الأمن والحوكمة

بياناتك. مفاتيحك.
لم تكن قطّ مفاتيحنا.

البيانات الماليّة تستحقّ وضعاً أمنيّاً ليس مجرّد قائمة امتثال. ختم Airtight البنية أوّلاً، ثم علّق الشهادات جانباً. إليك ما في الصندوق فعلاً.

التشفير

أربع طبقات. مفتاح لكلّ عميل.
بلا أسرار مشتركة.

طبقة 1 · CMK

مفتاح العميل الرئيسي

AWS KMS. لا يغادر وحدة الأمن الصلبة. يُدار تلقائيّاً كلّ ٩٠ يوماً.

طبقة 2 · KEK

مفتاح تشفير المفاتيح

لكلّ عميل. يغلّف DEK. يُنشَأ عند إنشاء المستأجر، لا يُسجَّل.

طبقة 3 · DEK

مفتاح تشفير البيانات

لكلّ عميل ولكلّ بيئة. يُشفِّر بيانات مستوى الصفّ في السكون.

طبقة 4 · FLD

مفتاح الحقل

لكلّ حقل. TFN، تفاصيل البنك، البيانات الشخصيّة لها مفاتيح لكلّ عمود.

الإتلاف التشفيري. حين تحذف مستأجراً، نُدمِّر KEK الخاصّ بك. البيانات المُشفَّرة تبقى على القرص، لكن دون المفتاح تصبح غير قابلة للاستعادة رياضيّاً. نفقد الوصول في نفس اللحظة التي تفقده فيها.

البنية

ستّة أركان، كلّها حاملة.

إيصالات تشفيريّة ثلاثيّة القيد

كلّ حركة تُوقَّع مرّتين (من جانب المدين وجانب الدائن) وتُرسَّخ في Merkle يوميّاً. كلّ إيصال قابل للتحقّق دون اتّصال.

Ed25519 · SHA-256 · Merkle

تشفير بمفاتيح لكلّ عميل

أربع طبقات مفاتيح. مفاتيح مؤسّستك لم تكن مشتركة مع أيّ مستأجر آخر. إتلاف تشفيري عند الحذف.

CMK → KEK → DEK → حقل

أمن على مستوى الصفّ، في كلّ مكان

PostgreSQL RLS على كلّ جدول مستأجر. الاستعلامات العابرة مرفوضة فيزيائيّاً — ليست مجرّد اتّفاق.

FORCE RLS · ٢٥٨ جدولاً

Passkeys، لا كلمات مرور

WebAuthn Passkeys أوّلاً. TOTP احتياطاً. لا SMS — SMS ليس أمناً. رموز الجلسات تُدوَّر عند كلّ استخدام.

WebAuthn · TOTP · بلا SMS

مسار تدقيق غير قابل للتعديل

كلّ حدث دخول، كلّ إنشاء مفتاح API، كلّ تغيير صلاحيّة موقَّع ومسلسل بالتجزئة. التلاعب بالأمس يكسر اليوم.

مسلسل · موقَّع · قابل للتصدير

مفاتيح API دقيقة

النطاق بالوحدة، قراءة/كتابة، ومدى IP. تدوير بلا توقّف. كلّ مفتاح له زرّ قتل — ألغِ واحداً، يبقى الباقي.

بنطاق · قابل للتدوير · قابل للإلغاء

المعايير والشهادات

الأوراق. الحالة الراهنة.

مستهدف

SOC 2 Type II

نشط · التقرير الربع الرابع ٢٠٢٦.

مستهدف

ISO 27001

الضوابط مُعيَّنة · الربع الأوّل ٢٠٢٧.

نشط

GDPR / خصوصيّة أستراليا

سكن البيانات في أستراليا أو الإمارات. SCC + APP 8 موقَّعة.

نشط

ZATCA المرحلة ٢

تقديم فواتير مقبولة · تكامل معتمد.

نشط

الهيئة الاتحاديّة للضرائب

قناة Peppol جاهزة · تكامل معتمد.

نشط

AAOIFI الشرعي

عقود، زكاة، إيصالات حلال.

الممارسة الهندسيّة

الأمن سطر في كلّ ملفّ، لا مرحلة.

ما نُفرضه على كلّ طلب دمج، قبل الدمج.

فحص SAST ثابت على كلّ PR · Semgrep + cargo-audit + pnpm audit

مسح التبعيّات على كلّ PR · ثغرات معروفة تُوقف الدمج

حدّ المعدّل على كلّ نقطة وصول · لكلّ مستأجر ولكلّ مفتاح API

CORS محدود بالأصول المعروفة · بلا wildcards

CSP على كلّ استجابة · لا نصوص مضمّنة، لا eval

بلا .unwrap() في Rust الإنتاج · الإسقاطات = حرمان من الخدمة

فحوص لا متغيّرة على حساب المال · مُختبرة بالخصائص

١٠٠٪ تغطية اختبارات على مسارات المال والتشفير

تريد استجواب البنية؟

فريق أمننا سيعرض لمسؤول أمن معلوماتك شجرة المفاتيح، التحقّق من الإيصالات، إثباتات RLS، وكتاب اللّعب. اتفاقيّات عدم إفصاح عند الطلب.

احجز جولة أمنيّة اطّلع على الميزات ←

بياناتك. مفاتيحك.لم تكن قطّ مفاتيحنا.

أربع طبقات. مفتاح لكلّ عميل.بلا أسرار مشتركة.