Keycloak SSO من البداية للنهاية
تُدار عملية الدخول عبر مثيل Keycloak مُحصَّن. SAML وOIDC والشبكات الاجتماعية، مع تخصيص لكل realm. لا يرى Reqdesk كلمة مرورك إطلاقًا — فقط الرمز الذي يقدّمه متصفّحك إلى الـAPI.
قائمة قصيرة من الأمور التي نأخذها بجدية.
نحن فريق صغير يدير نظامًا تعتمد عليه فرق أخرى. القائمة أدناه هي ما نراجعه عند وصول استبيان أمني. ليست شاملة، وليست تسويقًا.
TLS على كل سطح عام
يُنهي Caddy جلسات TLS أمام كل اسم نطاق عام (reqdesk.support وapp وapi وcdn وauth). HSTS مُسجَّل مسبقًا. سياسة CSP محصورة بنطاقاتنا إضافة إلى Cloudflare Turnstile وGoogle Fonts.
RBAC + عزل لكل مساحة عمل
كل طلب API يحمل سياق مساحة العمل ودورًا (مالك / وكيل / عضو / عميل). الوصول العابر بين مساحات العمل مستحيل تكوينيًا — لا يمكن لطبقة الاستعلام أن تُرجع صفوفًا من مساحة لست عضوًا فيها.
مشفّر، ضمن منطقة استضافة واحدة
بيانات التطبيق — التذاكر والردود والمرفقات وسجل التدقيق — مشفّرة في حالة الراحة في منطقة استضافة واحدة. النسخ الاحتياطية مشفّرة وتبقى في المنطقة نفسها. تُجرَّد بيانات المراقبة من محتوى الرسائل.
سجل تدقيق على كل تغيير
التذاكر والردود وتغييرات الأعضاء وإعدادات المشاريع والأتمتة وWebhooks — كل تغيير يُسجَّل صفًا في سجل تدقيق إضافي فقط مفهرَس بالفاعل والهدف والنتيجة. يستطيع مالكو مساحات العمل تصدير سجلّهم متى شاؤوا.
لا تخزَّن بيانات بطاقات لدينا
فوترة الاشتراكات تُدار عبر Moyasar (PCI-DSS Level 1). يحتفظ Reqdesk فقط بمرجع عميل مُرمَّز. لا أرقام بطاقات أو تواريخ صلاحية أو CVV تلامس قاعدة بياناتنا.
تحتاج إجابة استبيان أمني، أو DPA موقّعة، أو ضابطًا موثَّقًا كتابيًا؟ راسل security@reqdesk.support أو تواصل مع المبيعات. نُجيب بلغة واضحة، لا قوالب جاهزة.