سياسة الأمان

الإجراءات التقنية لحماية بياناتك وأموالك على منصة الفضل للاتصالات

تشفير الاتصالات

HTTPS/TLS كل الاتصالات بين جهازك والمنصة مشفرة بروتوكول TLS HSTS HTTP Strict Transport Security — يُلزم المتصفح باستخدام الاتصال المشفّر SSL شهادة SSL صادرة من جهة مُصدِّقة معتمدة

حماية الحسابات

bcrypt كلمات المرور مشفرة بخوارزمية bcrypt — لا يمكن لأحد قراءتها حتى الإدارة OTP رمز تحقق لمرة واحدة عبر البريد الإلكتروني للعمليات الحساسة (التسجيل، التوقيع) Rate Limit قفل مؤقت بعد عدة محاولات تسجيل دخول فاشلة — على مستوى الحساب والـ IP Session جلسات محمية بـ HttpOnly + Secure + SameSite + انتهاء تلقائي 2FA توثيق ثنائي إلزامي (جوال + بريد) قبل توقيع العقود

حماية المعاملات المالية

بوابة MyFatoorah: بوابة دفع إقليمية معتمدة للتعامل في المملكة العربية السعودية — بيانات البطاقات لا تُخزَّن على خوادم المنصة.
المطابقة البنكية: كل حوالة بنكية تُراجَع وتُطابَق مع كشف الحساب البنكي قبل الاعتماد.
CSRF Protection: كل عملية محمية برمز أمان يمنع الطلبات المزوَّرة.
Audit Trail: سجل تدقيق مفصَّل لكل عملية مالية يشمل: المستخدم، التاريخ، العملية، وعنوان IP.
التحقق المزدوج عند التوقيع: يتطلب رمز OTP + تسجيل IP + توثيق وسيلتَي تواصل.

حماية البيانات المخزّنة

قاعدة البيانات محمية بكلمة مرور قوية وصلاحيات محدودة على مستوى الخادم.
النسخ الاحتياطية تتم بشكل دوري وفق سياسة مزوّد الاستضافة.
الملفات المرفوعة (مثل إيصالات الدفع) مخزَّنة خارج المجلد العام ولا تُقدَّم للوصول المباشر.
البيانات البنكية (الآيبان) تُستخدم حصراً لتحويل مستحقات المستخدم.

حماية التطبيق

XSS كل المخرجات منظَّفة بـ htmlspecialchars لمنع حقن السكربتات SQL Injection كل الاستعلامات تستخدم Prepared Statements (PDO) CSRF رمز أمان فريد لكل نموذج وعملية POST Headers X-Frame-Options + X-Content-Type-Options + Referrer-Policy + HSTS Upload Filter فلترة الملفات المرفوعة بـ MIME و imagesize — رفض أي ملف تنفيذي

الإبلاغ عن ثغرات أمنية

نرحّب بجهود الباحثين الأمنيين المسؤولين. إذا اكتشفت ثغرة أمنية في المنصة، يرجى الإبلاغ عنها بشكل خاص عبر:

info@alfadhl.store — مع وصف الثغرة وخطوات إعادة إنتاجها.

نلتزم بالنظر في كل بلاغ ومتابعته في أسرع وقت ممكن حسب أولوية الثغرة وأثرها.