حماية البيانات والأمان

في HiUmrah، نتعامل مع بياناتك الشخصية بنفس القدسية التي نتعامل بها مع رحلتك الروحية. حماية معلوماتك ليست مجرد التزام قانوني، بل هي جزء أساسي من ثقتك بنا كمنصة تخدم المعتمرين.

نطبق معايير أمان متعددة الطبقات مبنية على أفضل الممارسات العالمية في حماية البيانات. كل قرار تقني نتخذه يضع خصوصيتك في المقام الأول.

جميع الاتصالات بين جهازك ومنصتنا مؤمّنة عبر بروتوكول TLS 1.3 (أحدث إصدار من HTTPS). هذا يعني أن كل حرف تكتبه وكل صفحة تتصفحها مشفرة بالكامل أثناء انتقالها عبر الإنترنت.

نستخدم شبكة Cloudflare العالمية كطبقة حماية إضافية أمام خوادمنا. تقوم Cloudflare بصد الهجمات الإلكترونية وحجب حركة المرور المشبوهة قبل وصولها إلى أنظمتنا، مع تسريع تحميل الموقع عبر أكثر من 300 نقطة تواجد حول العالم.

بياناتك لا تبقى آمنة أثناء النقل فحسب، بل تُشفَّر أيضاً عند تخزينها في قاعدة البيانات. نستخدم خوارزمية AES-256-GCM للتشفير، وهي نفس الخوارزمية المعتمدة من وكالة الأمن القومي الأمريكية (NSA) لحماية المعلومات السرية.

• الأسماء الحقيقية للمسافرين مشفرة في قاعدة البيانات ولا تظهر بشكل نصي حتى لفريقنا التقني.
• كلمات المرور تُعالج بخوارزمية bcrypt أحادية الاتجاه. حتى لو تم اختراق قاعدة البيانات بالكامل، لا يمكن استعادة كلمة المرور الأصلية.
• مفاتيح التشفير تُدار بشكل منفصل عن البيانات المشفرة، مما يعني أن الوصول إلى البيانات وحدها لا يكفي لفك تشفيرها.

نعلم أن تحميل صورة جواز السفر أو بطاقة الهوية يتطلب ثقة كبيرة. لذلك صممنا نظام حماية مخصص للمستندات الحساسة يتجاوز معايير التشفير المعتادة.

• كل مستند يُشفَّر بمفتاح فريد خاص به (Per-Document Encryption). حتى لو تم كشف مفتاح تشفير مستند واحد، تبقى جميع المستندات الأخرى آمنة.
• المستندات تُشفَّر قبل مغادرة التطبيق. خوادم التخزين لا ترى أبداً المحتوى الأصلي للمستند.
• لا يمكن الوصول إلى المستندات إلا عبر روابط مؤقتة قصيرة العمر (Presigned URLs) تنتهي صلاحيتها خلال دقائق.
• المستندات لا تُخزن على خوادم عامة. تُخزن في حاويات خاصة منفصلة عن باقي ملفات الموقع.
• بمجرد تأكيد الحجز، تُقفل المستندات ولا يمكن لأحد تعديلها أو استبدالها دون طلب دعم فني معتمد.

نؤمن بمبدأ "أقل بيانات ممكنة". لا نحتفظ بمعلوماتك الحساسة لفترة أطول مما هو ضروري لإتمام الخدمة.

• بيانات حسابك الأساسية (الاسم، البريد الإلكتروني، الهاتف) تبقى طوال فترة نشاط حسابك.
• المستندات الحساسة (صور الجوازات والهويات) تُحذف تلقائياً وبشكل نهائي بعد انتهاء الرحلة بفترة محددة تحددها إدارة المنصة.
• عملية الحذف لا رجعة فيها. بعد انتهاء فترة الاحتفاظ، لا يمكن لأي شخص استعادة المستندات المحذوفة.
• يمكنك طلب حذف بياناتك بالكامل في أي وقت عبر التواصل مع فريق الدعم.

حسابك هو بوابتك إلى بياناتك. لذلك نوفر عدة طبقات حماية لمنع الوصول غير المصرح به.

• المصادقة الثنائية (2FA): يمكنك تفعيل المصادقة الثنائية عبر تطبيق TOTP (مثل Google Authenticator) لإضافة طبقة حماية إضافية عند تسجيل الدخول.
• رموز الاسترداد: عند تفعيل المصادقة الثنائية، تحصل على رموز استرداد مشفرة لاستعادة الوصول في حال فقدان جهازك.
• حماية من هجمات القوة الغاشمة: يتم تقييد محاولات تسجيل الدخول الفاشلة تلقائياً لمنع محاولات التخمين.
• حماية Cloudflare Turnstile: نستخدم نظام التحقق من Cloudflare بدلاً من CAPTCHA التقليدية لحمايتك من الروبوتات دون إزعاجك.
• انتهاء الجلسات: تنتهي صلاحية جلسة تسجيل الدخول تلقائياً بعد فترة من عدم النشاط.

ليس كل من يعمل على المنصة يستطيع رؤية كل شيء. نطبق مبدأ "أقل صلاحية ممكنة" (Principle of Least Privilege) لضمان أن كل شخص لا يصل إلا إلى ما يحتاجه فقط.

• كل جهة على المنصة معزولة بالكامل عن الجهات الأخرى ولا يمكنها الوصول إلى بيانات غيرها.
• الصلاحيات مقسمة على عدة مستويات، وكل مستخدم لا يصل إلا إلى ما تتطلبه مهامه فقط.
• العمليات الحساسة تخضع لقيود صلاحية صارمة ولا يمكن تنفيذها إلا من قبل الأشخاص المخولين.
• جميع الإجراءات تُسجل تلقائياً في سجل مراجعة مفصّل يتضمن هوية المنفذ وعنوان IP والتوقيت.

نختار بنيتنا التحتية بعناية لضمان أقصى درجات الأمان والموثوقية.

• الموقع محمي بجدار حماية متقدم يصد الهجمات الإلكترونية الشائعة تلقائياً قبل وصولها إلى أنظمتنا.
• قاعدة البيانات مؤمنة في شبكة خاصة معزولة لا يمكن الوصول إليها من الإنترنت مباشرة.
• الملفات المرفوعة تُخزن في حاويات مشفرة منفصلة تماماً عن خوادم التطبيق.
• النسخ الاحتياطية مشفرة وتُحفظ في مواقع جغرافية منفصلة لضمان استمرارية الخدمة.
• الوصول إلى لوحات الإدارة مقيد بطبقات حماية إضافية في بيئة الإنتاج.

رغم جميع الاحتياطات، لا يوجد نظام آمن بنسبة ١٠٠٪. لذلك لدينا خطة استجابة واضحة في حال حدوث أي خرق أمني.

• في حال اكتشاف أي خرق أمني، سنقوم بإعلام المستخدمين المتأثرين عبر البريد الإلكتروني في أسرع وقت ممكن.
• سنقوم بنشر إعلان بارز على الموقع يوضح طبيعة الحادث والإجراءات المتخذة.
• سنتعاون بشكل كامل مع الجهات المختصة إذا تطلب الأمر ذلك.
• سنتخذ جميع الإجراءات اللازمة لاحتواء الخرق ومنع تكراره.

الشفافية تعني أيضاً أن نخبرك بما لا نفعله. هذه التزامات ثابتة لا نتنازل عنها.

• لا نبيع بياناتك الشخصية لأي طرف ثالث، أبداً.
• لا نستخدم بياناتك لأغراض إعلانية موجهة أو تتبع سلوكي.
• لا نشارك مستنداتك الحساسة مع أي جهة خارج نطاق الحجز المعني.
• لا نحتفظ ببيانات الدفع (أرقام البطاقات). جميع المدفوعات تُعالج عبر بوابات دفع آمنة ومعتمدة.
• لا نستخدم خوارزميات ذكاء اصطناعي لتحليل مستنداتك الشخصية.
• لا نمنح موظفينا وصولاً شاملاً لبياناتك. كل وصول مقيد ومسجل.

بياناتك ملكك. نحن نحتفظ بها بصفتنا أمناء عليها، وأنت تملك حق التحكم الكامل بها.

• الحق في الوصول: يمكنك طلب نسخة كاملة من جميع بياناتك المخزنة لدينا.
• الحق في التصحيح: يمكنك تعديل أو تحديث أي معلومات غير دقيقة عبر إعدادات حسابك.
• الحق في الحذف: يمكنك طلب حذف حسابك وجميع بياناتك بشكل نهائي.
• الحق في نقل البيانات: يمكنك الحصول على نسخة من بياناتك بتنسيق قابل للنقل (JSON/CSV).
• الحق في الاعتراض: يمكنك الاعتراض على معالجة بياناتك لأغراض معينة.
• الحق في سحب الموافقة: يمكنك سحب موافقتك على ملفات تعريف الارتباط وخدمات الطرف الثالث في أي وقت.

إذا كانت لديك أي مخاوف بشأن أمان بياناتك، أو اكتشفت ثغرة أمنية، أو أردت ممارسة أي من حقوقك المذكورة أعلاه، يرجى التواصل مع مسؤول حماية البيانات عبر البريد الإلكتروني: [email protected]

نلتزم بالرد على جميع الاستفسارات المتعلقة بحماية البيانات خلال ٧٢ ساعة عمل كحد أقصى.