1. التشفير أثناء النقل
يستخدم الموقع بروتوكول HTTPS مع شهادات TLS حديثة لتشفير كل الاتصالات بين المتصفح والخوادم.
2. حماية بيانات الاعتماد
لا نحفظ كلمات مرور العملاء بشكل نصّي. تُخزَّن مُهشَّرة (hashed) عبر مزوِّد الهوية المستخدَم (Supabase Auth)، ولا يمكن استرجاعها حتى من قِبَل فريقنا.
3. المصادقة الثنائية (2FA)
يمكن لأي مستخدم تفعيل المصادقة الثنائية من إعدادات الحساب في بوابة المستثمر لإضافة طبقة حماية إضافية عند تسجيل الدخول.
4. عزل صلاحيات القراءة/الكتابة
تُستخدَم قواعد Row Level Security على مستوى قاعدة البيانات بحيث لا يمكن لأي مستخدم الوصول إلى بيانات مستخدم آخر مباشرةً عبر واجهة برمجة التطبيقات.
5. سجلات النشاط والتنبيهات
تُسجَّل عمليات تسجيل الدخول، تغيير كلمة المرور، والعمليات الحساسة داخل بوابة المستثمر. يمكن للمستخدم مراجعتها في قسم سجل النشاط.
6. الإبلاغ عن ثغرة (Responsible Disclosure)
إذا اكتشفت ثغرة أمنية محتملة، يُرجى إبلاغنا عبر صفحة تواصل معنا أو البريد الرسمي، مع وصف تقني وخطوات إعادة إنتاج المشكلة. نُقدِّر الإفصاح المسؤول ولن نتخذ إجراءات قانونية ضد الباحثين حسني النية الذين يلتزمون بهذه القواعد.
7. حدود المسؤولية
رغم اتِّباعنا لممارسات أمنية معتبرة، لا يمكن ضمان الأمان المطلق لأي نظام رقمي. يتحمَّل العميل جزءًا من المسؤولية عبر حماية جهازه وعدم مشاركة بيانات دخوله.
