Skip to content
Tenvo
قانوني · أمن

ممارسات الأمان

كيف تم بناء Tenvo وتشفيره وتشغيله، وكيفية الإبلاغ عن ثغرة. إجابات دقيقة، بما في ذلك ما لم يتم التصديق عليه بعد.

آخر تحديث: 2026-05-06
TL;DR

محتوى الجلسة (شاشتك، ضغطات المفاتيح، الملفات المنقولة) مشفَّر بواسطة TLS مع شهادة فريدة لكل جهاز. الاتصالات المباشرة نظير-إلى-نظير مشفرة من طرف إلى طرف. العميل مفتوح المصدر، لذا يمكن تدقيق التشفير بشكل مستقل.

نحن لسنا معتمدين بعد على SOC 2 أو ISO 27001. مقدمو البنية التحتية الذين نعتمد عليهم معتمدون. إذا وجدت ثغرة، اكتب إلى support@tenvoai.com.

المحتويات
  1. 01المدى
  2. 02التشفير
  3. 03البنية التحتية
  4. 04المصادقة والتحكم في الوصول
  5. 05الامتثال والشهادات
  6. 06تسجيل الدخول والرصد
  7. 07أمان النقطة النهائية والشركات
  8. 08المصدر المفتوح وقابلية التكرار
  9. 09الإفصاح المسؤول
  10. 10خارج النطاق
  11. 11استجابة الحوادث
  12. 12التغييرات

01المدى

تصف هذه الصفحة هيكل الأمان لعميل Tenvo وخدمة التوجيه المستضافة التي تديرها upDevTeam LTD على tenvoai.com، وعملية الإبلاغ عن الثغرات المسؤولة.

هي معلوماتية. التزامات الأمان التعاقدية في شروط الخدمة وDPA.

02التشفير

الاتصالات مشفرة بواسطة TLS. يُصدر لكل جهاز شهادة فريدة موقعة من سلطة الشهادات الخاصة بنا. في الاتصالات المباشرة نظير-إلى-نظير تكون الجلسة مشفرة من طرف إلى طرف بين الجهازين؛ عندما لا تكون الاتصالات المباشرة ممكنة، يتم ترحيل الحركة وتشفيرها أثناء النقل.

تشفير النقل
TLS مع مجموعة مثبتة من سلطات الشهادات الموثوقة، بحيث لا يمكن خفض مستوى الاتصال أو اعتراضه بصمت.
هوية لكل جهاز
يُصدر لكل جهاز شهادة فريدة موقعة من CA الخاصة بنا؛ تتحقق الاتصالات المباشرة منها (يجب أن تطابق هوية الشهادة معرف الجهاز) قبل تدفق أي بيانات جلسة.
خوارزميات التشفير
خوارزميات AEAD الحديثة (مثل AES-256-GCM أو ChaCha20-Poly1305) المتفاوض عليها بواسطة TLS؛ يتم تعطيل الخوارزميات القديمة والضعيفة.
النقل
TLS 1.3 لطبقة التحكم في الخادم وويب التطبيق. تخصصات تشفير حديثة فقط؛ تم تعطيل الإصدارات القديمة من TLS.
تشفير البيانات أثناء السكون
بيانات الحساب ونسخ الاحتياط محفوظة ومشفَّرة أثناء السكون بواسطة موفر قاعدة البيانات المُدار لدينا.

تم تثبيت المكتبات التشفيرية على إصدارات معتمدة وتم تحديثها وفق جدول زمني موثق. نحن لا نقوم بتنفيذ المكونات الأولية الخاصة بنا.

03البنية التحتية

البنية الإنتاجية تعمل على عدد قليل من الموفرين:

  • مزود استضافة VPS الخاص بنا — الخوادم التي تُشغِّل مرسال الترحيل وخدمة الحساب والموقع التسويقي.
  • Supabase, Inc. — PostgreSQL مُدار للحسابات وبيانات الفوترة.
  • Stripe Payments Europe Ltd. — معالجة البطاقات للخطط المدفوعة.
  • GitHub, Inc. — استضافة المصدر وCI/CD لبناءات العميل.
  • البريد الإلكتروني يُرسل من خادم بريد نُشغِّله على بنيتنا التحتية الخاصة (دون معالج بريد طرف ثالث).

كل موفر يتعامل مع بيانات شخصية مرتبط باتفاقية معالجة بيانات. عندما تحدث المعالجة خارج EEA، نعتمد على الضمانات المناسبة مثل بنود العقد النموذجية للاتحاد الأوروبي.

04المصادقة والتحكم في الوصول

تحكمات الوصول على مستوى المستخدم:

  • تسجيل الدخول باستخدام رابط سحري عبر البريد الإلكتروني / OTP بشكل افتراضي. تسجيل الدخول بكلمة مرور اختيارية باستخدام كلمات مرور مشفرة بـ Argon2id وفحص بيانات الاختراق.
  • المصادقة الثنائية (TOTP) متاحة للحسابات المدفوعة، إلزامية للموظفين.
  • علامات إذن لكل جهاز (حافظة، نقل ملفات، صوت، إعادة تشغيل) تختارها الجهة الخاضعة للتحكم عند بدء الجلسة.
  • قائمة تعريفات الأشخاص المحظورين محفوظة من قبل upDevTeam LTD وتطبق عند التوصيل.

05الامتثال والشهادات

الحالة الصادقة اعتبارًا من التاريخ في أعلى هذه الصفحة: Tenvo و upDevTeam LTD ليستا معتمدتين حاليًا لشهادات SOC 2، ISO 27001، ISO 27017، ISO 27018، HIPAA، PCI-DSS، FedRAMP، أو أي معيار أمان ثالث رسمي آخر. الادعاءات العامة خلاف ذلك غير صحيحة.

مزودو الاستضافة وقاعدة البيانات (Supabase) والدفع (Stripe) مُدقَّقون بمستويات SOC 2 / ISO 27001؛ يعكس أماننا بعض الضمانات الموروثة من خدماتهم لكنه لا يساويها.

نحن نعمل نحو مراجعة أمان خارجية لعام 2026 وسننشر النتيجة على هذه الصفحة عند حصولها. لن نتظاهر بشهادات لا نملكها.

06تسجيل الدخول والرصد

الإجراءات الإدارية على الأنظمة الإنتاجية تُسجل في سجل مركزي قابل للإضافة فقط مع احتفاظ بالبيانات لمدة لا تقل عن 90 يومًا. يسجل السجل الفاعل، الإجراء، الطابع الزمني، وعنوان IP المصدر. الوصول الإنتاجي مقيد لعدد قليل من المهندسين المسجلين مع مصادقة ثنائية إلزامية.

نحن نرصد وقت التشغيل، ومعدلات الأخطاء، والإشارات المتعلقة بالإساءة (ارتفاعات مفاجئة في حركة المرور، محاولات القوة الغاشمة، عد الأشخاص المحظورين) وندير التغطية على أساس أسبوعي.

07أمان النقطة النهائية والشركات

يجب أن تستخدم أجهزة الموظفين التي تُستخدم للوصول إلى الأنظمة الإنتاجية:

  • نظام تشغيل مدعوم ومحدث مع تفعيل تشفير القرص الكامل؛
  • استخدام مدير كلمات مرور مُدار ورمز 2FA مدعوم بالأجهزة (مثل WebAuthn) للوصول إلى الإنتاج؛
  • توفير حماية للنقطة النهائية أو معادلها في Linux وتحديثات أمان تلقائية؛
  • يتم مسحها وإلغاء الشهادات عندما يغادر الموظف.

08المصدر المفتوح وقابلية التكرار

عميل Tenvo مفتوح المصدر بموجب AGPL-3.0. يمكن لأي شخص قراءة الشيفرة المصدرية، وبناؤها، والتحقق من أنها تؤدي ما نزعمه. شيفرة التوصيل (نسخة من hbbr / hbbs) مفتوحة المصدر بالمثل.

نحن ننشر تجزئات SHA-256 لكل مثبت تم إصداره. نحن نعمل على توقيع الشيفرة EV لويندوز وتوثيق Apple لنظام macOS؛ حالة البناء الحالية على صفحة التنزيل.

09الإفصاح المسؤول

نرحب بالتقارير من باحثي الأمان المستقلين. للإبلاغ عن ثغرة:

البريد الإلكتروني
support@tenvoai.com
PGP
بصمة مفتاح PGP منشورة على نفس الصفحة؛ التقارير المشفرة مفضلة لأي تقرير يتضمن تفاصيل استغلال.
وقت الاستجابة
إقرار أولي خلال 3 أيام عمل؛ تحديث الحالة خلال 10 أيام عمل؛ الإفصاح المنسق متفق عليه قبل أي نشر عام.
ملاذ آمن
البحث بحسن نية الذي يتوافق مع هذه السياسة لن يخضع لأي إجراء قانوني من قبل upDevTeam LTD. نطلب منك عدم الوصول إلى بيانات المستخدم، وعدم الاختبار ضد حسابات ليست لك، وعدم تنفيذ هجمات حجب الخدمة أو الهندسة الاجتماعية ضد الموظفين.

نحن لا ندير حاليًا برنامج مكافآت للأخطاء المدفوعة. نعترف بالتقارير الهامة علنًا (بموافقتك) على صفحة قاعة الشهرة بمجرد إصلاح المشكلة.

يتم تصعيد النتائج الحرجة (RCE، تشفير الجلسات معطّل، تجاوز المصادقة على نطاق واسع) إلى المهندس المناوب فوراً وتُعطى أولوية على الأعمال المجدولة.

10خارج النطاق

لا تعتبر العناصر التالية مؤهلة لفوائد الحماية بموجب القسم 9 وقد يتم الإبلاغ عنها ولكن من غير المحتمل أن تُعتبر ثغرات:

  • هجمات حرمان الخدمة أو الهجمات ذات الحجم الكبير ضد أي نظام؛
  • هجمات هندسة اجتماعية ضد موظفي upDevTeam أو العملاء؛
  • هجمات جسدية على المكاتب أو مراكز البيانات؛
  • مشكلات تتطلب من الضحية تثبيت برامج غير موثوقة؛
  • انحرافات عن أفضل الممارسات بدون مسار استغلال فعال (على سبيل المثال، عدم وجود رؤوس أمان على الصفحات التسويقية).

11استجابة الحوادث

نقوم بإعداد كتاب سيناريو مكتوب للاستجابة للحوادث يغطي الكشف والت containment والقضاء والتعافي ومراجعة ما بعد الحادث. يتم مراجعة الكتاب سنويًا على الأقل وبعد كل حادثة جوهرية.

إذا حدث خرق للبيانات الشخصية، تنطبق الجداول الزمنية للإبلاغ في سياسة الخصوصية وDPA لدينا.

12التغييرات

عندما تتغير البنية أو أي الالتزام في هذه الصفحة بشكل جوهري، نقوم بتحديث تاريخ 'آخر تحديث' ونعلن عن التغيير في سجل التغييرات.

قراءة الشيفرة المصدرية هي الطريقة الأكثر موثوقية للتحقق من ادعاء أمني. ابدأ من github.com/GoDeskFlow.