الانتقال إلى المحتوى الرئيسي
DataSouv
تدقيق
نموذجية تقنية

موقفنا الأمني الخاص — قابل للتدقيق عمومًا

داتاسوف تبيع الامتثال والأمن. الحد الأدنى هو تطبيق ذلك على أنفسنا وجعله قابلًا للتحقق. هذه الصفحة توثق موقفنا العمومي: ترويسات HTTP، الاستضافة، المتتبعات، قناة الإفشاء المسؤول. لا تمثيل: أمر curl -I https://datasouv.ma يمنحكم نفس الترويسات المُدرَجة هنا.

security.txtالسجل العمومي للمعالجات

الموقف

ثمانية التزامات قابلة للتحقق

كل نقطة من هذه النقاط قابلة للملاحظة من الخارج، دون نفاذ ممتاز إلى بنيتنا التحتية. إذا لم تتطابق الملاحظة، أخطرونا: معنى ذلك أننا تراجعنا.

  • Content-Security-Policy صارمة

    لا نص خارجي مرخص. لا Google Tag Manager، لا Meta pixel، لا دردشة خارجية، لا اختبارات A/B خارجية. كل مورد خارج الأصل محجوب افتراضيًا.

    default-src 'self'

  • HSTS preload

    Strict-Transport-Security مع includeSubDomains وpreload: لا فرصة لتخفيض HTTPS → HTTP، بما في ذلك في الاتصال الأول بالمتصفح، بما في ذلك على النطاقات الفرعية المستقبلية.

    max-age=63072000; includeSubDomains; preload

  • صفر متتبع، صفر ملف تعريف ارتباط تحليلي

    لا ملف تعريف ارتباط للتتبع، لا تحليلات خارجية (Google Analytics، Plausible cloud، Matomo cloud، إلخ). فقط ملف تعريف ارتباط ضروري بصرامة لتفضيل اللغة.

    0 متتبع خارجي

  • استضافة بالاتحاد الأوروبي

    الموقع مستضاف لدى Vercel مع تنفيذ الوظائف في مناطق الاتحاد الأوروبي (فرانكفورت/باريس/دبلن/ستوكهولم). منصة التحكم الأمريكية لـ Vercel مؤطَّرة بالشروط التعاقدية النموذجية (SCC). لا نقل منهجي لمعطيات المستخدمين خارج الاتحاد الأوروبي، لا اعتماد تشغيلي على CDN أمريكي أو SaaS خارج الاتحاد الأوروبي.

    europe-west4 / هولندا

  • Cross-Origin Isolation

    Cross-Origin-Opener-Policy: same-origin، Cross-Origin-Embedder-Policy: credentialless، Cross-Origin-Resource-Policy: same-origin. الموقع معزول عن سياق التصفح المتقاطع.

    COOP + COEP + CORP

  • بريد إلكتروني مضاد للانتحال

    إعدادات SPF وDKIM وDMARC على نطاق datasouv.ma. سياسة DMARC مرئية عموميًا، متوافقة مع ما نشترطه من زبنائنا في التدقيقات.

    SPF + DKIM + DMARC

  • security.txt RFC 9116

    ملف عمومي للإفشاء المسؤول مطابق لـRFC 9116. قناة آمنة مخصصة، لغات مدعومة، سياسة إفشاء منشورة.

    /.well-known/security.txt

  • Permissions-Policy مُقفلة

    كل واجهات API الحساسة (الكاميرا، الميكروفون، الموقع الجغرافي، أجهزة الاستشعار، الدفع، USB، MIDI، accelerometer، إلخ) معطّلة صراحةً على مستوى المتصفح، بمعزل عن الكود.

    17 واجهة API معطّلة

ترويسات HTTP بشكل واضح

ما يستقبله متصفحكم، سطرًا بسطر

الإعدادات مطبقة على كل مسارات الموقع عبر next.config.ts. قابلة للتحقق بـcurl. لا ترويسة ترويجية، لا X-Powered-By، لا Server: …

الترويسةالقيمة
Content-Security-Policydefault-src 'self'; …
Strict-Transport-Securitymax-age=63072000; includeSubDomains; preload
X-Content-Type-Optionsnosniff
X-Frame-OptionsDENY
Referrer-Policystrict-origin-when-cross-origin
Permissions-Policycamera=(), microphone=(), geolocation=(), …
Cross-Origin-Opener-Policysame-origin
Cross-Origin-Embedder-Policycredentialless
Cross-Origin-Resource-Policysame-origin
X-DNS-Prefetch-Controloff
X-Permitted-Cross-Domain-Policiesnone
التزامات قابلة للمقابلة

ما نلتزم بصونه باستمرار

هذه الالتزامات عمومية وقابلة للمقابلة. إذا خرقناها، يمكنكم لومنا علنًا — بما في ذلك بإبلاغ الإخلال للجنة الوطنية إن كان ذا طابع تنظيمي.

  • النتيجة المستهدفة في Mozilla Observatory: A+
  • لا متتبع خارجي، لا ملف تعريف ارتباط تحليلي خارجي
  • سجل المعالجات منشور ومُحدَّث
  • إفشاء مسؤول مؤطَّر (RFC 9116)
  • Bug bounty غير رسمي: ملاذ آمن للباحثين بحسن نية
  • تحديث شهري للتبعيات، تدقيق npm أسبوعي
  • معطيات الخادم فقط لدى مزودين بالاتحاد الأوروبي مع DPA موقّع
  • لا إرسال منهجي إلى Cloudflare، Google Fonts في وقت التشغيل، أو أي CDN خارجي آخر

أسئلة متكررة

حول هذا الموقف العمومي

لماذا تنشرون موقفكم الأمني الخاص؟

لأنه لا يمكن بيع الامتثال والأمن مع البقاء معتمين على ممارساتنا الخاصة. السوق المغربية تفتقر إلى الشفافية التقنية: أغلب مواقع وكالات الأمن تستعمل Google Analytics وGoogle Fonts في وقت التشغيل، وليس لها CSP. نموذجيتنا هي عقد أخلاقي تجاه زبنائنا.

هل حددتم حدودًا؟

نعم، وهذا عمومي. (1) 'unsafe-inline' على style-src مطلوب طالما Tailwind v4 يحقن CSS مدمج؛ سننتقل إلى nonce/hash بأسرع ما يمكن. (2) واجهة API للتدقيق تستدعي مزود LLM مؤطَّرًا بـSCC. (3) تصريحنا للجنة الوطنية قيد الدراسة، سيُنشَر الوصل عند استلامه. كل شيء موثّق في سجل المعالجات.

كيف تتحققون بأنفسكم من هذه الالتزامات؟

ثلاث وسائل. (1) افحصوا ترويسات HTTP بـcurl -I على datasouv.ma. (2) أطلقوا Mozilla Observatory على النطاق، النتيجة عمومية. (3) دقّقوا الكود المصدري للموقع (مفتوح ضمن شروط) أو راجعوا السجل العمومي للمعالجات. إن رصدتم خللًا، اكتبوا إلى security@datasouv.ma.

ماذا يحدث إن اكتشفتم ثغرة عندكم؟

رد خلال 72 ساعة، تصحيح في أجل معقول (حسب خطورة CVSS)، نشر post-mortem إن كان للحادث أثر عمومي. لا متابعة قضائية للباحثين الذين يتصرفون بحسن نية وفق Rules of Engagement المنشورة. هو نفس الموقف الذي نشترطه من المنشآت التي نرافقها.

هل لزبنائكم نفاذ إلى موقفكم المفصل؟

نعم. تحت اتفاقية سرية، نشارك البنية المفصلة، السياسات الداخلية، عقود المناولين، والقائمة الشاملة للترويسات المُنشَرة. هي إشارة ثقة وأداة مقارنة للزبناء الذين يريدون معايرة مستواهم الخاص.

إفشاء مسؤول

ثغرة؟ اكتبوا إلى security@datasouv.ma

ملاذ آمن للباحثين بحسن نية، إشعار توصل خلال 72 ساعة، post-mortem عمومي إن استدعى الأثر ذلك. هو بالضبط الموقف الذي نطلبه من الزبناء الذين نرافقهم.

security@datasouv.masecurity.txt RFC 9116