أمان المؤسسات والامتثال في أورونتس
أمان على مستوى المؤسسات، امتثال شامل، وممارسات شفافة تحمي بياناتك وأعمالك
الأمان في كل طبقة
دفاع عميق مع ضوابط أمنية متعددة لحماية بياناتك
التشفير
تشفير شامل للبيانات في حالة السكون وأثناء النقل
- تشفير AES-256 في حالة السكون
- TLS 1.3 للبيانات أثناء النقل
- إدارة المفاتيح بوحدة الأمان الأجهزة (HSM)
- خيارات التشفير من جانب العميل
الهوية والوصول
مصادقة وتخويل على مستوى المؤسسات
- دعم SAML 2.0 وOAuth 2.0
- المصادقة متعددة العوامل (MFA)
- التحكم في الوصول المستند إلى الأدوار (RBAC)
- تكامل تسجيل الدخول الموحد (SSO)
- إدارة مفاتيح واجهة برمجة التطبيقات
التدقيق والمراقبة
تسجيل شامل ومراقبة في الوقت الفعلي
- سجلات تدقيق غير قابلة للتغيير
- كشف التهديدات في الوقت الفعلي
- لوحة مراقبة الأنشطة
- تقارير الامتثال
- تكامل SIEM
حماية البيانات
بياناتك تظل ملكك، دائماً
- عزل وتقسيم البيانات
- نسخ احتياطية مؤتمتة مع التشفير
- استرداد نقطة في الوقت
- سياسات الاحتفاظ بالبيانات
- الحق في الحذف (المادة 17 من GDPR)
أمان الشبكة
دفاع عميق مع طبقات أمنية متعددة
- جدار حماية تطبيقات الويب (WAF)
- حماية من هجمات DDoS
- عزل الشبكة الخاصة
- بنية الثقة الصفرية
- اختبار الاختراق المنتظم
DevSecOps
الأمان مدمج في كل مرحلة من مراحل التطوير
- فحص أمني مؤتمت
- فحص نقاط الضعف في الحاويات
- إدارة التبعيات
- خطوط CI/CD الأمنية أولاً
- توقيع والتحقق من الكود
ممارسات الأمان والامتثال
نتبع أفضل ممارسات الصناعة للأمان والامتثال
أمان المؤسسات
نهج تطوير يركز على الأمان أولاً
ممارسات GDPR
أفضل ممارسات حماية البيانات الأوروبية
الأمان بالتصميم
بنية أمان مدمجة
خصوصية البيانات
سياسات حماية بيانات العملاء
البنية التحتية العالمية ومكان إقامة البيانات
اختر مكان تخزين بياناتك مع بنية تحتية متوافقة في جميع أنحاء العالم
اختر منطقة لعرض التفاصيل
مبادئ الذكاء الاصطناعي المسؤول
التزامنا بالذكاء الاصطناعي الأخلاقي والشفاف والجدير بالثقة
الشفافية
توثيق واضح لقدرات وقيود وعمليات اتخاذ القرار في الذكاء الاصطناعي
العدالة
اختبار التحيز المنتظم واستراتيجيات التخفيف عبر جميع النماذج
الخصوصية
تقليل البيانات وتحديد الغرض في تدريب واستنتاج الذكاء الاصطناعي
المساءلة
الإشراف البشري وسلاسل المسؤولية الواضحة لقرارات الذكاء الاصطناعي
السلامة
اختبار شامل وفريق أحمر وحواجز أمان لجميع أنظمة الذكاء الاصطناعي
الاستدامة
نماذج محسنة وممارسات الحوسبة الخضراء لتقليل التأثير البيئي
ممارسات الحماية بالتفصيل
نظرة شفافة على الإجراءات الوقائية المحددة التي ننفذها في كل مشروع عميل. تعكس هذه الضوابط التزامنا بحماية بيانات العملاء والحفاظ على سلامة الأنظمة وتلبية المتطلبات التنظيمية.
معايير التشفير
جميع البيانات في حالة السكون محمية بتشفير AES-256، وهو نفس المعيار المستخدم من قبل المؤسسات المالية والوكالات الحكومية. البيانات أثناء النقل تستخدم TLS 1.3 مع سرية أمامية، مما يمنع فك تشفير الاتصالات السابقة حتى لو تم اختراق المفاتيح طويلة المدى. تستخدم اتصالات قواعد البيانات شهادات SSL مع تدوير تلقائي كل 90 يوماً. يتم تشفير بيانات النسخ الاحتياطي بمفاتيح منفصلة مخزنة في وحدات أمان الأجهزة (HSMs) المعزولة فيزيائياً عن أنظمة الإنتاج. لا نخزن أبداً مفاتيح التشفير بجانب البيانات التي تحميها. تتبع إدارة المفاتيح مبدأ فصل المهام، مما يتطلب عدة أشخاص مخولين لعمليات تدوير واسترداد المفاتيح.
التحكم في الوصول وإدارة الهوية
نطبق مبدأ أقل الصلاحيات عبر جميع الأنظمة. لكل عضو في الفريق وصول قائم على الأدوار يتم مراجعته ربع سنوياً من قبل قادة المشاريع ويتم تأكيده من الإدارة. المصادقة متعددة العوامل (MFA) إلزامية لجميع الأدوات الداخلية ووحدات التحكم السحابية وبيئات العملاء. يتطلب الوصول إلى أنظمة الإنتاج اتصال VPN ويتم تسجيله بسجلات تدقيق غير قابلة للتغيير. عند مغادرة أحد أعضاء الفريق أو اختتام مشروع، يتم إلغاء الوصول خلال 24 ساعة من خلال إلغاء التزويد الآلي. ندعم SAML 2.0 و OAuth 2.0 لتكامل تسجيل الدخول الموحد للمؤسسات (SSO).
المراقبة المستمرة والاستجابة للحوادث
يتم مراقبة بنيتنا التحتية على مدار الساعة باستخدام أنظمة تنبيه آلية تكتشف السلوك الشاذ ومحاولات الوصول غير المصرح بها وتدهور الأداء. نحتفظ بخطة رسمية للاستجابة للحوادث مع مستويات خطورة محددة وإجراءات تصعيد وقوالب اتصال. تؤدي الحوادث الحرجة إلى استجابة فورية بهدف حل خلال أقل من أربع ساعات. يتم إجراء مراجعات ما بعد الحادث خلال 48 ساعة ومشاركتها مع العملاء المتأثرين. يتضمن مكدس المراقبة لدينا OpenTelemetry للتتبع الموزع و Prometheus لجمع المقاييس و Grafana للتصور.
معالجة البيانات والامتثال للخصوصية
تعالج أورونتس البيانات الشخصية وفقاً للائحة العامة لحماية البيانات (GDPR) في الاتحاد الأوروبي وقانون خصوصية المستهلك في كاليفورنيا (CCPA). يتم تنفيذ اتفاقيات معالجة البيانات (DPA) مع جميع العملاء قبل معالجة البيانات الشخصية. تدعم أنظمتنا طلبات وصول أصحاب البيانات وحق المحو وقابلية نقل البيانات وإدارة الموافقة. نحتفظ بسجلات أنشطة المعالجة ونجري تقييمات تأثير حماية البيانات لعمليات المعالجة عالية المخاطر. تقليل البيانات هو مبدأ تصميم أساسي.
دورة التطوير الآمنة
يتم دمج تدابير الحماية في كل مرحلة من عملية التطوير لدينا. خلال التصميم، نجري جلسات نمذجة التهديدات لتحديد نواقل الهجوم المحتملة. خلال التطوير، يعمل التحليل الثابت الآلي (SAST) وفحص التبعيات على كل طلب سحب، مما يمنع الدمج الذي يقدم ثغرات معروفة. قبل النشر، يتحقق اختبار التطبيق الديناميكي (DAST) من أن التطبيق يقاوم الهجمات الشائعة المدرجة في OWASP Top 10. تتطلب مراجعات الكود مراجعاً واحداً على الأقل ذا خبرة في المجال، ويتم تتبع جميع التغييرات عبر التحكم في الإصدار بالتزامات موقعة.
حماية البنية التحتية والشبكة
يتم نشر جميع تطبيقات العملاء على سحب خاصة افتراضية معزولة بدون استئجار مشترك. يتم التحكم في الوصول إلى الشبكة من خلال مجموعات وقوائم التحكم في الوصول (ACLs) بسياسة الرفض الافتراضي. تتم حماية تطبيقات الويب بجدران حماية تطبيقات الويب (WAFs) بمجموعات قواعد مخصصة. يتم تمكين حماية DDoS عند الحافة عبر موفري CDN. نجري اختبارات اختراق خارجية سنوياً على الأقل وبعد أي تغييرات كبيرة في البنية التحتية. يتم فحص صور الحاويات بحثاً عن الثغرات قبل النشر.
استمرارية الأعمال والتعافي من الكوارث
نحتفظ بأدلة تعافي من الكوارث موثقة لكل نظام إنتاج. يتم تحديد أهداف وقت الاسترداد (RTO) وأهداف نقطة الاسترداد (RPO) في كل اتفاقية خدمة واختبارها ربع سنوياً من خلال تمارين تجاوز الفشل. تعمل النسخ الاحتياطية الآلية وفق جداول قابلة للتكوين مع نسخ مشفر خارج الموقع. تضمن استراتيجيات النشر الأزرق-الأخضر إصدارات دون توقف وقدرة تراجع فورية. تساعدنا تمارين هندسة الفوضى في تحديد نقاط الضعف قبل أن تسبب انقطاعات حقيقية.
إدارة مخاطر الموردين وسلسلة التوريد
نحتفظ بسجل محدث لجميع الموردين الخارجيين والمعالجين الفرعيين الذين قد يصلون إلى بيانات العملاء أو يعالجونها. يخضع كل مورد لتقييم مخاطر قبل الانضمام يقيّم ممارسات حماية البيانات والاستقرار المالي ووضع الامتثال. يتم إخطار العملاء قبل 30 يوماً من التعاقد مع أي معالج فرعي جديد مع حق الاعتراض. يتم تتبع التبعيات مفتوحة المصدر باستخدام أدوات تحليل تكوين البرمجيات. يتم مراجعة التحديثات أسبوعياً وتطبيق التصحيحات الحرجة خلال 48 ساعة من الكشف.
شفافية معالجة البيانات
نؤمن بأنك يجب أن تعرف بالضبط كيف يتم التعامل مع بياناتك في كل مرحلة من تعاملنا. الشفافية في إدارة البيانات تبني الثقة وتساعدك على الوفاء بالتزامات الامتثال الخاصة بك.
تصنيف البيانات
يتم تصنيف جميع بيانات العملاء إلى مستويات حساسية (عامة، داخلية، سرية، مقيدة) في بداية كل مشروع. لكل مستوى متطلبات معالجة محددة للتخزين والنقل والوصول والتخلص. يتم تطبيق تصنيفات التسمية تلقائياً حيثما أمكن ومراجعتها خلال عمليات التدقيق الربع سنوية.
إقامة البيانات والسيادة
يتم تخزين بيانات العملاء في المنطقة الجغرافية المحددة في اتفاقية الخدمة ولا يتم نقلها أبداً خارج تلك المنطقة دون موافقة خطية صريحة. تبقى بيانات عملاء الاتحاد الأوروبي داخل مراكز بيانات الاتحاد الأوروبي. ندعم البنى متعددة المناطق للمنظمات ذات العمليات العالمية، مما يضمن أن كل منطقة تلبي المتطلبات التنظيمية المحلية.
الاحتفاظ بالبيانات والتخلص منها
نحتفظ ببيانات العملاء فقط للمدة المحددة في اتفاقية الخدمة بالإضافة إلى فترة سماح مدتها 30 يوماً لانتقال منظم. عند اكتمال المشروع أو إنهاء العقد، يتم حذف جميع البيانات بشكل آمن باستخدام طرق المحو التشفيري التي تجعل البيانات غير قابلة للاسترداد. يتم تقديم شهادة إتلاف عند الطلب. تتبع نسخ النسخ الاحتياطي نفس جدول الاحتفاظ وإجراءات التخلص.
إدارة المعالجين الفرعيين
نحتفظ بقائمة محدثة لجميع المعالجين الفرعيين الذين قد يصلون إلى بيانات العملاء. يتم إخطار العملاء قبل 30 يوماً من التعاقد مع أي معالج فرعي جديد مع حق الاعتراض. جميع المعالجين الفرعيين ملزمون تعاقدياً بنفس معايير حماية البيانات التي نلتزم بها. تتحقق المراجعات السنوية من الامتثال المستمر.
التوافر والأداء
الحالة في الوقت الفعلي
تحديثات الأمان
وجدت مشكلة أمنية؟ نقدر الإفصاح المسؤول ونقدم مكافآت للثغرات الصالحة.