مركز الثقة

ضوابط الأمان حسب نموذج النشر

كل نشر لـ WeSoar — SaaS، السحابة الخاصة، المحلي، أو المعزول — يطبق أمان الدفاع في العمق. تتوسع الضوابط بناءً على نموذج النشر والمتطلبات التنظيمية.

الامتثال والشهادات

تحافظ WeSoar على الامتثال للمعايير الدولية والإقليمية ذات الصلة بالصناعات المنظمة في دول الخليج وأوروبا وأمريكا الشمالية.

ISO 27001:2022 — نظام إدارة أمن المعلومات الذي يغطي جميع عمليات WeSoar والتطوير وبيئات الاستضافة.

SOC 2 Type II — تدقيق سنوي يغطي معايير خدمة الثقة للأمان والتوافر والسرية لمنصة SaaS.

إطار SAMA للأمن السيبراني — تعيين الضوابط متاح للمؤسسات المالية السعودية. تدعم WeSoar مجالات SAMA CSF بما في ذلك إدارة الأصول والتحكم في الوصول وأمن الأطراف الثالثة.

معايير أمن المعلومات CBUAE — وثائق المواءمة متاحة للمؤسسات المالية الإماراتية.

GDPR — اتفاقية معالجة البيانات متاحة. مبادئ الخصوصية حسب التصميم مضمنة في هندسة المنتج.

PDPL (المملكة العربية السعودية) — يضمن نشر WeSoar المحلي الامتثال الكامل لـ PDPL من خلال إقامة البيانات داخل المملكة.

إدارة الهوية والوصول

تطبق WeSoar ضوابط هوية ووصول على مستوى المؤسسات عبر جميع نماذج النشر.

تسجيل الدخول الموحد: SAML 2.0 و OpenID Connect (OIDC) مع دعم Azure AD و Okta و OneLogin و PingFederate و ADFS.

التحكم في الوصول القائم على الأدوار: RBAC دقيق مع أذونات مدركة للتسلسل الهرمي التنظيمي. قوالب أدوار قابلة للتكوين لمسؤول الموارد البشرية وشريك أعمال الموارد البشرية والمدير والموظف والتنفيذي.

المصادقة متعددة العوامل: تنفيذ MFA متاح لجميع أنواع المستخدمين. متوافق مع مصادقات TOTP ومفاتيح أمان الأجهزة.

سجل التدقيق: سجل تدقيق غير قابل للتغيير لجميع إجراءات المستخدم والوصول إلى البيانات وتغييرات التكوين وتفاعلات الذكاء الاصطناعي. قابل للتصدير إلى SIEM العميل عبر syslog أو API.

الاستجابة للحوادث وإدارة الثغرات

الإفصاح عن الثغرات: تدير WeSoar برنامج إفصاح مسؤول. يمكن للباحثين الأمنيين الإبلاغ عن الثغرات عبر صفحة الإبلاغ عن الثغرات.

اتفاقية مستوى خدمة الاستجابة للحوادث: الحوادث الحرجة (P1) يتم الاعتراف بها خلال ساعة واحدة، تحديثات كل ساعتين، تحليل السبب الجذري خلال 5 أيام عمل. مصفوفة التصعيد القائمة على الخطورة متاحة في اتفاقية دعم المؤسسات.

إدارة التصحيحات: يتم نشر تصحيحات الأمان الحرجة خلال 24 ساعة لـ SaaS. يتلقى عملاء النشر المحلي حزم تصحيح الطوارئ خلال 48 ساعة من الإفصاح عن CVE.

استمرارية الأعمال والتعافي من الكوارث

RTO لـ SaaS: 4 ساعات. RPO: ساعة واحدة. هندسة متعددة المناطق مع تجاوز الفشل التلقائي.

السحابة الخاصة: RTO/RPO متوافق مع اتفاقية مستوى خدمة العميل. النسخ عبر المناطق متاح.

محلي: إرشادات هندسة التعافي من الكوارث مقدمة. تدعم WeSoar طوبولوجيات النشر النشط-السلبي والنشط-النشط.

النسخ الاحتياطي: نسخ احتياطي يومي آلي مع احتفاظ لمدة 30 يومًا (SaaS/السحابة الخاصة). تكامل النسخ الاحتياطي المحلي مع البنية التحتية للنسخ الاحتياطي للعميل.

قائمة المعالجين الفرعيين

يستخدم WeSoar SaaS عددًا محدودًا من المعالجين الفرعيين لدعم البنية التحتية والعمليات. لا تعتمد عمليات النشر المحلية على أي معالجين فرعيين.

المعالجون الفرعيون الحاليون (SaaS): AWS (استضافة البنية التحتية، مناطق EU-West-1 و ME-South-1)، Cloudflare (CDN وحماية DDoS)، Datadog (مراقبة البنية التحتية — بدون معلومات تعريف شخصية)، و SendGrid (البريد الإلكتروني للمعاملات). قائمة المعالجين الفرعيين الكاملة مع مواقع معالجة البيانات متاحة عند الطلب.