مركز الثقة

الأمان

كيف نحمي بياناتك وبنيتك التحتية وأعمالك.

آخر تحديث: أبريل 2026

1. الشهادات

شريك Stripe

مدفوعات عبر Stripe، PCI DSS المستوى 1.

Active

GDPR

معالجة متوافقة مع GDPR. DPA متاح.

Active

OWASP

امتثال ذاتي OWASP Top 10 (2025).

Active

ISO 27001

قيد التحضير.

In Progress

2. البيانات والخصوصية

للحصول على تفاصيل كاملة حول جمع البيانات والاحتفاظ وحقوق GDPR والمعالجين الفرعيين، راجع سياسة الخصوصية.

  • PII الضيوف مشفر بـ AES-256-GCM
  • سجلات التدقيق: 12 شهراً مع حذف تلقائي
  • محاولات الدخول: 90 يوماً مع حذف تلقائي
  • لا نخزن بيانات البطاقة — Stripe يعالج كل شيء
  • لا كوكيز تتبع، لا بيع بيانات

اتفاقية معالجة البيانات (DPA) متاحة عند الطلب.

3. البنية التحتية

مستضافة لدى مزودين متوافقين مع SOC 2:

Service Provider Detail
واجهة برمجة خلفية Railway Node.js/Express
قاعدة بيانات MongoDB Atlas MongoDB مدار مع TLS
موقع تسويقي Netlify استضافة ثابتة
مدفوعات Stripe PCI DSS المستوى 1
بريد Resend بريد إلكتروني
بوابة IoT Railway تكامل Shelly

أمان الشبكة

  • TLS على جميع الاتصالات
  • CORS مقيد
  • CSP مكون
  • تحديد معدل على جميع النقاط

4. ممارسات الأمان

التشفير

  • TLS 1.2+ أثناء النقل
  • AES-256-GCM في السكون
  • bcrypt معامل 12
  • PBKDF2-SHA256 100ألف تكرار
  • مفاتيح API مجزأة SHA-256

المصادقة

  • JWT 45 دقيقة
  • تدوير رموز التحديث
  • إلغاء عند تسجيل الخروج
  • MFA باستخدام TOTP
  • قفل بعد 5 محاولات
  • تحكم بالأدوار
  • حظر رموز MFA المعلقة

حماية الإدخال

  • منع حقن NoSQL
  • استعلامات معلمية
  • حمولة 10KB
  • تعقيد كلمة المرور
  • تحقق Content-Type
  • حدود الطول

رؤوس الأمان

  • HSTS preload
  • CSP
  • X-Frame-Options: DENY
  • nosniff
  • no-referrer
  • Permissions-Policy
  • Cache-Control: no-store

التدقيق

  • سجل تدقيق كامل
  • تتبع محاولات الدخول
  • ارتباط X-Request-Id
  • لا تتبع مكدس في الردود

5. امتثال OWASP Top 10

جميع الفئات ناجحة:

ID Category Status
A01 التحكم بالوصول ناجح
A02 التشفير ناجح
A03 الحقن ناجح
A04 التصميم ناجح
A05 التكوين ناجح
A06 المكونات ناجح
A07 المصادقة ناجح
A08 السلامة ناجح
A09 التسجيل ناجح
A10 SSRF ناجح

الاختبارات

  • 2,507 اختبار آلي
  • 37 اختبار اختراق OWASP
  • 80+ اختبار يدوي فصلي
  • دليل الاستجابة للحوادث

أمان مستمر

  • Dependabot
  • تدقيق npm أسبوعي
  • hooks قبل التزام
  • 0 ثغرات معروفة

6. الإفصاح الأمني

أبلغ عن الثغرات بمسؤولية:

البريد: privacy@valepark.org

لا تفتح issues عامة في GitHub.

نؤكد الاستلام خلال 24 ساعة.