نظرة شاملة على الأمان والبنية التحتية

1. حماية البيانات

يتم تشفير رموز الدخول، مفاتيح التحديث، معرّفات التحليلات، وأسرار الويب هوك باستخدام AES-256-GCM (enc:v1) مع تدوير دوري عبر AUTH_SECRET المخزَّن خارج المستودع.

تُفحص الملفات المرفوعة في Participant Hub وتُخزّن عبر روابط موقعة تنتهي صلاحيتها تلقائياً، فيما تُعاد توليد ملفات PDF/CSV/ICS والتحقق منها عند كل طلب وصول لضمان الخصوصية.

• يُفرض التصفح عبر HTTPS مع HSTS وCSP تلقائياً.
• يُحمّل ملف الأسرار عبر SECRET_BUNDLE_PATH، ولا يُسمح بتعريض المفاتيح ضمن متغيرات NEXT_PUBLIC.

2. التحكم في الوصول

تتحكم صلاحيات دقيقة في جميع إجراءات المديرين والمنظمين، مثل إدارة الرحلات والمدفوعات والإشعارات. يتطلّب الدعم التقني تفعيل المصادقة الثنائية 2FA بالإضافة إلى الرموز التصاعدية للعمليات الحساسة.

الرحلات العامة تُظهر فقط البيانات المصرّح بمشاركتها؛ عناوين المالكين والملاحظات وملفات الموردين تبقى داخل المساحة الآمنة.

• تتم إدارة المصادقة عبر رموز آمنة ومشفرة يتم تدويرها بانتظام لمنع الوصول غير المصرح به.
• تحتاج العمليات عالية المخاطر إلى تمرير خطوة حماية إضافية (step-up) مرتبطة بعنوان IP ووكيل المتصفح للجهاز.

3. المراقبة والاستجابة

تُرسل كل واجهة برمجية حدثاً أمنياً منظماً إلى قناة التنبيهات (البريد + سجل محلي). تؤدي محاولات التجاوز أو إساءة استخدام OTP إلى تقييد تلقائي وتنبيه فوري عند تفعيل التكاملات.

يتم تسجيل عمليات إعادة التشغيل في start.log وstderr.log لتمكين الفريق من تدقيق عمليات النشر والاسترجاع.

• يتم تتبع إخفاقات الويب هوك، إساءة استخدام OTP، ومحاولات وصول المسؤولين مع إخفاء الهوية.
• العمليات المجدولة مثل تجديد spotlight أو auto-trips لا تعمل إلا بعد تقديم مفاتيح الأتمتة الصحيحة.

4. الامتثال وإقامة البيانات

تُخزَّن البيانات الأساسية على خوادم MySQL مُدارة مع نسخ قراءة للتحليلات. النسخ الاحتياطية مشفّرة في وضع السكون ويتم تدويرها كل 30 يوماً.

لطلب اتفاقية حماية بيانات أو التزام بالإقامة الإقليمية، راسل [email protected] مع ذكر معرف مساحة العمل.

5. التواصل الأمني

نشجع الإفصاح المسؤول عن الثغرات. أرسل التفاصيل إلى [email protected] مع خطوات إعادة الإنتاج. نهدف إلى الرد على الثغرات الحرجة خلال يوم عمل واحد.