بنية أمان حرجة
دفاع متعدد الطبقات للبنية التحتية المالية. شبكات انعدام الثقة، عزل متعدد المستأجرين، ومسارات تدقيق غير قابلة للتغيير.
بنية الأمان
| Layer | Mechanism | Status |
|---|---|---|
| البوابة | بوابة API مع إنهاء TLS، تحديد المعدل، وبرمجيات المصادقة الوسيطة | مُنفَّذ |
| التطبيق | يتم حقن سياق المستأجر بواسطة البوابة (X-Tenant-ID)، ولا يُوثق أبدًا من المتصل. OAuth2 client_credentials لكل مستأجر. | مُنفَّذ |
| قاعدة البيانات | أمان مستوى الصف لكل مستأجر. دور غير مسؤول لجميع استعلامات التطبيق. | مُنفَّذ |
عدم تعريض خدمات البنوك الأساسية للعامة. تُنفَّذ عمليات القراءة مباشرة على خدمة التمويل؛ وتُوجَّه عمليات الكتابة عبر محرك التنفيذ المتين.
حماية البيانات
| التشفير أثناء التخزين | تشفير مساحة جداول قاعدة البيانات، تشفير على مستوى ملفات محرك دفتر الحسابات |
| التشفير أثناء النقل | TLS 1.3 على البوابة، شبكة داخلية معزولة للاتصال بين الخدمات |
| عزل البيانات | أمان مستوى الصف لكل مستأجر، مفاتيح API محددة النطاق |
| مسار التدقيق | أحداث تدقيق بسلسلة هاش SHA-256 (DORA المادة 11) |
| الاحتفاظ | قابل للتكوين حسب الولاية القضائية (GoBD: 10 سنوات، HGB §257) |
التوافق التنظيمي
| Regulation | Status | How FERNEL Addresses It |
|---|---|---|
| DORA (2022/2554) | متوافق معماريًا | سلسلة تبعيات أدنى (~30 تبعية متعدية)، سجل تنفيذ متين، تدقيق بسلسلة هاش، إعادة تشغيل حتمية. |
| PSD2 (2015/2366) | مغطى (أساسي) | SCA عبر OAuth2، تتبع تاريخ القيمة (المادة 87)، تصنيف معاملات R (المادة 71، 76). |
| PSD3/PSR | قيد المراقبة | VoP ومسؤولية الاحتيال لم تُنفَّذ بعد. اكتمل تحليل الفجوات. |
| EMD2 (2009/110) | مغطى (أساسي) | أنواع حسابات الحماية، عزل التعويم، نموذج حساب النقود الإلكترونية. |
| AMLD5/6 | مغطى (أساسي) | فحص مكافحة غسل الأموال، KYC/KYB، محرك سياسات CDD، إدارة القوائم السوداء. |
| GDPR (2016/679) | مصمم لـ | تقليل البيانات، حق المحو (حذف ناعم مع تدقيق)، سجلات المعالجة. |
| NIS2 (2022/2555) | قيد المراقبة | الإبلاغ عن الحوادث وتقييم سلسلة التوريد مخطط لهما. |
| IPR (2024/886) | مخطط | تم تحديد بنية SEPA Instant. اتفاقية مستوى خدمة 10 ثوانٍ، التوفر على مدار الساعة قيد الانتظار. |
توفر Fernel أسسًا معمارية مصممة للامتثال التنظيمي الصارم. تتطلب الشهادة تدقيقًا رسميًا.
شفافية سلسلة التوريد
| خدمة النواة المالية | ~15 تبعية خارجية، ~30 متعدية |
| محرك سير العمل المتين | تبعيات مختارة بعناية، رسم بياني للتبعيات قابل للتدقيق |
| واجهة الإدارة | شجرة تبعيات أكبر، لكنها ليست في المسار المالي الحرج |
توافق مع DORA المادة 15: تقييم مخاطر الأطراف الثالثة لتكنولوجيا المعلومات لجميع المزودين الحرجين. النواة المالية مبنية على مجموعة أنظمة عالية الأداء بحد أدنى متعمد من التبعيات.
الاستجابة للحوادث والتعافي
يتم تسجيل كل عملية تغيير حالة بواسطة محرك التنفيذ المتين. يعني التعافي بعد الفشل إعادة تشغيل السجل من آخر نقطة تحقق. لا حاجة لتدخل يدوي لأعطال البنية التحتية العابرة.
يستخدم محرك دفتر الحسابات سجل كتابة مسبق مُكرَّر مع مجاميع تحقق 128 بت من طرف إلى طرف وتسلسل صارم. يوفر الأرشفة المستمرة نسخًا احتياطيًا على مستوى قاعدة البيانات. يوفر التكرار الأصلي لدفتر الحسابات تكرارًا على مستوى المحرك. لا نوافذ صيانة مجدولة لدفتر الحسابات (مصمم للعمل على مدار الساعة).
ما لا نملكه بعد
- شهادة SOC 2 Type II: مخطط لها، لم يتم الحصول عليها بعد.
- شهادة ISO 27001: مخطط لها، لم يتم الحصول عليها بعد.
- تقرير اختبار الاختراق: مجدول، لم يكتمل بعد.
- PCI-DSS: غير قابل للتطبيق (لا يتم تخزين بيانات البطاقات مباشرة).
ننشر هذا القسم لأن الشفافية حول وضعنا الحالي أكثر قيمة من ادعاء شهادات لا نملكها.