الأمن وسلامة البيانات
بنيتنا الأمنية المكونة من 110 نقطة مصممة لحماية سلسلة التوريد العالمية، مما يضمن سرية البيانات وسلامتها والتوافر العالي لكل شحنة
القسم 1: أمن الشبكات والبنية التحتية (01-25)
01. الدفاع المحيطي: نحن نستخدم جدران الحماية من الجيل التالي (NGFW) لمراقبة جميع حركة مرور الشبكة الواردة والصادرة والتحكم فيها بناءً على قواعد الأمان المحددة مسبقًا.
02. تخفيف هجمات DDoS: يستخدم وايفير اللوجستية دفاعًا متعدد الطبقات ضد هجمات رفض الخدمة الموزعة، وذلك باستخدام مراكز المسح العالمية لتصفية حركة المرور الضارة قبل أن تصل إلى خوادمنا الأصلية.
03. السحابة الافتراضية الخاصة (VPC): يتم عزل جميع خوادم التطبيقات داخل شبكة خاصة، مما يضمن عدم إمكانية الوصول إلى أي قاعدة بيانات مباشرة عبر الإنترنت العام.
04. أنظمة كشف التسلل (IDS): نحن نستخدم أدوات المراقبة في الوقت الفعلي التي تحلل حزم الشبكة بحثًا عن إشارات لتوقيعات الهجوم المعروفة أو السلوك الشاذ.
05. جدار حماية تطبيقات الويب (WAF): تم تكوين WAF الخاص بنا لمنع عمليات استغلال الويب الشائعة مثل حقن SQL، والبرمجة النصية عبر المواقع (XSS)، وتضمين الملفات عن بعد (RFI).
06. أمان طبقة النقل (TLS): يتم تشفير جميع البيانات أثناء النقل باستخدام TLS 1.3، وهو البروتوكول الأكثر أمانًا وحداثة المتاح، مما يضمن تحييد هجمات "Man-in-the-Middle" بشكل فعال.
07. تنفيذ DNSSEC: نحن نستخدم امتدادات أمان نظام اسم النطاق لمنع انتحال DNS وهجمات "تسميم ذاكرة التخزين المؤقت".
08. التقسيم الجزئي: يتم تقسيم شبكتنا الداخلية حسب الوظيفة؛ على سبيل المثال، لا يمكن لخدمة "Shipping Label" لدينا التواصل مع قاعدة بيانات "HR Payroll".
09. تقوية موازن التحميل: تم تكوين موازنات التحميل لدينا لإسقاط طلبات HTTP غير الصحيحة وفرض تشفير SSL/TLS صارم.
10. القائمة البيضاء لعناوين IP للشركاء: نحن نسمح لشركاء واجهة برمجة التطبيقات (API) بتقييد الوصول إلى بياناتهم من عناوين IP ثابتة محددة ومعتمدة مسبقًا.
11. بنية الثقة المعدومة: نحن نعمل وفقًا لمبدأ "لا تثق أبدًا، تحقق دائمًا"، والذي يتطلب التحقق من الهوية لكل شخص وجهاز يحاول الوصول إلى الموارد على الشبكة.
12. تقوية الخادم: يتم تجريد جميع أنظمة التشغيل من الخدمات والمنافذ غير الضرورية لتقليل "سطح الهجوم".
13. فحص الثغرات الأمنية: تقوم الأدوات الآلية بفحص بنيتنا التحتية بالكامل كل 24 ساعة للعثور على أخطاء البرامج أو التكوين غير المصحّحة.
14. إدارة التصحيح: يتم تطبيق تصحيحات الأمان المهمة على بيئة الإنتاج لدينا خلال 48 ساعة من الإصدار.
15. مضيفو Bastion: لا يمكن للمطورين الوصول إلى الخوادم الداخلية إلا من خلال "Jump Server" الآمن والمسجل والمدقق.
16. تجميع السجلات: يتم دفع كافة سجلات النظام إلى خادم مركزي "للكتابة مرة واحدة" حيث لا يمكن لأي متطفل تحريرها أو حذفها.
17. خلاصات معلومات التهديدات: نحن نستوعب البيانات في الوقت الفعلي من وكالات الأمن العالمية لحظر عناوين IP المرتبطة بشبكات الروبوت المعروفة.
18. وحدات أمان الأجهزة (HSM): يتم تخزين مفاتيح التشفير الأكثر حساسية لدينا في أجهزة متخصصة مقاومة للتلاعب.
19. تكامل CDN: نحن نستخدم شبكة توصيل المحتوى لتخزين الأصول الثابتة مؤقتًا، مما يقلل الحمل على خوادمنا الأساسية ويوفر طبقة إضافية من الحماية.
20. تشفير قاعدة البيانات: يتم تشفير جميع البيانات المخزنة على الأقراص باستخدام AES-256 (التشفير عند الراحة).
21. التمهيد الآمن: تستخدم مثيلاتنا السحابية تسلسلات تمهيد تم التحقق منها لضمان عدم التلاعب بالبرنامج على مستوى الجذر.
22. أمان بوابة واجهة برمجة التطبيقات: يتم فحص كل طلب واجهة برمجة التطبيقات بحثًا عن رموز OAuth2 الصالحة والامتثال لحدود المعدل قبل المعالجة.
23. إدارة مفاتيح SSH: نحن نحظر عمليات تسجيل الدخول المعتمدة على كلمة المرور للخوادم؛ يتطلب كل الوصول الإداري مفاتيح SSH 4096 بت.
24. اختبار الاختراق المنتظم: نقوم بتعيين قراصنة "White Hat" خارجيين مرتين سنويًا لمحاولة اختراق أنظمتنا.
25. أمان مركز البيانات الفعلي: يحتفظ موفرو الخدمات السحابية لدينا (AWS/Google/Azure) بمراكز بيانات من المستوى 4 مع إمكانية الوصول البيومترية وحراس مسلحين على مدار الساعة طوال أيام الأسبوع.
القسم 2: جدول مقارنة الأمان
لمساعدتك في فهم مستويات الحماية التي نقدمها بناءً على مستوى حسابك، يرجى الرجوع إلى الجدول أدناه:
القسم 3: إدارة الهوية والوصول (26-50)
26. مبدأ الامتياز الأقل: يُمنح الموظفون فقط الحد الأدنى من مستوى الوصول المطلوب لأداء وظائفهم الوظيفية المحددة.
27. موفر الهوية المركزي: نحن نستخدم الدخول الموحد (SSO) لإدارة جميع بيانات اعتماد الموظفين في مكان واحد آمن.
28. MFA الإلزامي: يجب على جميع موظفي وايفير اللوجستية استخدام المصادقة متعددة العوامل للوصول إلى أي نظام داخلي.
29. التحكم في الوصول المستند إلى الدور (RBAC): ترتبط الأذونات بالأدوار (على سبيل المثال، "دعم العملاء"، و"الفوترة"، و"المسؤول") بدلاً من المستخدمين الفرديين.
30. الوصول في الوقت المناسب (JIT): يتم منح امتيازات المسؤول فقط لفترة زمنية محددة عندما يحتاج الفني إلى إصلاح خطأ ما.
31. مهلات الجلسة: تنتهي جلسات المستخدم تلقائيًا بعد 30 دقيقة من عدم النشاط لمنع الوصول غير المصرح به إلى أجهزة الكمبيوتر المشتركة.
32. تدوير بيانات الاعتماد: نحن نفرض سياسة تدوير كلمات مرور الخدمة الداخلية ومفاتيح واجهة برمجة التطبيقات كل 90 يومًا.
33. سياسة تأمين الحساب: ستؤدي خمس محاولات تسجيل دخول فاشلة إلى إغلاق مؤقت للحساب لمنع هجمات "القوة الغاشمة".
34. تعقيد كلمة المرور: نطلب ما لا يقل عن 14 حرفًا، بما في ذلك الرموز والأرقام والأحرف المختلطة.
35. التحقق من تسرب كلمة المرور: يقوم نظامنا بمقارنة كلمات المرور الجديدة بقواعد البيانات المعروفة "Pwned" لضمان عدم تسرب كلمات المرور الخاصة بك إلى أي مكان آخر.
36. التكامل البيومتري: تدعم تطبيقات الهاتف المحمول لدينا مستشعرات FaceID وبصمة الإصبع للدخول الآمن بدون كلمة مرور.
37. بروتوكول الإنهاء: يتم إلغاء وصول الموظفين المغادرين خلال 60 ثانية من تغيير حالة الموارد البشرية الخاصة بهم.
38. مراجعات وصول المستخدم: يجب على المديرين مراجعة مستويات وصول فريقهم وإعادة الموافقة عليها كل ثلاثة أشهر.
39. إدارة وصول الطرف الثالث: لا يتمكن البائعون إلا من الوصول إلى أنظمة فرعية محددة وفقط عبر شبكات VPN المشفرة.
40. الإدارة المفوضة: يمكن لأصحاب الحسابات تفويض حق الوصول "الفوترة فقط" إلى المحاسبين لديهم دون مشاركة أسرار الشحن.
41. عزل حساب الخدمة: تستخدم البرامج النصية الآلية "حسابات الخدمة" التي لا تتمتع بإمكانيات تسجيل الدخول ونطاقات ضيقة جدًا.
42. نطاق OAuth2: عند الاتصال بتطبيق جهة خارجية، يمكنك اختيار البيانات التي يمكنه رؤيتها بالضبط (على سبيل المثال، "للقراءة فقط" مقابل "إدارة الشحنات").
43. إعادة تعيين كلمة المرور بشكل آمن: نحن نستخدم الرموز المميزة التي يتم إرسالها مرة واحدة وحساسة للوقت عبر القنوات التي تم التحقق منها لإعادة تعيين بيانات الاعتماد المفقودة.
44. إثبات الهوية: بالنسبة لحسابات المؤسسات ذات الحجم الكبير، نطلب إجراء مكالمة فيديو للتحقق قبل تفويض "المسؤول الرئيسي".
45. بصمة المتصفح: ننبهك في حالة حدوث تسجيل دخول من جهاز أو متصفح لم تستخدمه من قبل.
46. تسجيلات الدخول إلى السياج الجغرافي: يمكنك تقييد إمكانية تسجيل الدخول لفريقك إلى بلدان معينة أو حتى إحداثيات GPS محددة للمكتب.
47. المصادقة المستمرة: يراقب نظامنا التغييرات المفاجئة في السلوك (على سبيل المثال، تنزيل 1000 بيان في وقت واحد) ويطلق مطالبة بإعادة المصادقة.
48. تجزئة مفتاح واجهة برمجة التطبيقات: لا نقوم مطلقًا بتخزين مفاتيح واجهة برمجة التطبيقات الخاصة بك في نص عادي؛ نقوم بتخزين "تجزئة مملحة" حتى أننا لا نستطيع رؤية مفتاحك الفعلي.
49. الوصول في حالات الطوارئ (كسر الزجاج): لدينا قاعدة "شخصين" للوصول في حالات الطوارئ إلى قاعدة البيانات الجذر لمنع تصرفات "الموظفين المارقين".
50. لوحات معلومات النشاط: يمكن لكل مستخدم عرض "سجل تسجيل الدخول" الخاص به لضمان عدم وصول أي شخص آخر إلى حسابه.
القسم 4: أمان التطبيقات والبيانات (51-80)
51. دورة حياة تطوير البرمجيات الآمنة (S-SDLC): تم دمج الأمان في عملية البرمجة لدينا بدءًا من مرحلة التصميم، ولا تتم إضافته في النهاية.
52. اختبار أمان التطبيقات الثابتة (SAST): يتم تحليل الكود الخاص بنا تلقائيًا بحثًا عن نقاط الضعف في كل مرة يحفظ فيها المطور تغييرًا.
53. الاختبار الديناميكي لأمن التطبيقات (DAST): نقوم بتشغيل هجمات تلقائية على بيئة "التدريج" الخاصة بنا للعثور على عيوب وقت التشغيل.
54. فحص التبعية: نحن نتتبع كل مكتبة تابعة لجهات خارجية نستخدمها؛ إذا تم العثور على خطأ في مكتبة مثل "Log4j"، فسيتم تنبيهنا على الفور.
55. معلمات SQL: نستخدم "البيانات المعدة" لجميع استعلامات قاعدة البيانات، مما يجعل هجمات حقن SQL مستحيلة رياضيًا.
56. التحقق من صحة الإدخال: يتم تنظيف كل جزء من البيانات التي يتم إدخالها في وايفير اللوجستية والتحقق من صحتها للتأكد من أنها لا تحتوي على نصوص برمجية ضارة.
57. ترميز الإخراج: يتم تشفير البيانات المعروضة على الشاشة لمنع تنفيذ البرمجة النصية عبر المواقع (XSS) في متصفحك.
58. حماية CSRF: يتضمن كل نموذج يتم إرساله رمزًا مميزًا فريدًا لمرة واحدة لمنع "تزوير الطلب عبر المواقع".
59. ملفات تعريف الارتباط الآمنة: يتم وضع علامة على ملفات تعريف الارتباط الخاصة بنا على أنها
HttpOnly(لا يمكن قراءتها بواسطة البرامج النصية) وآمنة(يتم إرسالها عبر HTTPS فقط).60. سياسة أمان المحتوى (CSP): نحن نطلب من متصفحك تنفيذ البرامج النصية التي تأتي من النطاق الموثوق به فقط.
61. Clickjacking Defense: نحن نستخدم رؤوس
X-Frame-Optionsلمنع "تأطير" موقعنا بواسطة مواقع الويب الضارة.62. إخفاء البيانات: يرى فريق الدعم لدينا البيانات "المقنعة" (على سبيل المثال،
****-****-1234) ما لم يكن لديهم سبب محدد لرؤية القيمة الكاملة.63. تحميلات الملفات الآمنة: يتم فحص جميع المستندات التي تم تحميلها (ملفات PDF والفواتير) بحثًا عن الفيروسات ووضع الحماية قبل تخزينها.
64. سياسة عدم الاحتفاظ بالسجلات لكلمات المرور: نحن نضمن عدم ظهور البيانات الحساسة مثل كلمات المرور أو أرقام بطاقات الائتمان في سجلات أخطاء النظام لدينا مطلقًا.
65. إصدار قاعدة البيانات: نحن نحافظ على الاسترداد "في وقت محدد"، مما يسمح لنا باستعادة قاعدة البيانات إلى أي ثانية محددة في آخر 30 يومًا.
66. النسخ الاحتياطية التلقائية: يتم أخذ النسخ الاحتياطية كل ساعة وتخزينها في موقع فعلي منفصل عن الخوادم الرئيسية.
67. تشفير النسخ الاحتياطي: يتم تشفير ملفات النسخ الاحتياطي باستخدام مجموعة مختلفة من المفاتيح عن قاعدة البيانات المباشرة.
68. اختبار الاستعادة المنتظم: نحن لا نأخذ نسخًا احتياطية فحسب؛ ونقوم "باختبارها" كل أسبوع للتأكد من أنها تعمل بالفعل.
69. طلبات الوصول إلى صاحب البيانات (DSAR): لدينا بوابة آلية يمكنك من خلالها طلب بياناتك الشخصية وعرضها وحذفها.
70. حق النقل: يمكنك تنزيل سجل الشحن بالكامل بتنسيق JSON/CSV منظم في أي وقت.
71. التخلص الآمن من البيانات: عندما نحذف البيانات، فإننا نستخدم "محو التشفير"، مما يؤدي إلى تدمير المفاتيح بحيث لا يمكن استرداد البيانات مطلقًا.
72. عزل المستأجرين المتعددين: نحن نستخدم "الصوامع" المنطقية لضمان عدم إمكانية رؤية العميل "ب" لبيانات العميل "أ".
73. تحديد المعدل حسب المستخدم: نحن نمنع "استنفاد الموارد" عن طريق تحديد عدد الطلبات التي يمكن لمستخدم واحد إجراؤها في الثانية.
74. تصلب رسالة الخطأ: رسائل الخطأ لدينا عامة؛ نحن لا نخبر المستخدم لماذا فشل تسجيل الدخول (على سبيل المثال، "اسم مستخدم غير صالح") لمنع تعداد المستخدم.
75. سلامة الذاكرة: نعطي الأولوية لأنماط البرمجة الآمنة للذاكرة لمنع ثغرات "تجاوز سعة المخزن المؤقت".
76. أمان الحاوية: يعمل تطبيقنا في "حاويات" معزولة عن أجهزة الخادم الأساسية.
77. البنية التحتية كرمز (IaC): يتم إنشاء خوادمنا باستخدام البرامج النصية، مما يضمن تكوين كل خادم بنفس الطريقة تمامًا دون أي خطأ بشري.
78. إدارة الأسرار: نستخدم أدوات مثل HashiCorp Vault لإدارة مفاتيح واجهة برمجة التطبيقات، لذلك لا يتم تشفيرها أبدًا في برامجنا.
79. مسار التدقيق لتغييرات البيانات: إذا قام شخص ما بتغيير "عنوان التسليم"، فإننا نسجل القيمة القديمة والقيمة الجديدة ومن قام بتغييرها.
80. إخفاء هوية البيانات للتحليلات: عندما ندرس اتجاهات الشحن، فإننا نزيل جميع الأسماء والعناوين لحماية الخصوصية.
القسم 5: الامتثال وعمليات التدقيق والاستجابة للحوادث (81-110)
81. خطة الاستجابة للحوادث (IRP): لدينا دليل قواعد موثق لكل نوع من الأحداث الأمنية، بدءًا من فقدان الكمبيوتر المحمول وحتى اختراق الخادم.
82. مركز العمليات الأمنية (SOC) الذي يعمل على مدار 24 ساعة طوال أيام الأسبوع: نحن نوظف فريقًا عالميًا من محللي الأمن الذين يراقبون تنبيهاتنا على مدار الساعة.
83. ضمان إشعار الخرق: في حالة حدوث اختراق مؤكد للبيانات، فسنخطرك خلال 72 ساعة.
84. مراجعات ما بعد الوفاة: بعد كل حادث أمني، نقوم بإجراء "فحص بلا لوم" لضمان عدم تكرار نفس الخطأ مرتين.
85. امتثال SOC2 من النوع II: نخضع لعمليات تدقيق سنوية لإثبات فعالية ضوابط الأمان لدينا على مدى فترة طويلة.
86. التوافق مع PCI-DSS: تلبي أنظمة الدفع لدينا المعايير الصارمة لصناعة بطاقات الدفع.
87. الامتثال لقانون HIPAA: نحن نقدم معالجة متخصصة للبيانات للخدمات اللوجستية الطبية والصيدلانية.
88. الامتثال للقانون العام لحماية البيانات وقانون خصوصية المستهلك في كاليفورنيا: نحن نلتزم بأعلى المعايير العالمية لخصوصية البيانات وحقوق المستخدم.
89. التقييم السنوي للمخاطر: يقوم فريق القيادة لدينا بتحديد وتصنيف أهم 10 مخاطر أمنية تواجه الشركة كل عام.
90. التدريب الأمني للموظفين: يخضع كل موظف لتدريب إلزامي للتوعية الأمنية مرتين سنويًا.
91. محاكاة التصيد الاحتيالي: نحن "نختبر" موظفينا باستخدام رسائل البريد الإلكتروني التصيدية الزائفة لإبقائهم في حالة تأهب.
92. عمليات التحقق من الخلفية: يخضع كل موظف لديه إمكانية الوصول إلى بيانات العميل لفحص خلفية جنائية صارمة.
93. اتفاقيات عدم الإفشاء (NDA): كل موظف ملزم قانونًا بالحفاظ على سرية بيانات العميل مدى الحياة.
94. خطة استمرارية الأعمال (BCP): لدينا خطة للحفاظ على تشغيل نظام التتبع حتى لو تم تدمير مكتبنا الرئيسي.
95. إدارة مخاطر سلسلة التوريد: نقوم بمراجعة موردينا (مثل موفري الخدمات السحابية) للتأكد من استيفائهم لمعايير الأمان لدينا.
96. المراجعة القانونية لمذكرات الاستدعاء: نحن لا نقوم بتسليم البيانات إلى الشرطة دون أمر قضائي صالح ومعتمد من المحكمة.
97. التأمين الإلكتروني: يحمل وايفير اللوجستية بوليصة تأمين بقيمة 5 ملايين دولار أمريكي لتغطية تكاليف الاختراق المحتمل.
98. برنامج مكافأة الأخطاء: نحن ندفع لباحثين مستقلين للعثور على الأخطاء والإبلاغ عنها قبل المجرمين.
99. سياسة الإفصاح المسؤول: نحن نقدم طريقة آمنة للجمهور للإبلاغ عن المخاوف الأمنية دون خوف من الإجراءات القانونية.
100. سرعة التشفير: نحن على استعداد لترقية خوارزميات التشفير لدينا على الفور في حالة تعطل إحدى الخوارزميات الحالية (مثل SHA-1).
101. النسخ الاحتياطية دون اتصال بالإنترنت (Air-Gapped): نحتفظ بنسخة من بياناتنا الأكثر أهمية على خوادم غير متصلة بالإنترنت.
102. الأمان المادي للأجهزة المحمولة: جميع هواتف الشركة مزودة بإمكانيات "المسح عن بعد" في حالة فقدانها.
103. سياسة المكتب النظيف: يُحظر على الموظفين ترك كلمات المرور أو مستندات الشحن الحساسة على مكاتبهم.
104. أبطال الأمان: لدينا "خبير" أمني معين ضمن كل فريق هندسي.
105. جاهزية الطب الشرعي: نحن نحتفظ بالأدوات اللازمة لإجراء تحقيق جنائي رقمي في أي لحظة.
106. الوصول إلى سجل التدقيق الخارجي: يمكن لعملاء المؤسسات طلب الوصول إلى "سجلات الأمان" الخاصة بهم عبر واجهة برمجة التطبيقات الخاصة بنا.
107. حالة وقت التشغيل الشفافة: نحن نقدم "صفحة حالة" عامة حيث يمكنك رؤية صحة النظام في الوقت الفعلي.
108. الملاذ الآمن للباحثين: نعد بعدم مقاضاة الباحثين الذين يتصرفون بحسن نية لمساعدتنا في تأمين منصتنا.
109. الرقابة الأمنية على مستوى مجلس الإدارة: يقدم رئيس أمن المعلومات لدينا تقاريره مباشرة إلى مجلس الإدارة.
110. الالتزام بالتحسين المستمر: الأمان عبارة عن رحلة، وليس وجهة. نحن ملتزمون بتطوير دفاعاتنا كل يوم.