الممارساتُ المعماريةُ والتشغيليةُ التي تحمي بها Gravenos البيانات المؤتمَنة عليها، والمبادئُ التي نُفصح بها عن الحوادث.
المبادئ
تتعامل Gravenos مع البيانات على مبدأ جمع الحدّ الأدنى اللازم لتقديم الخدمة، والاحتفاظ بها للمدّة الدنيا المتسقة مع تقديمها، وحمايتها بالضوابط التي يتوقّعها محترفٌ معقول.
نحن لا نبيع البيانات. لا نُشاركها مع شركاء تسويق. لا نستخدم الإعلان السلوكي. هذه ليست ادعاءاتٍ ترويجية؛ بل التزاماتٌ معماريةٌ يشهد لها غيابُ أيّ تكاملٍ في قاعدة شيفرتنا يجعلها خلاف ذلك.
ما البيانات التي نحتفظ بها
على الموقع المؤسسي (gravenos.com)، نجمع عناوين البريد الإلكتروني لمشتركي النشرة الإخبارية ومحتوى استمارات التواصل. على منصّة Drusus (drusus.ai)، نحتفظ بالبيانات اللازمة لتشغيل منتج اشتراك: هويةُ الحساب (البريد وتجزئة كلمة المرور)، ومحتويات المحفظة التي اختار المستخدم تسجيلها، وقوائم المتابعة، وإعدادات التنبيه، والسجلّ التحليلي.
بيانات الدفع تعالجها Stripe. لا تُخزّن Gravenos أرقام البطاقات ولا رموز CVC ولا التفاصيل المصرفية الكاملة على خوادمها. التكامل مُصمَّمٌ بحيث لا تمرّ هذه البيانات عبر أنظمتنا إطلاقًا.
البنية التحتية
تُشغَّل قاعدة بياناتنا وطبقة المصادقة بواسطة Supabase في منطقة eu-north-1. تُنشر منصّة Drusus وموقع gravenos.com على Vercel. يُرسَل البريد عبر Resend. تُسجَّل النطاقات عبر Cloudflare. تعالج المدفوعاتُ Stripe.
يعمل كلٌّ من هؤلاء المزوّدين وفق معيار أمنٍ معترفٍ به. لا أحد منهم حصريٌّ لـ Gravenos؛ اخترناهم لأنّهم الخياراتُ الراسخةُ والموثوقةُ في فئاتهم. المقايضةُ في هذا الاختيار هي أن وضعنا الأمني يتوقّف جزئيًّا على أوضاعهم. نُفصح عن الحوادث في أيٍّ من هؤلاء المزوّدين متى كان لها أثرٌ معقولٌ على مستخدمينا (انظر قسم الأخبار).
المصادقة
تُصادَق الحسابات على منصّة Drusus عبر البريد الإلكتروني وكلمة المرور. تُخزَّن كلمات المرور بصيغة تجزئاتٍ مُمَلَّحة؛ لا يمكننا استرجاع كلمة مرور المستخدم النصية. تتوفّر المصادقةُ الموحّدة عبر كبار المزوّدين. وستُطرح المصادقةُ متعدّدةُ العوامل قبل الإطلاق العام.
الموقف التنظيمي
Gravenos مسجّلةٌ في المملكة المتحدة. تُنتج منصّة Drusus تعليقًا تحليليًّا ونماذجَ سيناريوهاتٍ وحساباتِ مخاطر؛ ولا تُنتج مشورةً استثماريةً بمعنى النطاق التنظيمي لـ FCA. سنتعامل في حينه مع FCA Innovation Hub لطلب تأكيدٍ رسميٍّ لهذا الموقف. وإلى أن يكتمل ذلك، فإن الموقف المُبيَّن هنا تقديرُنا المهني الأفضل، مدعومًا بمراجعة المستشار القانوني لإخلاء المسؤولية المالي.
يجري الامتثال لحماية البيانات وفق UK GDPR وقانون حماية البيانات لعام 2018. التسجيلُ لدى ICO قيد التنفيذ.
الإفصاح عن الحوادث
في حال وقوع حادثٍ أمنيٍّ يطال أنظمة Gravenos، أو يطال أيّ مزوّد طرفٍ ثالثٍ على نحوٍ له أثرٌ معقولٌ على مستخدمي Gravenos، سننشر إشعارًا في قسم الأخبار من هذا الموقع بأسرع ما تسمح به الحقائق، وسنُحدّث الإشعار كلّما تقدّم التحقيق.
لا نتبنّى ممارسة إصدار إشعاراتٍ أوّليةٍ مبهمة الصياغة لا تنقل شيئًا. حيث تكون الحقائق غير مؤكّدة، نقول ذلك؛ حيث قد تكون البياناتُ تأثّرت أو لم تتأثّر، نقول أيّها؛ حيث يكون النطاق مجهولًا، نقول ما هو معروفٌ وما هو غير معروف. وعلى ذلك قد تكون إشعاراتنا أطول من العُرف الصناعي. نعتقد أن هذه هي المقايضة الصحيحة.
الإبلاغ عن الثغرات
إذا اعتقدت أنك حدّدت ثغرةً أمنيةً في أيّ نظامٍ لـ Gravenos، نطلب أن تكتب إلى legal@gravenos.com بالتفاصيل. سنُقرّ باستلام بلاغك، وحيث يكون ملائمًا، نُكرّم الاكتشاف علنًا بعد حلّ المسألة.