الأمان في موائم

نحمي بيانات المستأجرين بإجراءات يمكننا إثباتها، وليس فقط ادعاءها. تسرد هذه الصفحة ما تم تنفيذه، وما هو مخطط له، وما لم يتم تنفيذه بعد.

الهوية والوصول

تسجيل دخول موحد لكل مؤسسة ومصادقة متعددة العوامل، قابلة للتكوين بواسطة فريق تقنية المعلومات لديك.

تسجيل الدخول الموحد عبر SAML 2.0 و OpenID Connect. مُختبر مع Okta و Microsoft Entra ID (Azure AD) و Google Workspace.
تهيئة المستخدمين في الوقت المناسب بالإضافة إلى مزامنة دورة حياة SCIM 2.0 — تتدفق الدعوات وتحديثات الأدوار والتعطيل من موفر الهوية الخاص بك.
متعدد العوامل: TOTP ومفاتيح المرور (WebAuthn) وأكواد الاسترداد لمرة واحدة. يتوفر فرض MFA الإلزامي على مستوى سياسة المؤسسة.
تقييد محاولات الدخول الفاشلة وتدقيق إغلاق الحساب وجلسات المسؤول المثبتة على عنوان IP في الأسطح الحساسة.

تدقيق مقاوم للعبث (الميزة الفارقة)

كل تغيير حالة في الوحدات المنظمة مختوم بسلسلة SHA-256 يمكنك أنت — أو المدقق — إعادة تشغيلها من البداية إلى النهاية دون الثقة في خوادمنا.

سجلات مُسَلسَلة بالتجزئة لكل وحدة تغطي المستندات والمراسلات والعقود وخطابات الموارد البشرية ومراجعات الأداء والإجراءات التأديبية والرواتب والإجازات ومكافأة نهاية الخدمة وخطوط الجدولة الأساسية وعطاءات التقدير وإدارة التكلفة والمخاطر والمشتريات والمخزون والجودة والسلامة وطلبات السوق والأتمتة وأرباح الشركاء.
سلامة السلسلة تستخدم SELECT FOR UPDATE على رأس السلسلة بالإضافة إلى فهرس فريد كحزام-وحمالات حتى لا يتمكن الكاتبون المتزامنون من تفرع السلسلة.
تتيح نقاط النهاية العامة لإعادة تشغيل السلسلة للأطراف الثالثة التحقق من مستند أو خطاب فردي دون الاحتفاظ بحساب موائم. فتح /verify

توقيعات قابلة للتحقق

توقيعات لكل مستخدم ملتقطة بأبيانات تعريف من جانب الخادم لا يمكن انتحالها. التحقق العام يعمل طوال عمر المستند.

توقيعات مرسومة أو بخط مكتوب. يُقرأ عنوان IP وعميل المستخدم الملتقط من رؤوس الطلبات على الخادم — ولا يُوثَق به مطلقًا من العميل.
يتوفر فرض التوقيع الافتراضي الإلزامي على مستوى سياسة المؤسسة.
توقيعات خطابات الموارد البشرية وشهادات نظام إدارة التعلم والمستندات تُعاد جميعها مقابل نفس ركيزة السلسلة. التحقق من خطاب الموارد البشرية

مرونة الشبكة و DNS

تكرار النطاق السعودي بالإضافة إلى وضعية مكافحة الانتحال على كل سطح صادر.

يقدم كل من moaem.com (المرجعي) و moaem.sa (الاحتياطي) حركة المرور عبر وكيل Cloudflare. يحمي نطاق .sa من سيناريوهات مصادرة سجل النطاقات العام.
TLS 1.3 على الحافة؛ تعيد طلبات HTTP-فقط التوجيه إلى HTTPS قبل تشغيل أي منطق تطبيق.
مكافحة انتحال البريد الإلكتروني على كل نطاق: ترفض RFC 7505 null MX البريد صراحةً للمناطق الاحتياطية، ويحجب SPF -all المرسلين غير المصرح لهم، ويُعزِل DMARC p=reject التزوير.
تربط خدمات قاعدة البيانات والذاكرة المؤقتة والبحث بحلقة الاسترجاع فقط (127.0.0.1) — ولا تُعرَض أبدًا على الإنترنت.

النسخ الاحتياطي والاسترداد

نسخ احتياطية يومية خارج الموقع مع تدريب استرداد شهري — ليست مجرد نسخة احتياطية، بل دائمًا استرداد مُختبَر.

يتم نسخ قاعدة البيانات احتياطيًا يوميًا ونسخها خارج الموقع إلى DigitalOcean Spaces (فرانكفورت) مع الاحتفاظ بدورة حياة لمدة 90 يومًا.
مهمة اختبار استرداد آلية شهرية تستعيد آخر نسخة احتياطية إلى قاعدة بيانات قابلة للتخلص لإثبات أن الملف يعمل فعليًا.
يتم تخزين ملفات التحميل في DigitalOcean Spaces مع إصدار مدمج — يمكن استرداد الإصدارات القديمة خلال دورة حياة المخزن.

عزل المستأجرين ودفاع التطبيق

حدود متعددة المستأجرين مفروضة في كل طبقة استعلام.

كل استعلام قاعدة بيانات يُرجِع بيانات مستأجر يقوم بالتصفية حسب organization_id. النمط مفروض في طبقة الموجه؛ القراءات بين المستأجرين غير قابلة للوصول من واجهة برمجة التطبيقات العامة.
تدفقات الموافقة وسلاسل التدقيق وموضوعات التوقيع كلها مُحَدَّدة بواسطة المؤسسة من جانب الخادم — لا يمكن للعميل تجاوزها.
يقوم ماسح الثغرات الأمنية الآلي اليومي بتشغيل pnpm audit + فحوصات صحة الحاوية + فحوصات الوضع الصارم في TypeScript وينشر النتائج للمراجعة الداخلية.
جدار حماية تطبيقات الويب + برمجية وسيطة لتحديد المعدل على كل إجراءات واجهة برمجة التطبيقات، مع حصص لكل مفتاح مدعومة بـ Redis لمستهلكي واجهة برمجة التطبيقات.

الوضع التنظيمي

نلتزم بما هو قائم. نذكر ما هو قيد التنفيذ. لا ندرج الشهادات التي لا نحملها.

قائم مخطط غير قائم

عزل بيانات المستأجر مفروض في طبقة الاستعلام
TLS 1.3 على الحافة لجميع الأسطح التي تواجه العميل
سجلات تدقيق مُسَلسَلة بالتجزئة لكل وحدة (الوحدات المنظمة)
SSO SAML 2.0 + OpenID Connect مع MFA بمفاتيح المرور / TOTP
مزامنة دورة حياة المستخدم SCIM 2.0
نسخ احتياطية يومية خارج الموقع مع اختبارات استرداد آلية شهرية
نقاط نهاية تحقق إعادة تشغيل السلسلة العامة
تكرار النطاق السعودي (.sa) بجانب .com المرجعي
صفحة التصديق الذاتي لنظام حماية البيانات الشخصية السعودي (PDPL)
خيار إقامة البيانات في المملكة العربية السعودية (مستضاف حاليًا في DigitalOcean SFO3)
شهادة ISO 27001
تقرير SOC 2 Type II
اختبارات اختراق طرف ثالث على وتيرة مجدولة

الإبلاغ عن ثغرة أمنية أو طرح سؤال أمني

نقر باستلام التقارير الأمنية في غضون يوم عمل واحد. الإفصاح المنسق موضع ترحيب.

البريد الإلكتروني: [email protected]

تواصل مع فريق الأمن

آخر مراجعة: مايو 2026