1. نظرة عامة
تصف هذه الصفحة تدابير الأمان التي تحمي بياناتك في Brainpercent، التي تديرها شركة Brainpercent, LLC (ديلاوير، الولايات المتحدة). نصف فقط ما هو قائم فعليًا اليوم. لا ندعي شهادات لا نملكها. لمعرفة كيفية معالجتنا للبيانات الشخصية، راجع سياسة الخصوصية وملحق معالجة البيانات (DPA).
2. التشفير
بياناتك مشفرة في كل مرحلة:
- أثناء التخزين: تشفير AES-256 لقاعدة البيانات وتخزين الملفات (Supabase Postgres وStorage، مستضافة في الاتحاد الأوروبي، منطقة فرانكفورت).
- رموز الحسابات المرتبطة: يتم تشفير رموز OAuth لحساباتك الاجتماعية المرتبطة بشكل إضافي على مستوى التطبيق باستخدام AES-256-GCM، مع متجه تهيئة فريد وعلامة مصادقة لكل سر.
- أثناء النقل: TLS 1.2 أو أعلى لجميع الاتصالات بين متصفحك وخوادمنا ومزودي خدماتنا.
3. التحكم في الوصول
الوصول إلى بياناتك مقيد على مستويات متعددة:
- الأمان على مستوى الصفوف: يقيد أمان الصفوف (RLS) في Postgres كل استعلام بمستخدمك الخاص على مستوى قاعدة البيانات، بحيث لا يمكن لمستخدم قراءة صفوف مستخدم آخر.
- فصل الأدوار: عملاء قاعدة البيانات مفصولون حسب الأدوار. العميل الذي يعمل في متصفحك لا يحمل أبدًا بيانات اعتماد إدارية؛ العمليات المميزة تُنفذ فقط على جانب الخادم.
- أسرار مشفرة: يتم تخزين مفاتيح API وأسرار البيئة مشفرة في Vercel وSupabase ولا يتم إيداعها أبدًا في نظام التحكم بالمصدر.
4. أمان التطبيق
التطبيق وتكاملاته محصنة:
- رؤوس الأمان: يتم تعيين HSTS ورؤوس أمان إضافية على الاستجابات لفرض HTTPS وتقليل أسطح الهجوم الشائعة.
- التحقق من توقيعات Webhook: يتم التحقق من الـ Webhooks الواردة (Stripe وInngest) مقابل توقيعاتها التشفيرية قبل أي معالجة.
- تحديد المعدل: تحديد المعدل الموزع على نقاط نهاية المصادقة يبطئ محاولات حشو بيانات الاعتماد والقوة الغاشمة.
5. أمان المدفوعات
يتم التعامل مع بيانات بطاقات الدفع بالكامل بواسطة Stripe، وهو معالج مدفوعات معتمد وفق PCI-DSS. أرقام البطاقات لا تصل أبدًا إلى خوادمنا ولا نخزنها مطلقًا. نخزن فقط المعرفات غير الحساسة التي توفرها Stripe (مثل معرفات العميل والاشتراك).
6. المراقبة والاستجابة للحوادث
نراقب المشكلات ونلتزم بإخطارك عندما يكون ذلك مهمًا:
- مراقبة الأخطاء: يتم التقاط أخطاء التطبيق ومراقبتها عبر Sentry.
- الإخطار بالخروقات: إذا أثر خرق للبيانات على بياناتك الشخصية، فسنخطر المستخدمين المتأثرين والسلطات المعنية خلال 72 ساعة حيثما يقتضي القانون (مثل المادة 33 من اللائحة العامة لحماية البيانات).
7. القيود الحالية
نفضل الصدق على مسرح الأمان. إليك ما لا نملكه بعد:
- شركة بمشغل واحد: يتم بناء Brainpercent وتشغيلها حاليًا بواسطة شخص واحد. لا يوجد فريق أمان يعمل على مدار الساعة ولا فصل مهام بين عدة أشخاص. الوصول إلى بيئة الإنتاج مقصور على ذلك الشخص الواحد، مما يحافظ أيضًا على سطح هجوم داخلي في حده الأدنى.
- SOC 2 / ISO 27001: غير متاح بعد. لا ندعي SOC 2 أو ISO 27001 أو أي شهادة أخرى لا نملكها، ولم نكمل اختبار اختراق من طرف ثالث.
8. الإفصاح المسؤول
إذا كنت تعتقد أنك وجدت ثغرة أمنية، راسل edward@brainpercent.com مع الموضوع "Security".
أرفق خطوات إعادة الإنتاج. من فضلك لا تصل إلى بيانات المستخدمين الآخرين، ولا تعطل الخدمة، ولا تكشف المشكلة علنًا قبل أن تتاح لنا فرصة معقولة لإصلاحها. نقرأ كل تقرير ونسعى للرد خلال 72 ساعة.