سياسة الأمان
إشعار الترجمة
⚠️ إشعار هام: تمت ترجمة هذه الوثيقة من اللغة التركية. في حالة وجود أي تناقض أو تعارض بين هذه الترجمة والنسخة التركية الأصلية، تسود النسخة التركية. النسخة التركية الأصلية متاحة على: https://evaste.co/tr/legal/security-policy
1. المقدمة والالتزام
1.1. التزامنا بالأمان
في Evaste، نعتبر أمان بيانات عملائنا ومستخدمينا أولويتنا القصوى. كمنصة لخصوصية البيانات وإدارة الموافقة، ندرك مسؤوليتنا في أن نكون قدوة في مجال الأمان.
1.2. مبادئ الأمان
تستند استراتيجيتنا الأمنية إلى المبادئ الأساسية التالية:
(أ) الدفاع المتعمق (Defense in Depth) نوفر الحماية من خلال طبقات أمان متعددة.
(ب) مبدأ الامتياز الأدنى (Least Privilege) يُمنح المستخدمون والأنظمة الحد الأدنى من الصلاحيات الضرورية فقط.
(ج) الأمان بالتصميم (Security by Design) يُدمج الأمان في تصميم جميع الأنظمة والعمليات من البداية.
(د) بنية انعدام الثقة (Zero Trust) يُطبق مبدأ "لا تثق أبداً، تحقق دائماً".
(هـ) التحسين المستمر تُراجع وتُحدث إجراءاتنا الأمنية باستمرار.
1.3. النطاق
تغطي سياسة الأمان هذه:
• البنية التحتية لمنصة Evaste • بيانات العملاء • بيانات الموظفين • العمليات التجارية • التكاملات مع الأطراف الثالثة
2. التدابير الأمنية التقنية
2.1. تشفير البيانات
(أ) التشفير أثناء النقل • بروتوكول TLS 1.3 (الحد الأدنى TLS 1.2) • تمكين HSTS (HTTP Strict Transport Security) • دعم Perfect Forward Secrecy (PFS) • مجموعات تشفير قوية
(ب) التشفير أثناء التخزين • خوارزمية تشفير AES-256 • تشفير على مستوى القرص • تشفير على مستوى قاعدة البيانات • تشفير النسخ الاحتياطية
(ج) تخزين كلمات المرور والبيانات الحساسة • كلمات المرور: تجزئة باستخدام bcrypt أو Argon2 • مفاتيح API: أنظمة خزنة آمنة • إدارة المفاتيح التشفيرية: استخدام HSM
2.2. أمان الشبكة
(أ) جدار الحماية • جدار حماية على مستوى التطبيق (WAF) • جدار حماية على مستوى الشبكة • حظر جميع حركة المرور افتراضياً (deny-all)
(ب) كشف ومنع التسلل • أنظمة IDS/IPS • مراقبة التهديدات في الوقت الفعلي • كشف الشذوذ
(ج) حماية DDoS • حماية CDN من Cloudflare أو ما شابه • تحليل وتصفية حركة المرور • تحديد معدل الطلبات (Rate Limiting)
(د) تقسيم الشبكة • فصل بيئات الإنتاج والاختبار • عزل خوادم قواعد البيانات • شبكات VLAN ومجموعات الأمان
2.3. أمان التطبيقات
(أ) دورة حياة تطوير البرمجيات الآمنة (SSDLC) • تحديد متطلبات الأمان • نمذجة التهديدات • مراجعة الكود الآمن • اختبارات الأمان
(ب) حماية OWASP Top 10 • منع حقن SQL • حماية XSS (Cross-Site Scripting) • حماية CSRF (Cross-Site Request Forgery) • المصادقة الآمنة • حماية البيانات الحساسة
(ج) إدارة التبعيات • تحديثات منتظمة للتبعيات • فحص الثغرات الأمنية (Snyk، Dependabot) • مصادر تبعيات آمنة
(د) أمان API • مصادقة OAuth 2.0 / JWT • تحديد معدل الطلبات • التحقق من المدخلات • إصدارات API
2.4. أمان قاعدة البيانات
• استعلامات معلمة (منع حقن SQL) • التحكم في الوصول والتفويض • مراقبة نشاط قاعدة البيانات • اتصالات مشفرة • نسخ احتياطية منتظمة واختبارات استعادة
2.5. أمان الحاويات والسحابة
(أ) أمان الحاويات • فحص الصور (vulnerability scanning) • صور أساسية آمنة • أمان وقت التشغيل • إدارة الأسرار
(ب) أمان السحابة • سياسات IAM • عزل الموارد • تخزين مشفر • مجموعات الأمان وNACLs
3. التدابير الأمنية التنظيمية
3.1. حوكمة الأمان
(أ) مسؤولية الأمان • مسؤولية على مستوى الإدارة العليا • فريق الأمان ومسؤولياته • التنسيق بين الأقسام
(ب) السياسات والإجراءات • سياسات أمان مكتوبة • تحديثات منتظمة للسياسات • تدقيقات الامتثال للسياسات
3.2. إدارة المخاطر
(أ) تقييم المخاطر • تقييم سنوي للمخاطر • جرد الأصول • تحليل التهديدات والثغرات • خطط تخفيف المخاطر
(ب) تقييم أثر حماية البيانات (DPIA) • DPIA للمشاريع الجديدة • تقييم أنشطة المعالجة عالية المخاطر • إجراءات تخفيف المخاطر
3.3. إدارة الحوادث
(أ) تعريف حوادث الأمان • تصنيف: حرج، عالٍ، متوسط، منخفض • فئات الحوادث • إجراءات التصعيد
(ب) عملية الاستجابة • كشف والتحقق من الحوادث • الاحتواء (containment) • الاستئصال (eradication) • الاستعادة (recovery) • الدروس المستفادة (lessons learned)
3.4. إدارة التغييرات
• إجراء طلب التغيير • تقييم المخاطر والأثر • عمليات الاختبار والموافقة • خطط التراجع
4. سياسات التحكم في الوصول
4.1. المصادقة
(أ) سياسة كلمات المرور • 12 حرفاً كحد أدنى • مطلوب أحرف كبيرة/صغيرة وأرقام ورموز خاصة • تغيير كلمة المرور كل 90 يوماً (حسابات المؤسسات) • منع إعادة استخدام آخر 12 كلمة مرور • حماية القوة الغاشمة (قفل الحساب)
(ب) المصادقة متعددة العوامل (MFA) • MFA إلزامي لجميع حسابات المسؤولين • دعم TOTP (كلمة مرور لمرة واحدة قائمة على الوقت) • خيارات التحقق عبر الرسائل القصيرة والبريد الإلكتروني • دعم مفتاح الأمان المادي (FIDO2)
(ج) تسجيل الدخول الموحد (SSO) • دعم SAML 2.0 • دعم OAuth 2.0 / OpenID Connect • التكامل مع موفري الهوية المؤسسية
4.2. التفويض
(أ) التحكم في الوصول القائم على الأدوار (RBAC) • أدوار محددة مسبقاً • إمكانية إنشاء أدوار مخصصة • مبدأ الامتياز الأدنى • مراجعات منتظمة للصلاحيات
| الدور | الصلاحيات |
|---|---|
| المشاهد | وصول للقراءة فقط |
| المحرر | القراءة والتحرير |
| المسؤول | صلاحيات إدارة كاملة |
| المسؤول الأعلى | صلاحيات على مستوى المنصة |
4.3. إدارة الجلسات
• انتهاء مهلة الجلسة (30 دقيقة من عدم النشاط) • تقييد الجلسات المتزامنة • إنهاء آمن للجلسة • حماية من اختطاف الجلسة
4.4. مراقبة الوصول
• تسجيل جميع محاولات الوصول • مراقبة محاولات تسجيل الدخول الفاشلة • كشف أنماط الوصول غير الطبيعية • تقارير وصول منتظمة
5. إجراءات النسخ الاحتياطي
5.1. استراتيجية النسخ الاحتياطي
(أ) أنواع النسخ الاحتياطي • نسخ احتياطي كامل (أسبوعياً) • نسخ احتياطي تزايدي (يومياً) • نسخ احتياطي لسجلات المعاملات (مستمر)
| نوع البيانات | التكرار | مدة الاحتفاظ |
|---|---|---|
| قاعدة البيانات | يومياً | 30 يوماً |
| أنظمة الملفات | يومياً | 30 يوماً |
| التكوينات | عند التغيير | 90 يوماً |
| ملفات السجل | يومياً | 90 يوماً |
5.2. أمان النسخ الاحتياطي
• نسخ احتياطية مشفرة بـ AES-256 • تخزين في مواقع منفصلة جغرافياً • التحكم في الوصول إلى النسخ الاحتياطية • التحقق من سلامة النسخ الاحتياطية (checksum)
5.3. إجراءات الاستعادة
• اختبارات استعادة منتظمة (شهرياً) • إجراءات استعادة موثقة • RTO (هدف وقت الاستعادة): 4 ساعات • RPO (هدف نقطة الاستعادة): ساعة واحدة
6. الإخطار بانتهاكات الأمان
6.1. كشف وتقييم الانتهاكات
عند اكتشاف انتهاك أمني:
1. التحقق من الحادث وتحديد نطاقه 2. تحديد الأنظمة والبيانات المتأثرة 3. تقييم مستوى المخاطر 4. تنفيذ إجراءات الاحتواء
6.2. عملية الإخطار الداخلي
| المدة | الإجراء |
|---|---|
| الساعة الأولى | إخطار فريق الأمان |
| أول 4 ساعات | إخطار الإدارة العليا |
| أول 24 ساعة | تقييم الأثر وخطة الاستجابة |
6.3. التزامات الإخطار الخارجي
(أ) هيئة حماية البيانات التركية (KVKK) • إخطار في أقرب وقت لانتهاكات البيانات الشخصية • ملء نموذج الانتهاك • تقرير عن الإجراءات المتخذة
(ب) بموجب GDPR (قاعدة 72 ساعة) • إخطار هيئة حماية البيانات المختصة خلال 72 ساعة • إخطار الأشخاص المتأثرين في حالة المخاطر العالية • الاحتفاظ بسجل الانتهاكات
(ج) إخطار المستخدمين المتأثرين • إخطار فوري في حالة المخاطر العالية • استخدام لغة واضحة ومفهومة • إرشادات حول إجراءات الحماية الموصى بها
6.4. محتوى إخطار الانتهاك
يتضمن الإخطار المعلومات التالية:
• طبيعة ونطاق الانتهاك • فئات البيانات المتأثرة • عدد الأشخاص المتأثرين (تقدير) • العواقب المحتملة • الإجراءات المتخذة والموصى بها • معلومات الاتصال
6.5. الإجراءات التصحيحية
بعد الانتهاك:
• تحليل السبب الجذري • تنفيذ الإجراءات التصحيحية • تحديث السياسات والإجراءات • تدريب الموظفين (إذا لزم الأمر) • تعزيز المراقبة والتدقيق
7. التدقيقات والاختبارات الأمنية
7.1. فحص الثغرات
(أ) عمليات الفحص التلقائية • فحص أسبوعي للبنية التحتية • فحص يومي للتطبيقات • فحص مستمر للتبعيات
(ب) الأدوات المستخدمة • Nessus / Qualys (البنية التحتية) • OWASP ZAP / Burp Suite (التطبيق) • Snyk / Dependabot (التبعيات)
7.2. اختبارات الاختراق
• اختبار اختراق شامل سنوي • اختبارات إضافية بعد التغييرات الكبيرة • التنفيذ من قبل شركات أمنية مستقلة • إصلاح النتائج خلال 30 يوماً
7.3. تمارين الفريق الأحمر
• تقييم سنوي للفريق الأحمر • سيناريوهات هجوم واقعية • اختبارات الهندسة الاجتماعية • اختبارات الأمان المادي
7.4. مراجعة الكود
• مراجعة الأقران لجميع تغييرات الكود • مراجعة كود موجهة للأمان • تحليل كود ثابت (SAST) • اختبارات أمان التطبيقات الديناميكية (DAST)
7.5. إدارة النتائج
| الخطورة | مهلة الإصلاح |
|---|---|
| حرج | 24 ساعة |
| عالٍ | 7 أيام |
| متوسط | 30 يوماً |
| منخفض | 90 يوماً |
8. تدريب الموظفين
8.1. تدريب التوعية الأمنية
(أ) تدريب التوظيف • سياسات الأمان • الاستخدام المقبول • أساسيات حماية البيانات • الإبلاغ عن الحوادث
(ب) التدريب الإلزامي السنوي • التهديدات والاتجاهات الحالية • التوعية بالهندسة الاجتماعية • التعرف على التصيد الاحتيالي • ممارسات العمل الآمنة
8.2. التدريب القائم على الأدوار
| الدور | موضوعات التدريب الإضافية |
|---|---|
| المطورون | البرمجة الآمنة، OWASP، مراجعة الكود |
| DevOps | أمان السحابة، أمان الحاويات |
| المديرون | إدارة المخاطر، الامتثال |
| الدعم | حماية البيانات، خصوصية العميل |
8.3. تمارين المحاكاة
• محاكاة التصيد الاحتيالي شهرياً • تمارين حوادث الأمان • تمارين الطاولة (tabletop exercises)
9. الأمان المادي
9.1. أمان مركز البيانات
تُستضاف بنية Evaste التحتية في مراكز بيانات تتمتع بإجراءات الأمان المادي التالية:
• طاقم أمن على مدار الساعة • التحكم في الوصول البيومتري • مراقبة CCTV • أنظمة إطفاء الحرائق • دعم UPS والمولدات • المراقبة البيئية (درجة الحرارة والرطوبة)
9.2. أمان المكتب
• أنظمة دخول بالبطاقة • إجراءات تسجيل الزوار • سياسة المكتب النظيف • أمان الأجهزة
10. استمرارية الأعمال والتعافي من الكوارث
10.1. خطة استمرارية الأعمال (BCP)
• تحديد وظائف الأعمال الحرجة • إجراءات العمل البديلة • خطط الاتصال • اختبارات منتظمة للخطة
10.2. خطة التعافي من الكوارث (DRP)
(أ) أهداف الاستعادة • RTO (هدف وقت الاستعادة): 4 ساعات • RPO (هدف نقطة الاستعادة): ساعة واحدة
(ب) آليات التبديل • نسخ قاعدة بيانات نشط-سلبي • بنية تحتية موزعة جغرافياً • تبديل تلقائي • موازنة الحمل
10.3. الاختبارات والتمارين
• اختبار DR سنوي • محاكاة التبديل • اختبارات استعادة النسخ الاحتياطية
11. أمان الأطراف الثالثة
11.1. تقييم الموردين
عند اختيار مزودي خدمات الطرف الثالث:
• شهادات الأمان (SOC 2، ISO 27001) • الامتثال للخصوصية (GDPR، KVKK) • مراجعة سياسات الأمان • التحقق من المراجع
11.2. المتطلبات التعاقدية
تتضمن عقود الأطراف الثالثة:
• اتفاقية معالجة البيانات (DPA) • التزامات السرية • معايير الأمان • التزامات الإخطار بالانتهاكات • حقوق التدقيق
11.3. المراقبة المستمرة
• تقييمات أمنية منتظمة • متابعة تجديد الشهادات • مراقبة إشعارات الحوادث
12. الامتثال والشهادات
12.1. أطر الامتثال
تمتثل Evaste للوائح التالية:
(أ) حماية البيانات • قانون KVKK رقم 6698 (تركيا) • GDPR (الاتحاد الأوروبي) • CCPA (كاليفورنيا، الولايات المتحدة)
(ب) أمان المعلومات • ISO 27001 (نظام إدارة أمن المعلومات) • SOC 2 Type II (مزودو البنية التحتية)
12.2. الشهادات والتدقيقات
| الشهادة/التدقيق | النطاق | التكرار |
|---|---|---|
| ISO 27001 | إدارة أمن المعلومات | سنوياً |
| SOC 2 Type II | ضوابط الأمان | سنوياً |
| اختبار الاختراق | التطبيق والبنية التحتية | سنوياً |
| فحص الثغرات | جميع الأنظمة | مستمر |
12.3. تقارير الامتثال
يمكن تقديم الوثائق التالية لعملائنا عند الطلب:
• ملخص تقرير SOC 2 Type II • ملخص اختبار الاختراق • بيان الامتثال الأمني
13. معلومات الاتصال
13.1. فريق الأمان
للأسئلة والإبلاغ الأمني:
البريد الإلكتروني: security@evaste.co الطوارئ: +90 532 494 42 64
13.2. الإبلاغ عن الثغرات
إذا اكتشفت ثغرة أمنية:
البريد الإلكتروني: security@evaste.co الموضوع: "Security Vulnerability Report"
نطلب منك التصرف وفقاً لمبدأ الإفصاح المسؤول (responsible disclosure). تُكافأ التقارير الصحيحة عن الثغرات الأمنية.
13.3. الاتصال العام
Evaste (Group Taiga) العنوان: ليفنت، إسطنبول، تركيا البريد الإلكتروني: info@evaste.co الموقع: https://evaste.co
دخلت سياسة الأمان هذه حيز التنفيذ في 12 يناير 2026.
نراجع ونحسن عملياتنا الأمنية باستمرار. سيتم نشر تغييرات السياسة من خلال تحديث تاريخ "آخر تحديث".
سياسة الأمان
إشعار الترجمة
⚠️ إشعار هام: تمت ترجمة هذه الوثيقة من اللغة التركية. في حالة وجود أي تناقض أو تعارض بين هذه الترجمة والنسخة التركية الأصلية، تسود النسخة التركية. النسخة التركية الأصلية متاحة على: https://evaste.co/tr/legal/security-policy
1. المقدمة والالتزام
1.1. التزامنا بالأمان
في Evaste، نعتبر أمان بيانات عملائنا ومستخدمينا أولويتنا القصوى. كمنصة لخصوصية البيانات وإدارة الموافقة، ندرك مسؤوليتنا في أن نكون قدوة في مجال الأمان.
1.2. مبادئ الأمان
تستند استراتيجيتنا الأمنية إلى المبادئ الأساسية التالية:
(أ) الدفاع المتعمق (Defense in Depth) نوفر الحماية من خلال طبقات أمان متعددة.
(ب) مبدأ الامتياز الأدنى (Least Privilege) يُمنح المستخدمون والأنظمة الحد الأدنى من الصلاحيات الضرورية فقط.
(ج) الأمان بالتصميم (Security by Design) يُدمج الأمان في تصميم جميع الأنظمة والعمليات من البداية.
(د) بنية انعدام الثقة (Zero Trust) يُطبق مبدأ "لا تثق أبداً، تحقق دائماً".
(هـ) التحسين المستمر تُراجع وتُحدث إجراءاتنا الأمنية باستمرار.
1.3. النطاق
تغطي سياسة الأمان هذه:
• البنية التحتية لمنصة Evaste • بيانات العملاء • بيانات الموظفين • العمليات التجارية • التكاملات مع الأطراف الثالثة
2. التدابير الأمنية التقنية
2.1. تشفير البيانات
(أ) التشفير أثناء النقل • بروتوكول TLS 1.3 (الحد الأدنى TLS 1.2) • تمكين HSTS (HTTP Strict Transport Security) • دعم Perfect Forward Secrecy (PFS) • مجموعات تشفير قوية
(ب) التشفير أثناء التخزين • خوارزمية تشفير AES-256 • تشفير على مستوى القرص • تشفير على مستوى قاعدة البيانات • تشفير النسخ الاحتياطية
(ج) تخزين كلمات المرور والبيانات الحساسة • كلمات المرور: تجزئة باستخدام bcrypt أو Argon2 • مفاتيح API: أنظمة خزنة آمنة • إدارة المفاتيح التشفيرية: استخدام HSM
2.2. أمان الشبكة
(أ) جدار الحماية • جدار حماية على مستوى التطبيق (WAF) • جدار حماية على مستوى الشبكة • حظر جميع حركة المرور افتراضياً (deny-all)
(ب) كشف ومنع التسلل • أنظمة IDS/IPS • مراقبة التهديدات في الوقت الفعلي • كشف الشذوذ
(ج) حماية DDoS • حماية CDN من Cloudflare أو ما شابه • تحليل وتصفية حركة المرور • تحديد معدل الطلبات (Rate Limiting)
(د) تقسيم الشبكة • فصل بيئات الإنتاج والاختبار • عزل خوادم قواعد البيانات • شبكات VLAN ومجموعات الأمان
2.3. أمان التطبيقات
(أ) دورة حياة تطوير البرمجيات الآمنة (SSDLC) • تحديد متطلبات الأمان • نمذجة التهديدات • مراجعة الكود الآمن • اختبارات الأمان
(ب) حماية OWASP Top 10 • منع حقن SQL • حماية XSS (Cross-Site Scripting) • حماية CSRF (Cross-Site Request Forgery) • المصادقة الآمنة • حماية البيانات الحساسة
(ج) إدارة التبعيات • تحديثات منتظمة للتبعيات • فحص الثغرات الأمنية (Snyk، Dependabot) • مصادر تبعيات آمنة
(د) أمان API • مصادقة OAuth 2.0 / JWT • تحديد معدل الطلبات • التحقق من المدخلات • إصدارات API
2.4. أمان قاعدة البيانات
• استعلامات معلمة (منع حقن SQL) • التحكم في الوصول والتفويض • مراقبة نشاط قاعدة البيانات • اتصالات مشفرة • نسخ احتياطية منتظمة واختبارات استعادة
2.5. أمان الحاويات والسحابة
(أ) أمان الحاويات • فحص الصور (vulnerability scanning) • صور أساسية آمنة • أمان وقت التشغيل • إدارة الأسرار
(ب) أمان السحابة • سياسات IAM • عزل الموارد • تخزين مشفر • مجموعات الأمان وNACLs
3. التدابير الأمنية التنظيمية
3.1. حوكمة الأمان
(أ) مسؤولية الأمان • مسؤولية على مستوى الإدارة العليا • فريق الأمان ومسؤولياته • التنسيق بين الأقسام
(ب) السياسات والإجراءات • سياسات أمان مكتوبة • تحديثات منتظمة للسياسات • تدقيقات الامتثال للسياسات
3.2. إدارة المخاطر
(أ) تقييم المخاطر • تقييم سنوي للمخاطر • جرد الأصول • تحليل التهديدات والثغرات • خطط تخفيف المخاطر
(ب) تقييم أثر حماية البيانات (DPIA) • DPIA للمشاريع الجديدة • تقييم أنشطة المعالجة عالية المخاطر • إجراءات تخفيف المخاطر
3.3. إدارة الحوادث
(أ) تعريف حوادث الأمان • تصنيف: حرج، عالٍ، متوسط، منخفض • فئات الحوادث • إجراءات التصعيد
(ب) عملية الاستجابة • كشف والتحقق من الحوادث • الاحتواء (containment) • الاستئصال (eradication) • الاستعادة (recovery) • الدروس المستفادة (lessons learned)
3.4. إدارة التغييرات
• إجراء طلب التغيير • تقييم المخاطر والأثر • عمليات الاختبار والموافقة • خطط التراجع
4. سياسات التحكم في الوصول
4.1. المصادقة
(أ) سياسة كلمات المرور • 12 حرفاً كحد أدنى • مطلوب أحرف كبيرة/صغيرة وأرقام ورموز خاصة • تغيير كلمة المرور كل 90 يوماً (حسابات المؤسسات) • منع إعادة استخدام آخر 12 كلمة مرور • حماية القوة الغاشمة (قفل الحساب)
(ب) المصادقة متعددة العوامل (MFA) • MFA إلزامي لجميع حسابات المسؤولين • دعم TOTP (كلمة مرور لمرة واحدة قائمة على الوقت) • خيارات التحقق عبر الرسائل القصيرة والبريد الإلكتروني • دعم مفتاح الأمان المادي (FIDO2)
(ج) تسجيل الدخول الموحد (SSO) • دعم SAML 2.0 • دعم OAuth 2.0 / OpenID Connect • التكامل مع موفري الهوية المؤسسية
4.2. التفويض
(أ) التحكم في الوصول القائم على الأدوار (RBAC) • أدوار محددة مسبقاً • إمكانية إنشاء أدوار مخصصة • مبدأ الامتياز الأدنى • مراجعات منتظمة للصلاحيات
| الدور | الصلاحيات |
|---|---|
| المشاهد | وصول للقراءة فقط |
| المحرر | القراءة والتحرير |
| المسؤول | صلاحيات إدارة كاملة |
| المسؤول الأعلى | صلاحيات على مستوى المنصة |
4.3. إدارة الجلسات
• انتهاء مهلة الجلسة (30 دقيقة من عدم النشاط) • تقييد الجلسات المتزامنة • إنهاء آمن للجلسة • حماية من اختطاف الجلسة
4.4. مراقبة الوصول
• تسجيل جميع محاولات الوصول • مراقبة محاولات تسجيل الدخول الفاشلة • كشف أنماط الوصول غير الطبيعية • تقارير وصول منتظمة
5. إجراءات النسخ الاحتياطي
5.1. استراتيجية النسخ الاحتياطي
(أ) أنواع النسخ الاحتياطي • نسخ احتياطي كامل (أسبوعياً) • نسخ احتياطي تزايدي (يومياً) • نسخ احتياطي لسجلات المعاملات (مستمر)
| نوع البيانات | التكرار | مدة الاحتفاظ |
|---|---|---|
| قاعدة البيانات | يومياً | 30 يوماً |
| أنظمة الملفات | يومياً | 30 يوماً |
| التكوينات | عند التغيير | 90 يوماً |
| ملفات السجل | يومياً | 90 يوماً |
5.2. أمان النسخ الاحتياطي
• نسخ احتياطية مشفرة بـ AES-256 • تخزين في مواقع منفصلة جغرافياً • التحكم في الوصول إلى النسخ الاحتياطية • التحقق من سلامة النسخ الاحتياطية (checksum)
5.3. إجراءات الاستعادة
• اختبارات استعادة منتظمة (شهرياً) • إجراءات استعادة موثقة • RTO (هدف وقت الاستعادة): 4 ساعات • RPO (هدف نقطة الاستعادة): ساعة واحدة
6. الإخطار بانتهاكات الأمان
6.1. كشف وتقييم الانتهاكات
عند اكتشاف انتهاك أمني:
1. التحقق من الحادث وتحديد نطاقه 2. تحديد الأنظمة والبيانات المتأثرة 3. تقييم مستوى المخاطر 4. تنفيذ إجراءات الاحتواء
6.2. عملية الإخطار الداخلي
| المدة | الإجراء |
|---|---|
| الساعة الأولى | إخطار فريق الأمان |
| أول 4 ساعات | إخطار الإدارة العليا |
| أول 24 ساعة | تقييم الأثر وخطة الاستجابة |
6.3. التزامات الإخطار الخارجي
(أ) هيئة حماية البيانات التركية (KVKK) • إخطار في أقرب وقت لانتهاكات البيانات الشخصية • ملء نموذج الانتهاك • تقرير عن الإجراءات المتخذة
(ب) بموجب GDPR (قاعدة 72 ساعة) • إخطار هيئة حماية البيانات المختصة خلال 72 ساعة • إخطار الأشخاص المتأثرين في حالة المخاطر العالية • الاحتفاظ بسجل الانتهاكات
(ج) إخطار المستخدمين المتأثرين • إخطار فوري في حالة المخاطر العالية • استخدام لغة واضحة ومفهومة • إرشادات حول إجراءات الحماية الموصى بها
6.4. محتوى إخطار الانتهاك
يتضمن الإخطار المعلومات التالية:
• طبيعة ونطاق الانتهاك • فئات البيانات المتأثرة • عدد الأشخاص المتأثرين (تقدير) • العواقب المحتملة • الإجراءات المتخذة والموصى بها • معلومات الاتصال
6.5. الإجراءات التصحيحية
بعد الانتهاك:
• تحليل السبب الجذري • تنفيذ الإجراءات التصحيحية • تحديث السياسات والإجراءات • تدريب الموظفين (إذا لزم الأمر) • تعزيز المراقبة والتدقيق
7. التدقيقات والاختبارات الأمنية
7.1. فحص الثغرات
(أ) عمليات الفحص التلقائية • فحص أسبوعي للبنية التحتية • فحص يومي للتطبيقات • فحص مستمر للتبعيات
(ب) الأدوات المستخدمة • Nessus / Qualys (البنية التحتية) • OWASP ZAP / Burp Suite (التطبيق) • Snyk / Dependabot (التبعيات)
7.2. اختبارات الاختراق
• اختبار اختراق شامل سنوي • اختبارات إضافية بعد التغييرات الكبيرة • التنفيذ من قبل شركات أمنية مستقلة • إصلاح النتائج خلال 30 يوماً
7.3. تمارين الفريق الأحمر
• تقييم سنوي للفريق الأحمر • سيناريوهات هجوم واقعية • اختبارات الهندسة الاجتماعية • اختبارات الأمان المادي
7.4. مراجعة الكود
• مراجعة الأقران لجميع تغييرات الكود • مراجعة كود موجهة للأمان • تحليل كود ثابت (SAST) • اختبارات أمان التطبيقات الديناميكية (DAST)
7.5. إدارة النتائج
| الخطورة | مهلة الإصلاح |
|---|---|
| حرج | 24 ساعة |
| عالٍ | 7 أيام |
| متوسط | 30 يوماً |
| منخفض | 90 يوماً |
8. تدريب الموظفين
8.1. تدريب التوعية الأمنية
(أ) تدريب التوظيف • سياسات الأمان • الاستخدام المقبول • أساسيات حماية البيانات • الإبلاغ عن الحوادث
(ب) التدريب الإلزامي السنوي • التهديدات والاتجاهات الحالية • التوعية بالهندسة الاجتماعية • التعرف على التصيد الاحتيالي • ممارسات العمل الآمنة
8.2. التدريب القائم على الأدوار
| الدور | موضوعات التدريب الإضافية |
|---|---|
| المطورون | البرمجة الآمنة، OWASP، مراجعة الكود |
| DevOps | أمان السحابة، أمان الحاويات |
| المديرون | إدارة المخاطر، الامتثال |
| الدعم | حماية البيانات، خصوصية العميل |
8.3. تمارين المحاكاة
• محاكاة التصيد الاحتيالي شهرياً • تمارين حوادث الأمان • تمارين الطاولة (tabletop exercises)
9. الأمان المادي
9.1. أمان مركز البيانات
تُستضاف بنية Evaste التحتية في مراكز بيانات تتمتع بإجراءات الأمان المادي التالية:
• طاقم أمن على مدار الساعة • التحكم في الوصول البيومتري • مراقبة CCTV • أنظمة إطفاء الحرائق • دعم UPS والمولدات • المراقبة البيئية (درجة الحرارة والرطوبة)
9.2. أمان المكتب
• أنظمة دخول بالبطاقة • إجراءات تسجيل الزوار • سياسة المكتب النظيف • أمان الأجهزة
10. استمرارية الأعمال والتعافي من الكوارث
10.1. خطة استمرارية الأعمال (BCP)
• تحديد وظائف الأعمال الحرجة • إجراءات العمل البديلة • خطط الاتصال • اختبارات منتظمة للخطة
10.2. خطة التعافي من الكوارث (DRP)
(أ) أهداف الاستعادة • RTO (هدف وقت الاستعادة): 4 ساعات • RPO (هدف نقطة الاستعادة): ساعة واحدة
(ب) آليات التبديل • نسخ قاعدة بيانات نشط-سلبي • بنية تحتية موزعة جغرافياً • تبديل تلقائي • موازنة الحمل
10.3. الاختبارات والتمارين
• اختبار DR سنوي • محاكاة التبديل • اختبارات استعادة النسخ الاحتياطية
11. أمان الأطراف الثالثة
11.1. تقييم الموردين
عند اختيار مزودي خدمات الطرف الثالث:
• شهادات الأمان (SOC 2، ISO 27001) • الامتثال للخصوصية (GDPR، KVKK) • مراجعة سياسات الأمان • التحقق من المراجع
11.2. المتطلبات التعاقدية
تتضمن عقود الأطراف الثالثة:
• اتفاقية معالجة البيانات (DPA) • التزامات السرية • معايير الأمان • التزامات الإخطار بالانتهاكات • حقوق التدقيق
11.3. المراقبة المستمرة
• تقييمات أمنية منتظمة • متابعة تجديد الشهادات • مراقبة إشعارات الحوادث
12. الامتثال والشهادات
12.1. أطر الامتثال
تمتثل Evaste للوائح التالية:
(أ) حماية البيانات • قانون KVKK رقم 6698 (تركيا) • GDPR (الاتحاد الأوروبي) • CCPA (كاليفورنيا، الولايات المتحدة)
(ب) أمان المعلومات • ISO 27001 (نظام إدارة أمن المعلومات) • SOC 2 Type II (مزودو البنية التحتية)
12.2. الشهادات والتدقيقات
| الشهادة/التدقيق | النطاق | التكرار |
|---|---|---|
| ISO 27001 | إدارة أمن المعلومات | سنوياً |
| SOC 2 Type II | ضوابط الأمان | سنوياً |
| اختبار الاختراق | التطبيق والبنية التحتية | سنوياً |
| فحص الثغرات | جميع الأنظمة | مستمر |
12.3. تقارير الامتثال
يمكن تقديم الوثائق التالية لعملائنا عند الطلب:
• ملخص تقرير SOC 2 Type II • ملخص اختبار الاختراق • بيان الامتثال الأمني
13. معلومات الاتصال
13.1. فريق الأمان
للأسئلة والإبلاغ الأمني:
البريد الإلكتروني: security@evaste.co الطوارئ: +90 532 494 42 64
13.2. الإبلاغ عن الثغرات
إذا اكتشفت ثغرة أمنية:
البريد الإلكتروني: security@evaste.co الموضوع: "Security Vulnerability Report"
نطلب منك التصرف وفقاً لمبدأ الإفصاح المسؤول (responsible disclosure). تُكافأ التقارير الصحيحة عن الثغرات الأمنية.
13.3. الاتصال العام
Evaste (Group Taiga) العنوان: ليفنت، إسطنبول، تركيا البريد الإلكتروني: info@evaste.co الموقع: https://evaste.co
دخلت سياسة الأمان هذه حيز التنفيذ في 12 يناير 2026.
نراجع ونحسن عملياتنا الأمنية باستمرار. سيتم نشر تغييرات السياسة من خلال تحديث تاريخ "آخر تحديث".