الأمان

النسخة العربية هي النسخة المعتمدة قانونياً وفق الأنظمة السعودية.

تاريخ آخر تحديث: 1 May 2026 / 1 مايو 2026

نأخذ أمن بيانات تجارنا على محمل الجد. هذه الصفحة تشرح الضوابط الأمنية المطبقة فعلياً على منصة جَبر، وليست وعوداً تسويقية.

١. التشفير

أثناء النقل: جميع الاتصالات عبر HTTPS مع TLS 1.3 و HSTS مفعّل (ينقل المتصفحات إلى HTTPS تلقائياً).
أثناء التخزين: Firestore و Cloud Storage يشفّران كل البيانات تلقائياً بمفاتيح تديرها Google.
المفاتيح الحساسة: مفاتيح التوقيع لـ ZATCA مشفّرة بـ AES-256-GCM (متجه تهيئة عشوائي ٩٦ بت + علامة مصادقة ١٢٨ بت) قبل تخزينها.

٢. التحكم في الوصول

كل قراءة وكتابة على Firestore تمر عبر قواعد أمان (default-deny) وتحقق من العضوية في الشركة قبل أي إجراء.
الأدوار المخصصة (محاسب، مدقق، شريك، عميل، مدخل بيانات) تحدد ما يمكن لكل مستخدم فعله.
مفاتيح الإدارة محمية بمصادقة متعددة العوامل (MFA).
كل إجراء إداري حساس يُسجَّل في سجل تدقيق غير قابل للتعديل.

٣. حماية الحسابات

التحقق من البريد الإلكتروني عند التسجيل.
قائمة حظر IP لإيقاف المحاولات المتكررة.
تحديد معدلات الطلبات لمنع إساءة الاستخدام.
كشف تسجيل الدخول من بلد جديد وتنبيه التاجر.
إمكانية تعليق الحساب فوراً وإنهاء الجلسات بضغطة زر.

٤. النسخ الاحتياطية والتعافي

نسخ احتياطية يومية تُكتب في Cloud Storage مع قفل احتفاظ ٣٠ يوماً (لا يمكن لأحد حذفها — حتى الإدارة).
إصدارات Cloud Storage مفعّلة على ملفات التجار (الإيصالات، كشوف البنوك).
لقطات منطقية لكل شركة عند الطلب لاستعادة جراحية دون التأثير على الآخرين.
دليل استعادة موثّق وتمارين دورية.

٥. أمان الذكاء الاصطناعي

كل ملف مرفق يُمرر بمصفّي حقن التعليمات قبل وصوله للنموذج.
عناوين الأدوار، عبارات تجاوز التعليمات، وأنماط كسر القيود تُحذف تلقائياً.
الذكاء الاصطناعي لا يمكنه نشر القيود مباشرة — كل قيد يبدأ كمسودة تتطلب موافقة التاجر.
ميزانيات استخدام لكل تاجر، مع إنذار عند ٨٠٪ وإيقاف عند ١٠٠٪.

٦. الاستجابة للحوادث

وضع صيانة (قراءة فقط) لإيقاف الكتابات أثناء التحقيق.
تجميد شركة فردية أو تعليق مستخدم في ثوانٍ.
سجل أحداث محتوى لكل تغيير حساس (قيود، حذف، تغيير اشتراك).
تنبيهات أمنية عند سلوك شاذ (تسجيل دخول من بلد جديد، مثلاً).

٧. الامتثال

متوافق مع نظام حماية البيانات الشخصية السعودي (PDPL).
متوافق مع متطلبات الفوترة الإلكترونية لهيئة الزكاة والضريبة والجمارك (ZATCA).
التاجر يملك بياناته بالكامل — يمكنه تصديرها أو حذفها في أي وقت.

٨. ما لا نفعله

لا نبيع بيانات التجار لأي طرف ثالث.
لا نستخدم بيانات التجار لتدريب نماذج الذكاء الاصطناعي.
لا نخزّن كلمات المرور — Firebase Authentication يديرها مع تجزئة قياسية.
لا نستخدم ملفات تعريف الارتباط الإعلانية أو نتتبع المستخدمين عبر مواقع أخرى.

٩. الإبلاغ عن ثغرة أمنية

إن وجدت ثغرة أمنية، تواصل معنا على security@jabr.sa قبل الإفصاح العلني. نلتزم بالرد خلال ٤٨ ساعة.

سياستنا الكاملة في /.well-known/security.txt

عرض بـ:|

١. التشفير

أثناء النقل: جميع الاتصالات عبر HTTPS مع TLS 1.3 و HSTS مفعّل (ينقل المتصفحات إلى HTTPS تلقائياً).

أثناء التخزين: Firestore و Cloud Storage يشفّران كل البيانات تلقائياً بمفاتيح تديرها Google.

المفاتيح الحساسة: مفاتيح التوقيع لـ ZATCA مشفّرة بـ AES-256-GCM (متجه تهيئة عشوائي ٩٦ بت + علامة مصادقة ١٢٨ بت) قبل تخزينها.

٢. التحكم في الوصول

كل قراءة وكتابة على Firestore تمر عبر قواعد أمان (default-deny) وتحقق من العضوية في الشركة قبل أي إجراء.

الأدوار المخصصة (محاسب، مدقق، شريك، عميل، مدخل بيانات) تحدد ما يمكن لكل مستخدم فعله.

مفاتيح الإدارة محمية بمصادقة متعددة العوامل (MFA).

كل إجراء إداري حساس يُسجَّل في سجل تدقيق غير قابل للتعديل.

٣. حماية الحسابات

التحقق من البريد الإلكتروني عند التسجيل.

قائمة حظر IP لإيقاف المحاولات المتكررة.

تحديد معدلات الطلبات لمنع إساءة الاستخدام.

كشف تسجيل الدخول من بلد جديد وتنبيه التاجر.

إمكانية تعليق الحساب فوراً وإنهاء الجلسات بضغطة زر.

٤. النسخ الاحتياطية والتعافي

نسخ احتياطية يومية تُكتب في Cloud Storage مع قفل احتفاظ ٣٠ يوماً (لا يمكن لأحد حذفها — حتى الإدارة).

إصدارات Cloud Storage مفعّلة على ملفات التجار (الإيصالات، كشوف البنوك).

لقطات منطقية لكل شركة عند الطلب لاستعادة جراحية دون التأثير على الآخرين.

دليل استعادة موثّق وتمارين دورية.

٥. أمان الذكاء الاصطناعي

كل ملف مرفق يُمرر بمصفّي حقن التعليمات قبل وصوله للنموذج.

عناوين الأدوار، عبارات تجاوز التعليمات، وأنماط كسر القيود تُحذف تلقائياً.

الذكاء الاصطناعي لا يمكنه نشر القيود مباشرة — كل قيد يبدأ كمسودة تتطلب موافقة التاجر.

ميزانيات استخدام لكل تاجر، مع إنذار عند ٨٠٪ وإيقاف عند ١٠٠٪.

٦. الاستجابة للحوادث

وضع صيانة (قراءة فقط) لإيقاف الكتابات أثناء التحقيق.

تجميد شركة فردية أو تعليق مستخدم في ثوانٍ.

سجل أحداث محتوى لكل تغيير حساس (قيود، حذف، تغيير اشتراك).

تنبيهات أمنية عند سلوك شاذ (تسجيل دخول من بلد جديد، مثلاً).

٧. الامتثال

متوافق مع نظام حماية البيانات الشخصية السعودي (PDPL).

متوافق مع متطلبات الفوترة الإلكترونية لهيئة الزكاة والضريبة والجمارك (ZATCA).

التاجر يملك بياناته بالكامل — يمكنه تصديرها أو حذفها في أي وقت.

٨. ما لا نفعله

لا نبيع بيانات التجار لأي طرف ثالث.

لا نستخدم بيانات التجار لتدريب نماذج الذكاء الاصطناعي.

لا نخزّن كلمات المرور — Firebase Authentication يديرها مع تجزئة قياسية.

لا نستخدم ملفات تعريف الارتباط الإعلانية أو نتتبع المستخدمين عبر مواقع أخرى.