آخر تحديث: مايو ٢٠٢٦ · Last updated: May 2026
تعتمد تَبَيَّن نهجاً متعدّد الطبقات لحماية البنية التحتية والبيانات: تشفير TLS 1.3 لجميع الاتصالات، تشفير AES-256 للبيانات الحسّاسة في قواعد البيانات، فصل البيئات (تطوير / إنتاج)، وتطبيق مبدأ الحدّ الأدنى من الصلاحيات على جميع حسابات الموظفين والـ APIs.
• الحدّ الأدنى ٨ أحرف مع تنوّع الحالة والأرقام. • إقفال تلقائي للحساب بعد ٥ محاولات فاشلة لمدّة ٣٠ دقيقة. • تفعيل OTP عبر البريد للمستخدمين الإداريين. • كلمات المرور مُخزّنة بـ bcrypt مع salt فردي. • جلسة قصيرة (١٥ دقيقة) تتمدّد عند النشاط — تُلغى تلقائياً عند الخمول.
يُحظر على المستخدم: (أ) فحص نظم تَبَيَّن آلياً بدون إذن، (ب) محاولة الوصول لحسابات أخرى، (ج) تحميل ملفات تنفيذية ضارّة لأغراض غير الفحص الأمني المشروع، (د) إعادة بيع نتائج الفحص أو الـ API دون اتفاقية شراكة. مخالفة ذلك تؤدي لإيقاف فوري وملاحقة قانونية.
نلتزم بنظام حماية البيانات الشخصية السعودي. تُخزّن البيانات داخل المملكة، ولا تُنقل لخارجها إلا بعد موافقة صريحة من المستخدم وضمان مستوى الحماية المعادل. كلمات مرور العملاء مُهشّمة (hashed) ولا يمكن استرجاعها بصورتها الأصلية حتى من قِبَل الإدارة.
فريق CDI متاح ٢٤/٧. عند اكتشاف اختراق أو حادث أمني: (أ) عزل النظام المتأثر خلال ١٥ دقيقة، (ب) إبلاغ المستخدمين المعنيين خلال ٧٢ ساعة بحسب PDPL، (ج) إبلاغ الهيئة الوطنية للأمن السيبراني (NCA) عند الحاجة، (د) تقرير تشريحي علني خلال ٣٠ يوم.
نسخ احتياطية يومية مُشفّرة بـ AES-256، تُحفظ في موقعَيْن جغرافيَّيْن منفصلَيْن. RTO المستهدف ٤ ساعات، RPO أقل من ساعة. اختبارات استعادة منتظمة كل ٣ أشهر.
كل مورد خارجي يتعامل مع بيانات العملاء (تخزين، بريد، تحليلات) موقّع على اتفاقية معالجة بيانات (DPA) متوافقة مع PDPL، ويُراجَع أمنياً سنوياً. قائمة الموردين متاحة عند الطلب.
يخضع جميع موظفي تَبَيَّن لتدريب أمن سيبراني إلزامي عند التعيين ومراجعة سنوية. الموظفون المتعاملون مع بيانات العملاء يحصلون على تدريب إضافي على PDPL وضوابط NCA ECC.
نشجّع الباحثين الأمنيين على الإبلاغ عن أي ثغرة عبر cdi@tabayyun.com.sa. نتعهد بالاستجابة خلال ٤٨ ساعة، وعدم اتخاذ أي إجراء قانوني ضدّ الباحثين حسني النيّة الذين يلتزمون بمبادئ الاكتشاف المسؤول.
تستخدم تَبَيَّن ملفّ ارتباط واحد آمن(tby_session)للحفاظ على جلستك، وآخر اختياري لتحسين تجربتك. كلاهما httpOnly + Secure ولا يحتويان على بياناتك الشخصية. اقرأ سياسة الخصوصية كاملة
Made with Emergent