سياسة الأمن

النطاق

تنطبق سياسة الأمان هذه على جميع الأنظمة Credenti بما في ذلك SaaS والنشر المحلي والتطبيقات المحمولة وواجهات برمجة التطبيقات والبنية التحتية الداعمة. وهي تحكم تصرفات الموظفين والمقاولين والشركاء الخارجيين المشاركين في تقديم خدمات إدارة الهوية والوصول أو صيانتها أو دعمها.

ملكية السياسة

تتم مراجعة هذه السياسة وتحديثها مرة واحدة على الأقل سنويًا أو استجابةً لأي تغييرات جوهرية في البنية التحتية أو اللوائح التنظيمية. ويتولى رئيس أمن المعلومات (CISO) مسؤولية تنفيذ هذه السياسة والإشراف عليها وصيانتها.

Credenti حلول هوية بدون كلمات مرور ومقاومة للتصيد الاحتيالي مدعومة بممارسات أمنية رائدة في القطاع. يتمحور برنامجنا الأمني حول ضوابط مادية وتقنية وإدارية لحماية هويات المستخدمين وسلامة المنصة وبيانات العملاء.

التدابير الأمنية التقنية

التشفير وحماية البيانات

  • تشفير AES-256 للبيانات المخزنة عبر AWS KMS
  • TLS 1.2/1.3 مع تثبيت الشهادات للبيانات أثناء النقل
  • عزل المفاتيح لكل مستأجر باستخدام KMS المدعوم بـ HSM
  • تناوب المفاتيح الآلي وإدارة دورة الحياة

إدارة الأسرار

  • لا توجد أسرار مكتوبة في الكود أو التكوين
  • الأسرار التي تتم إدارتها باستخدام وحدات التحكم في Kubernetes وخدمة AWS KMS
  • ضوابط سرية لدورة الحياة من أجل الإنشاء والتناوب والإلغاء
  • مسارات التدقيق واكتشاف الحالات الشاذة عبر AWS CloudTrail

أمن المنصات والتطبيقات

  • مستضاف على AWS مع WAF و Shield و Firewall Manager
  • تحديد السرعة وتخفيف هجمات DDoS على مستويات متعددة
  • فصل البيانات المنطقية على مستوى المستأجر
  • لا يمكن للفرق الداخلية الوصول إلى بيانات الإنتاج ومفاتيح التشفير

التطوير الآمن وعمليات التطوير

  • خطوط أنابيب CI/CD مع فحوصات SCA على التبعيات
  • دمج اختبار أمان التطبيقات الثابت (SAST) في مسارات البناء لاكتشاف الثغرات الأمنية على مستوى الكود في مرحلة مبكرة
  • اختبار أمان التطبيقات الديناميكي (DAST) الذي يتم إجراؤه على التطبيقات وواجهات برمجة التطبيقات (API) أثناء تشغيلها
  • البنية التحتية كرمز مع فحص الأمان (على سبيل المثال، Amazon Inspector)
  • وصول إداري مقوى عبر صناديق القفز وقوائم IP البيضاء
  • اختبارات الاختراق الداخلية والخارجية

ممارسات التطوير الآمن واختبار الأمان

  • دورة حياة تطوير البرمجيات الآمنة (SSDLC) الرسمية، المتوافقة مع أفضل ممارسات OWASP وإرشادات OWASP Top 10 لتخفيف المخاطر، مع التحقق المستمر من صحة الضوابط وفقًا لأحدث فئات OWASP Top 10
  • نمذجة المخاطر التي تُجرى خلال مراحل التصميم لتحديد المخاطر المعمارية والتخفيف من حدتها
  • إجراء تمارين منتظمة لفريق الهجوم (Red Teaming) لمحاكاة سيناريوهات الهجوم الواقعية والتحقق من فعالية الإجراءات الدفاعية
  • اختبارات أمنية مستمرة مدمجة في جميع مراحل التطوير والبيئات التجريبية وبيئات الإنتاج
  • مراجعات الأقران للرموز البرمجية التي تركز على الأمان للمكونات والميزات عالية المخاطر

المراقبة والرؤية

  • مراقبة مستمرة لصحة النظام وأدائه
  • تنبيهات فورية في حالة حدوث حالات شاذة وأخطاء
  • مسارات تدقيق شاملة لتسجيلات الدخول وإجراءات الإدارة
  • تسجيل متوافق مع SIEM لتكامل المؤسسات

إدارة الثغرات الأمنية

  • المسح المستمر باستخدام Amazon Inspector وتحليل CI/CD المتكامل
  • الإصلاح في الوقت المناسب استنادًا إلى درجات CVSS وإمكانية الاستغلال
  • تتبع ومراجعة التبعيات الخارجية والمفتوحة المصدر
  • اختبار الاختراق الداخلي الشهري واختبار الاختراق السنوي من قبل طرف ثالث

ضوابط الأمان في الموقع

  • تظل جميع بيانات العملاء داخل شبكة العملاء، مما يضمن سيادة البيانات
  • يحتفظ العملاء بالملكية الكاملة للبيانات وسجلات التدقيق
  • خيار تكوين مجموعات Kubernetes (K8s) منفصلة للمنظمات الفرعية أو وحدات الأعمال
  • أفضل الممارسات لتأمين الوصول إلى Kubernetes:
    • المصادقة من الأجهزة التي تديرها المؤسسة
    • التكامل مع مزودي الهوية (مثل Entra و Okta) من أجل SSO
    • فرض المصادقة الثنائية باستخدام رموز الأجهزة (مثل YubiKey)
    • إدارة الوصول عبر حلول PAM
    • تتطلب خوادم قفز معززة أو مضيفات حصينة
    • تغيير بيانات اعتماد SSH وتسجيل جميع محاولات الوصول

التدابير الأمنية الإدارية

الامتثال والحوكمة

  • SOC 2 النوع الثاني، SOC 1 النوع الثاني
  • GDPR، PCI ، الجزء 11 من قانون اللوائح الفيدرالية (CFR)
  • شهادة ISO 27001
  • مصمم ليتوافق مع HIPAA و GDPR و NIST SP 800-63
  • خيارات الاستضافة الإقليمية لإقامة البيانات

السياسات والتحكم في الوصول

  • ضوابط الوصول القائمة على الأدوار (RBAC)
  • دورة حياة تطوير البرمجيات الآمنة (SSDLC)
  • إدارة التغيير ومراجعات الوصول الفصلية

التوعية والتدريب في مجال الأمن

  • التدريب المطلوب لجميع الموظفين
  • تطبيق الوصول على أساس الدور
  • محاكاة منتظمة لعمليات التصيد الاحتيالي

الاستجابة للحوادث

  • عمليات أمنية على مدار الساعة طوال أيام الأسبوع
  • خطة استجابة للحوادث (IRP) موثقة ومختبرة
  • اتفاقيات مستوى الخدمة للكشف والاستجابة والاتصال

استمرارية الخدمة واستعادة البيانات بعد الكوارث

  • بنية تحتية AWS متعددة المناطق ومتعددة AZ
  • خطة DR مع RTO/RPO محددة
  • النسخ الاحتياطية المشفرة واختبار التحويل التلقائي
  • تم التحقق من صحة DR من خلال تدقيقات SOC 2 و ISO

التدقيق والإجراءات التصحيحية

  • سجلات التدقيق لأحداث المصادقة والإدارة
  • إمكانية تتبع تغييرات النظام بالكامل
  • التدقيق الداخلي مع الإجراءات التصحيحية
  • تكامل SIEM ودعم التدقيق

إدارة مخاطر الموردين

  • الالتزام بالواجبات الأمنية والامتثال لجميع الموردين
  • اتفاقيات حماية البيانات (DPAs)
  • مراجعات ربع سنوية لوصول البائعين
  • امتثال AWS لمعايير FedRAMP و ISO 27001 و SOC 2

تدابير الأمن المادي

أمن مراكز البيانات والبنية التحتية

  • مستضاف على سحابة AWS
  • مراقبة على مدار الساعة طوال أيام الأسبوع، ووصول بيومتري، وضوابط بيئية
  • الامتثال: SOC 1/2/3، ISO 27001، FedRAMP، FIPS 140-2
  • تخضع لنموذج المسؤولية المشتركة من AWS

حماية الأجهزة الطرفية والأجهزة

  • تشفير الأقراص على جميع أجهزة الكمبيوتر المحمولة الخاصة بالشركة
  • MFA للأنظمة الداخلية
  • إدارة الأجهزة المحمولة (MDM) والفحوصات الصحية

مراقبة المكاتب والأصول

  • الدخول إلى المرافق باستخدام الشارات
  • شبكة Wi-Fi مقسمة للشركات والضيوف
  • التخلص الآمن من الأجهزة/الوسائط

الشفافية والاتصال

Credenti للعملاء رؤية في الوقت الفعلي لأحداث المنصة وإجراءات الإدارة وسجلات الوصول.

لطلب وثائق أو الإبلاغ عن مشكلة:

📧credenti