البنية التحتية

✓تُخزَّن بياناتك في منطقة me-central1 (الدوحة، قطر) على Google Cloud — ضمن دول مجلس التعاون الخليجي ومتوافقة مع نظام حماية البيانات الشخصية للنقل العابر للحدود.
✓جميع حركة البيانات مشفّرة أثناء النقل عبر HTTPS. يُرفض بروتوكول HTTP العادي على مستوى البنية التحتية.
✓مبني على Google Cloud Run — حاويات مُدارة وقابلة للتوسع تلقائياً دون حالة دائمة من جانب الخادم.

أمان الحساب

✓تُشفَّر كلمات المرور باستخدام bcrypt بعامل ملح لا يقل عن 10. لا نخزّن أو نسجّل كلمات المرور بصيغتها الصريحة أبداً.
✓تُخزَّن رموز الجلسة في ملفات تعريف الارتباط HTTP-only فقط — لا في localStorage أو ذاكرة JavaScript. تُعلَّم بـ Secure و SameSite=Lax في بيئة الإنتاج.
✓تنتهي صلاحية رموز الوصول بعد 15 دقيقة. رموز التحديث ذات استخدام واحد وتُلغى عند إعادة الاستخدام — إن سُرق رمزك واستُخدم من قِبل مهاجم، تُلغى عائلة الجلسة بأكملها ويصلك تنبيه بالبريد الإلكتروني.

أمان التطبيق

✓يحمل كل رد صفحة رمزاً فريداً لسياسة أمان المحتوى (CSP nonce) لكل طلب. تستلزم النصوص البرمجية المضمّنة هذا الرمز — مما يُقضي على فئة هجمات XSS المخزّنة.
✓تفرض جميع نقاط نهاية API التي تُعدّل البيانات (POST وPUT وPATCH وDELETE) التحقق من المصدر لمنع تزوير الطلبات عبر المواقع.
✓تتحقق عمليات الوصول إلى الموارد من الملكية والهوية في استعلام قاعدة بيانات واحد وذري. لا يمكنك الوصول إلى تقارير مستخدم آخر أو محادثاته أو بيانات حسابه — حتى لو عرفت معرّفه.
✓تخضع نقاط نهاية API لحدود معدل الطلبات (20 طلب/دقيقة عالمياً؛ 5/دقيقة لتوليد التقارير) للحماية من الإساءة.

بياناتك والذكاء الاصطناعي

✓تدريب الذكاء الاصطناعي اختياري ومُعطَّل افتراضياً. لا تُستخدم تقاريرك ومحادثاتك لتدريب نموذج جدوى الداخلي ما لم تُفعّل ذلك صراحةً من الإعدادات ← الخصوصية.
✓لا نخزّن أي بيانات بطاقات على خوادمنا. تتم معالجة المدفوعات بالكامل على صفحة الدفع المستضافة من مُيسر (نطاق PCI SAQ A — أصغر بصمة امتثال PCI ممكنة).
✓نُصمَّم للتوافق مع نظام حماية البيانات الشخصية (PDPL)، المرسوم الملكي م/19 بتاريخ 9/2/1443هـ. راجع سياسة الخصوصية للتفاصيل الكاملة.

مبني على بنية تحتية موثوقة

Google Cloudمتوافق مع PDPLصُنع في السعودية

الإفصاح المسؤول

القسم أدناه موجَّه للباحثين في الأمن. إن كان لديك مخاوف أمنية تتعلق بحسابك كمستخدم، راسلنا على security@arshedni.com.

ضمن النطاق

كل ما يُقدَّم من نطاق ‎*.arshedni.com
تدفقات المصادقة، تكامل الدفع، ومسارات معالجة البيانات

خارج النطاق

مُيسر (راسلهم مباشرةً على security@moyasar.com)
Authentica.sa وبنية Google Cloud Run التحتية وأي مزوّد طرف ثالث نعتمد عليه
هجمات حرمان الخدمة، الهندسة الاجتماعية للموظفين، الهجمات الفيزيائية

القواعد

اختبر باستخدام حسابات تملكها فقط. لا تصل لبيانات مستخدمين آخرين أو تعدّل عليها أو تحذفها.
لا تُشغّل ماسحات آلية ضد الإنتاج بمعدل يفوق ≤ 5 طلبات/ثانية.
توقّف وأبلغ فور تأكدك من وجود الثغرة. لا تستخرج بيانات.
امنحنا 90 يوماً من تاريخ الإبلاغ الأولي لمعالجة الثغرة قبل أي إفصاح علني.
التزم بنظام مكافحة الجرائم المعلوماتية (المرسوم الملكي م/17، 1428هـ) في جميع الأوقات.

الحماية القانونية

بالتزامك بهذه السياسة بحُسن نية، نعتبر اختبارك مُصرّحاً به كتابياً وفقاً للمواد 3 و4 من نظام مكافحة الجرائم المعلوماتية، ولن نتخذ أي إجراء مدني أو جنائي ضدك، ولن نُحيلك إلى جهات إنفاذ القانون.

هذا التصريح لا يلزم النيابة العامة السعودية. للحصول على تصريح معترف به من الدولة، يمكن التسجيل عبر منصة bugbounty.sa (الاتحاد السعودي للأمن السيبراني).

للتواصل

أرسل تقريراً تفصيلياً — يتضمن خطوات إعادة الإنتاج، وتقييم التأثير، وأي إثبات للمفهوم — على: security@arshedni.com