سياسة الأمان

0البيانات الرسمية للمنصة

✓ملخص الضوابط

1تشفير الاتصالات

• كل الاتصالات بين جهازك والمنصة تتم عبر HTTPS/TLS عند توفر الشهادة على النطاق.
• تفعيل HSTS على مستوى الخادم يوجه المتصفح لاستخدام الاتصال المشفر.
• تُمنع الموارد غير الآمنة قدر الإمكان لتقليل مخاطر الاعتراض أو التلاعب.

2حماية الحسابات

• كلمات المرور تُخزن باستخدام bcrypt ولا يمكن قراءتها كنص صريح.
• تُستخدم رموز تحقق OTP في العمليات الحساسة بحسب إعدادات المنصة.
• توجد حدود لمحاولات تسجيل الدخول وقفل مؤقت للحد من التخمين والهجمات الآلية.
• جلسات المستخدمين تستخدم خصائص HttpOnly و Secure و SameSite متى كانت البيئة تدعم ذلك.

3حماية المعاملات المالية

• بيانات البطاقات لا تُخزن على خوادم المنصة وتُعالج عبر بوابة الدفع.
• كل عملية مالية توثق في سجلات قابلة للمراجعة.
• تُستخدم رموز CSRF لحماية النماذج والعمليات الحساسة.
• تُراجع التحويلات أو الإيصالات وفق الإجراءات الداخلية قبل الاعتماد.

4حماية البيانات المخزنة

• قاعدة البيانات محمية بصلاحيات محدودة وكلمات مرور قوية.
• البيانات البنكية تستخدم حصراً لأغراض التسوية والتحويل.
• الملفات المرفوعة تُدار وفق ضوابط تمنع الوصول المباشر غير المصرح به قدر الإمكان.
• النسخ الاحتياطية وسجلات النظام تُدار بما يخدم استمرارية الخدمة والتحقيق.

5حماية التطبيق

• كل المخرجات الحساسة تُعرض بعد تنقية مناسبة للحد من XSS.
• كل استعلامات قاعدة البيانات يجب أن تستخدم Prepared Statements عبر PDO.
• تُطبق Security Headers مثل X-Frame-Options و X-Content-Type-Options و Referrer-Policy و HSTS.
• تتم فلترة الملفات المرفوعة حسب النوع والحجم ورفض الملفات التنفيذية.

!الإبلاغ عن ثغرات أمنية