نظرة عامة على الأمان
بُني FeedbackPulse SaaS مع إعطاء الأولوية القصوى للأمان. توثّق هذه الصفحة جميع إجراءات الأمان المتخذة.
طبقات الأمان
أمان النقل
| الميزة | التطبيق |
|---|---|
| HTTPS | مُفرض عبر SESSION_SECURE_COOKIE=true وmiddleware إعادة التوجيه |
| HSTS | Strict-Transport-Security: max-age=31536000; includeSubDomains |
| رؤوس الأمان | مُطبَّقة بواسطة middleware الـ SecurityHeaders على كل استجابة |
المصادقة
| الميزة | التطبيق |
|---|---|
| تجزئة كلمة المرور | Bcrypt بـ 12 جولة |
| المصادقة الثنائية | TOTP عبر تطبيقات المصادقة (Google Authenticator، Authy) |
| تسجيل الدخول الاجتماعي | OAuth2 مع Google وGitHub |
| التحقق من البريد الإلكتروني | مطلوب قبل الوصول إلى لوحة التحكم |
| روابط URL موقّعة | تُستخدم لدعوات الفريق (تنتهي خلال 7 أيام) |
| تشفير الجلسة | الجلسات مشفّرة في حالة السكون |
التفويض
| الميزة | التطبيق |
|---|---|
| الوصول المستند إلى الأدوار | 4 أدوار: superadmin، tenant_admin، tenant_staff، customer |
| حراسة الـ Middleware | التحكم في الوصول على مستوى المسار |
| عزل المستأجر | النطاق العالمي يمنع الوصول عبر بيانات المستأجرين |
| بوابات قائمة على الخطة | الميزات محجوبة خلف خطة الاشتراك |
أمان التطبيق
| الميزة | التطبيق |
|---|---|
| حماية CSRF | رموز CSRF لـ Laravel على جميع النماذج (باستثناء webhooks/widget) |
| منع XSS | هروب تلقائي في Blade بـ {{ }} |
| حقن SQL | استعلامات Eloquent المُعلَّمة |
| التعيين الجماعي | قائمة بيضاء $fillable للنموذج |
| تحديد معدل الطلبات | تقييد لكل مسار (5-120 طلب/دقيقة) |
أمان API
| الميزة | التطبيق |
|---|---|
| تجزئة مفتاح API | تخزين مجزّأ بـ SHA256 |
| حدود معدل لكل مستأجر | 60 طلب/دقيقة لكل مستأجر |
| تدوير المفاتيح | إلغاء المفاتيح القديمة وإنشاء مفاتيح جديدة |
| تتبع آخر استخدام | الطابع الزمني last_used_at يُحدَّث عند كل استخدام |
أمان البيانات
| الميزة | التطبيق |
|---|---|
| تشفير البيانات الحساسة | إعدادات المنصة مشفّرة في حالة السكون |
| امتثال GDPR | أدوات تصدير البيانات والحذف وإخفاء الهوية |
| الاحتفاظ بالبيانات | حذف تلقائي للبيانات القديمة وفق سياسة الاحتفاظ بالخطة |
| تسجيل التدقيق | يُتتبع كل إجراء مهم مع عنوان IP ووكيل المستخدم |
| منع حقن CSV | تعقيم أحرف الصيغ في التصديرات |
أمان Webhook
| الميزة | التطبيق |
|---|---|
| توقيعات HMAC | توقيعات SHA256 على الـ webhooks الصادرة |
| حماية SSRF | يحجب localhost وعناوين IP الخاصة في روابط webhook |
| التحقق من Stripe | التحقق من توقيع webhook |
| إلغاء تكرار الأحداث | يمنع المعالجة المضاعفة عبر تتبع معرف الحدث |
رؤوس HTTP الأمنية
مُطبَّقة بواسطة middleware الـ SecurityHeaders:
X-Frame-Options: SAMEORIGIN
X-Content-Type-Options: nosniff
X-XSS-Protection: 1; mode=block
Strict-Transport-Security: max-age=31536000; includeSubDomains
Referrer-Policy: strict-origin-when-cross-origin
Content-Security-Policy: [configured per deployment]