برنامج الأمان
آخر تحديث: 4 يوليو 2026
تُدير كوربيو منصة تأسيس شركات تتعامل مع معلومات حساسة تخص الهوية والشركات والبيانات المالية لمؤسسي الأعمال حول العالم. الأمان ليس ميزة إضافية بل قيد تصميمي في كل طبقة من طبقات منصتنا، من حافة الشبكة إلى الشيفرة البرمجية التي يطلقها مهندسونا. توضّح هذه الصفحة تفاصيل البرنامج. لخارطة طريق الشهادات، راجع الشهادات؛ ولكيفية الإبلاغ عن ثغرة، راجع الإفصاح المسؤول.
أمن البنية التحتية
تعمل بيئة الإنتاج على Vercel (طبقة التطبيقات ووظائف الحافة) وAWS (تخزين البيانات والمعالجة الخلفية والأسرار) خلف شبكة Cloudflare العالمية. يتم توفير كل بيئة عبر أكواد بنية تحتية قابلة للمراجعة والتكرار بدلاً من التهيئة اليدوية. بيئات الإنتاج والتجربة والتطوير معزولة منطقيًا وشبكيًا عن بعضها؛ ولا يملك المهندسون وصولًا دائمًا لقواعد بيانات الإنتاج من أجهزتهم المحلية. راجع البنية التحتية للتفاصيل.
أمن الشبكات
تدخل كل حركة المرور عبر شبكة Cloudflare، التي توفر حماية من هجمات الحرمان من الخدمة (DDoS)، وجدار حماية تطبيقات ويب مُدار (WAF)، وتخفيف حركة الروبوتات قبل وصول أي طلب إلى الخوادم الأصلية. لا يمكن الوصول إلى الخوادم الأصلية مباشرة من الإنترنت العام. حركة المرور الداخلية بين الخدمات مصادَق عليها ومشفّرة، ويتطلب الوصول الإداري للبنية التحتية السحابية VPN أو وسيط وصول بنموذج الثقة الصفرية بالإضافة إلى المصادقة متعددة العوامل (MFA).
أمن التطبيقات
يتبع فريق الهندسة لدينا ممارسات برمجة آمنة مستندة إلى قائمة OWASP Top 10 وOWASP ASVS. يمر كل تغيير في التطبيق بمراجعة الشيفرة، وتحليل ساكن آلي، وفحص الثغرات في الاعتماديات قبل الدمج. نستخدم استعلامات معلمنة لمنع الحقن، وترميز المخرجات وسياسة أمان محتوى صارمة لتقليل مخاطر البرمجة النصية عبر المواقع، ورموز مكافحة CSRF، وتحديد معدل الطلبات على نقاط النهاية الحساسة.
التشفير
تُشفَّر البيانات أثناء النقل باستخدام TLS 1.2+ في كل مكان، وأثناء التخزين باستخدام تشفير AES-256. راجع التشفير للتفاصيل الكاملة.
ضبط الوصول
يتبع الوصول إلى أنظمة الإنتاج وبيانات العملاء مبدأ الحد الأدنى من الصلاحيات: يُمنح الموظفون فقط الوصول اللازم لدورهم، ويُراجَع الوصول دوريًا، ويُلغى فورًا عند تغيير الدور أو إنهاء الخدمة. المصادقة متعددة العوامل إلزامية لجميع حسابات الموظفين ذوي الوصول لأنظمة الإنتاج. راجع ضبط الوصول وسجلات التدقيق.
إدارة الثغرات
نُجري فحصًا آليًا مستمرًا للثغرات، ونكلّف بشكل دوري اختبارات أمان مستقلة (اختبار اختراق) للمنصة. تُصنَّف النتائج حسب الخطورة وتُعالَج ضمن أهداف زمنية محددة. كما نُدير برنامج إفصاح عام عن الثغرات — راجع الإفصاح المسؤول.
المراقبة
تُجمَّع بيانات القياس عن البنية التحتية والتطبيقات والأمان مركزيًا وتُراقب باستمرار، مع تنبيهات آلية تُخطر المهندسين المناوبين على مدار الساعة.
دورة التطوير الآمنة
يُدمَج الأمان عبر خط أنابيب التسليم البرمجي: مراجعة تصميم للميزات الحساسة، مراجعة شيفرة إلزامية، اختبارات آلية في التكامل المستمر، طرح تدريجي مع إمكانية التراجع السريع، وعملية إدارة تغيير رسمية للبنية التحتية. لا تُحفظ الأسرار أبدًا في نظام التحكم بالإصدار.
الاستجابة للحوادث
تحتفظ كوربيو بخطة استجابة موثّقة للحوادث تغطي الاكتشاف، والفرز، والاحتواء، والإصلاح، والاستعادة، وإخطار العملاء. راجع الاستجابة للحوادث.
أمن الموظفين
يُكمل جميع الموظفين والمتعاقدين تدريبًا على الأمان والخصوصية عند الانضمام وبشكل دوري بعد ذلك، يغطي التصيّد والهندسة الاجتماعية والتعامل الآمن مع بيانات العملاء. يُمنح الوصول على أساس الحد الأدنى من الصلاحيات ويُلغى فورًا عند إنهاء الخدمة.
الأمن المادي
لا تُشغّل كوربيو مراكز بياناتها الخاصة. تعمل كل البنية التحتية للإنتاج في مراكز بيانات مزوّدي الخدمات السحابية (AWS وشركاء البنية التحتية لـVercel)، والتي تحافظ على ضوابط أمان مادي متوافقة مع معايير SOC 2 / ISO 27001 بما في ذلك التحكم بالدخول عبر البطاقات والمراقبة على مدار الساعة.
التحسين المستمر
تتم مراجعة برنامجنا الأمني وتحديثه بانتظام. نتابع تقدمنا نحو الشهادات الرسمية في صفحة الشهادات، ونرحب بأسئلة العملاء والمدققين وشركاء المؤسسات المالية عبر security@corpyo.com.