الأمان
الأمان في DueVestor
كيف نحافظ على أمان بياناتك وبيانات موضوعاتك أثناء النقل وعند التخزين وفي مواجهة التهديدات الداخلية.
التشفير
TLS 1.2+ أثناء النقل (يتوقف عند Cloudflare، مع تشفيرات حديثة). قاعدة بيانات Postgres مشفّرة في وضع الراحة من قِبل مزود الاستضافة؛ وتشفير بيانات اعتماد قاعدة البيانات عبر Fernet (AES-128-CBC + HMAC-SHA256) لأي رمز مميز تابع لجهة خارجية نحتفظ به. النسخ الاحتياطية مشفّرة بمفتاح الغلاف ذاته.
ضوابط الوصول
الوصول إلى بيئة الإنتاج مقتصر على مشغّل مؤسس واحد وفق سياسات Cloudflare Access بمبدأ الحد الأدنى من الصلاحيات. تمر جميع العمليات الإدارية الحساسة عبر سجل تدقيق (ADR-058) باحتفاظ لمدة سنتين. الوصول عبر API مُشفّر بمفتاح معتم لكل مستخدم (مُجزَّأ بـ HMAC-SHA256؛ ADR-056) — لا يمكن لتسريب قاعدة البيانات إعادة استخدام مفتاح دون السر الخاص بالتطبيق.
خارطة طريق SOC 2
الهدف: تقرير SOC 2 Type I بحلول الربع الرابع من 2026، يشمل معايير الثقة الخاصة بالأمان والتوافر، ويقتصر نطاقه على SaaS الإنتاجي وبيئة الحوسبة المعزولة لكل تقرير. تقرير Type II في 2027 بعد اكتمال فترة المراقبة البالغة 6 أشهر. نحن حاليًا في المرحلة الثانية من الاستعداد — الضوابط مُطبَّقة وتم جدولة التعاقد مع شركة التدقيق.
الإبلاغ عن ثغرة أمنية
أرسل بريدًا إلكترونيًا إلى [email protected] يتضمن وصفًا للثغرة وخطوات إعادة الإنتاج ودرجة CVSS المقترحة منك. نلتزم بالإقرار بالاستلام خلال 72 ساعة والإصلاح أو التفسير خلال 30 يومًا. لا توجد مكافآت مالية في الإصدار الأول؛ ويمكننا منحك اعترافًا علنيًا في تقرير ما بعد الحادثة إن رغبت في ذلك.
ما الذي نرسله إلى نماذج اللغة الكبيرة
تخضع بيانات الأشخاص المُرسَلة إلى Anthropic لعقد عدم التدريب المفروض ضمن مستوى Enterprise (لا تُستخدم بيانات DSAR الخاصة بك لتدريب أي نموذج). تعمل بيئة الحوسبة المعزولة الخاصة بكل تقرير على RunPod بصورة مؤقتة — يُتلَف الـ pod في نهاية كل تقرير (ADR-031..034).
المعالجون الفرعيون
تستعين DueVestor بالمعالجين الفرعيين التاليين لتقديم الخدمة. نُخطر العملاء قبل 30 يومًا من إضافة أي معالج فرعي يعالج بيانات شخصية خاصة بالاتحاد الأوروبي.
| المورّد | الغرض | المنطقة |
|---|---|---|
| SendGrid | Transactional email | US |
| Twilio | SMS / phone OTP (Sprint 6) | US |
| Cloudflare | CDN + DNS + edge cookies | Global |
| Anthropic | LLM inference (no-train contract) | US |
| GitHub | Source code hosting (no user data) | US |
| RunPod | Per-report ephemeral compute sandbox | US |
| PayPal | Credit purchases | US |
هل تحتاج إلى اتفاقية معالجة بيانات موقّعة؟
يمكن للعملاء المشتركين في خطة Team أو ما فوقها طلب اتفاقية معالجة بيانات (DPA) موقّعة.
عرض اتفاقية DPA / توقيعها →