الأمان والثقة
نوضح كيف تعمل المنصة فعليًا، ماذا نُخزّن، وما لا ندّعيه. الثقة تُبنى بالصدق لا بالشارات الوهمية.
كيف يعمل ربط واتساب؟
الربط عبر QR مثل واتساب ويب (مكتبة Baileys غير الرسمية). قد يترتب عليه خطر حظر الرقم من واتساب، وليس بديلًا كاملًا عن WhatsApp Cloud API الرسمي من Meta. نوفر أيضًا خيار Meta Cloud API كمسار منفصل عند توفره.
- لا تستخدم عبارات «رسمي» لوصف مسار Baileys/QR
- تجنّب الإرسال العشوائي (spam) يقلل مخاطر الحظر
- راجع مركز الثقة للتفاصيل التقنية
ما نطبّقه فعليًا
TLS 1.3
تشفير أثناء النقل
خصوصية أولاً
حفظ الرسائل اختياري
Scoped API Keys
صلاحيات محدودة
Let's Encrypt
شهادة SSL حقيقية
Status Page
مراقبة التشغيل
2FA متاح
مصادقة ثنائية
تشفير أثناء النقل
جميع الاتصالات مشفّرة بـ TLS 1.3 (شهادة Let's Encrypt)
- HTTPS إجباري
- تجديد تلقائي للشهادة
- لا ندّعي DigiCert أو شهادات غير موجودة
مفاتيح API محدودة الصلاحيات
المفتاح يُعرض مرة واحدة فقط؛ يُخزَّن hash + prefix فقط
- scopes افتراضية محدودة
- صلاحية * اختيارية صراحةً
- IP whitelist متاح في الموديل
سجلات التدقيق
تتبع عمليات الحساب والجلسات والمفاتيح
- سجل أنشطة المستخدم
- تصدير السجلات
- مراجعة من لوحة التحكم
حفظ الرسائل اختياري
الافتراضي: لا نحفظ محتوى الرسائل على السيرفر
- saveMessages = OFF افتراضيًا
- يمكن التفعيل بموافقة صريحة
- الويب هوك يعمل دون تخزين
مراقبة التشغيل
صفحة حالة عامة عبر Uptime Kuma
- /status
- تنبيهات SSL
- مقاييس Prometheus
مصادقة ثنائية (2FA)
TOTP اختياري من إعدادات الحساب — نوصي بتفعيله قبل ربط جلسة واتساب
- Google Authenticator
- رموز احتياطية
- موصى به بشدة
ما لا ندّعيه
لا نملك حاليًا شهادات ISO 27001 أو SOC 2 أو HIPAA أو PCI DSS قابلة للتحقق علنًا. شهادة SSL الفعلية صادرة من Let's Encrypt وليست DigiCert. عند الحصول على أي شهادة سننشر إثباتًا قابلًا للتحقق في مركز الثقة.
وجدت ثغرة أمنية؟
Responsible Disclosure: أبلغنا عبر البريد الأمني قبل النشر العام. سنرد خلال وقت معقول.
security@omdaa.net