تفريغ قاعدة البيانات لا يكشف عن أي شيء.
تُشفَّر البيانات الشخصية لكل مستخدم أثناء التخزين بمفاتيح خاصة بكل مستأجر لا تلامس قاعدة البيانات مطلقًا. تسرّب بيانات اعتماد التخزين أو سرقة نسخة احتياطية لا يُسفر إلا عن نص مشفّر — لا عناوين بريد إلكتروني، ولا أسماء، ولا أرقام هواتف.
كيف يعمل ذلك
- يتم التشفير خارج قاعدة البيانات. تُشفَّر القيم وتُفكّ شفرتها عبر HashiCorp Vault Transit — لا يحتفظ التطبيق أبدًا بمواد المفتاح، ولا تطّلع قاعدة البيانات على أي مفتاح.
- لكل مستأجر مفتاحه الخاص. يؤدي حذف المستأجر إلى إتلاف مفتاحه تشفيريًا بالكامل، مما يجعل جميع بيانات ذلك المستأجر غير قابلة للاسترداد نهائيًا — دون الحاجة إلى محو البيانات صفًا صفًا.
- تشفير AES-256-GCM العشوائي يحمي كل قيمة، بحيث لا تُنتج المدخلات المتطابقة أبدًا نصًا مشفّرًا متطابقًا.
مشفّرة، وقابلة للبحث رغم ذلك
عادةً ما يعني التشفير التخلي عن إمكانية البحث. لكن الأمر ليس كذلك هنا. إلى جانب كل قيمة مشفّرة، نخزّن رموز "الفهرس الأعمى" (blind index) القائمة على HMAC بمفتاح سرّي — بحيث يعمل تسجيل الدخول بالبريد الإلكتروني، وبحث المسؤول بالاسم، وميزة "جميع مستخدمي acme.com" كعمليات بحث دقيقة وبحث بالبادئة فوق بيانات لا تُخزَّن أبدًا كنص صريح. مفاتيح الفهرسة نفسها هي أيضًا HMAC: فتفريغ جداول الفهرس لا يكشف عن شيء كذلك.
ما الذي تتم حمايته
عناوين البريد الإلكتروني، والأسماء الأولى والأخيرة، وأرقام الهواتف، وأسماء الشركات، وأي سمات مخصّصة تخزّنها — جميعها مشفّرة أثناء التخزين. لم تُخزَّن كلمات المرور قط بطريقة قابلة للعكس (بل تُجزَّأ في اتجاه واحد باستخدام دالة اشتقاق مفاتيح (KDF) حديثة). أما تعيينات الأدوار، والمعرّفات المبهمة، والطوابع الزمنية فليست بيانات شخصية وتُترك كنص صريح حتى يظل النظام قابلًا للتشغيل.
التهديد الذي صُمم النظام لمواجهته
السيناريو المقصود هو تسرّب بيانات اعتماد التخزين أو انكشاف نسخة احتياطية — أي أن يحصل أحدهم على نسخة خام من الجداول. التشفير الشفاف على مستوى القرص (بمفاتيح يديرها العميل) لا يفيد في هذه الحالة: فهو يفك التشفير تلقائيًا لأي جهة قادرة على قراءة المخزن، لذا يخرج التفريغ كنص صريح. أما التشفير على مستوى التطبيق فهو مفيد بالفعل — إذ تقيم المفاتيح في Vault، معزولة عن البيانات، بحيث تكون نسخة الجداول مجرد نسخة من نص مشفّر.
أثناء النقل أيضًا
تُشفَّر البيانات أثناء النقل (TLS 1.2+) كما هو الحال أثناء التخزين. يسعدنا اطلاع عملاء المؤسسات على ضوابطنا الأمنية بالتفصيل بموجب اتفاقية عدم إفصاح (NDA).
الإبلاغ عن ثغرة أمنية
هل عثرت على شيء؟ راسلنا عبر البريد الإلكتروني [email protected]. بيانات الاتصال القابلة للقراءة آليًا منشورة على /.well-known/security.txt.