هذه المنصة تعليمية. المعلومات لا تُعد نصيحة استثمارية أو توصية بفتح حساب أو تنفيذ صفقة. لا توجد أرباح مضمونة.
Gulf Invest Check

الأمن السيبراني

أمن بيانات المستخدم أولوية لا قابلة للتفاوض. هذه الصفحة توضّح التزاماتنا التقنية وكيفية الإبلاغ عن أي ثغرة.

التزاماتنا التقنية

  • HTTPS إلزامي على كل الموقع، مع HSTS preload.
  • رؤوس أمان كاملة: Content-Security-Policy، X-Frame-Options DENY، X-Content-Type-Options nosniff، Referrer-Policy strict-origin-when-cross-origin، Permissions-Policy مُقيّدة.
  • تشفير AES-GCM لأي بيانات حساسة قبل التخزين (أرقام الهواتف عند طلب تقرير واتساب).
  • SHA-256 hash للمعرّفات (هاتف، بريد) للبحث والإلغاء دون الحاجة للنص الصريح.
  • Cloudflare Workers كبيئة تشغيل، D1 لقاعدة البيانات، R2 الخاصة لتخزين الملفات، KV للإعدادات، Queues للمهام، Durable Objects لتحديد المعدّل.
  • Cloudflare Access + MFA على لوحة الإدارة، مع تحقّق JWT من جانب الخادم كطبقة دفاع ثانية.
  • Cloudflare Turnstile + التحقّق من الخادم على كل نموذج.
  • تحديد المعدّل (Rate Limit) لكل IP على نقاط النهاية الحرجة.
  • سياسة احتفاظ صارمة: 60 يوماً للنصوص، 7 أيام للصور، 30 يوماً للهواتف بعد آخر تفاعل.
  • SAFE_REVIEW_MODE: مفتاح طوارئ يعطّل كل التفاعل الحساس (رفع صور، نماذج، WhatsApp، تقارير خاصة) خلال ثوانٍ.
  • سجل تدقيق كامل لكل استدعاء AI + تحديث صلاحيات إدارية.
  • فحص امتثال آلي قبل النشر يمنع نشر أي محتوى يحتوي عبارات تسويقية مضلّلة.

ما لا نخزّنه أبداً

  • وثائق الهوية الشخصية أو جوازات السفر.
  • أرقام الحسابات البنكية أو معلومات بطاقات الائتمان.
  • كلمات المرور لأي حساب خارجي.
  • معلومات صحية أو عائلية.

إذا طُلب منك مثل هذه المعلومات على المنصة، فهذا خطأ — أبلغنا فوراً.

إبلاغ عن ثغرة (Responsible Disclosure)

إذا اكتشفت ثغرة أمنية أو سلوكاً مشبوهاً يخص الموقع، نُقدّر تواصلك المسؤول معنا قبل أي إفصاح علني.

ما نتعهّد به

  • الردّ على إشعار الثغرة خلال 5 أيام عمل.
  • إبقاؤك على اطلاع بحالة الإصلاح.
  • ذكرك في صفحة شكر للأبحاث الأمنية إن طلبت ذلك (بعد إغلاق الثغرة).
  • عدم اتخاذ أي إجراء قانوني ضدّ باحث أمني يلتزم بهذه السياسة.

ما نطلبه منك

  • عدم استغلال الثغرة لأي غرض خارج إثبات وجودها.
  • عدم الوصول لبيانات مستخدمين آخرين أو تعديلها.
  • عدم تنفيذ هجمات تعطيل خدمة (DoS).
  • إعطاؤنا وقتاً معقولاً (90 يوماً) للإصلاح قبل الإفصاح العلني.

قنوات الإبلاغ

البريد الأمني: security@gulfinvestcheck.com
للسلوك المسيء أو الاحتيال: abuse@gulfinvestcheck.com
للخصوصية وحقوق البيانات: privacy@gulfinvestcheck.com

يُفضّل تشفير الرسائل الحساسة (مفتاح PGP يُتاح عند الطلب).

انتحال الهوية

Gulf Invest Check لا تتواصل معك أبداً عبر:

  • رقم واتساب لم تطلبه أنت كتابياً عبر الموقع.
  • اتصال هاتفي لطلب معلومات بنكية أو هوية.
  • طلب دفع أي مبلغ مالي.
  • طلب كلمة مرور أو رمز OTP.

كل اتصالاتنا الرسمية تأتي من نطاق @gulfinvestcheck.com. أي تواصل يدّعي أنه منا خارج هذه القنوات هو محاولة انتحال — أبلغنا فوراً على security@gulfinvestcheck.com.