الأمان في عقاريس

أمان البنية التحتية

تعمل عقاريس على Amazon Web Services ‏(AWS) في منطقة me-central-1 (الإمارات). نستخدم خدمات مُدارة مع تحديث تلقائي للتصحيحات، وشبكات خاصة (VPC)، وسياسات IAM بأدنى الصلاحيات اللازمة. البنية التحتية للإنتاج معزولة عن بيئتي التجهيز والتطوير.

التحكم في الوصول

يتطلب كل وصول إلى أنظمة الإنتاج التحقق متعدد العوامل (MFA). تضمن ضوابط الوصول المستندة إلى الأدوار (RBAC) أن يصل الموظفون فقط إلى الأنظمة الضرورية لأدوارهم. يُراجع الوصول ربع سنوياً ويُلغى فوراً عند انتهاء خدمة أي موظف. بيانات العملاء معزولة منطقياً بحسب المستأجر — لا يستطيع أي عميل الوصول إلى بيانات عميل آخر.

أمان التطبيقات

نتبع إرشادات التطوير الآمن لـ OWASP. تُراجع تغييرات الكود قبل النشر. نُجري فحصاً آلياً للثغرات ضمن خط أنابيب CI/CD. تُرصد تحديثات التبعيات وتُطبَّق بصفة منتظمة.

أمان المدفوعات

لا تحتفظ عقاريس بأرقام البطاقات الخام. تُعالَج المدفوعات عبر بوابات معتمدة بـ PCI-DSS (Telr وPayTabs ونقودي وStripe). تعمل عقاريس بوصفها تاجراً أصلياً أو وسيطاً بحسب خطتك وإعداد البوابة.

استمرارية الأعمال

نحتفظ بنسخ احتياطية يومية آلية مع إمكانية الاسترداد في نقطة زمنية محددة. هدف وقت الاسترداد (RTO) هو ٤ ساعات، وهدف نقطة الاسترداد (RPO) هو ساعة واحدة. يُختبر التعافي من الكوارث مرة واحدة على الأقل سنوياً.

الاستجابة للحوادث

نحتفظ بخطة موثّقة للاستجابة للحوادث. في حال وقوع اختراق للبيانات يمس مؤسستك، سنخطرك خلال ٧٢ ساعة من علمنا بالحادثة، وفق اللوائح المعمول بها.

الإفصاح المسؤول

إذا اكتشفت ثغرة أمنية في عقاريس، نطلب منك الإبلاغ عنها لنا بشكل مسؤول قبل الإفصاح العلني. يُرجى مراسلتنا على security@aqaris.com مع تفاصيل الثغرة. سنؤكد استلام بلاغك خلال يومين عمل ونعمل معك على حل المشكلة.

لن نتخذ أي إجراء قانوني ضد الباحثين الأمنيين الذين يتصرفون بحسن نية ويلتزمون بهذه السياسة.

استفسارات

للاستفسارات الأمنية غير المشمولة هنا، تواصل مع security@aqaris.com. للاستفسارات المتعلقة بالخصوصية، راجع سياسة الخصوصية.