تصف سياسة أمن المعلومات هذه الشهادات التي تحملها Didit، والضوابط التقنية والتنظيمية التي تديرها Didit، والوثائق الموثوقة المتاحة للعملاء، والعملاء المحتملين، والجهات التنظيمية، والمدققين. تُراجع هذه السياسة مرة واحدة على الأقل كل ستة أشهر.
- جهة الاتصال الأمنية: security@didit.me
- مسؤول حماية البيانات: dpo@didit.me
- صفحة الحالة (في الوقت الفعلي): status.didit.me
- حزمة الثقة (بموجب اتفاقية عدم إفشاء): أرسل بريداً إلكترونياً إلى security@didit.me
1. الشهادات والإقرارات
| الإقرار | المعيار | الجهة المصدرة | الحالة |
|---|---|---|---|
| SOC 2 Type 1 | معايير خدمات الثقة للمعهد الأمريكي للمحاسبين القانونيين المعتمدين (AICPA), الأمان، التوفر، السرية | ATOM (مدقق خدمة مستقل) | صدر في 9 أبريل 2026. فحص SOC 2 Type 2 قيد التقدم ومن المتوقع إصداره قبل انتهاء فترة استخدام شعار SOC 2 Type 1. |
| ISO/IEC 27001:2022 | نظام إدارة أمن المعلومات، الأمن السيبراني، والخصوصية | Bureau Veritas Certification (معتمد من ENAC)، شهادة رقم ES144068 | صدر في 7 أبريل 2026. صالح حتى 3 يونيو 2027. |
| iBeta Level 1 PAD | ISO/IEC 30107-3, الكشف عن هجمات العرض البيومترية، المستوى 1 | iBeta Quality Assurance (مختبر NIST / NVLAP رمز 200962) | فترة الاختبار من 5 يناير إلى 4 فبراير 2026. معدل نجاح هجوم 0% عبر 360 محاولة. |
| إقرار Tesoro / SEPBLAC / CNMV Sandbox | صندوق الحماية المالي الإسباني (Ley 7/2020) | CNMV (Comisión Nacional del Mercado de Valores)، تمت مراجعته من قبل SEPBLAC (وحدة الاستخبارات المالية الإسبانية) | اختبارات من 1 نوفمبر 2024 إلى 9 يوليو 2025. تقرير الاستنتاج العام منشور على `tesoro.es` (فبراير 2026): التحقق من الهوية عن بعد من Didit آمن على الأقل مثل التحقق الشخصي. |
| مذكرة كفاية EBA / MiCA | إرشادات هيئة المصارف الأوروبية بشأن إعداد العملاء عن بعد (EBA/GL/2022/15) + كتاب القواعد الموحدة لمكافحة غسل الأموال في الاتحاد الأوروبي + لائحة أسواق الأصول المشفرة (MiCA) | finReg360 (رأي قانوني مستقل) | صدر في 28 أبريل 2026. |
| GDPR المادة 32 | اللائحة العامة لحماية البيانات في الاتحاد الأوروبي (اللائحة (EU) 2016/679) | تقييم ذاتي؛ مدعوم بضوابط ISO/IEC 27001 واتفاقية معالجة البيانات على `/terms/business` | مستمر. |
لطلب أي من التقارير أو الشهادات الأساسية، أرسل بريداً إلكترونياً إلى security@didit.me. تُشارك التقارير المقيدة بموجب شروط جهة إصدارها (على سبيل المثال، SOC 2 Type 1) بعد توقيع اتفاقية عدم إفشاء (NDA)، في نفس يوم العمل.
2. النطاق
تغطي هذه السياسة جميع موظفي Didit (الموظفين، المتعاقدين، والأطراف الثالثة المعتمدة)، وجميع أنظمة معلومات الإنتاج والشركات الخاصة بـ Didit، والخدمات الموجهة للعملاء الموضحة في شروط وأحكام العمل. وهي مدعومة ببيان قابلية التطبيق الذي يرتكز عليه نظام إدارة Didit ISO/IEC 27001:2022.
3. الحوكمة
- نظام إدارة أمن المعلومات والخصوصية متوافق مع ضوابط ISO/IEC 27001:2022 و ISO/IEC 27701، مع بيان قابلية التطبيق الموثق.
- المدير التقني التنفيذي هو الراعي التنفيذي المعين لأمن المعلومات؛ مسؤول حماية البيانات (dpo@didit.me) يمتلك حوكمة برنامج الخصوصية.
- تدقيق أمني خارجي سنوي من قبل مدققين مستقلين (مراقبة ISO 27001 وفحوصات SOC 2).
- سجل المخاطر يُراجع ويُحدث ربع سنوياً. تُرفع المخاطر الجوهرية إلى لجنة الإدارة.
- التحسين المستمر, كل حادث، وكل نتيجة تدقيق، وكل تقييم للمخاطر يغذي قائمة الإجراءات التصحيحية والتحديث التالي للسياسة.
4. التشفير وإدارة المفاتيح
- في حالة السكون: AES-256 عبر كل قاعدة بيانات إنتاج، ومخزن كائنات، وحجم نسخ احتياطي.
- أثناء النقل: TLS 1.3 لكل مكالمة API خارجية، و webhook، وجلسة Business Console. تُعطل إصدارات TLS الأقدم والتشفيرات الضعيفة. يُفرض HTTP Strict Transport Security (HSTS) على مستوى الموقع ويُحمل مسبقاً.
- إدارة المفاتيح: تحتفظ خدمة AWS Key Management Service (KMS) بالمفاتيح وتدويرها. لا تلمس شفرة التطبيق مادة المفتاح الخام أبداً. تُفصل مفاتيح Sandbox والإنتاج بشكل كامل.
- التجزئة: تُجزأ بيانات اعتماد العملاء باستخدام وظائف تكيفية قياسية صناعية (bcrypt أو ما يعادلها). تُخزن مفاتيح API كتجزئات أحادية الاتجاه؛ تُعرض القيمة الخام للمشغل فقط وقت الإنشاء.
5. الهوية، الوصول، وهندسة الثقة الصفرية
- الثقة الصفرية افتراضياً, كل طلب إلى كل نظام داخلي يتم مصادقته وتخويله. لا توجد ثقة ضمنية بناءً على موقع الشبكة.
- التحكم في الوصول المستند إلى الدور (RBAC) مع مبدأ الحد الأدنى من الامتيازات. تُجرى مراجعات الوصول ربع سنوياً.
- المصادقة متعددة العوامل (MFA) إلزامية لكل موظف، وكل نظام إنتاج، وكل وحدة تحكم سحابية، وكل حساب استضافة شفرة.
- تسجيل الدخول الموحد (SSO) للتطبيقات الداخلية، مع MFA باستخدام رمز الأجهزة للأدوار المتميزة.
- الوصول في الوقت المناسب للإنتاج: الوصول المتميز الدائم هو الاستثناء، وليس القاعدة.
- تسجيل التدقيق, تُسجل كل إجراء متميز في مسار تدقيق غير قابل للتلاعب، للكتابة مرة واحدة، ويُحتفظ به لمدة 12 شهراً على الأقل.
6. إقامة البيانات والفصل
- الاتحاد الأوروبي افتراضياً. تُعالج بيانات الإنتاج وتُخزن في الاتحاد الأوروبي على Amazon Web Services. تتوفر إقامة محددة للمنطقة أو داخل البلد على عقود المؤسسات، رهناً بالتوافر، للولايات القضائية التي تتطلبها جهات التنظيم.
- فصل البيئات. تُعزل بيئات Sandbox، و Staging، والإنتاج على مستوى الشبكة، والهوية، وطبقات إدارة المفاتيح. لا يمكن لأي إنسان أو خدمة في بيئة واحدة قراءة البيانات في بيئة أخرى دون مسار وصول صريح ومدقق.
- فصل المستأجرين. تُفصل البيانات متعددة المستأجرين منطقياً باستخدام مفاتيح تشفير لكل مستأجر حيثما ينطبق ذلك. تُحظر استعلامات المستأجرين المتقاطعة على مستوى التطبيق وقاعدة البيانات.
7. دورة حياة التطوير الآمن (SDLC)
- مراجعة الكود مطلوبة لكل تغيير في الإنتاج. لا يمكن لمهندس واحد دمج كود غير مراجع في الإنتاج.
- اختبار أمان التطبيقات الثابت (SAST)، وفحص التبعيات، وتحليل تكوين البرامج (SCA) يعمل تلقائياً على كل طلب سحب.
- فحص الحاويات والبنية التحتية في كل بناء وعلى جدول زمني متكرر للصور المنشورة.
- اختبار الأمان قبل الإنتاج للتغييرات عالية التأثير (المصادقة، إدارة المفاتيح، مسارات البيومترية، تدفقات الدفع).
- اختبارات الاختراق الداخلية باستمرار؛ اختبارات الاختراق الخارجية مرة واحدة على الأقل سنوياً من قبل متخصصين مستقلين. تُتبع النتائج الجوهرية حتى الإغلاق وفق جدول زمني محدد باتفاقية مستوى الخدمة (SLA).
- قناة مكافآت الأخطاء / الإفصاح المسؤول, أبلغ عن المشكلات الأمنية إلى security@didit.me.
8. إدارة الثغرات الأمنية
- اتفاقية مستوى الخدمة (SLA) للتصحيح حسب الخطورة, حرجة (في غضون 72 ساعة من إفصاح البائع)، عالية (في غضون 7 أيام)، متوسطة (في غضون 30 يوماً)، منخفضة (في غضون 90 يوماً).
- فحص الثغرات الأمنية المستمر عبر البنية التحتية للإنتاج، والحاويات، والتبعيات.
- نمذجة التهديدات لأسطح المنتجات الجديدة، ومسارات البيومترية، والتكاملات عبر البيئات.
9. المراقبة، الكشف، والاستجابة للحوادث
- مراقبة 24/7 لكل نظام إنتاج مع تنبيهات على إشارات التوفر، والأخطاء، والأمان.
- نظام إدارة معلومات وفعاليات الأمان (SIEM) يجمع ويربط الأحداث الأمنية؛ تُرفع الأنماط غير الطبيعية إلى مهندسي الأمن المناوبين.
- خطة استجابة للحوادث موثقة بأدوار محددة، وشجرة اتصال، ومصفوفة خطورة، وعملية مراجعة ما بعد الحادث. تُختبر الخطة سنوياً على الأقل عبر تمارين الطاولة.
- إشعار خرق البيانات الشخصية. تُخطر Didit العملاء المتأثرين دون تأخير لا مبرر له وفي أي حال في الوقت المناسب للسماح للعملاء بالوفاء بالتزامهم بالإشعار خلال 72 ساعة بموجب المادة 33 من اللائحة العامة لحماية البيانات (GDPR). يتلقى عملاء المؤسسات مهندساً معيناً تحت الطلب وقناة اتصال مخصصة.
- صفحة حالة عامة على status.didit.me, كل حادث إنتاج، كل تحليل ما بعد الوفاة، لا يتطلب تسجيل دخول.
10. استمرارية الأعمال والتعافي من الكوارث
- تكرار نشط متعدد المناطق (Multi-AZ active redundancy) في كل منطقة إنتاج؛ تجاوز تلقائي للفشل للخدمات عديمة الحالة.
- النسخ الاحتياطية مشفرة، ومفصولة جغرافياً ضمن حدود الإقامة المختارة، وتُختبر على جدول زمني متكرر.
- هدف نقطة الاستعادة (RPO) ≤ ساعة واحدة و هدف وقت الاستعادة (RTO) ≤ 4 ساعات لواجهة برمجة تطبيقات التحقق الأساسية و Business Console.
- اختبارات التعافي من الكوارث (DR) سنوياً على الأقل.
11. أمن الموظفين
- فحوصات الخلفية لكل موظف وكل متعاقد لديه وصول إلى بيانات الإنتاج أو البيانات الشخصية، حيثما يسمح القانون المعمول به.
- اتفاقيات السرية عند التوظيف لكل موظف ومتعاقد.
- تدريب إلزامي على الأمن والخصوصية عند الانضمام ويُحدث سنوياً على الأقل لكل موظف. تدريب مستهدف (الترميز الآمن، معالجة البيانات البيومترية، مكافحة الاحتيال، مكافحة غسل الأموال) للأدوار التي تحتاج إليه.
- محاكاة التصيد الاحتيالي على جدول زمني متكرر.
- عملية الانضمام / النقل / المغادرة تلغي الوصول في غضون 24 ساعة من تغيير الدور أو المغادرة.
12. إدارة البائعين والمعالجين الفرعيين
- يُقيّم كل معالج فرعي للمخاطر قبل الانضمام ويُراجع سنوياً على الأقل.
- يوقع كل معالج فرعي اتفاقية معالجة البيانات (DPA) تفرض التزامات حماية البيانات مماثلة بشكل جوهري لتلك التي تدين بها Didit لعملائها.
- تُشارك قائمة المعالجين الفرعيين الحالية مع العملاء والعملاء المحتملين عبر البريد الإلكتروني بعد توقيع اتفاقية عدم إفشاء (NDA). أرسل بريداً إلكترونياً إلى security@didit.me لطلبها. يُخطر العملاء المشتركون في إشعارات تغيير المعالج الفرعي عبر البريد الإلكتروني بإشعار مسبق كافٍ للاعتراض.
13. حقوق أصحاب البيانات والحذف
- حق الوصول والنقل, `GET /v3/sessions/:session_id/decision/`.
- حق المسح, `POST /v3/sessions/:session_id/delete/`. يزيل الجلسة وكل عنصر مرتبط عبر كل نسخة.
- الاحتفاظ لكل تطبيق قابل للتكوين في Business Console بين 30 يوماً و 10 سنوات؛ الافتراضي هو غير محدود ما لم يقم العميل بتكوين فترة أقصر. يخضع الاحتفاظ بالبيانات البيومترية في كل حالة، ويُحدد بحد أقصى، لقوانين ولوائح خصوصية البيانات البيومترية المعمول بها, بما في ذلك المادة 9 من اللائحة العامة لحماية البيانات في الاتحاد الأوروبي (GDPR)، وقانون خصوصية المعلومات البيومترية في إلينوي (BIPA)، وقانون تكساس لالتقاط أو استخدام المعرف البيومتري (CUBI)، وقانون واشنطن H.B. 1493، وأي قانون آخر معمول به لخصوصية البيانات البيومترية؛ حيثما يصف هذا القانون فترة احتفاظ أقصر أو التزاماً بالتدمير المبكر، فإن هذه القاعدة الأقصر أو الأكثر صرامة تسود على أي فترة احتفاظ افتراضية أو مكونة من قبل العميل.
- راجع سياسة الخصوصية وإشعار خصوصية التحقق للحصول على عملية حقوق أصحاب البيانات الكاملة.
14. الإبلاغ عن مشكلة أمنية
إذا كنت تعتقد أنك وجدت ثغرة أمنية في أي منتج أو خدمة من Didit، أرسل بريداً إلكترونياً إلى security@didit.me مع وصف، وخطوات إعادة الإنتاج، والتأثير الذي لاحظته. تقر Didit بتقارير الأمان في غضون يومي عمل وتعمل بحسن نية مع المراسلين الذين يتبعون ممارسات الإفصاح المسؤول.
15. الاتصال
- الأمن: security@didit.me
- مسؤول حماية البيانات: dpo@didit.me
- الخصوصية: privacy@didit.me
- قانوني / عقود: legal@didit.me
- طلب حزمة الثقة (بموجب اتفاقية عدم إفشاء): security@didit.me