الأمان

في مكان العمل

نقوم بالتحكم في الوصول إلى مواردنا (المباني، البنية التحتية، والمرافق)، ويشمل هذا الوصول: الاستهلاك والدخول والاستخدام، وذلك من خلال بطاقات دخول. نزوّد الموظفين والمقاولين والمورّدين والزوار ببطاقات دخول مختلفة تتيح لهم الوصول فقط حسب الغرض من دخولهم إلى المبنى. تقوم إدارة الموارد البشرية بتحديد هذه الأغراض حسب الدور الوظيفي، كما نحتفظ بسجلات الدخول لمراقبة أي أنشطة غير اعتيادية ومعالجتها.

في مراكز البيانات

في مراكز البيانات لدينا، يتحمل مزود خدمة الاستضافة مسؤولية المبنى، والتبريد، والطاقة، والأمن المادي، بينما نوفر نحن الخوادم وأجهزة التخزين. يَقتصر الوصول إلى مراكز البيانات على مجموعة صغيرة من الموظفين المصرّح لهم فقط، وأي وصول آخر يتم من خلال رفع تذكرة ويُمنح بعد موافقة المديرين المعنيين. يُشترط التحقق الثنائي الإضافي والمصادقة البيومترية (مثل بصمة الإصبع أو التعرف على الوجه) للدخول إلى المواقع. وتتوفر سجلات الدخول والخروج، وسجلات النشاط، وتسجيلات الكاميرات في حال وقوع أي حادث.

المراقبة الأمنية

نحن نراقب جميع حركات الدخول والخروج في جميع منشآتنا، بما في ذلك مراكز الأعمال ومراكز البيانات، من خلال كاميرات المراقبة (CCTV) المُثبتة وفقًا للوائح المحلية. ويتم الاحتفاظ بنسخ احتياطية من تسجيلات الكاميرات لمدة محددة، وذلك بحسب المتطلبات الخاصة بكل موقع.

أمان الشبكة

تم تصميم تقنيات الأمان والمراقبة في شبكتنا لتوفير طبقات متعددة من الحماية والدفاع، ونستخدم جدران حماية (Firewalls) لمنع الوصول غير المصرح به والتصدي لحركة المرور غير المرغوب فيها، كما نقسم أنظمتنا إلى شبكات منفصلة لحماية البيانات الحساسة، وتُستضاف الأنظمة التي تدعم أنشطة الاختبار والتطوير في شبكة منفصلة عن الأنظمة التي تدعم البنية التحتية الإنتاجية لـ Zoho.

نراقب الوصول إلى جدران الحماية وفق جدول صارم ومنتظم، ويقوم مهندس الشبكة بمراجعة جميع التغييرات التي تطرأ على جدار الحماية يوميًا، كما تتم مراجعة هذه التغييرات مرة كل ستة أشهر لتحديث القواعد ومراجعتها، ويقوم فريق مركز عمليات الشبكة المخصص لدينا بمراقبة البنية التحتية والتطبيقات لرصد أي اختلافات أو أنشطة مشبوهة، وتُراقب جميع المعايير الحيوية باستمرار باستخدام أداة خاصة بنا، ويتم إرسال تنبيهات تلقائيًا في حال حدوث أي نشاط غير طبيعي في بيئة الإنتاج.

التكرار الشبكي

جميع مكونات منصتنا مدعومة بنظام تكرار، حيث نستخدم بنية شبكية موزعة لحماية أنظمتنا وخدماتنا من تأثيرات أي فشل في الخوادم. وفي حال تعطل أحد الخوادم، يمكن للمستخدمين الاستمرار في استخدام الخدمات كالمعتاد، إذ تظل بياناتهم وخدمات Zoho متاحة لهم.

نستخدم أيضًا عدة مفاتيح توصيل (Switches) وموجهات (Routers) وبوابات أمان لضمان التكرار على مستوى الأجهزة، مما يمنع حدوث أعطال ناتجة عن نقطة فشل واحدة داخل الشبكة الداخلية.

الحماية من هجمات DDoS

نستخدم تقنيات من مزودين موثوقين ومعروفين لمنع هجمات حجب الخدمة (DDoS) على خوادمنا، حيث توفر هذه التقنيات قدرات متعددة للتخفيف من تأثير هذه الهجمات من خلال تصفية حركة المرور الضارة والسماح بمرور الحركة السليمة، مما يضمن بقاء مواقعنا وتطبيقاتنا وواجهات برمجة التطبيقات (APIs) متاحة وفعالة.

تعزيز حماية الخوادم

يتم تعزيز حماية جميع الخوادم المُخصصة لأغراض التطوير والاختبار (مثل تعطيل المنافذ والحسابات غير المستخدمة، وإزالة كلمات المرور الافتراضية، وغيرها). كما تحتوي صورة نظام التشغيل الأساسية على إعدادات تعزيز الأمان مدمجة، ويتم استخدام هذه الصورة لتوفير تناسق في التهيئة بين جميع الخوادم.

كشف ومنع التسلل

آلية الكشف عن التسلل لدينا تراقب إشارات من الأجهزة نفسها، وأخرى من نقاط المراقبة داخل الخوادم. يتم تسجيل كل عمليات الدخول الإدارية، واستخدام الأوامر ذات الامتيازات العالية، واستدعاءات النظام في جميع خوادم بيئة الإنتاج. وتُستخدم قواعد ذكية تعتمد على البيانات والذكاء الآلي لتحذير مهندسي الأمن من أي نشاط غير طبيعي. وعلى مستوى التطبيقات، نستخدم جدار حماية تطبيقات الويب (WAF) الخاص بنا، ويعمل وفق قواعد القوائم البيضاء والسوداء معًا.

أما على مستوى مزوّدي خدمة الإنترنت (ISP)، فنطبّق نهج أمني متعدد الطبقات يتضمن التنقية، وتوجيه الشبكات، وتحديد المعدلات، والتصفية، وذلك للتعامل مع الهجمات من الطبقة الشبكية حتى طبقة التطبيقات. وتتيح هذه الآلية حركة مرور نظيفة، وخدمة بروكسي موثوقة، وتقريرًا سريعًا في حال حدوث أي هجوم.

آمن من حيث التصميم

تخضع كل ميزة جديدة وكل تغيير لسياسة إدارة التغيير لضمان الحصول على الموافقة المسبقة قبل تنفيذها في بيئة الإنتاج. تفرض دورة حياة تطوير البرمجيات (SDLC) لدينا الالتزام بإرشادات البرمجة الآمنة، وفحص تغييرات الشيفرة باستخدام أدوات تحليل الشيفرة وكاشفات الثغرات، بالإضافة إلى المراجعة اليدوية. يتم ضمان الأمان والخصوصية خلال مختلف مراحل دورة التطوير.

يعتمد إطار الأمان القوي لدينا على معايير OWASP ويُطبق على طبقة التطبيق لتوفير الحماية ضد تهديدات مثل الحقن باستخدام SQL، وهجمات البرمجة عبر المواقع (XSS)، وهجمات رفض الخدمة على مستوى التطبيق (App layer DoS).

عزل البيانات

يقوم إطار العمل لدينا بتوزيع وصيانة المساحة السحابية لعملائنا. يتم فصل بيانات كل عميل منطقيًا عن بيانات العملاء الآخرين باستخدام مجموعة من البروتوكولات الآمنة، مما يضمن عدم إمكانية وصول أي عميل إلى بيانات عميل آخر.

تُخزن بيانات الخدمة على خوادمنا عند استخدامك لخدماتنا. وتبقى هذه البيانات ملكًا لك وليست ملكًا لـ Zoho، ولا نقوم بمشاركتها مع أي طرف ثالث دون موافقتك.

التشفير

أثناء النقل: يتم تأمين جميع بيانات العملاء المنقولة إلى خوادمنا عبر الشبكات العامة باستخدام بروتوكولات تشفير قوية. نُلزم جميع الاتصالات بخوادمنا باستخدام بروتوكول TLS (الإصدار 1.2 أو 1.3) مع خوارزميات تشفير قوية، ويشمل ذلك الوصول عبر الويب، وواجهات برمجة التطبيقات (API)، وتطبيقات الهاتف المحمول، ووصول عملاء البريد الإلكتروني عبر IMAP/POP/SMTP. يضمن هذا اتصالًا آمنًا من خلال المصادقة المتبادلة بين الطرفين وتشفير البيانات المنقولة. بالإضافة إلى ذلك، تستخدم خدمات البريد لدينا بروتوكول TLS بشكل افتراضي لتأمين وتوصيل الرسائل الإلكترونية، مما يخفف من احتمالات التنصت أثناء نقل البريد بين الخوادم عندما تدعم الخدمات المقابلة هذا البروتوكول.

ندعم بشكل كامل ميزة "سرية التشفير التامة للأمام" (Perfect Forward Secrecy - PFS) في اتصالاتنا المشفرة، مما يضمن عدم فك تشفير الاتصالات السابقة، حتى لو تم اختراق النظام لاحقًا. قمنا بتفعيل ترويسة HTTP Strict Transport Security (HSTS) في جميع اتصالات الويب لدينا، مما يُرغم المتصفحات الحديثة على الاتصال بنا باستخدام اتصال مشفّر فقط، حتى لو قام المستخدم بكتابة عنوان URL غير آمن. بالإضافة إلى ذلك، نقوم بتأمين ملفات تعريف الارتباط (Cookies) الخاصة بالمصادقة بوضع علامة "آمن" عليها.

أثناء التخزين: يتم تشفير البيانات الحساسة للعملاء أثناء التخزين باستخدام خوارزمية AES بتشفير 256 بت. وتختلف البيانات التي يتم تشفيرها أثناء التخزين بناءً على الخدمات التي تستخدمها. نقوم بإدارة مفاتيح التشفير داخليًا باستخدام خدمة إدارة المفاتيح (KMS) الخاصة بنا، ونضيف طبقات إضافية من الأمان من خلال تشفير مفاتيح البيانات باستخدام مفاتيح رئيسية، ويتم تخزين هذه المفاتيح في خوادم منفصلة ذات وصول محدود.

يتم تشفير البيانات أثناء النقل وأثناء التخزين باستخدام خوارزميات موصى بها من قبل المعهد الوطني للمعايير والتقنية (NIST).

يرجى الضغط هنا للحصول على معلومات مفصلة حول التشفير في Zoho، و هنا لمعرفة البيانات التي نقوم بتشفيرها في خدماتنا.

الاحتفاظ بالبيانات والتخلص منها

نحتفظ بالبيانات في حسابك طالما اخترت استخدام خدمات Zoho. وعند إنهاء حسابك، يتم حذف بياناتك من قاعدة البيانات النشطة خلال عملية التنظيف التالية التي تُجرى مرة كل 6 أشهر، ثم يتم حذفها من النسخ الاحتياطية بعد 3 أشهر. وإذا ظل حسابك المجاني غير نشط لمدة 120 يومًا متواصلة، نحتفظ بالحق في إنهائه بعد إشعارك ومنحك خيارًا لنسخ بياناتك احتياطيًا.

تتم عملية التخلص من الأجهزة غير الصالحة من خلال جهة خارجية معتمدة وموثوقة. إلى حين التخلص من الأجهزة غير الصالحة، نقوم بتصنيفها وتخزينها في موقع آمن. ويتم محو أي معلومات موجودة على الأجهزة قبل التخلص منها. نقوم بإزالة المجال المغناطيسي (Degaussing) من الأقراص الصلبة قبل إتلافها. أما وحدات التخزين من نوع SSD التالفة، فنقوم بمحوها باستخدام تقنيات التشفير ثم تمزيقها فعليًا.

تسجيل الدخول الموحد (SSO)

توفر Zoho خدمة تسجيل الدخول الموحد (SSO) التي تتيح للمستخدمين الوصول إلى خدمات متعددة باستخدام صفحة تسجيل دخول واحدة وبيانات اعتماد موحدة. وعند تسجيل الدخول إلى أي من خدمات Zoho، يتم ذلك فقط من خلال نظام إدارة الهوية والوصول (IAM) المتكامل لدينا. كما ندعم بروتوكول SAML لتسجيل الدخول الموحد، مما يُمكّن العملاء من دمج موفر الهوية الخاص بشركاتهم مثل LDAP أو ADFS عند تسجيل الدخول إلى خدمات Zoho.

يسهّل تسجيل الدخول الموحد عملية تسجيل الدخول، ويضمن الامتثال، ويوفر تحكمًا فعالًا في الوصول والتقارير، ويخفف من الإرهاق الناتج عن تعدد كلمات المرور وتكرار استخدامها، وبالتالي يقلل من احتمالية استخدام كلمات مرور ضعيفة.

المصادقة الثنائية

توفر المصادقة الثنائية طبقة أمان إضافية من خلال طلب تحقق إضافي يجب أن يمتلكه المستخدم، إلى جانب كلمة المرور. ويمكن أن يقلل ذلك بدرجة كبيرة من خطر الوصول غير المصرح به إذا تم اختراق كلمة المرور. يمكنك إعداد المصادقة الثنائية باستخدام تطبيق Zoho One-Auth. حاليًا، ندعم أوضاعًا متعددة مثل بصمة الإصبع أو التعرف على الوجه، والإشعارات الفورية، ورمز الاستجابة السريعة (QR)، وكلمات المرور المؤقتة (OTP) المعتمدة على الوقت.

كما ندعم مفتاح الأمان Yubikey كوسيلة للمصادقة الثنائية.

الوصول الإداري

نطبق ضوابط وصول تقنية وسياسات داخلية لمنع الموظفين من الوصول إلى بيانات المستخدم بشكل عشوائي. نلتزم بمبدأ "أقل امتياز ممكن" وتحديد الصلاحيات بناءً على الأدوار، لتقليل خطر الوصول غير المصرح به إلى البيانات.

يتم إدارة الوصول إلى بيئة الإنتاج من خلال دليل مركزي ويتم التحقق منه باستخدام مزيج من كلمات مرور قوية، والمصادقة الثنائية، ومفاتيح SSH المحمية بعبارات مرور. كما نُتيح هذا الوصول عبر شبكة منفصلة ذات قواعد أكثر صرامة وأجهزة مؤمنة. ويتم أيضًا تسجيل جميع العمليات ومراجعتها دوريًا.

التسجيل والمراقبة

نراقب ونحلل المعلومات التي يتم جمعها من الخدمات، وحركة المرور الداخلية في شبكتنا، واستخدام الأجهزة والطرفيات. نسجل هذه المعلومات على شكل سجلات أحداث، وسجلات تدقيق، وسجلات أعطال، وسجلات مسؤولين، وسجلات مشغلين. ويتم مراقبة هذه السجلات وتحليلها تلقائيًا بشكل يساعد على اكتشاف الأنشطة غير المعتادة، مثل محاولات غير عادية في حسابات الموظفين أو محاولات للوصول إلى بيانات العملاء. ونُخزن هذه السجلات على خادم آمن ومعزول عن الوصول الكامل للنظام، لإدارة التحكم في الوصول بشكل مركزي وضمان التوفر.

تتوفر للمستخدمين سجلات تدقيق مفصلة تشمل جميع عمليات التحديث والحذف التي يتم تنفيذها من قبل المستخدم في كل خدمة من خدمات Zoho.

نراقب الملفات الحساسة لرصد أي تغييرات من خلال نظام مراقبة سلامة الملفات لدينا. كما نضمن أن تبقى السجلات سليمة وغير قابلة للتلاعب.

إدارة الثغرات الأمنية

لدينا عملية مخصصة لإدارة الثغرات الأمنية تقوم بمسح التهديدات الأمنية بنشاط باستخدام مزيج من أدوات فحص معتمدة من جهات خارجية وأدوات داخلية، بالإضافة إلى اختبارات اختراق آلية ويدوية. كما يقوم فريق الأمن لدينا بمراجعة تقارير الأمان الواردة بشكل دوري، ويراقب القوائم البريدية العامة، والمقالات، والموسوعات الإلكترونية للكشف عن أي حوادث قد تؤثر على البنية التحتية للشركة.

عند اكتشاف ثغرة تتطلب المعالجة، يتم تسجيلها وتحديد أولويتها حسب خطورتها وتكليف جهة مسؤولة لمعالجتها. نقوم كذلك بتحديد المخاطر المرتبطة بها ومتابعة حالة الثغرة حتى يتم إصلاح الأنظمة المتأثرة أو تطبيق ضوابط مناسبة.

الحماية من البرمجيات الخبيثة والبريد العشوائي

نقوم بمسح جميع ملفات المستخدمين من خلال نظام فحص آلي مصمم لمنع انتشار البرمجيات الخبيثة ضمن منظومة Zoho. ويتلقى محرك مكافحة البرمجيات الخبيثة الخاص بنا تحديثات منتظمة من مصادر استخبارات التهديدات الخارجية، ويقوم بمقارنة الملفات مع التواقيع المدرجة في القوائم السوداء والأنماط الخبيثة. ويضمن محرك الكشف المملوك لنا والمزود بتقنيات التعلم الآلي حماية بيانات العملاء من البرمجيات الخبيثة.

تدعم Zoho بروتوكول DMARC (التحقق من الرسائل والتقارير والمطابقة المعتمد على النطاق) كوسيلة لمنع البريد العشوائي. ويستخدم DMARC بروتوكوليّ SPF وDKIM للتحقق من صحة الرسائل. كما نستخدم محرك كشف خاص بنا لرصد إساءة استخدام خدمات Zoho، مثل التصيد الاحتيالي والنشاطات العشوائية. بالإضافة إلى ذلك، لدينا فريق متخصص في مكافحة البريد العشوائي لمراقبة الإشارات القادمة من الأنظمة ومعالجة شكاوى الإساءة.
لمزيد من المعلومات، انقر هنا

النسخ الاحتياطي

نقوم بإجراء نسخ احتياطي تزايدي (يشمل التغييرات فقط) يوميًا ونسخ احتياطية كاملة أسبوعيًا لقواعد البيانات الخاصة بنا باستخدام وحدة تحكم إدارة Zoho (ZAC) لمراكز بيانات Zoho. تُخزن بيانات النسخ الاحتياطي في نفس الموقع وتُشفّر باستخدام خوارزمية AES-256. ويتم حفظها بصيغة tar.gz . ويُحتفظ بجميع النسخ الاحتياطية لمدة ثلاثة أشهر. وإذا طلب أحد العملاء استعادة البيانات خلال فترة الاحتفاظ، سنقوم باستعادتها وتوفير وصول آمن لها. وتعتمد مدة الاستعادة على حجم البيانات وتعقيد العملية.

لضمان أمان البيانات الاحتياطية، نستخدم مصفوفة أقراص مستقلة ذات تكرار (RAID) في خوادم النسخ الاحتياطي. ويتم جدولة وتتبع جميع النسخ الاحتياطية بانتظام. وفي حالة حدوث فشل، تتم إعادة العملية وإصلاحها فورًا. كما يتم تنفيذ فحوصات السلامة والصحة للنسخ الاحتياطية الكاملة تلقائيًا من خلال أداة ZAC.

ومن جهتك، نوصي بشدة بجدولة نسخ احتياطية منتظمة لبياناتك عن طريق تصديرها من خدمات Zoho المعنية وتخزينها محليًا ضمن البنية التحتية الخاصة بك.

استعادة البيانات بعد الكوارث واستمرارية العمل

يتم تخزين بيانات التطبيقات على وحدات تخزين مرنة يتم تكرارها عبر مراكز البيانات. وتتم مزامنة البيانات في مركز البيانات الأساسي مع المركز الثانوي في الوقت الفعلي تقريبًا. وفي حال تعطل المركز الأساسي، يتولى المركز الثانوي العمل وتستمر العمليات بسلاسة دون فقدان أو بتأخير طفيف للغاية. وكلا المركزين مزودان بعدة مزوّدي خدمة إنترنت.

لدينا أنظمة احتياطية للطاقة، ونُظم للتحكم بدرجة الحرارة، وأنظمة للوقاية من الحرائق كإجراءات مادية لضمان استمرارية العمل. وتساعدنا هذه التدابير في تحقيق القدرة على الصمود. وبالإضافة إلى تكرار البيانات، لدينا خطة لاستمرارية الأعمال تشمل العمليات الرئيسية مثل الدعم الفني وإدارة البنية التحتية. وتُجرى تدريبات دورية على استعادة البيانات بعد الكوارث لضمان جاهزيتنا.

الإبلاغ

لدينا فريق مخصص لإدارة الحوادث. نقوم بإبلاغك بالحوادث التي تؤثر عليك ضمن بيئتنا التشغيلية، مع الإجراءات المناسبة التي قد تحتاج إلى اتخاذها. ونتتبع هذه الحوادث ونعالجها عبر اتخاذ الإجراءات التصحيحية اللازمة. وحيثما ينطبق ذلك، سنقوم بتحديد وجمع وتوفير الأدلة المتعلقة بالحوادث التي تهمك، مثل سجلات التطبيقات والتدقيق. كما نقوم بتنفيذ ضوابط لمنع تكرار مثل هذه الحوادث.

نرد على الحوادث الأمنية أو المتعلقة بالخصوصية التي تُبلغنا بها من خلال البريد الإلكتروني incidents@zohocorp.com بأولوية عالية. وبالنسبة للحوادث العامة، نقوم بإبلاغ المستخدمين عبر مدوناتنا ومنتدياتنا وقنواتنا في وسائل التواصل الاجتماعي. أما بالنسبة للحوادث الخاصة بمستخدم فردي أو مؤسسة معينة، فنتواصل مع الجهة المعنية عبر البريد الإلكتروني (باستخدام البريد الإلكتروني الأساسي للمسؤول المسجّل لدينا).

إشعار بوقوع خرق أمني

بصفتنا جهة من جهات التحكم في البيانات، نقوم بإبلاغ هيئة حماية البيانات المعنية بأي خرق يحدث خلال الإطار الزمني المحدد في القوانين الإقليمية المعمول بها، وذلك فور علمنا بالحادث. وبصفتنا جهة لمعالجة البيانات، نقوم بإخطار جهات التحكم المعنية دون تأخير غير مبرر.

لدينا برنامج للإبلاغ عن الثغرات تحت عنوان "Bug Bounty" موجه لمجتمع الباحثين الأمنيين، ويقوم بتقدير ومكافأة جهود الباحثين الأمنيين. ونحن ملتزمون بالتعاون مع المجتمع للتحقق من الثغرات المُبلّغ عنها، وإعادة إنتاجها، والرد عليها، وتنفيذ الحلول المناسبة لها.

إذا صادفت أي ثغرة، يرجى تقديم تقرير على الرابط: https://bugbounty.zohocorp.com/‎. وإذا رغبت في الإبلاغ عنها مباشرةً، يُرجى مراسلتنا عبر البريد: security@zohocorp.com.

نقوم بتقييم واعتماد مورّدينا استنادًا إلى سياسة إدارة المورّدين لدينا. ونُدرِج المورّدين الجدد بعد فهم عملياتهم المتعلقة بتقديم الخدمات لنا، وإجراء تقييمات للمخاطر. ونتخذ الخطوات اللازمة لضمان الحفاظ على موقفنا الأمني من خلال إبرام اتفاقيات تُلزم المورّدين بالامتثال لالتزامات السرية والتوفّر والسلامة التي تعهدنا بها لعملائنا. ونُراقب كفاءة العمليات والتدابير الأمنية لدى المورّدين من خلال إجراء مراجعات دورية لعناصر التحكم لديهم.