ChinaSiteReady ChinaSiteReady
فحص مجاني
الرئيسية · الأمان

الأمان والامتثال

كيف نحمي بيانات العملاء، والضوابط التي نطبقها، وموقفنا من الامتثال.

هذا المستند ترجمة مرجعية. في حالة التعارض مع النسخة الإنجليزية، تسود النسخة الإنجليزية. عرض النسخة الإنجليزية →

آخر مراجعة: 26-05-2026 · النسخة 1.0

ملخّص سريع: ChinaSiteReady فريق هندسي صغير ومتخصّص. لا ندّعي بعد أننا حاصلون على شهادة SOC 2 أو ISO 27001، ونوضح ذلك بصراحة أدناه. ما نقدّمه هو: تدفّق بيانات واضح، عدد محدود من المزوّدين المعروفين، إعدادات افتراضية يمكن الدفاع عنها، واستعداد للإجابة كتابياً عن استبيانات الأمن.

البيانات التي نحتفظ بها

تعكس الخدمة وتُشغّل صفحات إعلامية ثابتة من موقعك. نحتفظ بـ:

  • مواد العميل — نسخ من الصفحات والصور والخطوط والنصوص التي تطلب عكسها، إضافةً إلى أي تفاويض علامة تجارية أو نطاق ووثائق شركة تقدّمها.
  • سجلات تشغيلية — روابط الطلب، عناوين IP، الطوابع الزمنية، رموز الاستجابة، وآثار الأخطاء. تُستخدم للمراقبة وتصحيح الأخطاء والامتثال التنظيمي في الصين. الاحتفاظ النموذجي 30 إلى 90 يوماً.
  • التواصلات — البريد الإلكتروني، إرسالات نموذج التواصل، وملاحظات المشروع.

الخدمة مخصَّصة لمحتوى تسويقي إعلامي ثابت. لا نقبل نقل البيانات الشخصية للأشخاص الطبيعيين أو بيانات الدفع أو الصحة أو المالية أو القياسات الحيوية عبر الخدمة إلا عند توقيع اتفاقية معالجة بيانات منفصلة (راجع اتفاقية معالجة البيانات).

أين تُخزَّن البيانات

تُقدَّم الخدمة على بنية AWS التحتية. قد تكون استضافة الإنتاج في:

  • AWS Global — لموقعك العالمي الحالي (الذي لا نمسّه).
  • AWS China (تشغّله Sinnet/NWCD) — لموقع المرآة الصيني الذي نقدّمه للزوار من الصين القارية.
  • المنطقة الدقيقة لمشروعك موثّقة في خطة المشروع، وتعتمد على مسار نشر ICP الذي اخترته.

تذهب تحليلات الموقع التسويقي (هذا الموقع نفسه) إلى PostHog Cloud في منطقة الولايات المتحدة.

التشفير

  • أثناء النقل: تُقدَّم كل الحركة المواجهة للعميل عبر HTTPS بـ TLS 1.2 أو أعلى. نُعطّل TLS 1.0 و1.1 وRC4 والشيفرات المكسورة المعروفة. يُفعَّل HSTS حيث تسمح ملكية النطاق لدى العميل.
  • في حالة السكون: يستخدم كل التخزين تشفير AWS S3 من جانب الخادم (SSE-S3) افتراضياً، وتجلس مواد العميل على وحدات تخزين مشفّرة. تُشفَّر النسخ الاحتياطية بمفاتيح تديرها AWS.
  • الأسرار: تُخزَّن أسرار النشر ورموز الـ API في AWS Secrets Manager (أو ما يعادلها في منطقة الصين عند العمل على AWS China)، ولا توضع أبداً في إدارة المصدر. تُسجَّل عمليات الوصول.

ضوابط الوصول

  • الوصول إلى الإنتاج مقصور على المهندسين العاملين على مشروعك، ويُمنح وفق مبدأ الحد الأدنى من الصلاحيات.
  • كل وصول إلى الإنتاج يتطلب مصادقة متعدّدة العوامل.
  • الوصول إلى حساب AWS الجذر مقيَّد ومحمي بـ MFA ومُدقَّق.
  • تُقبَل بيانات اعتماد جانب العميل (مثل رموز مزوّد DNS وبيانات اعتماد CMS) فقط عبر تبادل آمن وتُحفظ في مخزن الأسرار لدينا، ولا تُحتفظ بها بعد انتهاء التعاون إلا إذا اشتُرط ذلك صراحةً.

الشبكة

  • الحوسبة الأصلية تعمل في شبكات فرعية خاصة من VPC مع ضوابط خروج عبر مجموعات الأمان.
  • الحركة العامة أمامها AWS CloudFront (أو ما يعادله في الصين) مع تفعيل قواعد WAF لفئات OWASP Top 10.
  • نقاط النهاية الإدارية ليست عامة.

المراقبة والاستجابة للحوادث

  • نُراقب التوافر ونُجري فحوص صفحات اصطناعية لكل أصل إنتاجي نُشغّله. تذهب إشعارات الاستدعاء إلى مهندس المناوبة بالبريد، والحوادث الخطيرة يتم استدعاؤها (paging).
  • تُحتفظ سجلات تدقيق الوصول إلى الإنتاج.
  • إذا علمنا بحادث أمني يؤثّر على مواد العميل لديك، فإننا (أ) نُحقّق و(ب) نتّخذ إجراءات الاحتواء و(ج) نُخطرك كتابياً دون تأخير غير مبرّر. نهدف إلى إخطار أوّلي خلال اثنتين وسبعين (72) ساعة من تأكيد الحادث الجوهري، ثم متابعة ذلك بتقرير ما بعد الحادث أكثر تفصيلاً.

النسخ الاحتياطي والاستمرارية

  • أصول موقع المرآة مُدارة بإصدارات في إدارة المصدر، وقابلة لإعادة البناء في أي وقت من المصدر.
  • تُؤخَذ نسخ احتياطية للسجلات التشغيلية والتحليلات على فئات تخزين AWS ذات الديمومة.
  • في التعاونات طويلة المدى، تُوثَّق أهداف الاستعادة في خطة المشروع وتُكيَّف مع وتيرة تحديث المحتوى الفعلية لدى العميل.

إدارة الثغرات

  • تُحدَّث صور نظام التشغيل وفق وتيرة محدّدة، وتُتعقَّب التصحيحات الأمنية.
  • تُثبَّت تبعيات التطبيق وتُراجَع قبل أي ترقية.
  • لا نُشغّل حالياً برنامج مكافآت أخطاء عاماً. للإفصاح المنسَّق، راسلنا على chinasiteready@autoinfra.cn بعنوان «Security disclosure». نُقرّ كتابياً خلال 5 أيام عمل.

موقف الامتثال — النسخة الصريحة

  • لسنا حالياً حاصلين على شهادة SOC 2 أو ISO 27001. الحصول على شهادة طرف ثالث مستقل ضمن خارطة طريقنا متوسطة المدى، ولا نضع موعداً صارماً لأننا لن نقدم عليها إلا حين نقدر على اجتيازها بلا تحفّظ.
  • نتقدّم بسجلات ICP وفق متطلبات جمهورية الصين لأي نشر في منطقة الصين، حين ينطبق ذلك. راجع كيف نعمل § النشر المتوافق مع ICP لخيارات المسار ودورنا.
  • نُجيب بحسن نية على استبيانات الأمان (بما فيها النماذج القياسية SIG / CAIQ) بلا رسوم إضافية للعملاء الحاليين والنشطين.
  • يمكننا توقيع اتفاقية عدم إفصاح متبادلة قبل أي اجتماع عناية فائقة.

اختبار الاختراق

لا نتعاقد حالياً مع جهة اختبار اختراق خارجية وفق جدول ثابت. في التعاونات الأكبر، يسرّنا التنسيق مع جهة فحص ثالثة يفضّلها العميل وعلى حسابه، ضمن نطاق موقع المرآة الصيني الذي نُشغّله. تُنفَّذ اختبارات داخلية بالماسحات القياسية بشكل دوري.

مزوّدو الخدمات الذين نعتمد عليهم

نسعى لإبقاء قائمة المزوّدين الخارجيين قصيرة ومعروفة. حتى اليوم: AWS (Global وAWS China للاستضافة والـ CDN)، PostHog (التحليلات لموقعنا التسويقي فقط)، وأدوات تشغيل قياسية. يمكن للعملاء طلب القائمة الحالية والمواقع ضمن العناية الواجبة قبل التوقيع.

اتفاقية معالجة البيانات

للعملاء الذين يطلبون DPA قبل التوقيع، يتوفّر DPA القياسي لدينا على صفحة اتفاقية معالجة البيانات. يمكننا أيضاً قبول قالب DPA يفضّله العميل، حسب كل حالة.

تواصل

استفسارات الأمن والامتثال: chinasiteready@autoinfra.cn. نرد عادةً خلال خمسة أيام عمل.

أرسل لنا الرابط.

فحص مجاني للوصول من الصين. خمسة أيام عمل. بدون نماذج تتبّع.

تواصل معنا شاهد كيف نعمل