الأمان

مبنيّة من أجل بيانات
يتحمّل الناس مسؤوليتها.

تحفظ بناء مراسلات العطاء/المشروع الفنية — السجل الذي تعتمد عليه جهة الطرح والجهة المالكة والاستشاري بعد سنوات. وفيما يلي كيف نحميه، مذكوراً بوضوح. نصف ما هو قائم اليوم، ولا ندّعي شهادات لا نملكها بعد.

آخر تحديث ١٤ يونيو ٢٠٢٦

البيانات تبقى داخل الاتحاد الأوروبي

تُخزَّن بيانات المشروع وسجل الأحداث داخل الاتحاد الأوروبي (Neon Postgres، eu-central-1)، وتعمل وظائف التطبيق داخل الاتحاد الأوروبي (fra1). لا تغادر مراسلاتك الولاية القضائية للاتحاد الأوروبي في سياق التشغيل المعتاد.

عزل المستأجرين

كل عملية قراءة وكتابة محصورة في نطاق مؤسستك ومشروعك: يقوم التطبيق بترشيح كل استعلام بحسب المؤسسة المالكة للمشروع وبحسب المشروع المحدد في كل طلب. المؤسسة التي يمكن لأي طلب الوصول إليها مُستمَدّة من الجلسة المُوثَّقة، وليست أبداً من أي شيء يرسله العميل أو الذكاء الاصطناعي. ونحن بصدد طرح عزل مفروض على مستوى الصفوف في قاعدة البيانات كطبقة ثانية مستقلة؛ السياسات مكتوبة وقائمة بالفعل لكنها لا تُطبَّق إنفاذياً بعد، لذا فإن العزل اليوم مفروض في طبقة التطبيق على النحو الموصوف.

سجل يكشف العبث

سجل الأحداث للإضافة فقط — التصحيحات أحداث جديدة، لا تعديلات أبداً — ومُسلسَل بالتجزئة لكل مشروع: كل قيد يحمل تجزئة القيد الذي سبقه. أي تغيير أو حذف لقيد يكسر السلسلة، ويُظهِر فحصُ السلسلة موضع الكسر في لوحة التحكم لديك. سجل التدقيق هو المنتج نفسه، لذا فإن سلامته شأن من الدرجة الأولى.

الوصول والمصادقة

  • تسجيل الدخول عبر رابط لمرة واحدة يُرسَل إلى بريد العمل — لا توجد كلمات مرور لنخزّنها نحن أو يسرقها مهاجم.
  • يتطلب الوصول إلى بيانات المشروع عضويةً في المؤسسة المالكة.
  • البيانات مشفّرة أثناء النقل (TLS) بينك وبين وظائفنا وقاعدة البيانات.

التعامل مع الذكاء الاصطناعي

تستخدم بناء Anthropic وVoyage AI لقراءة سجلّك وهيكلته والإجابة عن الأسئلة بشأنه. المحتوى المُرسَل إلى هذه الواجهات البرمجية تتم معالجته فقط لتقديم الخدمة، ولا يُستخدَم لتدريب نماذجهم بموجب شروط واجهاتهم البرمجية. يكون مُخرَج الذكاء الاصطناعي دائماً مسودّةً تُعرَض مصادرها؛ وأي شيء يغادر مؤسستك يتطلب اعتماد شخص بشري مُسمّى له.

المعالِجون الفرعيون

نعمل على مجموعة صغيرة ومُسمّاة من المورّدين (Neon، Vercel، Anthropic، Voyage AI، AWS SES، Stripe)، يعالج كلٌّ منهم فقط ما يقتضيه دوره. القائمة الحالية واتفاقية معالجة البيانات متاحتان في سياسة الخصوصية لدينا، وتُتاحان للعملاء عند الطلب.

ما لا ندّعيه

نحن منتج حديث ولا نملك بعد أي شهادات رسمية (SOC 2 / ISO 27001). ولن نوحي بغير ذلك. ومع نضوج برنامجنا الأمني — عمليات تدقيق مستقلة، وطبقة العزل المفروضة على مستوى قاعدة البيانات، والشهادات الرسمية — سنذكر ذلك هنا، مع التواريخ.

الإبلاغ عن ثغرة

وجدت شيئاً؟ راسلنا على security@bani.eu. نقرأ كل بلاغ، ونردّ بسرعة، ولن نلاحق البحث حَسَن النية الذي يحترم بيانات مستخدمينا.

تصف هذه الصفحة موقفنا بحُسن نية وتُراجَع مع تطوّر المنتج. وللاطّلاع على الالتزامات الأمنية التعاقدية، راجع نموذج طلبك واتفاقية معالجة البيانات (DPA).