Checkify
الثقة والسلامة

الأمان

Checkify تم تصميمه لتقليل التعرض للبيانات حسب التصميم: تبقى البيانات الشخصية على جهاز المستخدم، ويمكن للشركات التحقق منها دون أن نصبح أمناء على البيانات على المدى الطويل.

ضوابط الأمان الإفصاح المسؤول

تصف هذه الصفحة نهجنا الأمني ​​على مستوى عالٍ. قد تختلف الضوابط الدقيقة حسب متطلبات النشر والتكامل.

مبادئ الأمان

تقليل حفظ البيانات

الافتراضي على الأدلة (على سبيل المثال، "أكثر من 18 عامًا") بدلاً من البيانات الشخصية الأولية. يجب على المستخدمين الموافقة صراحةً على أي مشاركة للبيانات.

المصادقة القوية

الهويات المرتبطة بالجهاز، وحماية القياسات الحيوية/رقم التعريف الشخصي، والرموز المميزة محدودة الوقت تقلل من مخاطر الاستيلاء على الحساب وإعادة التشغيل.

الدفاع في العمق

عناصر التحكم ذات الطبقات عبر تخزين الجهاز، والتشفير، وأمن النقل، وحماية الخادم، وإمكانية التدقيق.

عناصر التحكم الرئيسية

مصممة للتحقق من الخصوصية أولاً

1) تخزين الجهاز أولاً

  • يتم تخزين البيانات الشخصية على جهاز المستخدم افتراضيًا.
  • محمية باستخدام التخزين الآمن لنظام التشغيل وآليات قفل الجهاز.
  • الوصول مسور بواسطة رقم التعريف الشخصي والفحوصات البيومترية حيثما يكون ذلك مدعومًا.

2) التشفير والنزاهة

  • يتم توقيع الطلبات والردود لجعلها واضحة للتلاعب.
  • تقلل الطلبات محدودة الوقت من مخاطر إعادة التشغيل.
  • تتيح المعرفات المرجعية إمكانية التتبع دون الكشف عن البيانات غير الضرورية.

3) أمان النقل

  • حركة المرور المشفرة أثناء النقل (TLS) للتطبيق، API، وتدفقات لوحة المعلومات.
  • تعمل نطاقات الرمز المميز وفترات العمر القصيرة على تقليل التعرض إذا تم اعتراضها.
  • التحقق الصارم من صحة الطلب والتحقق من التوقيعات من جانب الخادم.

4) المصادقة والترخيص

  • جلسات تعتمد على JWT لـ APIs والوصول إلى لوحة معلومات الأعمال.
  • الوصول المستند إلى الدور لإجراءات الأعمال (على سبيل المثال، إنشاء الطلبات وعرض السجلات).
  • إجراءات الأعمال المرتبطة بهوية مستخدم تم التحقق منها.

5) تسجيل جاهز للتدقيق

  • تتضمن الأحداث الطوابع الزمنية والنتائج والإشارات إلى الطلبات/الاستجابات.
  • مصممة للتحقيقات وإعداد تقارير الامتثال.
  • السجلات تجنب البيانات الشخصية غير الضرورية حيثما أمكن ذلك.

6) تقوية النظام الأساسي

  • تحديد المعدل ومنع إساءة الاستخدام على نقاط النهاية الحساسة.
  • المراقبة والتنبيه للأنشطة غير العادية.
  • تحديثات التبعية المنتظمة ومراجعة الأمان للتدفقات الحرجة.

الإفصاح الانتقائي (ما يمكن أن تطلبه الشركات)

يمكن للشركات طلب أدلة محددة (على سبيل المثال، الحد الأدنى للعمر، والإقامة، والأهلية) وطلب نقاط بيانات محددة بشكل اختياري. يرى المستخدمون الطلب كاملاً ويجب عليهم الموافقة صراحةً قبل مشاركة أي شيء. تم تصميم Checkify لدعم تدفقات الإثبات أولاً لتقليل عرض البيانات.

التهديدات التي نصممها ضد

إعادة التشغيل وإساءة استخدام QR

تؤدي انتهاء صلاحية الطلبات والتحقق من الخادم والحمولات الموقعة إلى تقليل قيمة الرموز المنسوخة/المعاد توجيهها.

الاستيلاء على الحساب

تساعد الهوية المرتبطة بالجهاز + فحوصات القياسات الحيوية/رقم التعريف الشخصي + الرموز المميزة قصيرة العمر على منع الوصول غير المصرح به.

الإفراط في جمع البيانات

تعمل تدفقات الإثبات أولاً والموافقة الصريحة على تقليل احتمالية تخزين البيانات الحساسة حيث لا تكون هناك حاجة إليها.

الأسئلة الشائعة حول الأمان

هل تقوم بتخزين البيانات الشخصية على جهازك؟ الخوادم؟

Checkify مصممة بحيث تظل البيانات الشخصية على جهاز المستخدم افتراضيًا. عندما تكون البيانات من جانب الخادم مطلوبة لأسباب تشغيلية (على سبيل المثال، أحداث التدقيق، ومراجع الطلب)، فإننا نقوم بتقليل البيانات الشخصية والتركيز على الأدلة والبيانات الوصفية.

هل يمكن لشركة أن تطلب تفاصيل مستخدم محددة؟

نعم — يمكن للشركات أن تطلب أدلة محددة، ونقاط بيانات محددة إذا لزم الأمر. يقوم المستخدمون بمراجعة كل طلب ويجب عليهم الموافقة صراحةً قبل مشاركة أي شيء.

كيف يمكنك منع التلاعب؟

تم تصميم الطلبات والاستجابات بحيث يمكن التحقق منها من خلال التشفير، وتكون محدودة المدة، ويتم التحقق من صحتها من قبل المتلقي. وهذا يجعل التلاعب قابلاً للاكتشاف ويقلل من قيمة إعادة التشغيل.

الإفصاح المسؤول

إذا كنت تعتقد أنك عثرت على ثغرة أمنية، فيرجى الإبلاغ عنها بشكل مسؤول. سنراجع التقارير على الفور ونعمل معك للتحقق من صحة المشكلات ومعالجتها.

كيفية الإبلاغ

  • البريد الإلكتروني:security@checkify.me (مستحسن)
  • قم بتضمين خطوات إعادة الإنتاج والتأثير وأي أدلة داعمة
  • يرجى تجنب الوصول إلى بيانات المستخدم الحقيقية أو تعديلها

ماذا سيحدث بعد ذلك

  • نقر باستلام التقرير وفرزه
  • نحن نتحقق من عمليات التخفيف ونصلحها وننشرها حسب الاقتضاء
  • يمكننا تنسيق توقيت الكشف العام إذا لزم الأمر

ليس لديك بريد إلكتروني مخصص للأمان حتى الآن؟ استبدله بعنوان مراقب يمكنك التحكم فيه.