الأمان

ما الذي يحمي بياناتك.

لا شارات لا نملكها، ولا ادعاءات لا نستطيع إثباتها. تصف هذه الصفحة ما هو منفذ فعلاً - وتُراجع مقابل الكود.

آخر مراجعة: يونيو 2026

01/أثناء النقل

اتصالات مشفرة في كل مكان

كل الحركة تمر عبر HTTPS مع HSTS preload. وترافق كل استجابة ترويسات أمان صارمة: سياسة أمان المحتوى، ومنع التضمين في إطارات، ومنع تخمين MIME، وصلاحيات مقفلة.

02/حسابك

كلمات مرور وجلسات كما يجب

تُخزَّن كلمات المرور مجزأةً بخوارزمية bcrypt (بتكلفة 12) ولا تُخزَّن أو تُسجَّل نصاً صريحاً أبداً. تعيش الجلسات في قاعدة البيانات وتنتقل في كوكي httpOnly وsecure - تنتهي بعد 30 يوماً ويمكن إبطالها من الخادم في أي لحظة.

03/بيانات عملك

معزولة لكل مؤسسة، ومشفرة حيث يهم الأمر

كل استعلام محصور في مؤسستك - لا يمكن لعميل أن يقرأ بيانات عميل آخر أبداً. التفاصيل البنكية مشفرة عند التخزين بـ AES-256-GCM، وهو تشفير موثّق يكشف أي تلاعب.

04/فواتيرك

سجل تدقيق لا يُعاد كتابته أبداً

كل إجراء مهم على سجلات عملك يُدوَّن في سجل تدقيق لا يقبل التعديل. كل فاتورة منتهية تنضم إلى سلسلة سلامة SHA-256 خاصة بمؤسستك، ويُحفظ ملف إثبات - ملف UBL للفاتورة وتقارير التحقق - عند توليد الفاتورة أو تصديرها، مصمم لمتطلب الاحتفاظ 10 سنوات لدى DGI.

05/المدفوعات

بطاقتك لا تلمس حساب أبداً

تُعالج جميع المدفوعات عبر Paddle. تُدخل أرقام البطاقات في صفحة دفع Paddle وتُخزن على بنيتهم المتوافقة مع PCI DSS، ولا تمر عبر خوادمنا أبداً. ويتم التحقق من توقيع الـ webhooks قبل معالجة أي شيء.

06/المستندات وPDF

خدمة منفصلة ومُحصَّنة

يعمل توليد PDF وتخزين المستندات على خدمة مخصصة: كل مسار للملفات وPDF يتطلب مصادقة خدمة، والملفات محصورة في مجلدات لكل مؤسسة، والطلبات محدودة الحجم والمعدل.

07/وجدت ثغرة؟

أخبرني مباشرة

تصل تقارير الأمان إلى contact@hisab.ma وتصلني مباشرة - صلاح، المؤسس. أقرأ كل تقرير وأرد شخصياً. إن وجدت ثغرة فشكراً لك: أرفق خطوات إعادة الإنتاج من فضلك.

سؤال لم تجب عنه هذه الصفحة؟

راسل contact@hisab.ma - تصل رسالتك إلى الشخص الذي بنى النظام.

contact@hisab.ma