الأمان والامتثال
أمانك أولوية
شفافية كاملة عن كيف نحمي بياناتك. لا نعدك بالكمال — نعدك بالشفافية والاستجابة.
البنية التحتية
- تشغيل على Cloudflare Workers — edge عالمي يخدم زوار السعودية من جدة والرياض
- قاعدة بيانات D1 (حالياً في منطقة EEUR/أوروبا) مع Time Travel (استرجاع لـ 30 يوم)
- تخزين أسرار في Cloudflare Secrets — غير قابل للقراءة من الكود
- HSTS + preload + TLS 1.3 إلزامي
تأمين التطبيق
- Content Security Policy صارم: frame-ancestors none، script-src self
- CSRF enforcement على كل /api/admin/* operations
- HMAC-SHA256 على كل webhook من Hub
- IP + User-Agent binding على transfer tokens
- Rate limiting على /login و /sso/callback (KV-backed)
- XSS prevention: whitelist للـ status/plan/error params
- Open-redirect prevention: sanitizeNext مقصور على APP_DOMAIN
الخصوصية والامتثال
- PDPL متوافق (نظام حماية البيانات الشخصية السعودي) عبر عقد نقل البيانات المُعتَمد من Cloudflare
- عدم تخزين IP الخام — فقط hash مقطوع (SHA-256 المقطوعة)
- التخزين المركزي: Cloudflare D1 في الاتحاد الأوروبي (منطقة EEUR). سننتقل لمنطقة سعودية فور إتاحتها على Cloudflare D1
- تقديم المحتوى: Cloudflare Edge في جدة والرياض (≈ 20-40ms لزوار السعودية)
- سجل تدقيق كامل (app_audit_logs) لكل عملية حساسة
- استرداد البيانات الشخصية في 14 يوم (PDPL §15)
- الحذف الفوري للحساب من /account → "حذف الحساب"
الإبلاغ عن الثغرات
- إذا اكتشفت ثغرة، يرجى إبلاغنا عبر z@zayenha.com
- الباحثون المسؤولون يُكافأون (إن وجدت).
- لا تنشر تفاصيل قبل أن نُؤكد الإصلاح (نهدف لـ 30 يوم).
تواصل لتقييم الأمان (للمؤسسات)
نوفر استبيان أمان كامل، شهادات SOC 2 (قيد التحضير)، و SLA مخصص لخطة المؤسسات.
تواصل مع فريق الأمان