مركز الثقة · الأمن

نموذج أمنٍ قابلٌ للتحقّق

Q: كيف أبلّغ عن ثغرة أمنية؟

راسلنا على hello@novasyc.com بالتفاصيل وخطوات إعادة الإنتاج. نؤكّد استلام البلاغ ونبقيك على اطّلاعٍ حتى الإصلاح: وسياستنا أن البحث الأمني بحسن نيّة وضمن قواعد الإفصاح المسؤول لا يعرّضك لأي إجراءٍ منّا.

أربعة ضوابط تحكم كل ما يجري داخل نوفا: تشفيرٌ أثناء النقل والتخزين، صلاحياتٌ دقيقة على مستوى الإجراء والبيانات، سجلّ تدقيقٍ كامل، وعزلٌ للبيئات. هذه الصفحة تشرح كل ضابطٍ كما يعمل فعلًا: لا كما يبدو في العروض.

نموذج الأمن

أربعة ضوابط، بلا استثناءات

التشفير في كل مسار

البيانات مشفّرة أثناء النقل (TLS 1.3) وأثناء التخزين (AES-256) على سحابة نوفا. وفي النشر داخل سحابتك الخاصة (VPC)، مفاتيح التشفير تملكها وتديرها أنت.

صلاحيات على مستوى الإجراء والبيانات

لا وصول مفتوحًا: كل تدفّقٍ وكل وكيلٍ ذكيّ يعمل ضمن صلاحياتٍ صريحة تحدّد ما يقرؤه وما ينفّذه. ما يتجاوز الحدّ لا يُنفَّذ: يُرفع لموافقةٍ بشرية.

سجلّ تدقيق كامل

كل إجراءٍ يُوثَّق: مَن قرّر، وماذا نفّذ، ولماذا. السجلّ يُراجَع متى شئت: شرطُنا على أنفسنا قبل أن يكون شرط عملائنا.

عزل البيئات

بيئات منفصلة للتطوير والإنتاج، ومساحات عمل معزولٌ بعضها عن بعض. وفي النشر المحلي تعمل نوفا داخل بنيتك بالكامل: حتى في بيئةٍ معزولة عن الإنترنت تمامًا (Air-Gapped).

جدول الضوابط

الضابط وتطبيقه

سطرٌ لكل ضابط: ما نطبّقه اليوم، بصيغةٍ يقتبسها مراجعو الأمن مباشرة.

الضابط	التطبيق
تشفير النقل	TLS 1.3 لكل اتصالٍ بين المتصفّح والمنصّة، وبين الموصّلات والأنظمة المرتبطة.
تشفير التخزين	AES-256 على سحابة نوفا، وفي النشر الخاص، بمفاتيح يملكها العميل ويديرها.
الصلاحيات	أدوار وصلاحيات دقيقة على مستوى الإجراء والبيانات، لكل مستخدمٍ ووكيل: وما يتجاوزها يُرفع لموافقةٍ بشرية.
سجلّ التدقيق	توثيق كامل لكل تنفيذٍ وقرار: مَن، وماذا، ومتى، ولماذا: يُراجَع متى شئت.
عزل البيئات	بيئات تطويرٍ وإنتاجٍ منفصلة، ومساحات عمل معزولة: وخيارات VPC وOn-Prem وAir-Gapped.
النسخ الاحتياطي	نسخٌ احتياطي وتعافٍ من الكوارث على سحابة نوفا \| ضمن البنية المُدارة داخل المملكة.

تفاصيل أعمق عن الضوابط والبنية متاحة لفرق المراجعة عند الطلب.

الإفصاح المسؤول

وجدت ثغرة؟ كلّمنا أولًا

سياستنا في الإفصاح المسؤول بسيطة: نرحّب ببلاغات الباحثين الأمنيين، ونتعامل معها بجدّيةٍ وسرعة.

أرسل التفاصيل وخطوات إعادة الإنتاج إلى [email protected].
نؤكّد استلام البلاغ، ونبقيك على اطّلاعٍ بحالة المعالجة حتى الإغلاق.
امنحنا مهلةً معقولة للإصلاح قبل أيّ نشرٍ علني، ولا تطّلع على بياناتٍ ليست لك أثناء البحث.
البحث بحسن نيّة وضمن هذه القواعد لا يعرّضك لأيّ إجراءٍ منّا: هذه سياستنا المعلنة.

لا نشغّل برنامج مكافآتٍ ماليّة حاليًا؛ إن أطلقناه يومًا، ستجده معلنًا في هذه الصفحة.

أسئلة الأمن

ما يسأله فريق الأمن أولًا

أثناء النقل بـTLS 1.3، وأثناء التخزين بـAES-256 على سحابة نوفا. وفي النشر داخل سحابتك الخاصة (VPC) تكون مفاتيح التشفير ملكك وتحت إدارتك بالكامل.

صلاحيات دقيقة على مستوى الإجراء والبيانات: كل مستخدمٍ ووكيلٍ ذكيّ يعمل ضمن حدودٍ صريحة تحدّد ما يقرؤه وما ينفّذه. ما يتجاوز الحدّ يُرفع لموافقةٍ بشرية، وكل إجراءٍ يُسجَّل في سجلّ التدقيق.

على سحابة نوفا داخل مراكز بيانات سعودية افتراضيًا. وتتوفّر خيارات النشر في سحابتك الخاصة (VPC) أو محليًا داخل مركز بياناتك بالكامل: بما في ذلك البيئات المعزولة عن الإنترنت (Air-Gapped).

راسلنا على [email protected] بالتفاصيل وخطوات إعادة الإنتاج. نؤكّد استلام البلاغ ونبقيك على اطّلاعٍ حتى الإصلاح: وسياستنا أن البحث الأمني بحسن نيّة وضمن قواعد الإفصاح المسؤول لا يعرّضك لأي إجراءٍ منّا.

اختبر الضوابط بنفسك.

عرضٌ حيّ يجيب أسئلة فريق الأمن لديك على سيناريوهاتكم أنتم: أو ابدأ مجانًا وافحص المنصّة مباشرة.

احجز عرضًا توضيحيًا ابدأ مجانًا