مركز الثقة والامتثال

الثقة تُبنى بالشفافية

نلتزم بحماية بياناتك ومواءمة منصّة نبأ مع المتطلبات التنظيمية في المملكة العربية السعودية. هذه الصفحة تعرض موقفنا الفعلي بأمانة — ما هو مُطبَّق اليوم، وما هو قيد الاعتماد أو الإعداد — دون أي ادّعاءات لشهادات لم نحصل عليها بعد.

إقامة البيانات

أين تُخزَّن بياناتك ومسار سيادة البيانات داخل المملكة.

  • الاستضافة داخل المملكة

    قيد الاعتماد

    هدفنا استضافة كامل بيانات العملاء وأحمال المعالجة داخل المملكة العربية السعودية. ترحيل الإنتاج إلى استضافة سيادية داخل المملكة قيد الاعتماد حالياً، وسنحدّث هذه الصفحة فور اكتماله.

  • عزل بيانات كل مستأجر

    مُطبَّق

    بيانات كل مؤسسة (مستأجر) معزولة منطقياً عبر معرّف العميل وسياسات أمان على مستوى الصف في قاعدة البيانات، بحيث لا يمكن لأي مستأجر الوصول إلى بيانات مستأجر آخر.

  • تصنيف البيانات وفق NDMO

    قيد الاعتماد

    نعمل على مواءمة تصنيف البيانات مع ضوابط مكتب إدارة البيانات الوطنية (NDMO)، بما يشمل تحديد مستويات الحساسية ومعالجتها وفق متطلبات الإطار الوطني لإدارة البيانات.

الامتثال والمواءمة التنظيمية

الأطر التنظيمية السعودية التي نواءم منصّتنا معها. الحالات أدناه تعكس المواءمة الفعلية، لا الشهادات الخارجية.

  • نظام حماية البيانات الشخصية (PDPL) — SDAIA

    قيد الاعتماد

    نواءم معالجة البيانات الشخصية مع نظام حماية البيانات الشخصية الصادر عن الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا)، بما يشمل أسس المعالجة المشروعة وحقوق أصحاب البيانات والاحتفاظ والحذف.

  • الضوابط الأساسية للأمن السيبراني (NCA — ECC و CCC)

    قيد الاعتماد

    نتبنّى الضوابط الأساسية للأمن السيبراني (ECC) وضوابط الأمن السيبراني للحوسبة السحابية (CCC) الصادرة عن الهيئة الوطنية للأمن السيبراني كمرجع لحوكمة الأمان لدينا.

  • الفوترة الإلكترونية — فاتورة (ZATCA Fatoora)

    مُطبَّق

    تدعم وحدة الفوترة في نبأ متطلبات هيئة الزكاة والضريبة والجمارك للفوترة الإلكترونية، مع حقول التكامل (UUID، التجزئة، رمز الاستجابة السريعة QR، وحالة المصادقة) على مستوى كل فاتورة.

  • تصنيف البيانات الوطني (NDMO)

    قيد الاعتماد

    نواءم ممارسات تصنيف ومعالجة البيانات مع الإطار الوطني لإدارة البيانات وضوابط مكتب إدارة البيانات الوطنية (NDMO).

  • SOC 2 و ISO/IEC 27001

    قيد الإعداد

    لم نحصل بعد على شهادتي SOC 2 أو ISO/IEC 27001. نعمل على إعداد الضوابط والوثائق اللازمة، وسنُحدّث هذه الصفحة عند بدء أي تدقيق رسمي أو الحصول على الشهادة.

الأمان

ضوابط أمنية مُطبَّقة فعلياً في منصّة نبأ اليوم.

  • تشفير الأسرار الحسّاسة (AES-256-GCM)

    مُطبَّق

    تُشفَّر بيانات الاعتماد والأسرار الحسّاسة المخزّنة (مثل كلمات مرور الأنظمة الهاتفية ومفاتيح المزوّدين) باستخدام تشفير AES-256-GCM المتماثل أثناء حفظها في قاعدة البيانات.

  • عزل المستأجرين بأمان على مستوى الصف (FORCE RLS)

    مُطبَّق

    نُفعّل سياسات أمان على مستوى الصف في PostgreSQL بوضع FORCE على الجداول الحسّاسة (جهات الاتصال، المحادثات، التذاكر، الفوترة)، بحيث تُطبَّق حدود العزل بين المستأجرين على مستوى قاعدة البيانات نفسها — لا على مستوى التطبيق فقط.

  • التحكم في الوصول حسب الدور (RBAC)

    مُطبَّق

    يُدار وصول المستخدمين عبر أدوار وصلاحيات، مع حُرّاس (Guards) على مستوى الواجهات البرمجية للتحقق من الهوية والصلاحية قبل تنفيذ أي عملية.

  • توقيع الـ Webhooks والتحقق منها

    مُطبَّق

    تُوقَّع الإشعارات الصادرة (Webhooks) بتوقيع HMAC قابل للتحقق، ويُتحقّق من توقيع الإشعارات الواردة (مثل واتساب من Meta عبر X-Hub-Signature) مع رفض أي طلب غير موقّع في الإنتاج.

المعالِجون الفرعيون (Sub-processors)

الجهات الخارجية التي قد تُعالَج عبرها بيانات لتقديم الخدمة، والغرض من كل منها.

  • تقنيات (Taqnyat)

    مُطبَّق

    بوّابة الرسائل النصية القصيرة (SMS) ورسائل التحقق — مزوّد سعودي.

  • Meta — WhatsApp Business Cloud

    مُطبَّق

    تسليم رسائل واتساب للأعمال (القوالب، الإشعارات، التذاكر).

  • Anthropic (Claude)

    مُطبَّق

    نموذج الذكاء الاصطناعي لفرز التذاكر والمساعد الذكي والردّ الصوتي التفاعلي (IVR) — بمعالجة عند الطلب دون تدريب على بياناتك.

  • استضافة البنية التحتية

    قيد الاعتماد

    خوادم التطبيق وقاعدة البيانات (PostgreSQL) و Redis. الترحيل إلى استضافة داخل المملكة قيد الاعتماد.

الخصوصية وطلبات أصحاب البيانات (DSAR)

كيفية ممارسة حقوقك بموجب نظام حماية البيانات الشخصية والتواصل معنا في شؤون الخصوصية والأمان.

  • حقوق أصحاب البيانات

    يحق لأصحاب البيانات طلب الوصول إلى بياناتهم الشخصية أو تصحيحها أو حذفها أو الاعتراض على معالجتها، وفق نظام حماية البيانات الشخصية. تُعالَج الطلبات خلال المدد النظامية.

  • التواصل بشأن الخصوصية (DSAR)

    لرفع طلب يخصّ بياناتك الشخصية، راسلنا على privacy@nabaa.riyadah.org.sa وسنتولّى التحقق من هويتك ومعالجة الطلب.

  • الإبلاغ عن ثغرة أمنية

    للإبلاغ عن مشكلة أمنية أو ثغرة محتملة بشكل مسؤول، راسل فريق الأمان على security@nabaa.riyadah.org.sa.

حالة الخدمة والتوافر

تابع جاهزية المنصّة وزمن التشغيل وأي حوادث تشغيلية مباشرةً.

  • صفحة الحالة التشغيلية

    نعرض حالة الأنظمة وزمن التشغيل وسجلّ الحوادث على صفحة الحالة المخصّصة، لتبقى على اطّلاع دائم بجاهزية الخدمة.

نلتزم بعرض موقفنا الأمني والتنظيمي بدقّة. العناصر الموسومة بـ«قيد الاعتماد» أو «قيد الإعداد» لم تكتمل بعد، ولا نَعُدّها التزامات منجزة. نُحدّث هذه الصفحة كلّما تطوّر موقفنا. لأي استفسار، تواصل عبر مركز المساعدة.