الأمان

تم تصميم LeadNova AI للتعامل مع محادثات وبيانات عملاء آلاف المشغّلين. لذلك الأمان ليس ميزة نضيفها لاحقًا — بل جزء من تصميم المنتج وطريقة نشره وتشغيله. 1. التشفير. كل حركة المرور عبر TLS 1.2+. البيانات في حالة السكون مشفّرة بـ AES-256، بما في ذلك قاعدة البيانات والمرفقات في تخزين الكائنات. أسرار التطبيق مشفّرة بـ `ENCRYPTION_KEY` ويتم تدويرها عبر `ENCRYPTION_KEY_PREV`. 2. البنية التحتية. الحوسبة على Vercel (SOC 2 Type II, ISO 27001). قاعدة البيانات الرئيسية Neon Postgres في الفرانكفورت الأوروبية (PITR + لقطات تلقائية). تخزين الكائنات على مزودين متوافقين مع S3 مع تشفير من جهة الخادم. الكاش وحدود المعدل على Upstash Redis. لا يحتفظ أي من هؤلاء المزودين بمفاتيح فك تشفير أسرارنا. 3. التحكم في الوصول. مساحات العمل معزولة على مستوى الصف — كل جدول نطاق يحمل عمود `workspaceId` وكل استعلام يصفّي عليه. أدوار المشغّل (owner / admin / manager / agent / viewer) تحكم الإجراءات في الواجهة وعلى الخادم. الوصول كمسؤول-عام إلى وحدة التحكم ops محمي بقائمة env صريحة من البريد المسموح به بالإضافة إلى جلسة موثّقة. 4. التحقق من الهوية. كلمات المرور بـ argon2id (memory-hard، توصية OWASP). الجلسات JWT موقّعة بمدة قصوى 30 يومًا وتحديث كل 24 ساعة. OAuth اختياري: Google، X (Twitter)، Meta. رموز إعادة تعيين كلمة المرور: 256 بت، تُهشّر قبل التخزين، استخدام واحد، تنتهي خلال 30 دقيقة. 5. أمان التطبيق. كل server action و route handler يمر عبر مجموعة من حراس الأمان (`requireAuth`, `requireWorkspace`, `requireWorkspaceRole`, `requireApp`). webhooks الواردة (Meta، Stripe، Paddle) تتحقق من توقيعات المزود بمقارنة constant-time. نقاط cron تتطلب سرّاً مشتركًا مع مقارنة آمنة زمنياً. 6. حدود المعدل. النقاط العامة (auth، webhooks، OAuth، ودجت الدردشة) محدودة المعدل لكل IP ولكل مساحة عمل عبر Upstash. طلبات إعادة تعيين كلمة المرور لها دلوان — لكل IP ولكل بريد. 7. التسجيل والمراقبة. سجلات مهيكلة (pino) إلى Vercel. أخطاء التطبيق تُبلَّغ إلى Sentry مع وسوم workspace و feature. webhooks الفوترة الفاشلة، cron، الإرسال الصادر — كلها مُتعقّبة وقابلة لإعادة التشغيل. لا نسجّل كلمات المرور، أرقام البطاقات الكاملة، محتوى المحادثات (سوى معاينة قصيرة)، أو رموز OAuth لأطراف ثالثة. 8. إدارة الثغرات. التبعيات تُفحَص في كل push (npm audit + GitHub Dependabot). نتائج high-severity تمنع النشر. الأسرار في env Vercel فقط (مشفّرة في السكون). 9. الاستجابة للحوادث. أبلغ عن المشكلات إلى security@leadnova.app. تأكيد خلال 24 ساعة، تخفيف للمشكلات الحرجة خلال 72 ساعة، إخطار مساحات العمل المتأثرة عند تأكيد خرق بيانات شخصية خلال 72 ساعة (GDPR م. 33). 10. الامتثال. متوافقون مع GDPR + UK GDPR. ضوابط SOC 2 Type II مطبّقة؛ التدقيق الرسمي في خارطة الطريق العامة. جاهزية HIPAA متاحة على Pro فأعلى عند الطلب. SCC + UK Addendum للنقل الدولي. قائمة المعالجين الفرعيين الحالية في DPA على /legal/dpa. 11. الإفصاح المسؤول. لا إجراءات قانونية ضد الباحثين بحسن نية؛ ائتمان عام عند الطلب؛ قناة خاصة على security@leadnova.app. خارج النطاق: الهندسة الاجتماعية، DoS، الهجمات الفيزيائية. للتواصل: security@leadnova.app · مفتاح PGP عند الطلب.