AM25.ir

سیاست امنیت و رمزنگاری

آخرین به‌روزرسانی: ۳۱ اکتبر ۲۰۲۵

استانداردهای رمزنگاری

ما رمزنگاری استاندارد صنعتی را برای حفاظت از داده‌های شما در هر سطح پیاده‌سازی می‌کنیم:

  • HTTPS/TLS 1.3: تمام اتصالات از رمزنگاری TLS 1.3 برای حفاظت از داده‌ها در حین انتقال بین دستگاه شما و سرورهای ما استفاده می‌کنند.
  • هش کردن رمز عبور: تمام رمزهای عبور با bcrypt با ۱۰ دور سالت هش می‌شوند که آن‌ها را غیرقابل بازگشت و ایمن می‌کند.
  • رمزنگاری ذخیره‌سازی: داده‌ها در پایگاه‌داده MongoDB رمزگذاری‌شده با GridFS برای ذخیره‌سازی فایل ذخیره می‌شوند که از داده‌های در حالت استراحت محافظت می‌کند.
  • داده در حال انتقال: تمام ارتباطات API از طریق HTTPS ایمن‌سازی می‌شوند و از حملات man-in-the-middle جلوگیری می‌کنند.

سیاست لاگ‌گیری

ما شیوه‌های شفاف لاگ‌گیری را برای اطمینان از امنیت و حریم خصوصی حفظ می‌کنیم:

آنچه لاگ می‌کنیم

  • آدرس‌های IP هش‌شده (SHA-256) برای محدودسازی نرخ و جلوگیری از سوءاستفاده
  • زمان‌بندی اقدامات (ایجاد، بازیابی، دانلود) برای آنالیتیکس
  • انواع اقدامات (مشاهده، کلیک، دانلود) برای آمار استفاده
  • لاگ‌های خطا برای دیباگ و بهبود سرویس

آنچه لاگ نمی‌کنیم

  • آدرس‌های IP کامل (فقط نسخه‌های هش‌شده ذخیره می‌شوند)
  • محتوای URL‌ها، متن کلیپ‌بورد یا محتوای فایل‌ها (به جز برای ذخیره‌سازی)
  • رمزهای عبور هرگز لاگ نمی‌شوند، فقط به‌عنوان هش bcrypt ذخیره می‌شوند
  • اطلاعات شخصی فراتر از آنچه داوطلبانه به اشتراک گذاشته می‌شود

ممیزی‌های امنیتی

ما بررسی‌های امنیتی منظم انجام می‌دهیم و رد ممیزی نگهداری می‌کنیم:

  • بررسی کد: تمام تغییرات کد قبل از استقرار در محیط تولید تحت بررسی همتا قرار می‌گیرند.
  • اسکن وابستگی‌ها: اسکن خودکار آسیب‌پذیری تمام وابستگی‌های npm با استفاده از npm audit و Dependabot.
  • هدرهای امنیتی: پیاده‌سازی هدرهای امنیتی جامع شامل CSP، HSTS، X-Frame-Options و موارد دیگر.
  • تست نفوذ: تست‌های امنیتی منظم برای شناسایی و رفع آسیب‌پذیری‌ها قبل از بهره‌برداری.

امنیت زیرساخت

زیرساخت ما با امنیت به‌عنوان اولویت ساخته شده است:

  • میزبانی ایمن: میزبانی شده روی زیرساخت درجه سازمانی با حفاظت DDoS و قوانین فایروال.
  • امنیت پایگاه داده: MongoDB با احراز هویت، مجوزدهی و اتصالات رمزگذاری‌شده. ایندکس‌های TTL برای انقضای خودکار داده.
  • CDN و حفاظت از بات: CDN Cloudflare با کپچای تصویری محلی برای جلوگیری از سوءاستفاده و اطمینان از در دسترس بودن سرویس.
  • نظارت ۲۴/۷: نظارت زمان‌واقعی بر سلامت سرویس، نرخ خطا و رویدادهای امنیتی.

نگهداری و حذف داده

ما حذف خودکار داده را برای کمینه‌سازی نگهداری داده پیاده‌سازی می‌کنیم:

  • لینک‌های کوتاه: انقضای اختیاری (یا نگهداری تا زمان حذف)
  • محتوای کلیپ‌بورد: ۱-۱۶۸ ساعت (تعریف‌شده توسط کاربر)
  • فایل‌ها: حداکثر ۲۴ ساعت نگهداری
  • آنالیتیکس: داده‌های تجمیعی ۹۰ روز نگهداری، رویدادهای فردی پس از ۳۰ روز حذف می‌شوند

پاسخ به حادثه

در صورت وقوع یک حادثه امنیتی، رویه‌هایی برای پاسخ سریع داریم: بررسی فوری، مهار مشکل، اطلاع‌رسانی به کاربران در صورت لزوم و تحلیل پس از حادثه برای جلوگیری از وقوع‌های آینده.

انطباق و بهترین شیوه‌ها

ما بهترین شیوه‌های صنعتی را دنبال می‌کنیم و با مقررات مربوطه حفاظت از داده‌ها مطابقت داریم. سرویس ما با اصول حریم خصوصی از طراحی طراحی شده و جمع‌آوری داده را به حداقل می‌رساند و کنترل کاربر را به حداکثر می‌رساند.

تماس امنیتی

اگر آسیب‌پذیری امنیتی کشف کردید، لطفاً آن را مسئولانه از طریق وب‌سایت ما گزارش دهید. ما از محققان امنیتی قدردانی می‌کنیم و مشارکت شما را قدردانی خواهیم کرد.

سیاست امنیت و رمزنگاری | AM25.ir