سياسة الأمن السيبراني والإفصاح المسؤول
يولي SAHM أهمية قصوى لأمن المعلومات وحماية بيانات العملاء، انسجاما مع الضوابط الأساسية للأمن السيبراني (ECC) الصادرة عن الهيئة الوطنية للأمن السيبراني (NCA) ومتطلبات نظام حماية البيانات الشخصية (PDPL).
1. النطاق
تشمل هذه السياسة الأصول الرقمية التالية:
- النطاق الرئيسي sahm.sa وجميع نطاقاته الفرعية العامة.
- بوابة العملاء وبوابة الموظفين المستضافة على نفس النطاق.
- واجهات API العامة المرتبطة بالموقع.
2. خارج النطاق
- المنصات السحابية الخاصة بمزودي الخدمة (مثل مقدمي البريد والاستضافة) — يرجى توجيه البلاغات لمالكي تلك المنصات.
- هجمات الحرمان من الخدمة (DoS/DDoS) أو التحميل الزائد.
- الهندسة الاجتماعية لموظفي SAHM أو عملائها.
- الثغرات في إصدارات قديمة من المتصفحات لم تعد مدعومة من مزودها.
- التقارير المعتمدة فقط على نتائج أدوات آلية دون إثبات فعلي.
3. الإفصاح المسؤول
نشجع الباحثين الأمنيين على إبلاغنا بالثغرات وفق مبدأ الإفصاح المسؤول. نلتزم بعدم اتخاذ أي إجراء قانوني ضد من يلتزم بهذه السياسة بحسن نية ولا يتجاوز الحد اللازم لإثبات الثغرة.
4. آلية الإبلاغ
- البريد المخصص: security@sahm.sa
- ملف /.well-known/security.txt للحصول على قنوات التواصل المحدثة.
يرجى تضمين البلاغ بـ:
- وصف تفصيلي للثغرة وأثرها المحتمل.
- خطوات إعادة الإنتاج (PoC).
- عناوين URL المتأثرة وأي سجلات داعمة.
- اسم الباحث وطريقة التواصل المفضلة (إن رغب).
5. مدد الاستجابة المستهدفة
- إقرار استلام البلاغ: خلال يومي عمل.
- التحقق الأولي: خلال خمسة أيام عمل.
- المعالجة: هدفنا إغلاق الثغرات الحرجة والمرتفعة خلال ثلاثين يوما من التحقق منها، ومعالجة الثغرات الأقل حدة وفق جدولة المخاطر.
- التواصل المستمر: سنبقيك على اطلاع بالتقدم حتى الإغلاق.
6. الإجراءات المقبولة
- اختبار الثغرة على حسابات تخصها أنت أو حسابات تجريبية مخولة.
- عدم الوصول الى بيانات مستخدمين آخرين أو تعديلها أو حذفها.
- الإبلاغ بأسرع وقت ممكن وعدم الإفصاح العلني قبل المعالجة.
- الالتزام بالأنظمة المعمول بها في المملكة العربية السعودية.
7. الاعتراف بالباحثين
نقدر اسهامات مجتمع الأمن السيبراني، ويسعدنا الإشادة بالباحثين الذين يلتزمون بهذه السياسة في صفحة شكر مخصصة، بناء على رغبة الباحث.
8. التحديثات
قد نقوم بتحديث هذه السياسة بصورة دورية. التغييرات الجوهرية تنشر على هذه الصفحة وفي ملفsecurity.txt.