الأمان
نَعُدّ الأمان مسؤوليةً هندسية لا مجرّد خانةٍ في قائمة الامتثال. وجميع الضوابط الواردة أدناه تعمل في الإنتاج اليوم
- SOC 2 Type II — قيد التنفيذ مع مدقّقٍ خارجي. ولا ندّعي الحصول على الاعتماد قبل توقيع التقرير
- تُحفَظ جميع بيانات العملاء في Supabase Postgres مع Row-Level Security على مستوى كل صف. ويُحدِّد سياق هوية المستخدم الصفوفَ التي يمكنه قراءتها أو الكتابة فيها — ولا يوجد مسار super-user يتجاوز RLS
- تشفير أثناء النقل (TLS 1.3) على كل واجهةٍ عامّة، وتشفيرٌ في حالة السكون لقاعدة البيانات وطبقة التخزين عبر مزوّد المنصة
- تعالج Anthropic المُدخلات (prompts) نيابةً عنّا. وبموجب شروط واجهة Anthropic البرمجية لا تُستخدَم بياناتك في تدريب أي نموذج. وقد طلبنا الانضمام إلى خطة عدم الاحتفاظ بالبيانات (zero-data-retention) لحركة الإنتاج، ولا يزال التحقّق قيد الانتظار
- تُخزَّن الأسرار في secret bindings الخاصة بـ Cloudflare Workers، ولا تُوضَع مطلقاً في الكود أو في أي تخزينٍ يستطيع العميل قراءته
- تتمّ جميع عمليات المصادقة عبر OAuth حصراً مقابل مزوّدي الهوية لديك — ولا تحتفظ Madar مطلقاً بكلمة مرور حساب AppsFlyer أو RevenueCat أو Meta أو Google أو أي مصدرٍ آخر
الخصوصية
صُمِّمت Madar AI للامتثال لـ KVKK (تركيا)، وPDPL (السعودية والإمارات)، ولتكون جاهزةً لـ GDPR افتراضياً. وعند اختلاف هذه الأنظمة، نسعى إلى الالتزام بأشدّ المعايير المُطبَّقة صرامةً
- حقوق صاحب البيانات — الوصول والتصحيح والحذف والنقل — متاحةٌ عند الطلب. راسِلنا على team@madarai.co؛ ونردّ خلال ثلاثين يوماً، وأسرع في معظم الحالات
- لا نبيع بيانات العملاء ولا نشاركها ولا نؤجّرها، دون استثناء
- لا نُشغِّل أدوات تتبُّعٍ إعلانيةً من أطرافٍ ثالثة ولا أدوات session-replay على واجهات المنتج المُصادَق عليها
- موقع البيانات: تُستضاف بيانات الإنتاج في مناطق تُلبّي متطلبات الامتثال لدى عملائنا. وللعملاء الحسّاسين تجاه PDPL، يمكننا مناقشة خيارات استضافة البيانات في منطقةٍ سعودية عند الطلب
- يُعلَن عن تغييرات المعالِجين الفرعيين عبر البريد الإلكتروني لكل جهة اتصالٍ بالحساب قبل سريانها بثلاثين يوماً على الأقل، مع حق الاعتراض
المعالِجون الفرعيّون
المجموعة الدقيقة من الأطراف الثالثة التي تعالج بيانات العملاء نيابةً عنّا، مع بيان الغرض من كلٍّ منها
| Supabase | قاعدة البيانات الأساسية (Postgres) والمصادقة | أوروبا + إقليمي عند الطلب |
| Railway | الحوسبة الخلفية لمهام التحليل الطويلة | أوروبا / أمريكا |
| Cloudflare | CDN، edge workers، DNS، حماية DDoS | حافة عالمية |
| Anthropic | استدلال LLM (ZDR enrollment requested) | أمريكا |
| OpenAI | Embeddings للبحث الدلالي (ZDR مطلوب) | أمريكا |
| Resend | بريد معاملاتي (تقارير الفحص، التنبيهات، الحساب) | أوروبا / أمريكا |
الاستجابة للحوادث
إذا اكتشفنا حادثاً أمنياً يؤثّر على بياناتك، فسنُبلِّغ الحسابات المتأثرة خلال 72 ساعة من تأكيده. وسيتضمّن الإشعار: ما الذي حدث، وما البيانات التي تأثّرت، وما الذي فعلناه، وما الذي نطلبه منك
يتابع فريق الهندسة قناة الإبلاغ عن الحوادث ويُصنِّف البلاغات بسرعة. للإبلاغ عن ثغرة أو حادث مشتبه فيه، راسِلنا على team@madarai.co مع وضع كلمة 'security' في خانة الموضوع — فيصل البلاغ إلى الفريق على الفور