Security

سياسة الأمان في QWIC
هذه الصفحة تشرح كيف نحمي بيانات عملائنا ومستخدميهم على منصة QWIC. صممنا الضوابط أدناه لتكون واضحة وقابلة للتدقيق، وتغطي البنية السحابية، التشفير، التحكم بالوصول، التطوير الآمن، النسخ الاحتياطي، الاستجابة للحوادث، وإدارة المورّدين.
آخر تحديث: ‎2025-09-24

1) ملخص تنفيذي
حماية بيانات العملاء أولوية قصوى.
جميع الاتصالات مشفّرة، والبيانات الحساسة تُخزن بتشفير قوي.
الوصول للأنظمة يتم بمبدأ «أقل قدر لازم من الصلاحيات».
لدينا نسخ احتياطي، خطط تعافي من الكوارث، وإجراءات استجابة للحوادث.
نلتزم بالتشريعات العامة لحماية البيانات (GDPR) وممارسات الخصوصية المذكورة في سياسة الخصوصية.

2) البنية السحابية والموثوقية
استضافة على مزوّد سحابي معتمد (مراكز بيانات متعددة المناطق، توفّر عالٍ، نسخ احتياطي تلقائي).
عزل بيئات التطوير/الاختبار/الإنتاج من بعضها.
استخدام حاويات وخدمات مُدارة لتقليل سطح المخاطر وتسهيل التحديثات الأمنية.
مراقبة مستمرة للأداء والصحة وتتبّع الحالة على مستوى الخدمة (SLA).

3) التشفير وإدارة المفاتيح
أثناء النقل: TLS 1.2+ مع مصافحات آمنة وحدّ أدنى لقوّة التشفير 128-bit، تفضيل 256-bit.
أثناء التخزين: تشفير AES-256 للبيانات في قواعد البيانات والنسخ الاحتياطية ولقطات التخزين.
إدارة المفاتيح: باستخدام KMS لدى مزوّد السحابة، مع تدوير دوري للمفاتيح وتقييد الوصول لها بسجلات تدقيق.

4) المصادقة والتحكم بالوصول

SSO/SAML/OIDC اختياري لعملاء المؤسسات.

2FA/MFA لحسابات فريق QWIC والحسابات الإدارية لدى العملاء.

أذونات مبنية على الأدوار (RBAC) بمبدأ «أقل صلاحية».

تعطيل تلقائي للجلسات غير النشطة، وحدود محاولات الدخول، وCAPTCHA عند الاشتباه.

5) أمان الشبكة والتطبيق
WAF وجدران نارية، منع إدراج القوائم السوداء المعروفة، وحدود معدّل الطلبات (Rate-Limiting).
حماية من هجمات DDoS عبر مزوّد السحابة و/أو شبكة توصيل المحتوى (CDN).
تصفية مدخلات صارمة ضدّ: SQLi, XSS, CSRF, SSRF, RCE.
استعمال رؤوس أمان المتصفح: HSTS, X-Content-Type-Options, X-Frame-Options, CSP.
فصل بيانات العملاء منطقيًا (Tenant Isolation).

6) دورة حياة التطوير الآمن (SSDLC)
مراجعات كود إلزامية (Code Review) وفحوصات SAST/DAST تلقائية.
تحديثات أمنية منتظمة للمكتبات وحزم النظام (Dependabot/مشابه).
بيئة بناء/نشر آلية (CI/CD) مع توقيع صور الحاويات والتحقق منها.
اختبارات Pen-Test دورية بواسطة طرف ثالث؛ نتائجها تُعالج بإدارة ثغرات رسمية.

7) إدارة الثغرات والتصحيحات

مسح آلي دوري للثغرات على البنية والاعتمادات البرمجية.

تصنيف CVSS وتحديد أولويات المعالجة حسب الشدة.

نوافذ صيانة مُعلنة للتحديثات الحرجة.

برنامج بلاغات مسؤول (Responsible Disclosure) – راجع «الإبلاغ عن ثغرة».

8) سجلات التدقيق والمراقبة
تسجيل محاولات الدخول، التغييرات الحساسة، العمليات الإدارية، وأحداث الأمان.
الاحتفاظ بالسجلات وفق سياسة الاحتفاظ بالبيانات، مع حماية من العبث.
تنبيهات فورية عند مؤشرات اختراق (IoC) أو سلوك غير اعتيادي.

9) النسخ الاحتياطي والتعافي من الكوارث

نسخ احتياطية يومية/متعددة النقاط مع تشفير وتكرار عبر مناطق مختلفة.

اختبارات استعادة دورية للتأكد من سلامة النسخ (Restore Drills).

أهداف: RPO ≤ 24 ساعة، RTO ≤ 4 ساعات (قابلة للتخصيص في العقود المؤسسية).

10) الاستجابة للحوادث (IR)
فريق استجابة مُعيّن بإجراءات موثقة: تحديد، احتواء، استئصال، تعافي، ودروس مستفادة.
إخطار العميل بالحوادث التي تؤثر على بياناته خلال إطار زمني معقول وبحسب متطلبات العقد والقانون.

11) الخصوصية والامتثال

معالجة البيانات وفق سياسة الخصوصية واتفاقية معالجة البيانات (DPA) عند الطلب.

دعم حقوق الأفراد (الوصول، التصحيح، الحذف) عبر قنوات الدعم.

الحد الأدنى من جمع البيانات اللازمة فقط (Data Minimization).

إمكانيات تحديد الموقع الجغرافي للبيانات/الاحتفاظ بها حسب اتفاق العميل.

12) تكاملات الطرف الثالث وواجهات البرمجة (APIs)

عند الربط مع قنوات مثل WhatsApp/Instagram/Facebook أو CRMs (Salesforce/HubSpot/Zoho…):
نلتزم بسياسات الأمان والخصوصية لتلك الخدمات.
مفاتيح الوصول والرموز تُخزن مشفّرة، مع تجديد دوري وصلاحيات محدودة.
لا نستخدم بيانات الأطراف الثالثة خارج نطاق غرض الخدمة المتفق عليه.

13) أدوار ومسؤوليات العميل

تفعيل MFA/SSO لحسابات فريقه.

إدارة الأدوار للمستخدمين ومراجعتها دوريًا، وإلغاء وصول من يغادر الفريق.

ضبط مدد الاحتفاظ وسياسات الخصوصية الخاصة به داخل لوحة التحكم.

الحفاظ على أسرار التكامل (Tokens/Webhooks) وتغييرها عند الاشتباه.

14) الاحتفاظ بالبيانات والحذف
الاحتفاظ بالبيانات حسب إعدادات العميل أو العقد.
حذف آمن عند انتهاء العلاقة أو بناءً على طلب موثق، مع حذف النسخ الاحتياطية عند انتهاء فترة الاحتفاظ القانونية/التقنية.
إمكانيات تصدير البيانات بصيغة معيارية قبل الحذف.

15) الإبلاغ عن ثغرة (Responsible Disclosure)
إذا اكتشفت ثغرة، أرسل التفاصيل إلى security@qwic.ai مع خطوات إعادة الإنتاج والأثر المحتمل.
لا تقم باستغلال الثغرة أو الوصول لبيانات ليست لك.
سنؤكد الاستلام خلال 72 ساعة ونزوّدك بتقدير أولي للأولوية وخطّة المعالجة.
يمكن توفير تشفير PGP لرسائل حساسة (يُرسل المفتاح العام عند الطلب).

16) شهادات ومعايير (خارطة طريق)
العمل وفق ضوابط ISO/IEC 27001 وممارسات SOC 2 (نوع 1/2) كخارطة طريق، مع مشاركة تقارير طرف ثالث عند توفرها تحت اتفاقية عدم إفصاح (NDA).
فحوصات أمنية سنوية من طرف مستقل، وتحديث سياسة الأمان بشكل مستمر.

17) أسئلة شائعة سريعة
هل بيانات المحادثات مشفّرة؟ نعم، أثناء النقل والتخزين.
هل لدى QWIC وصول لمحتوى عملائي؟ فقط عند الضرورة ولأغراض الدعم/الصيانة، وبأذونات مقيدة وسجلات تدقيق.
هل يمكن اختيار موقع تخزين البيانات؟ متاح لعملاء المؤسسات حسب التعاقد والتوفر الإقليمي.
كم نحتفظ بالنسخ الاحتياطي؟ افتراضيًا 30–90 يومًا (قابل للتخصيص).

18) تواصل بخصوص الأمان
للدعم العام: support@qwic.ai
الموقع: https://qwic.ai

ملاحظة قانونية: هذه السياسة جزء من التزامات QWIC الأمنية، لكنها ليست ضمانًا مطلقًا ضدّ كل المخاطر. أي التزامات إضافية أو معدلات خدمة خاصة تُحدد في العقد أو اتفاقية مستوى الخدمة (SLA) الموقّعة مع العميل.