الأمان

في روّج، الأمان ليس فكرة لاحقة — بل هو أساس كل ما نبنيه. بصفتنا منصة لإدارة وسائل التواصل الاجتماعي، نحن نفهم أنك تثق بنا للوصول إلى حساباتك على وسائل التواصل الاجتماعي وبياناتك التجارية الحساسة. ونحن نأخذ هذه المسؤولية على محمل الجد.

تصف هذه الصفحة الإجراءات الأمنية والممارسات والبنية التحتية التي نستخدمها لحماية بياناتك وحساباتك المرتبطة على وسائل التواصل الاجتماعي وخصوصيتك.

نحن نتبع أفضل الممارسات في المجال ونعمل باستمرار على تحسين وضعنا الأمني. إذا كانت لديك أي أسئلة متعلقة بالأمان، يرجى التواصل معنا على privacy@rawwij.com.

جميع البيانات مشفرة أثناء النقل وأثناء التخزين لضمان أقصى حماية.

التشفير أثناء النقل: • جميع الاتصالات بروّج تستخدم TLS 1.2 أو أعلى (يُفضل TLS 1.3) • بروتوكول HTTPS مُطبق على جميع نقاط النهاية — طلبات HTTP يتم إعادة توجيهها تلقائياً • الاتصالات مع منصات التواصل الاجتماعي (Meta، X، TikTok، إلخ) تستخدم قنوات مشفرة • حمولات Webhook يتم التحقق منها باستخدام توقيعات خاصة بكل منصة

التشفير أثناء التخزين: • جميع بيانات قاعدة البيانات مشفرة أثناء التخزين باستخدام تشفير AES-256 • رموز OAuth ورموز التحديث مشفرة قبل التخزين باستخدام تشفير على مستوى التطبيق • الملفات المرفوعة والوسائط مخزنة في حاويات تخزين مشفرة • النسخ الاحتياطية لقاعدة البيانات مشفرة بنفس معيار AES-256 • مفاتيح التشفير تُدار من خلال نظام إدارة مفاتيح آمن ويتم تدويرها بانتظام

نطبق طبقات متعددة من المصادقة وتحكم صارم في الوصول لحماية حسابك.

مصادقة المستخدم: • كلمات المرور مُشفرة باستخدام bcrypt مع أملاح فريدة — لا نخزن كلمات المرور بنص عادي أبداً • المصادقة الثنائية (2FA) مدعومة عبر تطبيقات المصادقة القائمة على TOTP (Google Authenticator، Authy، إلخ) • رموز الجلسة موقعة ومحددة زمنياً وتنتهي تلقائياً بعد فترات عدم النشاط • حماية من هجمات القوة الغاشمة: يتم قفل الحسابات مؤقتاً بعد محاولات تسجيل دخول فاشلة متكررة • تدفقات إعادة تعيين كلمة المرور آمنة مع رموز محدودة الاستخدام والوقت

التحكم في الوصول: • التحكم في الوصول القائم على الأدوار (RBAC) مُطبق عبر جميع ميزات الفريق — أدوار المالك والمسؤول والمحرر والمشاهد • سياسات أمان على مستوى الصفوف (RLS) مُطبقة على مستوى قاعدة البيانات • مفاتيح API والرموز تتبع مبدأ الحد الأدنى من الصلاحيات • دعوات الفريق تتطلب التحقق من البريد الإلكتروني والقبول الصريح

بما أن روّج يتصل بحساباتك على وسائل التواصل الاجتماعي، نتخذ احتياطات إضافية لتأمين هذه التكاملات.

بروتوكول OAuth 2.0: • جميع اتصالات وسائل التواصل الاجتماعي تستخدم إطار عمل التفويض القياسي OAuth 2.0 • لا نملك وصولاً أبداً إلى كلمات مرور وسائل التواصل الاجتماعي — المصادقة تتم بالكامل من قبل كل منصة • نطلب فقط الحد الأدنى من الصلاحيات المطلوبة للميزات التي تستخدمها • يمكنك إلغاء وصول روّج في أي وقت من إعدادات منصة التواصل الاجتماعي أو من داخل روّج

أمان الرموز: • رموز الوصول OAuth ورموز التحديث مشفرة على مستوى التطبيق قبل التخزين في قاعدة البيانات • يتم تحديث الرموز تلقائياً قبل انتهاء صلاحيتها • عند فصل حساب تواصل اجتماعي، يتم حذف جميع الرموز المرتبطة فوراً وبشكل دائم • عمليات تحديث الرموز تستخدم تراجع أسي مع حدود إعادة المحاولة لمنع إساءة الاستخدام

أمان خاص بكل منصة: • Meta (فيسبوك/إنستغرام): نلتزم بشروط منصة Meta وسياسات استخدام البيانات. • X (تويتر): نتبع اتفاقية مطوري X وتدفق OAuth 2.0 PKCE لأمان محسن. • TikTok: نلتزم بشروط خدمة مطوري TikTok ونستخدم تدفق OAuth الرسمي. • YouTube: نستخدم خدمات YouTube API ونلتزم بسياسة بيانات المستخدم لخدمات Google API. • LinkedIn: نتبع شروط استخدام API وإرشادات منصة LinkedIn. • Snapchat: نلتزم بشروط مطوري Snap ونستخدم تدفق OAuth الرسمي. • Threads: نلتزم بشروط منصة Meta للوصول إلى Threads API. • Telegram: نستخدم Telegram Bot API مع رموز بوت مخزنة بشكل آمن. يمكن للبوتات فقط الوصول إلى القنوات والمجموعات التي يتم إضافتها صراحةً من قبل المستخدم.

بنيتنا التحتية مصممة للأمان والموثوقية والأداء — خاصة لمستخدمي منطقة الشرق الأوسط وشمال أفريقيا.

البنية التحتية السحابية: • روّج مستضاف على بنية تحتية سحابية من الدرجة المؤسسية بشهادات SOC 2 Type II و ISO 27001 • استضافة قاعدة البيانات عبر Supabase، المبنية على Amazon Web Services (AWS) • نستخدم شبكة توصيل المحتوى (CDN) لتقديم الأصول الثابتة بأمان وكفاءة حول العالم • جميع مكونات البنية التحتية يتم تحديثها وتصحيحها بانتظام

أمان الشبكة: • جدار حماية تطبيقات الويب (WAF) يحمي من التهديدات الشائعة بما في ذلك حقن SQL و XSS و CSRF • حماية DDoS مفعلة على مستوى الشبكة والتطبيق • تحديد المعدل مُطبق على جميع نقاط نهاية API لمنع إساءة الاستخدام • حدود المعدل الخاصة بكل منصة محترمة ومُدارة بنظام طوابير ذكي

أمان البيئة: • جميع الأسرار ومفاتيح API وبيانات الاعتماد مخزنة في متغيرات البيئة — وليس في مستودعات الكود • بيئات التطوير والمعاينة والإنتاج منفصلة تماماً • وصول الخادم مقيد للموظفين المصرح لهم فقط عبر مصادقة مفتاح SSH • جميع تغييرات البنية التحتية مسجلة وقابلة للتدقيق

ننفذ إجراءات شاملة لحماية البيانات لحماية محتواك وبيانات التحليلات.

عزل البيانات: • بيانات كل مستخدم معزولة منطقياً باستخدام سياسات أمان على مستوى الصفوف (RLS) • مساحات عمل الفريق معزولة — أعضاء الفريق يمكنهم الوصول فقط إلى الموارد ضمن نطاقهم المصرح • بيانات حسابات التواصل الاجتماعي المرتبطة مرتبطة فقط بالمستخدم المُفوِّض

النسخ الاحتياطي والاستعادة: • نسخ احتياطية تلقائية لقاعدة البيانات يومياً مع إمكانية الاستعادة لنقطة زمنية محددة • النسخ الاحتياطية مشفرة ومخزنة في موقع جغرافي منفصل • يتم اختبار استعادة النسخ الاحتياطية بانتظام لضمان سلامة البيانات • ملفات الوسائط مخزنة مع تكرار عبر مناطق توفر متعددة

الاحتفاظ بالبيانات والحذف: • عند حذف حسابك، يتم إزالة جميع البيانات الشخصية بشكل دائم خلال 30 يوماً • يتم حذف رموز وسائل التواصل الاجتماعي فوراً عند فصل الحساب • يمكن تصدير بيانات التحليلات قبل حذف الحساب عند الطلب • لا نحتفظ ببياناتك لفترة أطول مما هو ضروري للأغراض المذكورة في سياسة الخصوصية

نحافظ على مراقبة مستمرة ولدينا إجراءات محددة لاكتشاف الحوادث الأمنية والاستجابة لها.

المراقبة: • مراقبة في الوقت الفعلي لجميع الأنظمة الحرجة وواجهات API والخدمات • تنبيهات تلقائية لأنماط النشاط غير المعتاد ومحاولات المصادقة الفاشلة والشذوذات في النظام • سجلات التطبيق والبنية التحتية مركزية ويتم تحليلها لأحداث الأمان • يتم مراقبة تسليم Webhook وتفاعلات API مع وسائل التواصل الاجتماعي

الاستجابة للحوادث: • نحتفظ بخطة استجابة للحوادث موثقة مع أدوار محددة وإجراءات تصعيد • يتم تصنيف الحوادث الأمنية حسب الشدة والاستجابة لها ضمن إطارات زمنية محددة • يتم معالجة الثغرات الحرجة خلال 24 ساعة من اكتشافها • يتم إخطار المستخدمين المتأثرين فوراً وفقاً لقوانين حماية البيانات المعمول بها • يتم إجراء مراجعات بعد الحوادث لمنع تكرارها

روّج ملتزم بتلبية معايير الأمان في المجال والمتطلبات التنظيمية ذات الصلة بمستخدمينا.

المعايير والأطر: • ممارساتنا الأمنية متوافقة مع إرشادات OWASP Top 10 لأمان تطبيقات الويب • نتبع مبدأ الحد الأدنى من الصلاحيات عبر جميع الأنظمة وعناصر التحكم في الوصول • يتم إجراء تقييمات أمنية ومراجعات للكود بشكل منتظم كجزء من عملية التطوير

لوائح حماية البيانات: • نلتزم بلوائح حماية البيانات المعمول بها في الأسواق التي نخدمها • لمستخدمي الكويت ودول مجلس التعاون الخليجي، نلتزم بمتطلبات حماية البيانات المحلية • اتفاقيات معالجة البيانات متاحة لعملاء المؤسسات عند الطلب

امتثال المنصات: • نحافظ على الامتثال لسياسات وشروط مطوري جميع منصات التواصل الاجتماعي المتصلة • مراجعات منتظمة تضمن بقاء نطاقات أذوناتنا وممارسات التعامل مع البيانات متوافقة • نشارك في مراجعات الأمان الخاصة بكل منصة حسب الحاجة (مثل مراجعة تطبيق Meta)

نقدّر مجتمع أبحاث الأمان ونرحب بالإبلاغ المسؤول عن الثغرات الأمنية.

إذا اكتشفت ثغرة أمنية في روّج، يرجى الإبلاغ عنها بشكل مسؤول:

كيفية الإبلاغ: • البريد الإلكتروني: privacy@rawwij.com • أرفق وصفاً مفصلاً للثغرة وخطوات إعادة الإنتاج والتأثير المحتمل • يرجى منحنا وقتاً معقولاً للتحقيق ومعالجة المشكلة قبل الإفصاح العلني

التزامنا: • سنؤكد استلام تقريرك خلال 48 ساعة • سنقدم تحديثات منتظمة حول حالة التحقيق • لن نتخذ إجراءات قانونية ضد الباحثين الذين يبلغون عن الثغرات بحسن نية • ننسب الفضل للباحثين (بإذنهم) في قسم شكر الأمان لدينا

خارج النطاق: • هجمات الهندسة الاجتماعية ضد موظفي أو مستخدمي روّج • هجمات رفض الخدمة • مشاكل في خدمات أو منصات الطرف الثالث • ثغرات معروفة لدينا بالفعل أو تم الإبلاغ عنها سابقاً

إذا كانت لديك أي أسئلة أو مخاوف أو بلاغات متعلقة بالأمان، يرجى التواصل معنا:

• فريق الأمان: privacy@rawwij.com • الدعم العام: support@rawwij.com • استفسارات حماية البيانات: privacy@rawwij.com

للمسائل الأمنية العاجلة، يرجى تضمين كلمة "عاجل" في عنوان بريدك الإلكتروني.

نحن ملتزمون بالشفافية وسنبقي هذه الصفحة محدثة مع تطور ممارساتنا الأمنية.