انتقل إلى المحتوى الرئيسي انتقل إلى الملاحة انتقل إلى التذييل
لفترة محدودة: برنامج Design Partner — خطة BUSINESS مجانية مدى الحياة

الامتثال لـ SOC 2

الحقيقة بشأن SOC 2: المدققون يريدون أدلة على أن ضوابطك تعمل بفعالية. يوفر Rediacc السجلات وأثر إدارة التغييرات وكل ما سيطلبونه.

أفهم ما هي SOC 2 لأنني حضرت عدة اجتماعات تدقيق. يستخدم المدققون إطار عمل AICPA للتحقق من أن ضوابطك تعمل بفعالية، وليس فقط التحقق من ادعاءاتك. هناك خمس معايير لخدمات الثقة: الأمان والتوفر وسلامة المعالجة والسرية والخصوصية.

المرجع: AICPA SOC 2

تعيين معايير خدمة الثقة

مبدأ الثقةالمعيارقدرة Rediacc
الأمان (CC6)ضوابط الوصول المنطقي، التشفيرتشفير LUKS2 AES-256 في حالة السكون. بيانات الاعتماد مخزنة فقط في التكوين المحلي للمشغل (~/.config/rediacc/)، وليس على الخادم أبداً. وصول بمفتاح SSH. عزل Docker daemons لكل مستودع.
التوفر (A1)استرداد النظام والمرونةrdc repo push/pull مع نسخ احتياطية مشفرة خارج الموقع إلى SSH أو S3 أو B2 أو Azure أو GDrive. لقطات CoW للتراجع الفوري. ترقيات قائمة على Fork للتغييرات بدون توقف.
سلامة المعالجة (PI1)معالجة دقيقة وكاملةتضمن خطافات دورة حياة Rediaccfile الحتمية (up/down) عمليات نشر متسقة. يتحقق rdc repo validate من سلامة المستودع وصحة النسخ الاحتياطية بعد عمليات الإغلاق غير المتوقعة أو عمليات النسخ الاحتياطي.
السرية (C1)حماية البيانات من الوصول غير المصرح بهتشفير لكل مستودع ببيانات اعتماد LUKS فريدة. عزل الشبكة عبر iptables و Docker daemons منفصلة وشبكات فرعية loopback IP. لا يمكن لحاويات المستودعات المختلفة رؤية بعضها البعض. مخزن التكوين بمعرفة صفرية يشفر التكوينات من جانب العميل قبل الرفع. يخزن الخادم فقط كتل بيانات معتمة لا يستطيع فك تشفيرها.
الخصوصية (P1-P8)التعامل مع البيانات الشخصيةالاستضافة الذاتية: لا خروج للبيانات أثناء العمليات. مسار تدقيق لجميع عمليات الوصول. إدارة مفاتيح التشفير تحت سيطرة العميل. يستخدم مخزن التكوين اشتقاق مفتاح مقسم (passkey PRF + سر الخادم) بحيث لا يستطيع أي طرف بمفرده الوصول إلى البيانات.

مسار التدقيق

إذن Rediacc يسجل أكثر من 70 نوع حدث مختلف. تصرفات المستخدمين والتغييرات على النظام وتحديثات التكوين وتعديلات التحكم في الوصول والأحداث الأمنية وعمليات التفريع ومسارات التدقيق. أعلم أن هذا يبدو كثيراً، لكن المدققين فعلاً يريدون رؤية هذه المعلومات.

  • المصادقة: تسجيل الدخول، تسجيل الخروج، تغيير كلمات المرور، تمكين/تعطيل 2FA، إلغاء الجلسات
  • التفويض: إنشاء/إلغاء رموز API، تغييرات الأدوار، عضوية الفريق
  • التكوين: عمليات دفع/سحب مخزن التكوين، إدارة الأعضاء، فشل الوصول (عدم تطابق IP، رفض SDK)
  • الترخيص: إصدار تراخيص المستودع، تتبع فتحات الجهاز، تغييرات الاشتراك
  • عمليات الجهاز: إنشاء/بدء/إيقاف/حذف المستودع، التفريع، دفع/سحب النسخة الاحتياطية، مزامنة الملفات، جلسات الطرفية

هناك ثلاث طرق للحصول على هذه السجلات. لوحة تحكم المسؤول مع تصفية حسب المستخدم والفريق والتاريخ. صفحة نشاط البوابة لمسؤولي المؤسسة مع تصفية حسب النوع والتاريخ. أو واجهة سطر الأوامر rdc audit للتصدير البرمجي. يمكنك توجيهها إلى أدواتك الخاصة وتكاملها في أي مكان. عمليات الجهاز أيضاً تُسجل في سجلات نظامك، لذا لديك دفاع متعدد الطبقات.

إدارة التغيير

تجعل التفريعات إدارة التغيير قابلة للتدقيق: كل تفريع هو نسخة من الحالة الحية يمكنك الاختبار عليها والمراجعة وإما الترقية أو الحذف، مع توثيق كل خطوة بوقت وجهة فاعلة:

  1. إنشاء نسخة من مستودع الإنتاج (rdc repo fork)
  2. تطبيق واختبار التغييرات على النسخة
  3. التحقق من النسخة بشكل مستقل
  4. ترقية النسخة إلى الإنتاج (rdc repo takeover)

كل خطوة مسجلة بطوابع زمنية وتحديد هوية الفاعل.

التحكم في الوصول

  • وصول الجهاز: مصادقة بمفتاح SSH فقط. لا SSH بكلمة مرور.
  • رموز API: صلاحيات محددة النطاق، ربط IP اختياري، إلغاء تلقائي عند إزالة الفريق.
  • عزل المستودع: كل مستودع له مقبس Docker daemon خاص. الوصول إلى مستودع لا يمنح الوصول إلى مستودع آخر على نفس الجهاز.
  • رموز مخزن التكوين: رموز متناوبة ذات استخدام واحد مع ربط IP عند أول استخدام، انتهاء صلاحية تلقائي بعد 24 ساعة، ونافذة سماح من 3 طلبات للتزامن. إدارة وصول الأعضاء عبر تبادل مفاتيح X25519 مع إلغاء فوري.