سياسة الأمان

آخر تحديث: أبريل 2025



في SavePorn، يُعد أمان خدمتنا وبيانات مستخدمينا أولوية قصوى. توضح هذه السياسة ممارساتنا الأمنية وكيفية الإبلاغ عن الثغرات وما يمكن توقعه عند القيام بذلك.

1. الإبلاغ عن الثغرات الأمنية

إذا اكتشفت ثغرة أمنية في SavePorn، نطلب منك الإبلاغ عنها بمسؤولية. يرجى إرسال التفاصيل إلى:

[email protected]

عند الإبلاغ، يرجى تضمين:

  • وصف للثغرة وتأثيرها المحتمل.
  • خطوات إعادة إنتاج المشكلة، بما في ذلك أي عناوين URL أو معلمات أو حمولات ذات صلة.
  • نوع الثغرة (مثل XSS، حقن SQL، تجاوز المصادقة، كشف البيانات).
  • أي لقطات شاشة أو سجلات أو شفرة إثبات مفهوم توضح المشكلة.

2. الإفصاح المسؤول

نطلب منك بلطف:

  • عدم الكشف عن الثغرة علنيًا حتى نحصل على فرصة معقولة لمعالجتها.
  • عدم الوصول إلى بيانات المستخدمين الآخرين أو تعديلها أو حذفها كجزء من بحثك.
  • عدم تنفيذ إجراءات قد تؤدي إلى تدهور الخدمة للمستخدمين الآخرين (مثل هجمات حجب الخدمة، محاولات القوة الغاشمة على نطاق واسع).
  • بذل جهد حسن النية لتجنب انتهاك خصوصية الآخرين.

لن نتخذ إجراءات قانونية ضد الأفراد الذين يكتشفون ويبلغون عن الثغرات وفقًا لهذه السياسة.

3. استجابتنا

عند الإبلاغ عن ثغرة، يمكنك توقع:

  • إقرار بالاستلام خلال 48 ساعة من تقريرك.
  • تقييم أولي للمشكلة خلال 5 أيام عمل.
  • تحديثات منتظمة حول تقدمنا في حل المشكلة.
  • تقدير (إذا رغبت) في أي اعتراف عام بالثغرة، بمجرد حلها.

4. النطاق

ما يلي ضمن النطاق للتقارير الأمنية:

  • تطبيق SavePorn الإلكتروني على save.porn.
  • واجهة برمجة تطبيقات SavePorn.
  • المصادقة وإدارة الجلسات.
  • تدفقات معالجة الدفع.
  • إضافات المتصفح والتطبيقات الأصلية المنشورة من قبل SavePorn.

ما يلي خارج النطاق:

  • خدمات الطرف الثالث التي نتكامل معها (مزودو البريد الإلكتروني، شبكات البلوكتشين).
  • هجمات الهندسة الاجتماعية ضد موظفي أو مستخدمي SavePorn.
  • الهجمات المادية ضد بنية SavePorn التحتية.
  • الثغرات في البرامج أو الأنظمة غير المملوكة أو المُدارة من قبل SavePorn.

5. الممارسات الأمنية

يستخدم SavePorn التدابير الأمنية التالية لحماية بيانات المستخدمين:

  • التشفير أثناء النقل: تستخدم جميع الاتصالات TLS. يتم إعادة توجيه طلبات HTTP غير المشفرة إلى HTTPS.
  • المصادقة: نستخدم رموزًا سحرية محدودة الوقت تُرسل عبر البريد الإلكتروني — لا يتم تخزين كلمات مرور. تستخدم الجلسات ملفات تعريف ارتباط httpOnly وSecure وSameSite=Lax.
  • التحكم في الوصول: تتطلب جميع نقاط نهاية API التي تصل إلى بيانات المستخدم مصادقة. يمكن للمستخدمين الوصول إلى بياناتهم الخاصة فقط.
  • تحديد المعدل: تخضع نقاط نهاية API لتحديد المعدل لمنع إساءة الاستخدام.
  • عدم التتبع: نحن لا نستخدم التحليلات أو متتبعات الإعلانات أو بصمات الأجهزة. انظر سياسة الخصوصية للتفاصيل.
  • الحد الأدنى من جمع البيانات: نجمع فقط البيانات الضرورية لتشغيل الخدمة.

6. security.txt

وفقًا لـ RFC 9116، ننشر ملف security.txt على /.well-known/security.txt يحتوي على معلومات الاتصال الأمني الخاصة بنا وعنوان URL لهذه السياسة.

7. الاتصال

لجميع الأمور المتعلقة بالأمان، تواصل معنا على:

[email protected]