعة من الاكتشاف
  2. التقييم — تحديد نطاق وطبيعة الحادثة خلال 4 ساعات
  3. الإخطار — إبلاغ المستخدمين المتأثرين خلال 72 ساعة
  4. المعالجة — إصلاح الثغرة وتوثيق الدروس المستفادة
  5. التقرير — تقرير شفاف للمستخدمين بعد الحل

تدريب الفريق والوعي الأمني

  • تدريب إلزامي على أمن المعلومات لجميع أعضاء الفريق عند الانضمام
  • تحديثات دورية حول أحدث التهديدات والممارسات الأمنية
  • اتفاقيات سرية (NDA) صارمة مع جميع الموظفين والمتعاقدين
  • سياسة "المكتب النظيف" — لا يُترك أي جهاز غير مؤمَّن دون رقابة

ما يمكنك فعله لحماية حسابك

استخدم كلمة مرور قوية
8 أحرف على الأقل تجمع حروفاً وأرقاماً ورموزاً
فعّل التحقق الثنائي
طبقة حماية إضافية تمنع الاختراق حتى عند سرقة كلمة المرور
لا تشارك بياناتك
لن يطلب فريق ستوريزمو كلمة مرورك أبداً
سجّل خروجاً من الأجهزة المشتركة
احرص على إنهاء الجلسة بعد كل استخدام على جهاز مشترك

الإبلاغ عن ثغرة أمنية

إذا اكتشفت ثغرة أمنية في منصتنا، نشجعك على الإبلاغ عنها بشكل مسؤول عبر التواصل معنا مباشرة. نلتزم بالرد خلال 48 ساعة ونقدّر مساهمتك في الحفاظ على أمن المجتمع.

برنامج Bug Bounty: نكافئ الباحثين الأمنيين الذين يكشفون عن ثغرات حقيقية بشكل مسؤول. تفاصيل البرنامج متاحة عند التواصل المباشر.

هل لديك استفسار؟

تواصل مع فريق ستوريزمو لأي سؤال يتعلق بهذه الوثيقة

تواصل عبر فيسبوك