سياسة الأمن

الإصدار 2.1 – مايو 2025

تاريخ المراجعة:

  • الإصدار 2.0 - أكتوبر 2024 (الإصدار العام الأولي للسياسة الموحدة)
  • الإصدار 2.1 - مايو 2025 (تم التحديث ليشمل اعتبارات TLS 1.3، وإدارة أسرار Kubernetes المحددة، وتوضيح تكرار اختبارات الاختراق الداخلية، وإضافة ذكر سياسة الاحتفاظ بالبيانات).

النطاق

تنطبق سياسة الأمان هذه على جميع الأنظمة Credenti بما في ذلك SaaS والنشر المحلي والتطبيقات المحمولة وواجهات برمجة التطبيقات والبنية التحتية الداعمة. وهي تحكم تصرفات الموظفين والمقاولين والشركاء الخارجيين المشاركين في تقديم خدمات إدارة الهوية والوصول أو صيانتها أو دعمها.

ملكية السياسة

تتم مراجعة هذه السياسة وتحديثها مرة واحدة على الأقل سنويًا أو استجابةً لأي تغييرات جوهرية في البنية أو اللوائح التنظيمية. يتولى رئيس أمن المعلومات (CISO) مسؤولية تنفيذ هذه السياسة والإشراف عليها وصيانتها.

Credenti حلول هوية بدون كلمات مرور ومقاومة للتصيد الاحتيالي مدعومة بممارسات أمنية رائدة في القطاع. يتمحور برنامجنا الأمني حول ضوابط مادية وتقنية وإدارية لحماية هويات المستخدمين وسلامة المنصة وبيانات العملاء.

التدابير الأمنية التقنية

التشفير وحماية البيانات

  • تشفير AES-256 للبيانات المخزنة عبر AWS KMS
  • TLS 1.2/1.3 مع تثبيت الشهادات للبيانات أثناء النقل
  • عزل المفاتيح لكل مستأجر باستخدام KMS المدعوم بـ HSM
  • تناوب المفاتيح الآلي وإدارة دورة الحياة

إدارة الأسرار

  • لا توجد أسرار مكتوبة في الكود أو التكوين
  • الأسرار التي تتم إدارتها باستخدام وحدات التحكم Kubernetes (مثل مشغل الأسرار الخارجية) و AWS KMS
  • ضوابط سرية لدورة الحياة من أجل الإنشاء والتناوب والإلغاء
  • مسارات التدقيق واكتشاف الحالات الشاذة عبر AWS CloudTrail

أمن المنصات والتطبيقات

  • مستضاف على AWS مع WAF و Shield و Firewall Manager
  • تحديد السرعة وتخفيف هجمات DDoS على مستويات متعددة
  • فصل البيانات المنطقية على مستوى المستأجر
  • لا يمكن للفرق الداخلية الوصول إلى بيانات الإنتاج ومفاتيح التشفير

التطوير الآمن وعمليات التطوير

  • خطوط أنابيب CI/CD مع فحوصات SCA على التبعيات
  • البنية التحتية كرمز مع فحص الأمان (على سبيل المثال، Amazon Inspector)
  • وصول إداري مقوى عبر صناديق القفز وقوائم IP البيضاء
  • اختبار الاختراق الداخلي (ربع سنوي) والخارجي (سنوي)

المراقبة والرؤية

  • مراقبة مستمرة لصحة النظام وأدائه
  • تنبيهات فورية في حالة حدوث حالات شاذة وأخطاء
  • مسارات تدقيق شاملة لتسجيلات الدخول وإجراءات الإدارة
  • تسجيل متوافق مع SIEM لتكامل المؤسسات

إدارة الثغرات الأمنية

  • المسح المستمر باستخدام Amazon Inspector وتحليل CI/CD المتكامل
  • إصلاح في الوقت المناسب بناءً على درجات CVSS وقابلية الاستغلال وتأثير الأعمال
  • تتبع ومراجعة التبعيات الخارجية والمفتوحة المصدر
  • اختبار الاختراق الداخلي الشهري واختبار الاختراق السنوي من قبل طرف ثالث

ضوابط الأمان في الموقع

  • تظل جميع بيانات العملاء داخل شبكة العملاء، مما يضمن سيادة البيانات
  • يحتفظ العملاء بالملكية الكاملة للبيانات وسجلات التدقيق
  • خيار تكوين مجموعات Kubernetes (K8s) منفصلة للمنظمات الفرعية أو وحدات الأعمال
  • أفضل الممارسات لتأمين الوصول إلى Kubernetes:
    • المصادقة من الأجهزة التي تديرها المؤسسة
    • التكامل مع مزودي الهوية (مثل Entra و Okta) من أجل SSO
    • فرض المصادقة الثنائية باستخدام رموز الأجهزة (مثل YubiKey)
    • إدارة الوصول عبر حلول PAM
    • تتطلب خوادم قفز معززة أو مضيفات حصينة
    • تدوير بيانات اعتماد SSH (تلقائيًا عبر الوصول المستند إلى الشهادات) وتسجيل جميع محاولات الوصول

التدابير الأمنية الإدارية

الامتثال والحوكمة

  • SOC 2 النوع الثاني، SOC 1 النوع الثاني
  • GDPR، PCI ، الجزء 11 من قانون اللوائح الفيدرالية (CFR)
  • شهادة ISO 27001
  • مصمم ليتوافق مع HIPAA و GDPR و NIST SP 800-63
  • خيارات الاستضافة الإقليمية لإقامة البيانات

السياسات والتحكم في الوصول

  • ضوابط الوصول القائمة على الأدوار (RBAC)
  • دورة حياة تطوير البرمجيات الآمنة (SSDLC)
  • إدارة التغيير ومراجعات الوصول الفصلية

التوعية والتدريب في مجال الأمن

  • التدريب المطلوب لجميع الموظفين
  • تطبيق الوصول على أساس الدور
  • محاكاة منتظمة لعمليات التصيد الاحتيالي
  • التحقق من خلفيات الموظفين الذين يشغلون مناصب حساسة

الاستجابة للحوادث

  • عمليات أمنية على مدار الساعة طوال أيام الأسبوع
  • خطة استجابة للحوادث (IRP) موثقة ومختبرة
  • اتفاقيات مستوى الخدمة للكشف والاستجابة والاتصال

استمرارية الخدمة واستعادة البيانات بعد الكوارث

  • بنية تحتية AWS متعددة المناطق ومتعددة AZ
  • خطة DR مع RTO/RPO محددة
  • النسخ الاحتياطية المشفرة واختبار التحويل التلقائي
  • تم التحقق من صحة DR من خلال تدقيقات SOC 2 و ISO

التدقيق والإجراءات التصحيحية

  • سجلات التدقيق لأحداث المصادقة والإدارة
  • إمكانية تتبع تغييرات النظام بالكامل
  • التدقيق الداخلي مع الإجراءات التصحيحية
  • تكامل SIEM ودعم التدقيق
  • سياسات محددة للاحتفاظ ببيانات العملاء وسجلات التدقيق

إدارة مخاطر الموردين

  • الالتزام بالواجبات الأمنية والامتثال لجميع الموردين
  • اتفاقيات حماية البيانات (DPAs)
  • مراجعات ربع سنوية لوصول البائعين
  • امتثال AWS لمعايير FedRAMP و ISO 27001 و SOC 2

تدابير الأمن المادي

أمن مراكز البيانات والبنية التحتية

  • مستضاف على سحابة AWS
  • مراقبة على مدار الساعة طوال أيام الأسبوع، ووصول بيومتري، وضوابط بيئية
  • الامتثال: SOC 1/2/3، ISO 27001، FedRAMP، FIPS 140-2
  • تخضع لنموذج المسؤولية المشتركة من AWS

حماية الأجهزة الطرفية والأجهزة

  • تشفير الأقراص على جميع أجهزة الكمبيوتر المحمولة الخاصة بالشركة
  • MFA للأنظمة الداخلية
  • إدارة الأجهزة المحمولة (MDM) والفحوصات الصحية

مراقبة المكاتب والأصول

  • الدخول إلى المرافق باستخدام الشارات
  • شبكة Wi-Fi مقسمة للشركات والضيوف
  • التخلص الآمن من الأجهزة/الوسائط

الشفافية والاتصال

Credenti للعملاء رؤية في الوقت الفعلي لأحداث المنصة وإجراءات الإدارة وسجلات الوصول.

لطلب وثائق أو الإبلاغ عن مشكلة:

📧credenti