أمان بمستوى المؤسسات مصمم لبيانات الرعاية الصحية.

بيانات مرضاك تستحق أعلى مستوى من الحماية. NOXV مبني من الأساس بمعمارية أمان أولاً.

ركائز الأمان

أربع طبقات أساسية تحمي كل بايت من بيانات المرضى.

تشفير شامل

TLS 1.2+ أثناء النقل، AES-256 أثناء التخزين، AES-256-GCM لرموز OAuth (IV بـ 12 بايت، علامة مصادقة بـ 16 بايت). scrypt لكلمات المرور (ملح 16 بايت، مفتاح 64 بايت، مقارنة آمنة زمنياً). لا يتم تخزين أي بيانات حساسة بنص عادي.

التحكم في الوصول

RBAC مع أدوار مالك المؤسسة ومدير المستأجر. أربع طبقات حماية NestJS: AuthGuard، RolesGuard، TenantAccessGuard، OwnerOnlyGuard. دعم IdP خارجي (OAuth2/OIDC). مصادقة مفاتيح API مع انتهاء الصلاحية والإلغاء.

سجل التدقيق

كل وصول وإنشاء وتحديث وحذف للبيانات مسجل مع هوية الفاعل والطابع الزمني وعنوان IP وفرق التغيير الكامل. سجل تدقيق LLM: النموذج وعدد الرموز والتأخير والتكلفة وتجزئة الطلب. مراقبة تأخير حلقة الأحداث.

إقامة البيانات

قابل للنشر في مناطق السحابة بالسعودية والخليج. خيار توطين البيانات متاح. توثيق كامل لجميع مسارات تدفق البيانات.

الامتثال التنظيمي

مبني لتلبية أعلى معايير حماية بيانات الرعاية الصحية.

نظام حماية البيانات الشخصية السعودي

متوافق مع نظام حماية البيانات الشخصية المطبق من قبل سدايا. حقوق أصحاب البيانات: الوصول، التصحيح، المحو، التقييد، النقل، وسحب الموافقة. مهلة استجابة 30 يوماً.

ضوابط الأمن السيبراني للهيئة الوطنية

المنصة تتبع إرشادات الضوابط الأساسية للأمن السيبراني (ECC) الصادرة عن الهيئة الوطنية للأمن السيبراني.

اتفاقيات معالجة البيانات

اتفاقية معالجة بيانات شاملة لكل عميل. قائمة معالجين فرعيين مع الأغراض والمواقع. إشعار خرق خلال 48 ساعة. حقوق تدقيق سنوية.

حماية بيانات الذكاء الاصطناعي

OpenAI Enterprise API: لا تدريب على بيانات العملاء. التحقق من المخرجات المنظمة عبر Zod schema. حماية من حقن الأوامر. تصفية المحتوى. تدقيق الرموز. تثبيت النموذج.

أمان البنية التحتية

عزل متعدد المستأجرين

مفتاح أجنبي tenantId على جميع الجداول. أمان مستوى الصف (RLS) مُعد مسبقاً. لا وصول بين المستأجرين على مستوى API أو قاعدة البيانات.

تحديد المعدل والحماية من هجمات DDoS

نافذة منزلقة مدعومة بـ Redis: 10 طلبات/5 ثوانٍ لكل جلسة، 100 طلب/60 ثانية لكل مستأجر. فتح تلقائي عند عدم توفر Redis للحفاظ على التوافرية.

المرونة والاستعادة

قاطع دائرة لـ Google Calendar (5 إخفاقات، 30 ثانية تهدئة، اختبار نصف مفتوح). طابور استمرارية غير متزامن (Redis) مع DLQ. نسخ احتياطية كاملة يومية (30 يوماً)، تزايدية كل 6 ساعات (7 أيام)، PITR مستمر (7 أيام).

التحقق من المدخلات وأمان المحتوى

NestJS ValidationPipe مع وضع القائمة البيضاء. مرشح أمان المحتوى (عربي + إنجليزي). حد 500 حرف للرسائل. استعلامات معلمية (Prisma ORM). لا HTML من المستخدمين.

موارد الأمان

اتفاقية معالجة البيانات اتفاقية مستوى الخدمة سياسة الخصوصية

لديك أسئلة حول الأمان؟

فريقنا جاهز لمناقشة متطلبات الأمان والامتثال الخاصة بك.

تواصل مع فريق الأمان