سياسة الأمان
بيانات عملائنا أمانة. هذه الإجراءات الفعلية لحمايتها.
التشفير
- TLS 1.3 على كل الاتصالات (HTTPS إلزامي)
- قاعدة البيانات (PostgreSQL/Supabase): تشفير في الراحة (AES-256)
- Backups مشفّرة + منفصلة جغرافياً
- API keys + secrets في environment variables (لا في الكود)
المصادقة
- OTP عبر SMS (Twilio) — رمز ينتهي خلال 5 دقائق
- OAuth (Google + Apple) — لا تُحفظ كلمات السر عندنا
- JWT tokens صالحة لـ 7 أيام، تُجدَّد تلقائياً
- HttpOnly + Secure cookies
الصلاحيات (RLS)
كل جدول في قاعدة البيانات محمي بـ Row Level Security:
- المستخدم يرى بياناته فقط (jobs, payments, subscriptions)
- الإدارة تتطلب admin role صريح
- service_role مقصور على server-side code
ملفاتك
- ملفات Excel المرفوعة تُعالَج وتُحذَف بعد 30 يوماً
- التقارير المنتجة تبقى متاحة حتى تحذفها بنفسك
- لا نشارك أي بيانات مع أطراف ثالثة (إلا Sub-processors المعلَنون أدناه)
Sub-processors + Data Residency
| المعالج | المنطقة | DPA |
|---|---|---|
| Supabase (DB + Auth) | EU — Frankfurt | موقَّع |
| Anthropic (Claude API) | US | قيد التوقيع |
| Moyasar (Payment) | السعودية (SAMA) | ضمن العقد |
| Vercel (Hosting) | EU edge | Standard DPA |
نُزيل معرّفات قابلة للكشف (مثل IBAN والجوال) من نص المستند قبل إرساله لـ Anthropic. تفاصيل في سياسة الخصوصية §٤-٥.
الاختبارات الأمنية
- دفاع ضد Prompt Injection على مدخلات الـ AI (٧ tests مستمرة)
- اختبارات عزل بين المستأجرين (RLS isolation tests)
- اختبارات آلية لإزالة المعرّفات قبل الإرسال للخارج
- Penetration test خارجي: مُجدوَل قبل أول عميل مؤسسي
الإبلاغ عن ثغرة
إذا اكتشفت ثغرة أمنية، نُقدّر إبلاغك المسؤول:
- security@pareggio.com
- PGP key متاح عند الطلب
- نرد خلال 48 ساعة، إصلاح خلال 7 أيام (high severity)
- Bug bounty للثغرات الحرجة
الالتزام التنظيمي
- PDPL — نظام حماية البيانات السعودي
- ZATCA Phase 2 — للفواتير الإلكترونية
- SOCPA — معايير المحاسبة
- SAMA cybersecurity framework (للبنوك B2B)
آخر تحديث: مايو 2026