الأمان Security

أمان بوابة شركاء Okta Okta Partner Portal Security

نهج شامل لحماية مفاتيح API، بيانات الشركاء، والتطبيقات المنشورة A comprehensive approach to protecting API keys, partner data, and published modules

آخر تحديث: مارس 2026 نظرة شاملة على ممارسات الأمان راجع أيضاً: سياسة الخصوصية
Last updated: March 2026 A complete overview of our security practices See also: Privacy Policy

التزامنا بالأمان Our Security Commitment

الأمان أولوية قصوى في بوابة شركاء Okta. نطبق ممارسات صناعية معتمدة لحماية البيانات، مفاتيح API، والبنية التحتية لإدارة التطبيقات.

Security is a top priority at the Okta Partner Portal. We apply industry-grade practices to protect data, API keys, and the module management infrastructure.

المصادقة وضبط الوصول Authentication & Access Control

  • تخزين كلمات المرور بصيغة مُجزّأة (bcrypt) — لا يتم حفظها نصاً صريحاً.
  • أدوار واضحة: مدير شريك، مطوّر شريك، مُطّلِع — مع صلاحيات مقيدة لكل دور.
  • إعادة مصادقة تلقائية عند انتهاء الجلسة ومنع استخدام جلسات قديمة.
  • حماية CSRF على جميع نماذج POST الحساسة.
  • Passwords are stored hashed (bcrypt) — never in plain text.
  • Clear roles: Partner Admin, Partner Developer, Partner Viewer — each with scoped permissions.
  • Automatic re-authentication on session expiry and prevention of stale sessions.
  • CSRF protection on all sensitive POST forms.

مفاتيح API API Keys

  • يُعرض السر الخاص بكل مفتاح API مرة واحدة فقط عند إنشائه.
  • يتم تخزين الأسرار كـ hashes — حتى فريقنا لا يستطيع استرجاعها.
  • إمكانية إلغاء أي مفتاح فوراً من لوحة تحكم الشريك.
  • نطاقات صلاحيات (scopes) محددة لكل مفتاح: قراءة، كتابة، حذف، إدارة.
  • سجلات مفصلة لكل استدعاء API (endpoint، method، status، response time، IP).
  • Each API key's secret is shown only once at creation time.
  • Secrets are stored as hashes — even our team cannot retrieve them.
  • Any key can be revoked instantly from the partner dashboard.
  • Scoped permissions per key: read, write, delete, admin.
  • Detailed logs for every API call (endpoint, method, status, response time, IP).

تشفير النقل والتخزين Transport & Storage Encryption

  • HTTPS/TLS 1.2+ إلزامي لجميع الاتصالات.
  • قواعد بيانات مُدارة مع نسخ احتياطي دوري مُشفَّر.
  • عزل بيئات الإنتاج والتطوير — بيانات الإنتاج لا تُستخدم خارج الإنتاج.
  • HTTPS/TLS 1.2+ is required for all connections.
  • Managed databases with regular, encrypted backups.
  • Strict separation between production and development — production data is never used elsewhere.

مراجعة التطبيقات Module Review

  • لا يُنشر أي تطبيق على منصة Okta الرئيسية قبل المرور بمرحلة مراجعة رسمية.
  • مراجعة الصلاحيات المطلوبة ومطابقتها للاستخدام الفعلي.
  • سجل تاريخ كامل للمراجعات (اعتماد، طلب تعديلات، رفض) لكل إصدار.
  • كل إصدار له لقطة مستقلة — لا يمكن تعديل إصدار منشور بأثر رجعي.
  • No module is published to the main Okta platform without a formal review stage.
  • Requested permissions are reviewed and matched against actual usage.
  • Full review history (approved, changes requested, rejected) is kept per version.
  • Each version has an isolated snapshot — published versions cannot be retroactively edited.

أمان تكامل GitHub GitHub Integration Safety

  • التكامل عبر GitHub App مع أذونات محددة للمستودعات المختارة فقط.
  • التحقق من توقيعات الـ webhooks من GitHub قبل معالجتها.
  • تأكيد واضح قبل دفع القالب يُنبِّه إلى حذف الملفات الحالية.
  • إمكانية فصل الربط فوراً من إعدادات الشريك.
  • Integration via a GitHub App with scoped permissions for selected repositories only.
  • GitHub webhook signatures are verified before processing.
  • Clear confirmation prompt before boilerplate push warns about existing file deletion.
  • Integration can be disconnected instantly from partner settings.

المراقبة والتدقيق Monitoring & Audit

  • سجلات نشاط مفصلة لكل عملية حساسة: دعوات الفريق، تغيير الصلاحيات، إلغاء المفاتيح.
  • تنبيهات أمنية عند الاشتباه بنشاط غير طبيعي.
  • مراجعة دورية لسجلات الدخول والاستدعاءات.
  • Detailed activity logs for every sensitive action: team invitations, permission changes, key revocations.
  • Security alerts on suspicious activity.
  • Periodic review of login and API call logs.

الإبلاغ المسؤول عن الثغرات Responsible Disclosure

إذا اكتشفت ثغرة أمنية، يُرجى إبلاغنا قبل الإفصاح العلني عبر:

  • البريد الإلكتروني: security@tahdir.it

نلتزم بالرد خلال ٣ أيام عمل والعمل على المعالجة بأسرع وقت ممكن.

If you discover a security vulnerability, please report it to us before public disclosure via:

  • Email: security@tahdir.it

We commit to responding within 3 business days and working on remediation as quickly as possible.