أمان بيانات لا مثيل له هو أولويتنا الأولى
في AskERP، الأمان ليس فكرة لاحقة - إنه أساسي لتصميم منصتنا وعملياتنا. نحن نفهم أن بياناتك حاسمة لعملك، ونتخذ تدابير واسعة النطاق لحمايتها على كل مستوى. يجمع إطارنا الشامل للأمان بين الضوابط التقنية والإجراءات التشغيلية وأفضل الممارسات الصناعية لضمان بقاء معلوماتك سرية وسليمة ومتاحة.
نحافظ على موقف أمني مستمر مع عمليات تدقيق منتظمة واختبارات الاختراق وتقييمات التهديدات. يراقب فريق الأمان المخصص لدينا التهديدات 24/7 ويستجيب للحوادث في غضون دقائق ويحافظ على الامتثال للمعايير واللوائح الدولية.
استضافة سحابية على AWS: نستضيف AskERP على خدمات ويب أمازون، وهي موفر بنية تحتية سحابية من الدرجة الأولى. توفر خدمات ويب أمازون أمانًا على مستوى المؤسسة وتكرار مركز البيانات العالمي وشهادات الامتثال عبر أطر متعددة. هذا يضمن أن بيانات تستفيد من استثمارات خدمات ويب أمازون الواسعة في الأمان وتقسية البنية التحتية.
الحماية المتكررة متعددة المناطق: يتم نشر منصتنا عبر مناطق AWS متعددة لضمان التوفر العالي واستعادة الكوارث. إذا واجهت منطقة واحدة انقطاعاً، يتم توجيه حركة المرور تلقائياً إلى مناطق النسخ الاحتياطي، مما يضمن الخدمة المستمرة. يتم نسخ بيانات احتياطي عبر مراكز بيانات موزعة جغرافياً لمنع نقاط الفشل الوحيدة.
حماية DDoS: توفر خدمات ويب أمازون Shield Standard حماية تلقائية ضد هجمات الحرمان من الخدمة الموزعة (DDoS). للحماية المحسّنة، نستخدم خدمات ويب أمازون Shield Advanced وقواعد جدار حماية تطبيق الويب للكشف عن الهجمات المعقدة والتخفيف منها في الوقت الفعلي.
جدار الحماية وأمان الشبكة: تحمى بنيتنا التحتية بعدة طبقات من جدران الحماية ومجموعات الأمان وقوائم التحكم في الوصول إلى الشبكة. يقتصر حركة المرور الداخلة على المنافذ والبروتوكولات الضرورية، بينما يتم مراقبة حركة المرور الخارجة وتسجيلها. نستخدم كلاً من تقسيم المحيط والداخلي لعزل الأنظمة الحرجة.
التشفير في الراحة: جميع البيانات المخزنة في قواعد البيانات وأنظمة التخزين والنسخ الاحتياطية لدينا مشفرة باستخدام تشفير AES-256 بـ 256 بت معياري صناعي. يتم إدارة مفاتيح التشفير من خلال خدمة إدارة مفاتيح خدمات ويب أمازون (KMS) مع عناصر تحكم وصول صارمة وسياسات تدوير المفاتيح التلقائية.
التشفير أثناء النقل: جميع البيانات المرسلة بين جهازك وخوادمنا تستخدم تشفير TLS 1.3، وهو أحدث وأكثر نسخة آمنة من بروتوكول أمان طبقة النقل. ينطبق هذا على جميع الاتصالات، بما في ذلك استدعاءات API وحركة الويب وتحميل الملفات. يتم تعطيل مجموعات التشفير الضعيفة.
النسخ الاحتياطية المشفرة: يتم تشفير لقطات النسخ الاحتياطية اليومية وتخزينها في حاويات AWS S3 آمنة مع تفعيل الإصدارات. يستخدم تشفير النسخة الاحتياطية نفس معيار AES-256 كما هو الحال مع بيانات الإنتاج. يقتصر الوصول إلى النسخ الاحتياطية على الموظفين المصرح لهم فقط، ويتم التحقق من سلامة النسخة الاحتياطية بانتظام.
الأمان من النهاية إلى النهاية: تستخدم العمليات الحساسة ربط الشهادات لمنع هجمات الرجل في المنتصف. تفرض رؤوس HTTP Strict النقل الأمان (HSTS) اتصالات مشفرة، والسرية الكاملة المستقبلية تضمن أنه حتى إذا تم كسر المفاتيح طويلة الأجل، تبقى الجلسات السابقة آمنة.
التحكم في الوصول المستند إلى الأدوار (RBAC): ينفذ AskERP تحكمًا دقيقًا في الوصول بناءً على الأدوار، مما يسمح للمسؤولين بتحديد أذونات محددة لأدوار المستخدمين المختلفة. يمكن للمستخدمين فقط الوصول إلى البيانات والميزات ذات الصلة بدورهم. يتم إلغاء الوصول تلقائيًا عند تغيير المستخدمين لأدوارهم أو مغادرتهم للمنظمة.
تسجيل الدخول الموحد (SSO) و SAML: ندعم تكامل SSO للمؤسسات عبر SAML 2.0، مما يسمح لمنظمتك بإدارة المصادقة بشكل مركزي. يضمن هذا كلمات مرور أقوى وإدارة بيانات اعتماد أسهل وإلغاء تعيين أسرع للموظفين السابقين.
المصادقة الثنائية (2FA): يمكن للمستخدمين تفعيل المصادقة الثنائية باستخدام تطبيقات المصادقة (TOTP) أو الرسائل النصية. يوصى بـ 2FA لجميع المستخدمين وهي إلزامية للحسابات الإدارية. يضيف هذا طبقة حماية إضافية حتى لو تم اختراق كلمات المرور.
سجلات التدقيق الشاملة: يتم تسجيل جميع إجراءات المستخدم والوصول إلى البيانات وتغييرات النظام مع الطوابع الزمنية ومعرفات المستخدمين. هذه السجلات غير قابلة للتغيير ويتم الاحتفاظ بها لأغراض الامتثال. يمكن للمسؤولين مراجعة مسارات التدقيق للتحقيق في الأنشطة المريبة والحفاظ على المساءلة.
إدارة الجلسة: يتم إدارة جلسات المستخدم بشكل آمن من خلال سياسات انتهاء الصلاحية، مما يمنع الوصول غير المصرح به من الأجهزة المهجورة. يتم إبطال رموز الجلسة عند تسجيل الخروج، ويمكن تكوين حدود الجلسة المتزامنة.
SOC 2 من النوع الثاني: نحتفظ بامتثال SOC 2 من النوع الثاني، مما يثبت أن ضوابطنا مصممة وموضوعة موضع التنفيذ وتعمل بفعالية لتلبية معايير الصناعة. تتحقق عمليات التدقيق المستقلة المنتظمة من ضوابط الأمان والتوفر وسلامة المعالجة والسرية والخصوصية لدينا.
ISO 27001: نظام إدارة أمان المعلومات لدينا معتمد بموجب ISO 27001، المعيار الدولي لأمان المعلومات. يغطي هذا الاعتماد سياساتنا وإجراءاتنا والضوابط التقنية عبر المنظمة بأكملها.
امتثال GDPR: AskERP متوافقة بالكامل مع نظام حماية البيانات العام (GDPR). لدينا اتفاقيات معالجة البيانات المعمول بها واحترام حقوق المستخدم وتمكين نقل البيانات المشروع والحفاظ على إجراءات إخطار الانتهاك. تتوافق ضوابط الخصوصية والآليات الموافقة بموجب متطلبات GDPR.
الامتثال لقانون تكنولوجيا المعلومات الهندي: كمنصة تخدم المؤسسات الهندية، نحن نمتثل لقانون تكنولوجيا المعلومات، 2000 وقواعده. نحن نحافظ على تحليل البيانات حيث يلزم، وننفذ تدابير تقنية وتنظيمية مناسبة، ونتبع ممارسات الكشف عن المسؤوليات.
الامتثال الإضافي: نلتزم بالحفاظ على الامتثال للأطر التنظيمية ذات الصلة في جميع الولايات القضائية التي نعمل فيها. يتم مراجعة موقف الامتثال لدينا بانتظام وتحديثه ليعكس متطلبات تنظيمية متطورة.
النسخ الاحتياطية الآلية اليومية: نقوم بإجراء نسخ احتياطية مشفرة تلقائية لجميع بيانات العملاء كل 24 ساعة. يتم تخزين النسخ الاحتياطية في مناطق AWS متعددة للتكرار الجغرافي. يضمن هذا الاسترجاع السريع في حالة الحذف العرضي أو الفساد أو الكارثة.
سياسة الاحتفاظ لمدة 30 يومًا: يتم الاحتفاظ بلقطات النسخة الاحتياطية لمدة 30 يومًا على الأقل، مما يسمح باسترجاع البيانات المحذوفة حتى قبل 30 يومًا. يتم الاحتفاظ بالنسخ الاحتياطية الأقدم لفترة أطول لأغراض الامتثال حيث يكون مطلوبًا قانونًا.
هدف نقطة الاسترجاع (RPO) < 1 Hour: يضمن تكرار النسخ الاحتياطية أن فقدان البيانات في حالة حدوث حالات طوارئ ضئيل، عادة أقل من ساعة من البيانات. هذا RPO مناسب لمعظم التطبيقات الحرجة للعمل.
هدف وقت الاسترجاع (RTO) < 4 Hours: يمكننا استعادة النظام بأكمله من نسخة احتياطية في غضون 4 ساعات من بدء الاسترجاع. للاسترجاع الجزئي (قواعد البيانات أو المستخدمين المحددين)، يكون الاستعادة عادة أسرع بكثير.
اختبار الاسترجاع المنتظم: نختبر إجراءات النسخ الاحتياطية والاسترجاع بانتظام لضمان الفعالية. يتم توثيق هذه الاختبارات واستعراضها لتحديد ومعالجة أي فجوات.
حماية OWASP Top 10: تتبع ممارسات التطوير لدينا إرشادات OWASP (مشروع أمان تطبيقات الويب المفتوح) للحماية من أفضل 10 مخاطر أمان تطبيقات، بما في ذلك هجمات حقن البيانات والمصادقة المكسورة والتعريض للبيانات الحساسة وكيانات XML الخارجية والتحكم في الوصول المكسور وأخطاء تكوين الأمان والبرمجيات النصية للمواقع وفك التسلسل غير الآمن واستخدام المكونات ذات الثغرات الحرجة والتسجيل غير الكافي.
منع حقن SQL: تستخدم جميع استعلامات قاعدة البيانات العبارات المعاملات والعبارات المُعدة. لم يتم دمج إدخال المستخدم مباشرة في استعلامات SQL، مما يقضي على ثغرات حقن SQL.
حماية البرامج النصية متعددة المواقع (XSS): يتم تطهير محتوى ينتجه المستخدم والهروب منه قبل العرض. تقيد رؤوس سياسة أمان المحتوى (CSP) تنفيذ البرامج النصية المضمنة. نستخدم محركات القوالب التي تهرب من المحتوى افتراضيًا.
حماية رمز CSRF: تتطلب جميع العمليات التي تغير الحالة رموز طلب التزوير عبر الموقع (CSRF) صحيحة. هذه الرموز فريدة لكل جلسة ويتم التحقق منها في كل طلب، مما يمنع الإجراءات غير المصرح بها من المواقع الخارجية.
اختبار الاختراق المنتظم: نجري اختبارات الاختراق السنوية من قبل جهات خارجية لتحديد الثغرات قبل أن يتمكن المهاجمون من استغلالها. تتم مراجعة النتائج وعلاج النتائج بسرعة. المسح الأمني المؤتمت المستمر يكمل الاختبار اليدوي.
رؤوس الأمان: تصدر خوادمنا رؤوس أمان بما في ذلك X-Frame-Options (يمنع النقر في الإطار) و X-Content-Type-Options (يمنع شم MIME) و سياسة المُحيل. تُرشد هذه الرؤوس المتصفحات إلى تطبيق تدابير أمان إضافية.
سياسة الخصوصية: تفاصيلنا سياسة الخصوصية يحدد كيفية جمعنا واستخدامنا وتخزينناه وحماية بيانات الشخصية. نوصي بمراجعته لفهم حقوقك والتزاماتنا.
اتفاقيات معالجة البيانات: بالنسبة للعملاء الذين يتطلبون GDPR أو التزامات تعاقدية أخرى، نوفر اتفاقيات معالجة البيانات الشاملة (DPA) التي توضح أدوار المراقب والمعالج وتحدد أسس المعالجة القانونية وتحدد التزامات الأمان.
جمع البيانات بالحد الأدنى: نجمع فقط البيانات اللازمة لتوفير AskERP وتحسين خدمتنا. يمكن للمستخدمين التحكم في البيانات التي يشاركونها، وتوفر أدوات لتصدير وحذف البيانات الشخصية عند الطلب.
فحص الطرف الثالث: يتم التحقق من جميع الخدمات الخارجية التي نتكامل معها للامتثال الأمني والخصوصية. يجب على البائعين الوفاء بمعايير الأمان لدينا والتوقيع على اتفاقيات معالجة البيانات قبل التكامل.
المراقبة الأمنية 24/7: يراقب مركز العمليات الأمنية (SOC) الخاص بنا المنصة على مدار الساعة طوال الأسبوع لنشاط مريب وشذوذ والخروقات المحتملة. تنبهك أنظمة الكشف الآلية فريقنا بالتهديدات المحتملة في الوقت الفعلي.
فريق الاستجابة للحوادث: فريق استجابة حوادث مخصص بانتظار معالجة الحوادث الأمنية. نتبع خطة استجابة الحوادث الموثقة التي تغطي الكشف والاحتواء والقضاء والتعافي.
وقت الاستجابة للمشاكل الحرجة < 1 Hour: بالنسبة للمشاكل الأمنية الحرجة التي تؤثر على سرية البيانات أو التوافر، يبدأ فريقنا الاستجابة في غضون ساعة واحدة من الكشف. نولي الأولوية للتهديدات الاحتواء والحد من التأثير.
إخطار خرق البيانات: في حالة حدوث خرق بيانات مؤكد، نخطر العملاء المتأثرين في غضون 72 ساعة كما هو مطلوب بموجب GDPR واللوائح الأخرى. تتضمن الإخطارات تفاصيل الخرق والبيانات المتأثرة والتدابير المتخذة والإجراءات الموصى بها للعملاء.
المراجعة بعد الحادث: بعد أي حادث أمني، نجري مراجعة شاملة لما بعد الحادث لتحديد الأسباب الجذرية وتنفيذ الإجراءات التصحيحية لمنع الحدوث.
إذا كان لديك أسئلة حول ممارسات الأمان الخاصة بنا أو رغبة في الإبلاغ عن ثغرة أو بحاجة إلى مناقشة متطلبات الامتثال، يرجى الاتصال بفريق الأمان:
البريد الإلكتروني: الأمان@askerp.com
وقت الاستجابة: نهدف إلى الاعتراف بجميع استفسارات الأمان في غضون 24 ساعة.
الإفصاح المسؤول: نرحب بالإفصاحات الأمنية المسؤولة. يرجى عدم الإفصاح علناً عن الثغرات قبل إعطائنا وقتاً لمعالجتها.