استبيان الأمان، مُجاب مسبقًا
تُرجم هذا المستند لتيسير الاطّلاع عليه. النسخة الإنجليزية هي النسخة الملزمة قانونًا.
معظم مراجعات المورّدين تطرح الأسئلة نفسها. ها هي، مُجابة مسبقًا عبر مجالات CAIQ-Lite ومربوطة بمجالات VSA-Core — بصدق: «نعم» تعني مُشغَّل اليوم ومُعلَن في صفحة ثقة؛ و«جزئي» يسمّي الفجوة؛ و«مخطط» له تاريخ ولا شيء أكثر.
| المجال | السؤال | الإجابة | التفصيل |
|---|---|---|---|
| A&ACompliance | هل لديكم شهادات أمان مستقلة (SOC 2، ISO 27001)؟ | مخطط | ليس بعد — ونقولها بوضوح. نستهدف SOC 2 Type I في الربع الثالث من 2026 (يبدأ جمع الأدلة عبر Vanta عند الإطلاق التجاري)، وType II بعد نحو تسعة أشهر، وISO 27001 بالتوازي. حتى ذلك الحين، تصف هذه الصفحة وصفحة الأمان الضوابط التي نشغّلها فعلًا. |
| AISApplication security | هل الأمان مُدمج في التطبيق ودورة حياته؟ | نعم | تُتحقق المدخلات وفق مخططات عند الحدود، وكل وصول لقاعدة البيانات مُعَلْمَن، وترافق كلَّ سطح ترويساتُ أمان صارمة وسياسة CSP، وتُفشل تنبيهاتُ التبعيات العالية أو الحرجة عمليةَ البناء. |
| BCRResilience | هل يمكنكم التعافي من فشل في البنية التحتية؟ | جزئي | بنية serverless على خدمات مُدارة متعددة مناطق التوافر، ونسخ احتياطية مشفّرة مع استعادة لنقطة زمنية، ودليل تشغيل مكتوب للتعافي من الكوارث؛ وما تزال خطة استمرارية أعمال مُجرَّبة رسميًا أمامنا. |
| CEKEncryption | هل بيانات العميل مشفّرة أثناء النقل وفي السكون؟ | نعم | حد أدنى TLS 1.3 أثناء النقل مع HSTS؛ وAES-256 في السكون على كل مخزن مع تدوير مفاتيح مُدار؛ وتعيش الأسرار في خدمة أسرار مُدارة، وليس في الكود أبدًا. |
| DCSPhysical security | أين يعمل الإنتاج، ومن يتحكم في الوصول المادي؟ | نعم | AWS eu-central-1 (فرانكفورت)، في حساب مخصص ومعزول تمامًا. الأمان المادي موروث من مراكز بيانات AWS المدققة. |
| DSPData protection | كيف تُحمى بيانات العميل وتُبقى خارج تدريب النماذج؟ | نعم | يُستثنى تدفق واجهة برمجة التطبيقات إلى مزوّدي النماذج من التدريب بموجب شروط واجهة البرمجة لكل مزوّد، وتجري حاليًا إتمام اتفاقيات عدم الاحتفاظ بالبيانات مع Anthropic وOpenAI؛ ولا ندرّب أبدًا على بيانات العملاء؛ وتبقى تضمينات الاسترجاع داخل منطقة الاتحاد الأوروبي؛ ويُقدَّم اتفاق معالجة بيانات (DPA) مع بنود تعاقدية قياسية (SCC)، وآلية التعامل مع طلبات أصحاب البيانات (DSAR) منشورة. |
| GRCSecurity policy | هل لديكم برنامج حوكمة أمنية؟ | جزئي | تُدار سياسات الأمان كقواعد هندسية مُنفَّذة، مُدارة بالإصدارات مع الكود وتُراجَع مع كل تغيير؛ ونظام إدارة أمن معلومات معتمد (ISO 27001) على خارطة الطريق ا�لمنشورة. |
| HRSPersonnel | هل توجد ضوابط أمنية للموظفين (تحقق، تأهيل، إنهاء)؟ | جزئي | تُدار Syncanix من مؤسسها اليوم: الشخص الوحيد الذي يملك وصولًا للإنتاج هو المشغّل المسؤول. ستأتي سياسات التحقق والتأهيل الرسمية مع أولى التعيينات — وستتغير هذه الإجابة حينها. |
| IAMAccess control | كيف يُضبط الوصول إلى الأنظمة والبيانات؟ | نعم | أدنى الامتيازات في كل شيء: هوية مدعومة بـ SSO مع رموز مُتحقَّق منها في كل طلب، وسياسات مكتوبة صراحةً لكل مورد، ولا مفاتيح وصول طويلة العمر، وتغييرات أدوار مُدققة. |
| IPYPortability | هل يستطيع العملاء تصدير بياناتهم والمغادرة؟ | نعم | كتالوج القدرات أداة قابلة للنقل، وبيانات العميل قابلة للتصدير، والإلغاء لا يحبس البيانات أبدًا. |
| IVSInfrastructure | كيف تُؤمَّن بنية الإنتاج التحتية؟ | نعم | كل شيء بنية-تحتية-ككود مع مراجعة الفروقات قبل كل نشر، وVPC معزولة، ولا موارد مشتركة مع أي منتج آخر، وجرد موسوم بالكامل. |
| LOGLogging & monitoring | هل تُراقَب الأنظمة وتُحمى السجلات؟ | نعم | تحمل السجلات المهيكلة ربط المستأجر والطلب في كل سطر، وتُستبعد الأسرار وبيانات التعريف الشخصية بسياسة تنقيح، والاحتفاظ محدود، والأحداث المهمة للتدقيق تطلق إنذارات. |
| SEFIncident response | هل توجد عملية استجابة للحوادث مع إخطار العملاء؟ | نعم | دليل تشغيل موثق للاستجابة للحوادث؛ تُؤكَّد بلاغات الإفصاح خلال 24 ساعة وتُفرز خلال 72؛ وتُخطَر الاختراقات المؤكدة ذات الأثر على العملاء خلال 24 ساعة من التأكيد. |
| STASupply chain | كيف تديرون مخاطر سلسلة التوريد؟ | نعم | قائمة المعالجين الفرعيين علنية مع إشعار 30 يومًا بالتغيير، وتنبيهات التبعيات تحجب CI، وكل مكتبة جديدة تمر بقائمة اعتماد موثقة. |
| TVMVulnerability management | كيف تُكتشف الثغرات وتُصلح؟ | جزئي | فحص آلي للتبعيات يحجب كل بناء، وبرنامج إفصاح علني مع حماية حسن النية فعّال؛ واختبار اختراق خارجي مخطط له مع SOC 2 — ولم يُكلَّف أي اختبار بعد. |
| UEMEndpoint management | هل الأجهزة التي تلمس الإنتاج مُدارة؟ | جزئي | الوصول إلى الإنتاج محصور في هويات مشغّلين محددة ضمن ضوابط الوصول أعلاه؛ وستأتي إدارة الأجهزة الرسمية (MDM) مع أولى التعيينات. |
تحتاج الإجابات في نموذجك أنت (CAIQ كامل أو VSA أو صيغتك الداخلية)؟ أرسله ونملؤه: admin@syncanix.com.
آخر مراجعة: 2026-06-10. تتغير الإجابات عندما تتغير الضوابط — وليس العكس أبدًا.