يعمل Rediacc بالكامل على بنيتك التحتية. أثناء عمليات الاستنساخ والنسخ الاحتياطي والنشر، تظل بياناتك على أجهزتك. أنت تتصرف كمتحكم ومعالج في نفس الوقت. لا توجد خدمات SaaS من طرف ثالث، لا وصول خارجي.
نربط القدرات التقنية لـ Rediacc بمتطلبات أطر الامتثالية الرئيسية. تفصل كل صفحة لائحة معينة مع مراجع للنصوص القانونية الرسمية.
مصفوفة الامتثالية
| الإطار | النطاق | القدرات الرئيسية لـ Rediacc |
|---|---|---|
| GDPR | حماية البيانات والخصوصية في الاتحاد الأوروبي | استنساخ CoW على نفس الجهاز، تشفير LUKS2، مخزن تكوين بمعرفة صفرية، تسجيل التدقيق، حق المحو عبر rdc repo delete |
| SOC 2 | معايير خدمة الثقة لمنظمات الخدمة | التشفير في حالة السكون، مزامنة التكوين بمعرفة صفرية، عزل الشبكة، مسار التدقيق، النسخ الاحتياطي والاسترداد |
| HIPAA | حماية المعلومات الصحية في الولايات المتحدة | تشفير LUKS2، مخزن تكوين بمعرفة صفرية، وصول SSH فقط، عزل Docker daemons، أمن النقل |
| CCPA | حقوق خصوصية المستهلك في كاليفورنيا | استضافة ذاتية (بدون بيع أو مشاركة بيانات)، تشفير بمعرفة صفرية، حذف مشفر، جرد بيانات لكل مستودع |
| ISO 27001 | ضوابط إدارة أمن المعلومات | إدارة الأصول، الضوابط التشفيرية، مخزن تكوين بمعرفة صفرية، التحكم في الوصول، أمن العمليات |
| PCI DSS | حماية بيانات بطاقات الدفع | تجزئة الشبكة بالتصميم، التشفير الإلزامي، تسجيل التدقيق، تقليل النطاق عبر الاستضافة الذاتية |
| NIS2 و DORA | الأمن السيبراني والمرونة المالية في الاتحاد الأوروبي | القضاء على مخاطر سلسلة التوريد، اختبار المرونة عبر استنساخ CoW، التشفير، كشف الحوادث |
| سيادة البيانات | قوانين إقامة البيانات العالمية (PIPL و LGPD و KVKK و PIPA وغيرها) | الاستضافة الذاتية تعني أن البيانات لا تغادر نطاقك القضائي أبداً. لا نقل عبر الحدود، لا تقييمات كفاية |
الأسس المعمارية
إليك ما يربط الجميع معاً: كل إطار امتثالية في هذا القسم يعود إلى نفس الأساس التقني.
- التشفير في حالة السكون: كل مستودع مشفر بـ LUKS2 AES-256. تُخزن بيانات الاعتماد فقط في التكوين المحلي للمشغل، وليس على الخادم أبداً.
- عزل الشبكة: يحصل كل مستودع على Docker daemon خاص به وشبكة فرعية loopback IP (/26) وقواعد iptables. لا يمكن للحاويات من مستودعات مختلفة التواصل مع بعضها.
- الاستنساخ بنسخ عند الكتابة: يستخدم
rdc repo forkروابط مرجعية لنظام الملفات (cp --reflink=always). يتم تكرار البيانات على نفس الجهاز دون أي نقل عبر الشبكة. - تسجيل التدقيق: أكثر من 70 نوع حدث تغطي المصادقة (تسجيل الدخول والمصادقة الثنائية وتغييرات كلمات المرور وإلغاء الجلسات) ودورة حياة رموز API وعمليات مخزن التكوين ونشاط الاشتراك والترخيص وعمليات آلة CLI (دورة حياة المستودع والنسخ الاحتياطي والمزامنة وجلسات المحطة الطرفية). يمكن الوصول إليها عبر لوحة تحكم المسؤول وصفحة نشاط البوابة (مع تصفية محدودة بالمنظمة) و CLI
rdc audit. تتم تسجيل عمليات الجهاز أيضاً في سجلات نظامك لتوفير حماية إضافية. - النسخ الاحتياطي المشفر: ينقل
rdc repo push/pullالبيانات عبر SSH. يستقبل وجهة النسخ الاحتياطي وحدات تخزين مشفرة بـ LUKS. - مخزن التكوين بمعرفة صفرية: مزامنة تكوين مشفرة اختيارية عبر الأجهزة. يتم تشفير التكوينات من جانب العميل بـ AES-256-GCM قبل الرفع. يخزن الخادم فقط كتل بيانات معتمة. لا يستطيع الخادم قراءة مفاتيح SSH أو بيانات الاعتماد أو عناوين IP أو أي بيانات تكوين بنص واضح. يستخدم اشتقاق المفتاح امتداد passkey PRF وHKDF مع فصل النطاق. تتم إدارة وصول الأعضاء عبر تبادل مفاتيح X25519، والإلغاء فوري.
للتفاصيل حول هذه القدرات، راجع البنية المعمارية و المستودعات و تخزين التكوين و أمان الحساب.
لماذا يهم ذلك
إخفاقات الامتثالية مكلفة جداً. الحالات التالية توضح المشاكل التي تمنعها بنية Rediacc هيكلياً:
| الحادث | الغرامة | ما الذي حدث |
|---|---|---|
| Meta: نقل البيانات بين الاتحاد الأوروبي والولايات المتحدة | 1.2 مليار يورو | تم نقل البيانات الشخصية عبر الحدود دون ضمانات كافية. الاستضافة الذاتية تعني عدم وجود نقل. |
| Equifax: بيانات غير مشفرة | 700 مليون دولار | 147 مليون سجل مخزنة بدون تشفير مع تجزئة شبكة ضعيفة. LUKS2 إلزامي وليس اختيارياً. |
| Target: الحركة الجانبية | 18.5 مليون دولار | تحول المهاجمون من مورد HVAC إلى أنظمة الدفع عبر شبكة مسطحة. عزل لكل مستودع يمنع ذلك. |
| Anthem: PHI غير مشفرة | 16 مليون دولار | 79 مليون سجل صحي مخزنة بدون تشفير. LUKS2 AES-256 مفعل دائماً. |
| Blackbaud: سلسلة اختراق SaaS | 49.5 مليون دولار | كشف هجوم فدية عند أحد موردي SaaS بيانات من أكثر من 13,000 منظمة عميلة. الاستضافة الذاتية تعني أن اختراق المورد لا يصل إلى بياناتك. |
| British Airways: تجزئة ضعيفة | 20 مليون جنيه إسترليني | قام المهاجمون بحقن شفرة خبيثة بسبب ضوابط شبكة غير كافية. عزل Docker daemons وقواعد iptables تمنع الوصول الجانبي. |
| Google: حق المحو | 50 مليون يورو | صعوبة محو البيانات بالكامل عبر الأنظمة الموزعة. المحو التشفيري عبر تدمير LUKS فوري وكامل. |
ملاحظة مهمة
تشرح هذه الصفحات كيف تتوافق بنية Rediacc مع متطلبات الامتثالية. لكن إليك الحقيقة: الامتثالية أكبر من البرنامج. ستحتاج إلى سياسات وإجراءات وتدريب وربما تدقيقات من أطراف ثالثة. يتعامل Rediacc مع جزء البنية التحتية. تعاون مع فريقك القانوني والامتثالية على البقية.