01المدى
تصف هذه الصفحة هيكل الأمان لعميل GoDesk وخدمة التوجيه المستضافة التي تديرها upDevTeam LTD على godeskflow.com، وعملية الإبلاغ عن الثغرات المسؤولة.
هي معلوماتية. التزامات الأمان التعاقدية في شروط الخدمة وDPA.
قانوني · أمن
ممارسات الأمان
كيف تم بناء GoDesk وتشفيره وتشغيله، وكيفية الإبلاغ عن ثغرة. إجابات دقيقة، بما في ذلك ما لم يتم التصديق عليه بعد.
آخر تحديث: 2026-05-06
TL;DR
محتوى الجلسة (شاشتك، وضغطات المفاتيح، والملفات المنقولة) مشفر من النهاية إلى النهاية باستخدام تبادل المفاتيح X25519 وAES-256-GCM. ترى خوادم التشغيل فقط حزم مشفرة. لا يمكننا قراءة جلساتك.
نحن لسنا معتمدين بعد على SOC 2 أو ISO 27001. مقدمو البنية التحتية الذين نعتمد عليهم معتمدون. إذا وجدت ثغرة، اكتب إلى info@godeskflow.com.
02التشفير
التشفير من النهاية إلى النهاية هو الخاصية الأمنية المركزية للخدمة. لا يحتفظ الخادم بمحتوى الجلسة بنص عادي.
- تبادل مفتاح الجلسة
- X25519 تفاضل الاقتران الدائري، يتم مباشرةً بين الأقران باستخدام المفاتيح العامة المعتمدة لمعرف القرين.
- توقيع الجلسة
- Ed25519 فوق مصافحة X25519 لمصادقة كل قرين.
- التشفير المتماثل
- AES-256-GCM لجميع بيانات الجلسة بعد الانتهاء من المصافحة.
- النقل
- TLS 1.3 لطبقة التحكم في الخادم وويب التطبيق. تخصصات تشفير حديثة فقط؛ تم تعطيل الإصدارات القديمة من TLS.
- التشفير أثناء الراحة
- تشفير AES-256 على جانب الخادم للنسخ الاحتياطية وأي بيانات تشغيل محفوظة.
تم تثبيت المكتبات التشفيرية على إصدارات معتمدة وتم تحديثها وفق جدول زمني موثق. نحن لا نقوم بتنفيذ المكونات الأولية الخاصة بنا.
03البنية التحتية
تعمل البنية التحتية للإنتاج على المزودين التاليين:
- Hetzner Online GmbH — خوادم معدنية وخوادم افتراضية في قبرص وألمانيا لموقع التسويق والعميل.
- Supabase, Inc. — PostgreSQL مُدار للحسابات والبيانات الوصفية، مستضاف في eu-west-1 (فرانكفورت).
- Cloudflare, Inc. — DNS، CDN، وتخفيف DDoS على الحافة أمام godeskflow.com.
- Stripe Payments Europe Ltd. — معالجة البطاقات، عند تفعيل خطط الدفع.
- CI/CD داخلي على GitHub Actions، مع عدائين مُستضافين محدودين لنشر الإنتاج.
جميع المزودين ملزمون باتفاقيات معالجة البيانات التي تعكس الالتزامات في DPA لدينا.
04المصادقة والتحكم في الوصول
تحكمات الوصول على مستوى المستخدم:
- تسجيل الدخول باستخدام رابط سحري عبر البريد الإلكتروني / OTP بشكل افتراضي. تسجيل الدخول بكلمة مرور اختيارية باستخدام كلمات مرور مشفرة بـ Argon2id وفحص بيانات الاختراق.
- المصادقة الثنائية (TOTP) متاحة للحسابات المدفوعة، إلزامية للموظفين.
- علامات إذن لكل جهاز (حافظة، نقل ملفات، صوت، إعادة تشغيل) تختارها الجهة الخاضعة للتحكم عند بدء الجلسة.
- قائمة تعريفات الأشخاص المحظورين محفوظة من قبل upDevTeam LTD وتطبق عند التوصيل.
05الامتثال والشهادات
الحالة الصادقة اعتبارًا من التاريخ في أعلى هذه الصفحة: GoDesk و upDevTeam LTD ليستا معتمدتين حاليًا لشهادات SOC 2، ISO 27001، ISO 27017، ISO 27018، HIPAA، PCI-DSS، FedRAMP، أو أي معيار أمان ثالث رسمي آخر. الادعاءات العامة خلاف ذلك غير صحيحة.
مزودي الاستضافة والبنية التحتية لدينا (Hetzner، Cloudflare، Supabase، Stripe) قد تم تدقيقهم لـ SOC 2 / ISO 27001؛ أمننا يرث بعض الضمان من أمنهم لكنه لا يساويه.
نحن نعمل نحو مراجعة أمان خارجية لعام 2026 وسننشر النتيجة على هذه الصفحة عند حصولها. لن نتظاهر بشهادات لا نملكها.
06تسجيل الدخول والرصد
الإجراءات الإدارية على الأنظمة الإنتاجية تُسجل في سجل مركزي قابل للإضافة فقط مع احتفاظ بالبيانات لمدة لا تقل عن 90 يومًا. يسجل السجل الفاعل، الإجراء، الطابع الزمني، وعنوان IP المصدر. الوصول الإنتاجي مقيد لعدد قليل من المهندسين المسجلين مع مصادقة ثنائية إلزامية.
نحن نرصد وقت التشغيل، ومعدلات الأخطاء، والإشارات المتعلقة بالإساءة (ارتفاعات مفاجئة في حركة المرور، محاولات القوة الغاشمة، عد الأشخاص المحظورين) وندير التغطية على أساس أسبوعي.
07أمان النقطة النهائية والشركات
يجب أن تستخدم أجهزة الموظفين التي تُستخدم للوصول إلى الأنظمة الإنتاجية:
- نظام تشغيل مدعوم ومحدث مع تفعيل تشفير القرص الكامل؛
- استخدام مدير كلمات مرور مُدار ورمز 2FA مدعوم بالأجهزة (مثل WebAuthn) للوصول إلى الإنتاج؛
- توفير حماية للنقطة النهائية أو معادلها في Linux وتحديثات أمان تلقائية؛
- يتم مسحها وإلغاء الشهادات عندما يغادر الموظف.
08المصدر المفتوح وقابلية التكرار
عميل GoDesk مفتوح المصدر بموجب AGPL-3.0. يمكن لأي شخص قراءة الشيفرة المصدرية، وبناؤها، والتحقق من أنها تؤدي ما نزعمه. شيفرة التوصيل (نسخة من hbbr / hbbs) مفتوحة المصدر بالمثل.
نحن ننشر تجزئات SHA-256 لكل مثبت تم إصداره. نحن نعمل على توقيع الشيفرة EV لويندوز وتوثيق Apple لنظام macOS؛ حالة البناء الحالية على صفحة التنزيل.
09الإفصاح المسؤول
نرحب بالتقارير من باحثي الأمان المستقلين. للإبلاغ عن ثغرة:
- البريد الإلكتروني
- info@godeskflow.com
- PGP
- بصمة مفتاح PGP منشورة على نفس الصفحة؛ التقارير المشفرة مفضلة لأي تقرير يتضمن تفاصيل استغلال.
- وقت الاستجابة
- إقرار أولي خلال 3 أيام عمل؛ تحديث الحالة خلال 10 أيام عمل؛ الإفصاح المنسق متفق عليه قبل أي نشر عام.
- ملاذ آمن
- البحث بحسن نية الذي يتوافق مع هذه السياسة لن يخضع لأي إجراء قانوني من قبل upDevTeam LTD. نطلب منك عدم الوصول إلى بيانات المستخدم، وعدم الاختبار ضد حسابات ليست لك، وعدم تنفيذ هجمات حجب الخدمة أو الهندسة الاجتماعية ضد الموظفين.
نحن لا ندير حاليًا برنامج مكافآت للأخطاء المدفوعة. نعترف بالتقارير الهامة علنًا (بموافقتك) على صفحة قاعة الشهرة بمجرد إصلاح المشكلة.
يتم تصعيد الاكتشافات الحرجة (التحكم عن بُعد، كسر التشفير من طرف إلى طرف، تجاوز المصادقة الجماعية) إلى المهندس المتاح على الفور ومنحها أولوية على العمل المجدول.
10خارج النطاق
لا تعتبر العناصر التالية مؤهلة لفوائد الحماية بموجب القسم 9 وقد يتم الإبلاغ عنها ولكن من غير المحتمل أن تُعتبر ثغرات:
- هجمات حرمان الخدمة أو الهجمات ذات الحجم الكبير ضد أي نظام؛
- هجمات هندسة اجتماعية ضد موظفي upDevTeam أو العملاء؛
- هجمات جسدية على المكاتب أو مراكز البيانات؛
- مشكلات تتطلب من الضحية تثبيت برامج غير موثوقة؛
- انحرافات عن أفضل الممارسات بدون مسار استغلال فعال (على سبيل المثال، عدم وجود رؤوس أمان على الصفحات التسويقية).
11استجابة الحوادث
نقوم بإعداد كتاب سيناريو مكتوب للاستجابة للحوادث يغطي الكشف والت containment والقضاء والتعافي ومراجعة ما بعد الحادث. يتم مراجعة الكتاب سنويًا على الأقل وبعد كل حادثة جوهرية.
إذا حدث خرق للبيانات الشخصية، تنطبق الجداول الزمنية للإبلاغ في سياسة الخصوصية وDPA لدينا.
12التغييرات
عندما تتغير البنية أو أي الالتزام في هذه الصفحة بشكل جوهري، نقوم بتحديث تاريخ 'آخر تحديث' ونعلن عن التغيير في سجل التغييرات.
قراءة الشيفرة المصدرية هي الطريقة الأكثر موثوقية للتحقق من ادعاء أمني. ابدأ من github.com/GoDeskFlow.