--- title: "التدابير التقنية والتنظيمية (TOM)" description: "آخر تحديث: 30 مايو 2026" canonical_url: "https://getminds.ai/legal/ar/tom" last_updated: "2026-06-24T15:42:24.574Z" --- # التدابير التقنية والتنظيمية (TOM) **آخر تحديث: 30 مايو 2026** تُطبِّق Art of X UG (haftungsbeschränkt) ("Minds") التدابير التقنية والتنظيمية التالية عملاً بالمادة 32 من اللائحة العامة لحماية البيانات (GDPR) لضمان مستوى أمان مناسب للمخاطر التي تنطوي عليها معالجة البيانات الشخصية. --- ## 1. ضبط الوصول ### ضبط الوصول المادي تُستضاف البنية التحتية لـ Minds حصراً لدى مقدِّمي خدمات سحابية معتمدين: - **DigitalOcean** – مركز بيانات فرانكفورت، ألمانيا (الاتحاد الأوروبي). الشهادات: SOC 2 Type II، ISO 27001، ISO 27017، ISO 27018. - **Supabase** – مركز بيانات ستوكهولم، السويد (الاتحاد الأوروبي)، مُستضاف على AWS. الشهادات: SOC 2 Type II. تتمُّ إدارة الأمن المادي (ضوابط الوصول البيومترية، المراقبة على مدار الساعة طوال أيام الأسبوع، تسجيل الوصول) بالكامل من قِبَل مقدِّمي الخدمات السحابية. ### ضبط الوصول المنطقي - ضبط الوصول القائم على الأدوار (RBAC) لجميع الأنظمة الداخلية وواجهات الإدارة. - يُشترط استخدام المصادقة متعدِّدة العوامل (MFA) لجميع وصول الموظفين إلى أنظمة الإنتاج. - حسابات مستخدمين فردية – لا توجد بيانات اعتماد مُشتَركة. - مراجعة دورية لحقوق الوصول وإلغاؤها وفقاً لمبدأ الحدِّ الأدنى من الامتيازات. - تُدار مفاتيح واجهات برمجة التطبيقات وبيانات الاعتماد في مديري أسرار مُشفَّرين. --- ## 2. التشفير ### التشفير أثناء النقل - جميع عمليات نقل البيانات مُؤمَّنة عبر TLS 1.2 أو أعلى. - HSTS (HTTP Strict Transport Security) مُفعَّل لجميع نقاط النهاية العامة. - الاتصال بين الخدمات الداخلية مُشفَّر أيضاً. ### التشفير عند التخزين - تستخدم قواعد البيانات (Supabase/PostgreSQL) تشفير AES-256 للبيانات عند التخزين. - يستخدم تخزين الملفات (DigitalOcean Spaces / Supabase Storage) تشفير AES-256 من جانب الخادم. - يتمُّ تخزين النسخ الاحتياطية بشكل مُشفَّر. --- ## 3. فصل البيانات (عزل المستأجرين) - فصل منطقي صارم لبيانات العملاء على مستوى قاعدة البيانات من خلال عزل المستأجرين (Row-Level Security في PostgreSQL). - يمكن لكل عميل الوصول إلى بياناته فقط – يُطبَّق ذلك على مستوى كلٍّ من قاعدة البيانات وواجهة برمجة التطبيقات. - تضمن الاختبارات المؤتمتة عدم حدوث أي تسرُّب للبيانات بين المستأجرين. --- ## 4. التوفُّر والمرونة ### بنية الاستضافة - يعمل التطبيق على DigitalOcean App Platform مع التوسُّع التلقائي وفحوصات السلامة. - قاعدة البيانات على Supabase بتكوين عالي التوفُّر. ### النسخ الاحتياطي والاسترداد - نسخ احتياطية يومية تلقائية لقاعدة البيانات مع فترة احتفاظ لا تقلُّ عن 7 أيام. - استرداد نقطة زمنية (PITR) لقاعدة بيانات PostgreSQL. - اختبار دوري لإجراءات الاسترداد. - هدف وقت الاسترداد (RTO): كما هو مُحدَّد في اتفاقية مستوى الخدمة. - هدف نقطة الاسترداد (RPO): 24 ساعة كحدٍّ أقصى. --- ## 5. الاستجابة للحوادث - عملية مُوثَّقة للاستجابة للحوادث الأمنية. - إخطار المتحكم (العميل) خلال **48 ساعة** من العلم باختراق البيانات الشخصية، وفقاً لاتفاقية معالجة البيانات (DPA). - تسجيل وتتبُّع جميع الحوادث ذات الصلة بالأمن. - مراجعة وتحديث دوري لخطة الاستجابة للحوادث. --- ## 6. السرِّية والتزامات الموظفين - جميع الموظفين والمتعاقدين ملزمون باتفاقيات عدم الإفصاح (NDAs). - تدريب دوري على حماية البيانات لجميع الموظفين. - الالتزام بالحفاظ على سرِّية البيانات وفقاً للـ GDPR. - يُمنَح الوصول إلى البيانات الشخصية فقط على أساس الحاجة إلى المعرفة. --- ## 7. إدارة المعالجين الفرعيين - اختيار دقيق للمعالجين الفرعيين استناداً إلى معايير حماية البيانات والأمن. - الالتزام التعاقدي لجميع المعالجين الفرعيين بمعالجة البيانات المتوافقة مع الـ GDPR. - مراجعة دورية للمعالجين الفرعيين. - تتوفَّر القائمة الحالية للمعالجين الفرعيين على [Subprocessors](/legal/subprocessors). - إشعار مُسبَق للعملاء بأي تغييرات وفقاً لاتفاقية DPA. --- ## 8. التسجيل والمراقبة - تسجيل مركزي لأحداث النظام والوصول. - **Langfuse** لمراقبة وتتبُّع تفاعلات نماذج الذكاء الاصطناعي (مُستضاف في الاتحاد الأوروبي). - **PostHog** لتحليلات المنتج وإعادة تشغيل الجلسة الاختيارية - التحليلات/إعادة التشغيل المستمرة فقط بموافقة التحليلات؛ تشخيص محدود دون ملفات تعريف ارتباط حيثما كان قانونياً. - مراقبة مقاييس النظام الحرجة مع تنبيهات مؤتمتة. - مراجعة دورية للسجلَّات بحثاً عن أي شذوذ. --- ## 9. تقليل البيانات وإخفاء الهوية (Pseudonymization) ### تقليل البيانات - جمع ومعالجة البيانات الشخصية الضرورية فقط لغرض المعالجة ذي الصلة. - مراجعة دورية لفئات البيانات المُعالَجة للتأكُّد من ضرورتها. - حذف تلقائي للبيانات التي لم تعد لازمة وفقاً لفترات الاحتفاظ المُحدَّدة. ### إخفاء الهوية - حيثما يكون ممكناً تقنياً ومناسباً، تُعالَج البيانات الشخصية بشكل مُستعار (pseudonymized). - تستخدم المعالجة الداخلية بشكل أساسي UUIDs بدلاً من الأسماء الحقيقية. - تُجرى التقييمات التحليلية على أساس مُجمَّع أو مُستعار. --- ## 10. المراجعة والتقييم الدوريَّان - تقييمات أمنية دورية للبنية التحتية والتطبيقات. - يتمُّ فحص التبعيَّات بانتظام بحثاً عن الثغرات المعروفة (فحص التبعيَّات). - مراجعة وتحديث هذه التدابير TOMs مرَّةً سنوياً على الأقل أو عند حدوث تغييرات جوهرية في أنشطة المعالجة. - تحسين مستمر لتدابير الأمن استناداً إلى مشهد التهديدات الحالي. --- ## 11. تدابير إضافية ### ضبط الإدخال - تسجيل التغييرات على البيانات الشخصية (audit trail). - إمكانية تتبُّع من أدخل أو عدَّل أو حذف أي بيانات ومتى. ### ضبط النقل - تُنقَل البيانات بشكل مُشفَّر حصراً. - لا يتمُّ نقل البيانات الشخصية إلى دول ثالثة دون مستوى حماية مناسب (قرار الكفاية أو البنود التعاقدية القياسية). ### ضبط المعالجة - معالجة البيانات الشخصية حصراً وفقاً لتعليمات المتحكم. - تنظيم تعاقدي للمعالجة المُكلَّفة في اتفاقية DPA. --- *تتمُّ مراجعة هذه التدابير التقنية والتنظيمية بانتظام وتحديثها حسب الضرورة لضمان مستوى حماية يتَّسق مع أحدث التقنيات.* **Art of X UG (haftungsbeschränkt)** المديران التنفيذيان: Friedrich von Borries و Alexander Doudkin