ورقة الأمان البيضاء
Claform الأمان نظرة عامة
استطلاعات يُكملها الناس
نظرة شاملة على كيفية حمايتنا لبياناتك عبر طبقات البنية التحتية والتطبيق والمصادقة والتشغيل.
ملخص تنفيذي
الأمان بالتصميم
Claform منصة مؤسسية للاستبيانات والملاحظات تعالج ملايين الردود عبر أكثر من 190 دولة من خلال 8 قنوات توزيع. الأمان ليس أمرًا لاحقًا؛ بل هو مبدأ تصميمي أساسي مضمّن في كل طبقة من بنيتنا.
تقوم فلسفتنا الأمنية على الدفاع المتعمّق: ضوابط متعددة متداخلة تضمن ألا تستطيع أي نقطة فشل واحدة المساس بسلامة البيانات أو سريّتها. ونجمع بين التشفير القياسي في الصناعة، وضوابط الوصول الصارمة، والمراقبة المستمرة، وعمليات التدقيق الدورية بأطراف ثالثة للحفاظ على ثقة المؤسسات التي تتعامل مع بيانات ملاحظات حساسة.
يقدّم هذا المستند نظرة تقنية عامة على ضوابط الأمان لدينا عبر ستة مجالات: البنية التحتية، والتطبيق، وحماية البيانات، والمصادقة، والامتثال، والأمان التشغيلي.
أمان البنية التحتية
تعمل منصتنا على بنية تحتية سحابية بمستوى المؤسسات مصمّمة للتوافر العالي وتحمّل الأعطال والدفاع المتعمّق.
الاستضافة السحابية
مستضافة على AWS بعمليات نشر متعددة مناطق التوافر عبر مناطق موزّعة جغرافيًا. تحافظ مجموعات التوسّع التلقائي على الأداء تحت ذروة الحمل.
عزل الشبكة
سحابة خاصة افتراضية (VPC) بشبكات فرعية خاصة، وبوّابات NAT، ومجموعات أمان صارمة. لا وصول مباشر من الإنترنت إلى خوادم التطبيقات.
الحماية من هجمات DDoS
يوفّر AWS Shield Advanced مع شبكة توصيل المحتوى CloudFront تخفيفًا متعدد الطبقات لهجمات DDoS. وتحجب قواعد تحديد المعدل وجدار حماية تطبيقات الويب (WAF) حركة المرور الخبيثة قبل وصولها إلى منطق التطبيق.
النسخ الاحتياطي والاستعادة
لقطات قاعدة بيانات يومية آلية مع الاحتفاظ بها 30 يومًا. استعادة إلى نقطة زمنية خلال آخر 5 دقائق. تكرار نسخ احتياطي عبر المناطق للتعافي من الكوارث.
أمان التطبيق
الأمان مضمّن في كل مراحل دورة التطوير لدينا، من مراجعة الشيفرة إلى مراقبة الإنتاج.
التحقق من المدخلات
يتم التحقق من جميع مدخلات المستخدم وتنقيتها وتحويلها إلى معاملات في طبقات متعددة. ويمنع التحقق الصارم من الأنواع باستخدام TypeScript فئات كاملة من الثغرات أثناء التشغيل.
تغطية OWASP Top 10
حماية منهجية ضد جميع مخاطر OWASP Top 10 بما في ذلك الحقن، والمصادقة المعطوبة، وXSS، وCSRF، وإلغاء التسلسل غير الآمن، وسوء تهيئة الأمان.
فحص التبعيات
فحص آلي لجميع التبعيات في كل عملية بناء. ويراقب Snyk وGitHub Dependabot الثغرات المعروفة. وتُرقّع الثغرات الحرجة (CVEs) خلال 24 ساعة.
اختبار الاختراق
اختبارات اختراق سنوية بأطراف ثالثة من شركات أمان معتمدة. وفحص آلي مستمر للثغرات. وبرنامج مكافآت اكتشاف الثغرات للإفصاح المسؤول.
حماية البيانات
جميع البيانات مشفّرة عند التخزين وأثناء النقل باستخدام خوارزميات تشفير قياسية في الصناعة وإدارة صارمة للمفاتيح.
AES-256-GCM عند التخزين
جميع البيانات المخزّنة بما في ذلك ردود الاستبيانات والملفات المرفوعة والمعلومات الشخصية القابلة للتحديد مشفّرة بـ AES-256-GCM. ويضيف التشفير الشفّاف للبيانات على مستوى قاعدة البيانات طبقة ثانية.
TLS 1.3 أثناء النقل
تستخدم جميع اتصالات الشبكة TLS 1.3 مع مجموعات تشفير قوية. وتفرض ترويسات HSTS استخدام HTTPS. ويمنع تثبيت الشهادات في حزم تطوير الجوال هجمات الوسيط.
إدارة المفاتيح
تُدار مفاتيح التشفير عبر AWS KMS مع تدوير سنوي تلقائي. ولا تُخزَّن المفاتيح بجوار البيانات أبدًا. وتحمي وحدات أمان الأجهزة (HSMs) المفاتيح الرئيسية.
اكتشاف المعلومات الشخصية
يحدّد الاكتشاف الآلي للمعلومات الشخصية في ردود النصوص المفتوحة الأسماء والبريد الإلكتروني وأرقام الهواتف والعناوين. ويمكن إخفاء البيانات المُعلَّمة تلقائيًا أو إخضاعها للمراجعة.
المصادقة والتحكم في الوصول
إدارة هوية بمستوى المؤسسات بعوامل مصادقة متعددة، وأذونات دقيقة، وتحكم شامل في الجلسات.
تسجيل الدخول الموحّد SAML 2.0
دعم أصلي لـ Okta، وAzure AD، وOneLogin، وGoogle Workspace، وأي مزوّد هوية يدعم SAML 2.0. مع توفير في الوقت المناسب وربط تلقائي للأدوار.
المصادقة متعددة العوامل بكلمة مرور لمرة واحدة (TOTP)
مصادقة متعددة العوامل بكلمة مرور لمرة واحدة قائمة على الوقت مع دعم تطبيقات المصادقة. يمكن فرضها على مستوى المؤسسة بالكامل أو لكل دور. مع رموز استرداد ذات تخزين آمن.
تحديد نطاق مفاتيح API
مفاتيح API دقيقة بأذونات لكل نقطة نهاية، وحدود معدل، وقيود IP، وانتهاء صلاحية تلقائي. مع مسار تدقيق كامل لاستخدام المفاتيح.
إدارة الجلسات وقوائم سماح عناوين IP
مهلات جلسات قابلة للتهيئة، وحدود للجلسات المتزامنة، وتسجيل خروج قسري، وقوائم سماح جغرافية لعناوين IP. مع مراقبة الجلسات واكتشاف الشذوذ في الوقت الفعلي.
الامتثال والشهادات
نصمّم منصتنا لتتوافق مع لوائح حماية البيانات العالمية لتلبية متطلبات القطاعات المنظّمة.
GDPR مع اتفاقية معالجة البيانات
امتثال كامل لـ GDPR بما في ذلك حقوق صاحب البيانات (الوصول، والتصحيح، والمحو، وإمكانية النقل)، وإدارة الموافقة، واتفاقية معالجة بيانات شاملة (DPA).
TCPA وCASL
امتثال مدمج لحملات الرسائل النصية والصوتية مع تتبّع موافقة TCPA، وإدارة إلغاء الاشتراك، والامتثال للتشريع الكندي لمكافحة البريد المزعج (CASL).
SOC 2 (ضوابط Type II)
مبنية على مبادئ الثقة في SOC 2 Type II: الأمان والتوافر والسريّة. ويمكن لعملاء Enterprise طلب وثائق الأمان الحالية لدينا بموجب اتفاقية عدم إفصاح.
اتفاقية الشريك التجاري لـ HIPAA متاحة
تتوفّر اتفاقية شريك تجاري لمؤسسات الرعاية الصحية. مع معالجة بيانات متوافقة مع HIPAA، وضوابط وصول، وتسجيل تدقيق للمعلومات الصحية المحمية.
الأمان التشغيلي
يمتد الأمان إلى ما هو أبعد من التقنية ليشمل موظفينا وعملياتنا وممارساتنا التنظيمية.
التحقق من خلفيات الموظفين
يخضع جميع الموظفين لفحوصات خلفية شاملة قبل التعيين. ويتطلّب الوصول إلى أنظمة الإنتاج تصريحًا أمنيًا إضافيًا.
التدريب الأمني
تدريب سنوي إلزامي على التوعية الأمنية لجميع الموظفين. ويكمل المهندسون دورات إضافية في البرمجة الآمنة ومحاكاة التصيّد.
الاستجابة للحوادث
خطة موثّقة للاستجابة للحوادث بأدوار محددة، وإجراءات تصعيد، وقوالب اتصال. مع تمارين محاكاة دورية ومراجعات لاحقة للحوادث.
الإفصاح عن الثغرات
برنامج إفصاح مسؤول بقنوات إبلاغ واضحة. ويمكن لباحثي الأمان الإبلاغ عن الثغرات إلى security@claform.com مع حماية الملاذ الآمن.
نزّل الورقة البيضاء الكاملة
احصل على ورقة الأمان البيضاء الكاملة بصيغة PDF للمراجعة دون اتصال، أو عمليات تدقيق الامتثال، أو لمشاركتها مع فريق الأمان لديك.
تنزيل ورقة الأمان البيضاء (PDF)هل تحتاج إلى مراجعة أعمق؟
حدّد موعدًا لمراجعة أمنية مع فريقنا. يسعدنا أن نشرح بنيتنا، ونشارك تقارير SOC 2، ونجيب عن استبيانات الأمان لديك.