الأمن

كيف نتعامل مع شيفرتكم، وأسراركم، وبياناتكم.

الصفحة التي تقرؤها فرق الشراء أوّلاً فعلاً.

ما لا نفعله أبداً.

  • لا ندرّب أي نموذج على شيفرتكم. ليست PearlGit منتجاً قائماً على الذكاء الاصطناعي. لا نقرأ مستودعاتكم لتغذية تحليلات أو لتدريب تضمينات — لا لكم ولا لأي طرف آخر.
  • لا نشحن ثنائيات غير موقَّعة. كلّ إصدار موقَّع رقمياً؛ وكذلك البيانات الوصفية (manifests) موقَّعة.
  • لا نخزّن أسرار المزوّدين بنصّ صريح. أسرار ربط الويب، وأسرار Actions، ورموز OAuth مُعمّاة في حالة السكون بمفتاح رئيسي يُحفظ خارج قاعدة البيانات.
  • لا نحمّل متعقّبات طرف ثالث في موقع التسويق أو لوحة التحكّم. لا شبكات إعلانية، ولا أدوات إعادة تشغيل الجلسات.

المصادقة وSSO.

يُفوَّض تسجيل الدخول إلى Loop SSO (خدمة الهوية لدى PearlFibers) عبر OpenID Connect مع PKCE. لا نرى كلمة سرّكم أبداً.

رموز الوصول هي JWT موقَّعة بـ RS256 يجري التحقّق منها مقابل نقطة JWKS مع دعم تدوير المفاتيح. تدور رموز التحديث عند الاستخدام؛ ويؤدّي إعادة استخدام رمز تحديث مدوَّر سابقاً إلى إلغاء السلسلة بأكملها.

لحسابات مساحات العمل، ندعم:

  • OIDC على خطط Team — Okta وAuth0 وAzure AD وGoogle Workspace وKeycloak وأي موفِّر متوافق.
  • SAML 2.0 على خطط Enterprise.
  • SCIM 2.0 على خطط Enterprise عند الطلب، لتزويد المستخدمين والمجموعات آلياً.
  • المصادقة الثنائية على كلّ خطّة (TOTP وWebAuthn / مفاتيح عتاد).
  • الإيداعات الموقَّعة قابلة للفرض لكلّ فرع عبر حماية الفروع.

أين تعيش بياناتكم.

تعمل PearlGit Cloud على بنية تحتية تشغّلها PearlFibers. المستودعات، والبيانات الوصفية، وسجلّات التدقيق، والنُّسخ الاحتياطية، كلّها تعيش في منطقتنا الأساسية. النُّسخ الاحتياطية مُعمّاة في طبقة التخزين وتبقى في المنطقة نفسها.

لاحتياجات إقامة بيانات محدَّدة أو منطقة سيادية، تواصلوا مع المبيعات — كلاهما متوفّر على Enterprise.

للنشرات المستضافة ذاتيّاً، أنتم تقرّرون أين تعيش البيانات. ثنائي PearlGit هو المنتج نفسه الذي تعمل به سحابتنا — الواجهة نفسها، وواجهة البرمجة نفسها، ونموذج البيانات نفسه. نوفّر إجراء نسخ احتياطي واستعادة موثَّقاً، إضافةً إلى أمر dump مدمج لتصدير لقطة واحدة.

التعمية.

  • أثناء النقل: TLS 1.2+ على كلّ نقطة وصول — الويب، وGit عبر HTTPS، وSSH، وواجهة البرمجة، وسجلّات الحزم.
  • في حالة السكون: أحجام قاعدة البيانات مُعمّاة في طبقة التخزين. بيانات المستودعات على أنظمة ملفّات مُعمّاة.
  • أسرار التطبيق: رموز OAuth، وأسرار ربط الويب، وأسرار Actions، والمفاتيح التي يوفّرها المستخدم، تُعمّى باستخدام libsodium crypto_secretbox بمفتاح رئيسي يُحفظ خارج قاعدة البيانات.
  • مفاتيح مضيف SSH تدور سنويّاً مع نوافذ تداخل حتى لا تتعطّل إعدادات العملاء الحالية يوم التدوير.

ضوابط الوصول داخل المنتج.

  • حماية الفروع — الفرع الافتراضي، وفروع الإصدار، وأي نمط. فرض مراجعين إلزاميّين، وفحوصات حالة، وإيداعات موقَّعة، وتاريخ خطّي.
  • أصحاب الإيداع عبر CODEOWNERS. إسناد بالإشارة وفرض المراجعة الإلزامية.
  • ظهور المستودع — عامّ، خاصّ، داخلي (مرئي عبر المنظّمة لا للعالم).
  • صلاحيات الفِرق — قراءة، فرز، كتابة، صيانة، إدارة، لكلّ فريق ولكلّ مستودع.
  • رموز الوصول الشخصية بصلاحيات نطاق وإلغاء لكلّ رمز.
  • مفاتيح النشر لكلّ مستودع لوصول CI للقراءة فقط أو للكتابة.

تدقيق السجلّ.

يُسجَّل كلّ تغيير في حالة النظام داخل سجلّ تدقيق للإلحاق فقط: تسجيلات الدخول، وإنشاء المستودعات، وتغييرات الصلاحيات، وقواعد حماية الفروع، وتدويرات الأسرار، ومحفّزات ربط الويب، وتغييرات الفوترة، وإجراءات المديرين.

المستويات المتاحة:

  • Starter — سجلّ نشاط أساسي لكلّ مستودع.
  • Team — سجلّ تدقيق بنطاق المنظّمة، قابل للتصفية بالمستخدم وبالإجراء، قابل للتصدير إلى JSON.
  • Enterprise — سجلّ تدقيق بنطاق المثيل والمنظّمة، مع تسليم عبر ربط ويب وواجهة سحب لـ SIEM لديكم.

احتفاظ سجلّ التدقيق غير محدَّد المدّة لأغراض الامتثال.

الاحتفاظ.

  • المستودعات تبقى حتى تُحذف. حذف ناعم مع نافذة استعادة لـ 30 يوماً قبل التطهير.
  • النُّسخ الاحتياطية محتفَظ بها وفق العقد (افتراضياً 30 يوماً على Team، قابلة للضبط على Enterprise).
  • سجلّ التدقيق محتفَظ به بلا مدّة (سجلّ امتثال).
  • سجلّات تسليم ربط الويب 30 يوماً.
  • سجلّات التشخيص/الخوادم 30 يوماً، مع إزالة المعلومات الشخصية.
  • حذف الحساب يتسلسل خلال النُّسخ الاحتياطية في غضون 30 يوماً.

الإبلاغ عن الثغرات.

وجدتم مسألة أمنية؟ راسلوا security@pearlfibers.com بخطوات إعادة الإنتاج. نُقرّ بالاستلام خلال يوم عمل واحد ونهدف إلى إصلاح المسائل الحرجة خلال سبعة أيّام.

يُرجى عدم الإفصاح علناً حتى نشحن الإصلاح. ننسب الفضل إلى المُبلِّغين في سجلّ التغييرات حين يرغبون بذلك.

موقفنا من الامتثال.

تعمل PearlFibers وفق سياسات أمن معلومات رسمية متوافقة مع ضوابط SOC 2 Type II. تقارير الشهادات، وDPA، وقائمة المعالجات الفرعية متاحة بموجب اتفاقية عدم إفصاح في ارتباطات Enterprise.

للأحمال المنظَّمة أو لمراجعات الامتثال الرسمية، راسلوا security@pearlfibers.com مع الإطار المراد التوافق معه (SOC 2 أو ISO 27001 أو HIPAA BAA أو GDPR DPA أو غيره) ونشاركم المواد ذات الصلة.

بحاجة إلى مراجعة أعمق؟

للأحمال المنظَّمة، أرسلوا إلينا استبيان الأمن لديكم ونملؤه. يعود معظمها خلال 3 أيّام عمل.