سياسة الأمان

آخر تحديث: 1 ديسمبر 2024

في شركة Apilium Corp OU، الأمان أساسي لكل ما نبنيه. كمطورين بأنفسنا، نفهم الأهمية الحاسمة لحماية الكود والبيانات الخاصة بك. توضح سياسة الأمان هذه نهجنا الشامل لتأمين بيئة Apilium Forge للتطوير المتكاملة وجميع الخدمات ذات الصلة.

1. التزامنا بالأمان

نحن ملتزمون بـ:

  • حماية سرية ونزاهة وتوافر الكود والبيانات الخاصة بك
  • عدم استخدام الكود الخاص بك لتدريب نماذج الذكاء الاصطناعي بدون موافقة صريحة
  • تنفيذ ضوابط أمان رائدة في الصناعة وأفضل الممارسات
  • توفير الشفافية حول ممارساتنا الأمنية من خلال هذه السياسة
  • المراقبة المستمرة والاختبار وتحسين وضعنا الأمني
  • الاستجابة بسرعة وشفافية للحوادث الأمنية

الشهادات والتقييمات

نحافظ على الشهادات الأمنية التالية المعترف بها في الصناعة ونخضع لتقييمات منتظمة:

  • شهادة SOC 2 Type II (قيد التقدم)
  • اختبار اختراق سنوي من طرف ثالث
  • فحص الثغرات الأمنية المستمر
  • عمليات تدقيق أمنية منتظمة من قبل شركات مستقلة

تقارير الأمان التفصيلية متاحة على apilium.com/security

2. أمان البنية التحتية

تدفق بيانات الكود

عند استخدام بيئة Apilium Forge للتطوير المتكاملة، يتدفق الكود الخاص بك من خلال بنيتنا التحتية الآمنة:

  • يتم تشفير الكود الخاص بك أثناء النقل باستخدام TLS 1.3
  • تتم معالجة الطلبات من خلال خوادمنا الخلفية المستضافة على AWS
  • تتم معالجة الذكاء الاصطناعي من قبل مزودي النماذج لدينا مع اتفاقيات عدم الاحتفاظ
  • عند تمكين وضع الخصوصية، لا يتم تخزين كود نصي واضح بعد اكتمال الطلب

شركاء البنية التحتية

البنية التحتية الأساسية

  • AWS (Amazon Web Services) - البنية التحتية السحابية الأساسية (مناطق الولايات المتحدة والاتحاد الأوروبي)
  • Cloudflare - حماية DDoS وWAF وخدمات CDN
  • Google Cloud Platform - البنية التحتية الثانوية/الاحتياطية

مزودو نماذج الذكاء الاصطناعي

نتعاون مع مزودي الذكاء الاصطناعي الرائدين، جميعهم مع اتفاقيات عدم احتفاظ بالبيانات لمستخدمي وضع الخصوصية:

  • Anthropic (نماذج Claude)
  • OpenAI (نماذج GPT)
  • نماذج مخصصة محسّنة على بنية تحتية آمنة

3. التدابير الأمنية التقنية

التشفير

البيانات أثناء النقل: يتم تشفير جميع البيانات المنقولة بين Apilium Forge وخوادمنا باستخدام TLS 1.3 مع مجموعات تشفير قوية

البيانات في حالة السكون: يتم تشفير جميع البيانات المخزنة باستخدام تشفير AES-256-GCM

يتم إدارة مفاتيح التشفير باستخدام AWS KMS مع تدوير تلقائي كل 90 يوماً

لعملاء المؤسسات، نقدم تشفيراً شاملاً حيث تحتفظ أنت فقط بمفاتيح فك التشفير

ضوابط الوصول

  • مصادقة متعددة العوامل (MFA) مطلوبة لجميع حسابات الموظفين
  • مفاتيح أمان الأجهزة (FIDO2/WebAuthn) للوصول المتميز
  • التحكم في الوصول القائم على الأدوار (RBAC) بمبدأ الامتياز الأقل
  • توفير الوصول في الوقت المناسب لأنظمة الإنتاج
  • مراجعات الوصول الفصلية وإلغاء التفويض الفوري للمغادرين
  • قوائم السماح بعناوين IP ومتطلبات VPN للوصول الإداري

أمان الشبكة

  • جدار حماية تطبيقات الويب (WAF) مع مجموعات قواعد مخصصة
  • تخفيف DDoS على مستوى المؤسسات (Cloudflare Magic Transit)
  • تقسيم الشبكة مع شبكات فرعية خاصة للخدمات الحساسة
  • أنظمة كشف/منع التسلل (IDS/IPS)
  • مراقبة مستمرة لحركة مرور الشبكة وكشف الشذوذ
  • اختبارات اختراق خارجية وداخلية منتظمة

أمان التطبيقات

  • دورة حياة تطوير برمجيات آمنة (SSDLC) مع بوابات أمنية
  • مراجعات كود إلزامية مع قائمة تحقق موجهة نحو الأمان
  • اختبار أمان التطبيقات الثابت (SAST) في خط أنابيب CI/CD
  • اختبار أمان التطبيقات الديناميكي (DAST) للتطبيقات المنشورة
  • تحليل تكوين البرامج (SCA) لثغرات التبعية
  • تدريب أمني منتظم لجميع المطورين
  • الحماية ضد OWASP Top 10 و SANS Top 25 من الثغرات

أمان العميل (بيئة التطوير المتكاملة)

تم بناء بيئة Apilium Forge للتطوير المتكاملة مع الأمان في الاعتبار:

  • ثنائيات موقّعة بالكود لجميع المنصات (Windows، macOS، Linux)
  • تحديثات أمان تلقائية مع إمكانية التراجع
  • بيئة تنفيذ ملحقات معزولة
  • تشفير محلي للبيانات المخزنة مؤقتاً وبيانات الاعتماد
  • وصول شبكة قابل للتكوين مع نطاقات قائمة السماح
  • دعم .apiliumignore لاستبعاد الملفات الحساسة من معالجة الذكاء الاصطناعي

4. الأمان التنظيمي

تدريب الموظفين على الأمان

يخضع جميع موظفي Apilium لتدريب أمني شامل:

  • تدريب التوعية الأمنية أثناء التأهيل
  • تحديثات وتقييمات التدريب الأمني الفصلية
  • تمارين محاكاة التصيد الشهرية
  • تدريب أمني خاص بالدور للمهندسين
  • تمارين طاولة الاستجابة للحوادث السنوية

سياسات الأمان

نحافظ على ونطبق سياسات أمان شاملة:

  • سياسة ومعايير أمن المعلومات
  • سياسات الاستخدام المقبول والتحكم في الوصول
  • خطة الاستجابة للحوادث والاتصالات
  • خطة استمرارية الأعمال والتعافي من الكوارث
  • متطلبات تقييم أمان البائعين
  • إرشادات تصنيف البيانات والتعامل معها
  • إجراءات إدارة التغيير والإصدار

فحص الموظفين

يخضع جميع الموظفين الذين لديهم وصول إلى بيانات العملاء لفحوص خلفية مناسبة لدورهم وولايتهم القضائية، ويوقعون اتفاقيات سرية.

5. ضمانات أمان وضع الخصوصية

عند تمكين وضع الخصوصية في Apilium Forge (ممكّن افتراضياً)، نقدم ضمانات الأمان التالية:

  • عدم احتفاظ بالبيانات من قبل جميع مزودي نماذج الذكاء الاصطناعي
  • لا يتم تخزين كود نصي واضح على خوادمنا بعد معالجة الطلب الفورية
  • لا يتم استخدام الكود الخاص بك أبداً لتدريب نماذج الذكاء الاصطناعي
  • تتضمن جميع طلبات الذكاء الاصطناعي رؤوس خصوصية مفروضة (x-privacy-mode)
  • الطلبات تكون افتراضياً بسلوك حفاظ على الخصوصية إذا كانت الرؤوس مفقودة
  • فهرسة قاعدة الكود تخزن فقط تضمينات مبهمة، وليس كود نصي واضح

خيارات خصوصية المؤسسات

  • نشر داخلي لسيادة البيانات الكاملة
  • بنية تحتية مخصصة معزولة عن العملاء الآخرين
  • متطلبات إقامة البيانات المخصصة (الاتحاد الأوروبي فقط، مناطق محددة)
  • تشفير إحضار مفتاحك الخاص (BYOK)
  • اتصال الشبكة الخاصة (AWS PrivateLink، VPN)

6. حماية البيانات

تصنيف البيانات

نصنف جميع البيانات بناءً على مستوى الحساسية:

  • عامة: مواد تسويقية، وثائق عامة
  • داخلية: عمليات داخلية، بيانات أعمال غير حساسة
  • سرية: بيانات حساب العملاء، اتصالات الدعم
  • مقيدة: كود العملاء، بيانات الاعتماد، تكوينات الأمان

النسخ الاحتياطي والاسترداد

نحافظ على قدرات نسخ احتياطي قوية والتعافي من الكوارث:

  • نسخ احتياطية مشفرة موزعة جغرافياً
  • استرداد نقطة في الوقت لقواعد البيانات (حتى 35 يوماً)
  • هدف وقت الاسترداد (RTO): 4 ساعات
  • هدف نقطة الاسترداد (RPO): ساعة واحدة
  • اختبار التعافي من الكوارث الفصلي
  • قدرة التعافي متعدد المناطق

7. الاستجابة للحوادث الأمنية

عملية الاستجابة للحوادث

نتبع عملية استجابة للحوادث منظمة:

  • الكشف: المراقبة والتنبيه الآلي على مدار الساعة طوال أيام الأسبوع
  • التصنيف: تقييم فريق الأمان خلال 15 دقيقة
  • الاحتواء: العزل الفوري للأنظمة المتأثرة
  • التحقيق: تحليل السبب الجذري وتقييم التأثير
  • الاستئصال: إزالة التهديد وتقوية النظام
  • الاسترداد: استعادة متحكمة للخدمات
  • ما بعد الوفاة: الدروس المستفادة وتحسينات العملية

إشعار الاختراق

في حالة وقوع اختراق أمني يؤثر على بياناتك، نلتزم بـ:

  • إخطار المستخدمين المتأثرين خلال 72 ساعة من الاختراق المؤكد
  • تقديم تفاصيل واضحة حول البيانات المتأثرة
  • شرح الإجراءات التي نتخذها لمعالجة الحادث
  • تقديم إرشادات حول الخطوات التي يمكنك اتخاذها لحماية نفسك
  • إخطار السلطات التنظيمية ذات الصلة كما يقتضي القانون
  • تقديم تحديثات منتظمة حتى يتم حل الحادث

8. برنامج الكشف عن الثغرات

نحافظ على برنامج كشف مسؤول ونرحب بالبحث الأمني.

في النطاق

  • بيئة Apilium Forge للتطوير المتكاملة (جميع المنصات)
  • api.apilium.com وجميع النطاقات الفرعية
  • portal.apilium.com (بوابة العملاء)
  • apilium.com (الموقع الإلكتروني)

كيفية الإبلاغ

إذا اكتشفت ثغرة أمنية:

  • أرسل بريداً إلكترونياً إلى [email protected] مع معلومات الثغرة التفصيلية
  • قم بتضمين خطوات إعادة الإنتاج والتأثير المحتمل وأي إثبات للمفهوم
  • للتقارير الحساسة، استخدم مفتاح PGP الخاص بنا (متاح على صفحة الأمان لدينا)
  • اسمح بما يصل إلى 90 يوماً للعلاج قبل الكشف العلني

التزامنا

نلتزم للباحثين الأمنيين:

  • الإقرار بالاستلام خلال 24 ساعة
  • تقديم تقييم أولي خلال 5 أيام عمل
  • إبقائك على اطلاع بتقدم العلاج
  • تقديركم في إقراراتنا الأمنية (ما لم يفضل عدم الكشف عن الهوية)
  • عدم اتخاذ إجراءات قانونية للبحث الأمني بحسن نية

نقدم مكافآت للثغرات المؤهلة. اتصل بنا للحصول على تفاصيل البرنامج الحالي.

9. أمان الطرف الثالث

متطلبات أمان البائعين

يجب على جميع البائعين الذين لديهم وصول إلى بيانات العملاء تلبية متطلبات الأمان الخاصة بنا:

  • استكمال استبيان الأمان وتقييم المخاطر
  • شهادة SOC 2 Type II أو ما يعادلها
  • اتفاقية معالجة البيانات (DPA) مع بنود متوافقة مع GDPR
  • مراجعة أمنية سنوية وإعادة التصديق
  • متطلبات إشعار فوري بالاختراق

المعالجات الفرعية

المعالجات الفرعية الحالية مع الوصول إلى بيانات العملاء:

  • AWS (البنية التحتية) - الولايات المتحدة/الاتحاد الأوروبي
  • Anthropic، OpenAI (نماذج الذكاء الاصطناعي) - الولايات المتحدة مع عدم الاحتفاظ
  • Stripe (معالجة الدفع) - الولايات المتحدة/الاتحاد الأوروبي
  • Cloudflare (CDN/الأمان) - عالمي
  • MongoDB Atlas (قاعدة البيانات) - الاتحاد الأوروبي
  • SendGrid (البريد الإلكتروني) - الولايات المتحدة

نخطر العملاء قبل 30 يوماً من إضافة معالجات فرعية جديدة. القائمة الحالية متاحة على apilium.com/compliance

10. الأمان المادي

يتم استضافة بنيتنا التحتية في مراكز بيانات على مستوى المؤسسات مع أمان مادي شامل:

  • أفراد أمن ومراقبة فيديو على مدار الساعة طوال أيام الأسبوع
  • ضوابط وصول مادي متعددة العوامل (بيومتري + شارة)
  • أنظمة دخول مصيدة ومتطلبات مرافقة الزوار
  • ضوابط بيئية (إخماد الحرائق، التحكم في المناخ، UPS، مولدات)
  • منشآت معتمدة SOC 2 Type II
  • عمليات تدقيق أمنية مادية منتظمة

11. تحديثات السياسة

نراجع سياسة الأمان هذه فصلياً ونحدثها لتعكس التغييرات في ممارساتنا الأمنية والتكنولوجيا واللوائح. يتم توصيل التغييرات الجوهرية عبر البريد الإلكتروني لجميع المستخدمين.

12. معلومات الاتصال

للأسئلة المتعلقة بالأمان أو للإبلاغ عن مشكلات أمنية:

Company: Apilium Corp OU

Address: تالين، إستونيا

فريق الأمان: [email protected]

مفتاح PGP: متاح على apilium.com/security

مركز الثقة: apilium.com/security

الاستفسارات العامة: [email protected]