أمانٌ تضعه أمام فريق تقنية المعلومات لديك بثقة.
كُتبت هذه الصفحة لمن يعتمد المورّدين: ما الذي نُشغّله، وأين تسكن بياناتك، وما الذي نمتنع عمداً عن ادعائه.
أربع طبقات بين الإنترنت وأرقامك.
لا نثق بضابط واحد وحده — كل طبقة تفترض أن التي فوقها قد تخفق.
تشفير أثناء النقل
كل حركة المرور تجري عبر TLS (HTTPS). لا يوجد مسار غير مشفّر إلى الخدمة.
ضوابط التطبيق
تحقق من مصدر الطلبات (CSRF)، وتحديد لمعدل تسجيل الدخول والرفع والذكاء الاصطناعي والتصدير، وتدقيق للمدخلات على كل مسار.
أمان على مستوى الصف
سياسات RLS في Postgres تحصر كل استعلام في شركتك — العزل تفرضه قاعدة البيانات ذاتها، لا التطبيق وحده.
تشفير على مستوى الحقل
البيانات الشخصية المستخرجة من مستنداتك — أسماء الأطراف وأرقامها الضريبية — تُشفَّر إضافياً بـ AES-256-GCM قبل تخزينها.
ما نُشغّله، بكلمات واضحة.
كل بند هنا مُنفَّذ وقابل للتحقق في المنتج اليوم — لا بنود مستقبلية في هذه القائمة.
التشفير
مشفّر أثناء التخزين والنقل، مع طبقة ثانية على أكثر الحقول المستخرجة حساسية.
- تشفير AES-256 أثناء التخزين
- TLS لكل حركة المرور أثناء النقل
- تشفير AES-256-GCM على مستوى الحقل للبيانات الشخصية المستخرجة من المستندات
عزل المستأجرين
كل جدول يحمل أمان Postgres على مستوى الصف محصوراً في شركتك.
- سياسات RLS لكل شركة على كل جدول بيانات
- مغطّى باختبارات آلية، منها فحوص حيّة عبر المستأجرين
- حاويات التخزين ومساراته محصورة لكل شركة
موقع البيانات
مستضاف في الاتحاد الأوروبي — فرانكفورت (eu-central-1) — على بنية تحتية مشفّرة. نقولها بوضوح بدل الإيحاء باستضافة داخل الدولة.
- التطبيق وقاعدة البيانات في فرانكفورت، ألمانيا
- منطقة الاتحاد الأوروبي (eu-central-1)
- موقع البيانات مذكور بدقة — انظر “ما لا ندّعيه” أدناه
سجل التدقيق
سجل نشاط لا يقبل إلا الإضافة يوثّق من فعل ماذا، والسجلات الضريبية تتبع مدد حفظ الهيئة.
- سجل تدقيق بالإضافة فقط — لا تعديل ولا حذف
- حفظ خمس سنوات للسجلات الضريبية، مفروض في قاعدة البيانات
- حذف سجل ضمن مدة الحفظ ممنوع، والمحاولة تُدوَّن
التحكم في الوصول
أدوارٌ تحفظ مبدأ الحد الأدنى من الصلاحيات — في التطبيق، ثم في قاعدة البيانات مرة أخرى.
- أدوار المالك والمحاسب والمُطّلِع
- صلاحيات الكتابة مفروضة في سياسات RLS، لا في الواجهة فقط
- إدارة المنصة مفصولة ومقيّدة صراحةً
أمان المنصة
الخدمة المحيطة ببياناتك محصّنة أيضاً.
- التحقق من توقيع إشعارات Stripe
- أسرار الخادم لا تصل حزمة المتصفح أبداً — مفروض وقت البناء
- الملفات المرفوعة تُفحص بمحتواها (البايتات الأولى)، لا باسمها فقط
دفترٌ للأفعال، لا للأرقام وحدها.
كل حدث متصل بالأمان يُكتب في سجل بالإضافة فقط — إنشاء، تعديل، رفع، تقديم، تصدير.
- لا يمكن تعديل الأحداث أو حذفها بعد وقوعها
- التقديمات والتصديرات تُدوَّن إلى جانب تغييرات السجلات
- محفوظ خمس سنوات وفق متطلبات الهيئة الاتحادية للضرائب
- 09:14document_uploadedinvoice-gulf-office-jan.pdf
- 09:15record_createdاستُخرجت ٤ معاملات
- 11:02record_modifiedتأكيد التصنيف
- 14:30return_submittedإقرار 201 · الربع الرابع ٢٠٢٥
- 16:45faf_exportedملف التدقيق الضريبي (FAF)
أمثلة توضيحية — السجل الفعلي يوثّق الفاعل والشركة والوقت لكل حدث.
منسجم مع القواعد التي تُحاسَب عليها منشأتك.
صُمم أمان حول متطلبات حماية البيانات والضرائب الإماراتية — نصفها هنا كما هي، دون شارات مستعارة.
حماية البيانات في الإمارات
مصمَّم للانسجام مع قانون حماية البيانات الشخصية الإماراتي (المرسوم بقانون اتحادي رقم ٤٥ لسنة ٢٠٢١).
- موافقة صريحة موثّقة عند التسجيل
- تشفير على مستوى الحقل للبيانات الشخصية المستخرجة
- تُمحى البيانات الشخصية من تقارير الأخطاء قبل مغادرتها النظام
متطلبات السجلات الضريبية
مبني حول متطلبات الهيئة الاتحادية للضرائب للسجلات والحفظ والتقديم.
- حفظ خمس سنوات للسجلات الضريبية، مفروض في قاعدة البيانات
- تصدير ملف التدقيق الضريبي (FAF) عند الطلب
- إعداد منسجم مع الإقرار 201 وأساس للفوترة الإلكترونية PINT AE
ما لا ندّعيه
لا يحمل أمان حالياً شهادة SOC 2 أو ISO 27001، ولن نستخدم هاتين العبارتين قبل أن يفعل مدقق مستقل. الاستضافة في الاتحاد الأوروبي (فرانكفورت) — ولا نصفها بأنها داخل الإمارات. كل ما في هذه الصفحة ضابطٌ نُشغّله فعلاً، بالصياغة التي نتمنى أن يخاطبنا بها مورّدونا.
الإفصاح المسؤول
وجدت ثغرة؟ أخبرنا بها سراً وسنأخذها على محمل الجد — نُقرّ باستلام البلاغ سريعاً، ونُبقيك على اطلاع أثناء الإصلاح، وننسب الفضل للباحثين الراغبين.
ابدأ التقديم بثقة.
انضم إلى شركات إماراتية تستبدل الجداول والارتباك في اللحظات الأخيرة بمسار عملٍ واحد هادئ ومتوافق.
تجربة مجانية ١٤ يوماً · دون بطاقة ائتمان