1. تشفير البيانات
التشفير على مستويين:
- Disk encryption: Supabase بيخزّن قاعدة البيانات على AWS EBS مع AES-256 encryption. الـ disk نفسه مشفّر.
- PII encryption (مستوى التطبيق): الحقول الحساسة — الرقم القومي، رقم التأمينات، بيانات البنك — مشفّرة بـ
pgp_sym_encryptعلى مستوى application قبل ما تتسجّل. يعني حتى Nidham staff ما عندهمش وصول لـ plaintext. - In-transit: كل اتصال بـ HTTPS / TLS 1.3 إلزامي. مفيش HTTP أبداً.
2. الـ Authentication + Access Control
- كلمات السر: bcrypt hash مع salt — مفيش حد (حتى Nidham) يقدر يقرأ كلمة السر بتاعتك.
- Two-Factor Authentication (2FA): إجباري لكل الـ admins. بيشتغل بـ TOTP (Google Authenticator / Authy / 1Password).
- Role-Based Access Control (RBAC): 3 أدوار أساسية — admin / manager / employee — كل واحد عنده permissions مختلفة بقاعدة "least privilege".
- Row-Level Security (RLS): على مستوى قاعدة البيانات نفسها. حتى لو شخص اخترق الـ application layer، RLS بيمنعه من قراءة بيانات شركة تانية.
- Session timeout: الـ sessions بتنتهي بعد 24 ساعة من عدم النشاط — بتقلل خطر الـ "left logged in" attacks.
3. Audit Log Immutable
كل عملية حساسة (إنشاء موظف، تعديل راتب، إنهاء خدمة، تشغيل دورة مرتبات) بتتسجّل في audit_log table محصّن بـ hash chain — زي blockchain بس مبسّط:
- كل entry فيه hash للـ entry اللي قبله
- أي تعديل بأثر رجعي بيكسر الـ chain → بنكتشفه فوراً
- الـ log بيتحفظ لمدة 7 سنين (قانون الضرايب)
- متاح للتفتيش بنقرة من dashboard
ده feature موجود حتى في الـ Free Plan — مش حصري Enterprise.
4. Backup + Disaster Recovery
- Daily backups: Supabase بياخد snapshot يومي لكل قاعدة البيانات. الـ backup encrypted ومحفوظ في region تاني (Multi-AZ).
- Point-in-time recovery: Pro plan وأعلى — تقدر ترجع الـ database لأي لحظة في آخر 7 أيام.
- Disaster recovery: RTO (Recovery Time Objective) = 4 ساعات. RPO (Recovery Point Objective) = 1 ساعة.
- Customer-controlled export: تقدر تنزّل كل بياناتك بصيغة Excel/CSV/JSON أي وقت من الـ dashboard. مفيش lock-in.
5. Data Residency
- Primary storage: Supabase / AWS — منطقة
ap-southeast-1 (Singapore) - Backup region: AWS US-East (للـ disaster recovery)
- CDN: Cloudflare — distributed عالمياً لكن البيانات الحساسة بتيجي من الـ origin مباشرة (مش cached)
لو شركتك محتاجة data residency في مصر تحديداً (طلب enterprise نادر)، عندنا on-premise option — تواصل معانا.
6. الـ Compliance + Certifications
- ✅ قانون حماية البيانات المصري (PDPL) 151/2020 — متوافق تماماً (راجع سياسة الخصوصية + signup consent flow)
- ✅ قانون العمل المصري 12/2003 + التأمينات 148/2019 — كل الحسابات (مرتبات، إجازات، EOS، نماذج 1+2+6) مبنية على النصوص القانونية الأصلية
- ✅ قانون الضرايب 2026 — الشرايح الجديدة مطبّقة (0% / 10% / 15% / 20% / 22.5%)
- ⏳ SOC 2 Type II — في الـ roadmap (Q4 2026)
- ⏳ ISO 27001 — في الـ roadmap (2027)
- ✅ GDPR alignment — للعملاء اللي عندهم فرع في أوروبا
7. لو Nidham أفلسنا (سيناريو الـ worst case)
سؤال مشروع جداً — startup صغيرة، إيه ضماني إنكم هتفضلوا live لـ 5 سنين؟
- Source escrow (للـ Enterprise): الكود source بيتحط عند طرف ثالث محايد. لو Nidham قفلت لأي سبب، الـ Enterprise customers بياخدوا الـ code كامل + يقدروا يشغّلوه self-hosted.
- Data export forever: حتى لو Nidham أفلسنا بكرة، بياناتك بتفضل متاحة للـ export لمدة 90 يوم بعد إعلان الإغلاق (notification إلزامي قبل 90 يوم).
- Open data formats: Excel/CSV/JSON — تقدر تنقلها لأي نظام تاني (Bayzat / ZenHR / حتى Excel) بدون تعديل.
8. SLA + الـ uptime
| الباقة | Uptime SLA | Response Time |
|---|---|---|
| Free | 95% | Best effort |
| Starter / Pro | 99% | 24 ساعة عمل |
| Business | 99.5% | 4 ساعات عمل |
| Enterprise | 99.9% | 1 ساعة (24/7) |
لو خرقنا الـ uptime SLA لشهر، بنرجّع 10% من قيمة الاشتراك الشهري كـ credit للشهر التالي (تفاصيل في الشروط والأحكام).
9. Reporting security issues
لو لقيت bug أمني، ابعتلنا فوراً قبل ما تنشر:
- 📧
nidhamhr@proton.me— اكتب في الـ subject "SECURITY" - هنرد خلال 24 ساعة + Fix خلال 72 ساعة للـ critical issues
- Responsible disclosure: لو ساعدتنا، بنذكر اسمك في صفحة الـ acknowledgments + هدية رمزية