مركز الثقة

صياغة صريحة لما يحدث لبياناتك بعد مسح QR — بدون شارات امتثال غير مثبتة.

كيف تعمل الجلسات تقنيًا

المسار الافتراضي للربط عبر QR يستخدم بروتوكول واتساب ويب عبر مكتبة Baileys (غير رسمية). تشبه جلسة WhatsApp Web: تمسح رمز QR من الهاتف فيرتبط الجهاز كعميل ويب. قد يترتب على هذا خطر حظر الرقم من واتساب، وليس بديلًا كاملًا عن WhatsApp Cloud API الرسمي من Meta. يوجد مسار منفصل لـ Meta Cloud API عند تفعيله.

ماذا نُخزّن بالضبط

حسابك (بريد، اسم، تفضيلات)، بيانات الجلسات (حالة الاتصال، معرفات الجلسة، ملفات المصادقة المطلوبة لإبقاء الاتصال)، مفاتيح API كـ hash + prefix فقط، عناوين webhooks، وسجلات تدقيق/استخدام. محتوى الرسائل والوسائط يُحفظ فقط إذا فعّلت صراحةً حفظ الرسائل (الافتراضي: معطّل) — حينها في MongoDB على سيرفرات Omdaa ويمكن الوصول عبر API ولوحة الشات.

مدة الاحتفاظ والحذف

بيانات الحساب تُحفظ طالما الحساب نشط. بعد طلب إلغاء الحساب نحتفظ ببيانات الحساب حتى 90 يومًا لأغراض الأمان ثم نسعى للحذف. رسائل المحفوظة يمكن حذفها نهائيًا من الواجهة (محادثة أو جلسة كاملة) فورًا. سجلات الأمان قد تُحفظ أطول حسب الحاجة القانونية.

هل يصل الموظفون لمحتوى الرسائل؟

لا في التشغيل اليومي. عند تعطيل حفظ الرسائل لا يُخزَّن المحتوى أصلًا. عند تفعيله، الوصول مقيد بالدعم الفني عند طلبك أو للامتثال القانوني، مع سجلات تدقيق قدر الإمكان. لا نبيع محتوى الرسائل.

الاستجابة للحوادث الأمنية

عند حادث أمني يؤثر على بيانات المستخدمين: نحتوي الأثر، نقيّم النطاق، نُبلّغ المتأثرين عند الاقتضاء، وننشر ملخصًا في سجل التغييرات الأمنية. للإبلاغ السريع: security@omdaa.net.

حالة التشغيل

راقب التشغيل الفعلي من صفحة الحالة العامة.

/status

كيف تبقى Free Forever مستدامة؟

Omdaa API مجاني للأبد للمستخدمين النهائيين: لا اشتراك شهري ولا بطاقة ائتمان. الاستدامة تعتمد على تشغيل فعّال (خادم واحد مُحسَّن)، حدود تقنية/Rate limits لحماية الجميع، وخدمات اختيارية مستقبلية للمؤسسات (دعم مخصّص، SLA، استضافة خاصة) دون فرض دفع على الـ API الأساسي. إن تغيّرت السياسة سنعلن ذلك بوضوح في /trust و/pricing قبل التنفيذ.

سياسة أمان المحتوى (CSP)

لا نستخدم unsafe-eval في CSP العام. نطاقات بث خارجية (مثل novastriq / fikravate / pyraxis) كانت مسموحة سابقًا لصفحات البث المباشر فقط؛ أُزيلت من CSP العام. بث الوسائط يمر عبر وكيل Omdaa نفسه (/api/v1/public/live-stream/proxy) على نفس النطاق لتقليل الاعتماد على connect-src لأطراف ثالثة.

سجل تغييرات أمنية

2026-07: إيقاف تخزين API Key بصيغة plaintext؛ صلاحيات افتراضية محدودة؛ saveMessages=false افتراضيًا؛ إزالة ادعاءات ISO/SOC/HIPAA/PCI/DigiCert غير المثبتة؛ نشر مركز الثقة؛ حذف نهائي للحساب والرسائل؛ تنظيف /contact من أرقام/عناوين وهمية؛ توحيد security.txt على security@omdaa.net؛ إزالة unsafe-eval ونطاقات البث من CSP العام.

Responsible Disclosure

أبلغ عن الثغرات عبر security@omdaa.net قبل النشر العام. لا تستهدف حسابات الغير أو بيانات الإنتاج خارج نطاق الإثبات. سنرد خلال وقت معقول ونقدّر التقارير المسؤولة.

مفاتيح API والخصوصية — ملخص سريع

  • المفتاح الكامل يُعرض مرة واحدة عند الإنشاء؛ في DB: hash + prefix فقط.
  • الصلاحيات الافتراضية محدودة (ليست *) — يمكنك توسيعها عمدًا.
  • احذف رسائل السيرفر من الشات أو من صفحة الجلسة.