البنية الأمنية

أمانٌ صُمم ليصمد أمام تدقيقه هو نفسه

نحن نبيع الطمأنينة. فمنصة تحتضن مخاطرك وسياساتك وأدلة التدقيق لديك يجب أن تصمد أمام التمحيص نفسه الذي تساعدك على ممارسته — لذلك تُفحص الصلاحيات من جديد مع كل طلب، وتحمي قاعدةُ البيانات نفسُها سجلَّ التدقيق، وتُشفَّر بيانات الاعتماد المخزَّنة ولا تعيدها أي واجهة API أبدًا.

فحص للصلاحيات مع كل طلبسجل تدقيق بالإضافة فقطتشفير AES-256-GCM للأسرارTLS · HSTS · CSP

دفاع متعدد الطبقات

ست طبقات، لا غنى عن أي منها

الضوابط التي يتوقعها برنامجك لـ ISO 27001 أو SOC 2 من أي مورّد — مدمجة في البنية منذ البداية، لا مضافة لاحقًا.

صلاحيات لكل إجراء، تُفحص مع كل طلب

يبدأ كل إجراء على الخادم وكل معالج API بفحص تفويض جديد مباشرة من قاعدة البيانات — لا اعتمادًا على ادعاءات رمز مخزَّنة. تخفي الواجهة ما لا يسمح به الدور، لكن الخادم يعيد الفحص دائمًا.

سجل تدقيق لا يمكن إعادة كتابته

سجل التدقيق بالإضافة فقط ومحمي على مستوى قاعدة البيانات: آلية في قاعدة البيانات تمنع التعديل والحذف، ويتصل التطبيق بدورِ قاعدة بيانات مقيَّد لا يملك هذه الامتيازات أصلًا.

أسرار مشفَّرة لا تُعاد أبدًا

تُشفَّر بيانات اعتماد الموصّلات وبريد SMTP والدخول الموحّد عند التخزين بمعيار AES-256-GCM تحت مفتاح رئيسي خاص بكل نسخة — ولا تعيدها أي واجهة API على الإطلاق.

مصادقة محصَّنة

المصادقة الثنائية عبر TOTP، والدخول الموحّد عبر OIDC مع ربط السمات والتزويد الفوري للمستخدمين، وسياسة كلمات مرور وقفل للحساب قابلان للضبط، مع عرض الجلسات النشطة وإلغائها للمسؤولين.

تحصين في النقل وعلى الحافة

TLS في كل مكان — عبر الوسيط المرفق أو وسيطك الخاص — مع HSTS وملفات تعريف ارتباط آمنة، وسياسة CSP صارمة، وتقييد معدل الطلبات على تسجيل الدخول وواجهات API.

عزل مساحات العمل، مُختبَر لكل وحدة

كل صف مرتبط بمساحة عمله، ويُفرض هذا العزل في طبقة الإجراءات نفسها — وتشحن كل وحدة اختبار عزل يثبت أن مساحتي عمل لا تريان بعضهما أبدًا.

الوضع الأمني داخل منشأتك

داخل منشأتك تعني داخل منشأتك: لا شيء يغادر شبكتك

الشيفرة نفسها تعمل في السحابة وعلى خوادمك — لكنها داخل منشأتك تعمل مكتفية بذاتها تمامًا.

  • لا حاجة إلى أي اتصالات صادرة: يعمل المنتج دون اتصال بالإنترنت بالكامل.
  • التراخيص ملفات موقَّعة بخوارزمية Ed25519 يُتحقق منها دون اتصال مقابل مفتاح عام مضمَّن في البناء — لا خادم تراخيص، ولا اتصال بجهة خارجية.
  • لا قياس عن بُعد افتراضيًا؛ والإبلاغ عن الأخطاء اختياري صراحةً ويبقى قرارك وحدك.
  • منافذ شبكة موثَّقة، وحسابات خدمة بالحد الأدنى من الامتيازات على ويندوز سيرفر.
الوضع الأمنيداخل منشأتك
الاتصالات الصادرةغير مطلوبة
التحقق من الترخيصEd25519دون اتصال
القياس عن بُعدموقوف افتراضيًا
تعديل سجل التدقيق أو حذفهممنوع
حسابات الخدمة في ويندوزالحد الأدنى من الامتيازات

المنهج

من الحد الأدنى من الامتيازات إلى الإثبات عند الطلب

  1. 01

    الحد الأدنى من الامتيازات افتراضيًا

    يحصل المستخدم على اتحاد صلاحيات أدواره لا أكثر — والتطبيق نفسه يتصل بقاعدة البيانات بدورٍ مقيَّد بلا أي امتيازات تدميرية.

  2. 02

    تحقّق مستمر

    يُعاد فحص التفويض من قاعدة البيانات مع كل طلب، وتمرّ التحولات الحساسة — كقبول المخاطر — عبر سلسلة اعتماد موثقة.

  3. 03

    تسجيل غير قابل للتعديل

    كل تعديل وتسجيل دخول وحدث أمني — تغيير إعدادات الدخول الموحّد، تغيير دور، رفع ترخيص — يستقر في سجل التدقيق بالإضافة فقط مع لقطة للفاعل وسجل بالفروق.

  4. 04

    إثبات عند الطلب

    عندما يسأل مدققك من غيّر ماذا ومتى، يكون الجواب قابلًا للتصفية ومقسَّمًا على صفحات — ويستحيل أن يكون قد عُدّل في الخفاء بعد وقوعه.

الأسئلة الشائعة

أين تُخزَّن بياناتنا؟

حيث تقرر أنت. في السحابة تعيش مساحة عملك في بيئتنا المُدارة، وكل صف مرتبط بمساحتك مع اختبار عزل يُشحن مع كل وحدة. وداخل منشأتك يبقى كل شيء على بنيتك التحتية — عبر Docker على لينكس أو تشغيلًا أصليًا على ويندوز سيرفر — والمسار البرمجي واحد في جميع أنماط النشر.

هل تستطيع يوني سنتينل الاطلاع على بياناتنا داخل منشأتنا؟

لا — لا شيء يغادر شبكتك. فالنسخة المنشورة داخل منشأتك لا تحتاج أي اتصالات صادرة: يُتحقق من الترخيص دون اتصال، والقياس عن بُعد موقوف افتراضيًا، ولا يُبلَّغ عن الأخطاء إلا إذا فعّلت ذلك صراحةً.

كيف يقاوم سجل التدقيق العبث؟

بثلاث طبقات: السجل بالإضافة فقط، وآلية على مستوى قاعدة البيانات تمنع التعديل والحذف، والتطبيق يتصل بدورِ قاعدة بيانات مقيَّد لا يملك امتيازات التعديل أو الحذف على سجل التدقيق أصلًا — فحتى مدير المنصة عبر التطبيق لا يستطيع إعادة كتابة التاريخ.

ما مزوّدو الدخول الموحّد المدعومون؟

أي مزوّد متوافق مع OIDC — مثل Microsoft Entra ID وOkta وGoogle وغيرها. تضبط المُصدر وبيانات اعتماد العميل، وتربط السمات بحقول المستخدم، ويُزوَّد المستخدمون فوريًا بدور افتراضي، ويمكنك تعطيل تسجيل الدخول المحلي بالكامل.

ابدأ الآن

شاهد يوني سنتينل تعمل وفق شروطك

احجز جولة تعريفية لمدة 30 دقيقة. سنطابق برنامجك مع الوحدات التي تحتاجها — سحابيًا أو على خوادم لينكس أو ويندوز سيرفر لديك.

كل وحدة تعمل بشكل مستقل. رخِّص ما تحتاجه فقط — وتوسّع عندما تكون جاهزًا.