ProyectaSecurity

Security

Last Updated: May 21, 2026

ترجمه شده برای راحتی شما. در صورت وجود هرگونه تعارض بین این نسخه و نسخه انگلیسی، نسخه انگلیسی معتبر است.

Proyecta پلتفرمی است که در آن کد منبع، درخواست‌ها و داده‌های پروژه شما از طریق سیستم‌های هوش مصنوعی و محیط‌های اجرای ایزوله جریان می‌یابد. حفاظت از این داده‌ها بنیادین برای نحوه ساخت خدمات ما است. این صفحه شیوه‌های امنیتی ما را به زبان ساده خلاصه می‌کند؛ این مکمل سیاست حریم خصوصی، شرایط خدمات و فهرست پردازشگران فرعی ما است.

برای سؤالات امنیتی، بررسی‌های امنیتی سازمانی یا گزارش آسیب‌پذیری، با security@proyecta.dev تماس بگیرید.

1. زیرساخت و میزبانی

خدمات بر روی Google Cloud Platform اجرا می‌شوند، زیرساختی مبتنی بر Kubernetes که در مناطق ابری معتبر عمل می‌کند. Cloudflare در مقابل نقاط پایانی عمومی ما برای تحویل محتوا، حفاظت از DDoS و دیوار آتش برنامه وب قرار دارد.

ما مراکز داده خود را اداره نمی‌کنیم. ارائه‌دهندگان ابری ما گواهینامه‌های امنیتی زیرساختی مستقل خود را حفظ می‌کنند و فهرست به‌روزی از ارائه‌دهندگانی که داده‌ها را از طرف ما پردازش می‌کنند در صفحه پردازشگران فرعی ما منتشر شده است.

2. رمزنگاری

  • در حین انتقال: تمام ترافیک بین شما و خدمات با استفاده از TLS 1.2 یا بالاتر رمزنگاری می‌شود.
  • در حالت سکون: محتوای مشتری، داده‌های حساب و پشتیبان‌ها در حالت سکون رمزنگاری می‌شوند.
  • اسرار: اعتبارنامه‌ها و توکن‌های یکپارچه‌سازی به صورت رمزنگاری‌شده ذخیره می‌شوند و هرگز در کد سمت کاربر یا گزارش‌ها فاش نمی‌شوند.

3. کنترل‌های دسترسی

  • کنترل دسترسی مبتنی بر نقش. دسترسی به سیستم‌های تولید و داده‌های مشتری بر اساس اصل حداقل امتیاز به پرسنل مجاز Proyecta محدود است.
  • ثبت ممیزی. اقدامات اداری و اقدامات دسترسی به داده‌ها به منظور پاسخگویی ثبت می‌شوند.
  • اعتبارنامه‌های محدود. اعتبارنامه‌های سرویس و یکپارچه‌سازی به حداقل مجوزهای موردنیاز برای عملکرد آن‌ها محدود است.
  • تعهدات محرمانگی. پرسنل دارای دسترسی به محتوا ملزم به تعهدات محرمانگی هستند و آموزش امنیتی دریافت می‌کنند.

همان‌طور که در سیاست حریم خصوصی ما توضیح داده شده، پرسنل مجاز فقط در حد ضرورت برای ارائه پشتیبانی، رفع مشکلات، حفظ قابلیت اطمینان یا انطباق با تعهدات قانونی به محتوا دسترسی پیدا می‌کنند.

4. مدیریت کد شما و داده‌های هوش مصنوعی

این سؤالی است که بیشتر مشتریان به آن اهمیت می‌دهند، پس آن را به صراحت بیان می‌کنیم:

  • ما مدل‌های هوش مصنوعی را با محتوای شما آموزش نمی‌دهیم. ما از کد، درخواست‌ها یا داده‌های شما برای آموزش یا تنظیم دقیق مدل‌های هوش مصنوعی خود استفاده نمی‌کنیم، و محتوای شما را برای هدف آموزش مدل‌های ارائه‌دهندگان هوش مصنوعی به آن‌ها ارسال نمی‌کنیم.
  • محتوا برای خدمت‌رسانی به شما پردازش می‌شود، نه برای استخراج. محتوای شما صرفاً برای ارائه پاسخ در جلسات خودتان پردازش می‌شود.
  • ارائه‌دهندگان هوش مصنوعی شخص ثالث ورودی‌ها را به صورت گذرا پردازش می‌کنند. برای تولید پاسخ، ورودی‌ها از طریق API به ارائه‌دهندگان مدل هوش مصنوعی (Anthropic، OpenAI، Google) ارسال می‌شوند. ما از سطوح API استفاده می‌کنیم که، طبق شرایط API فعلی آن ارائه‌دهندگان، برای آموزش مدل‌های آن‌ها روی ورودی‌های مشتری استفاده نمی‌شوند. ما این ارائه‌دهندگان را کنترل نمی‌کنیم، و مدیریت داده‌های آن‌ها تابع شرایط خودشان است که باید آن‌ها را به‌طور مستقل بررسی کنید (به بخش 10.2 شرایط مراجعه کنید).
  • فقط تحلیل‌های جمع‌بندی‌شده. هرگونه تحلیلی که برای بهبود خدمات استخراج می‌کنیم از داده‌های جمع‌بندی‌شده و غیرقابل‌شناسایی استفاده می‌کند که نمی‌توان از آن برای شناسایی شما یا بازسازی محتوای شما استفاده کرد.

5. ایزولاسیون محیط اجرا

کدی که توسط خدمات تولید و اجرا می‌شود، درون محیط‌های اجرای ایزوله — پادهای Kubernetes اختصاصی و محصور در sandbox که برای هر بار کاری تأمین می‌شوند — اجرا می‌شود. محیط‌های اجرا از یکدیگر ایزوله هستند و طبق برنامه چرخه عمر خود تخریب می‌شوند، که شعاع تأثیر هر اجرای منفرد را محدود می‌کند.

6. مدیریت آسیب‌پذیری‌ها

  • ما ارزیابی‌های دوره‌ای آسیب‌پذیری و آزمون امنیتی خدمات را انجام می‌دهیم.
  • وابستگی‌های نرم‌افزاری خود را برای آسیب‌پذیری‌های شناخته‌شده پایش می‌کنیم و به‌روزرسانی‌ها را بر اساس اولویت‌بندی ریسک اعمال می‌کنیم.
  • افشای مسئولانه. اگر فکر می‌کنید آسیب‌پذیری امنیتی پیدا کرده‌اید، لطفاً آن را به security@proyecta.dev گزارش دهید. گزارش شما را تأیید خواهیم کرد، بدون تأخیر بررسی می‌کنیم و شما را در جریان قرار می‌دهیم. لطفاً قبل از هرگونه افشای عمومی، فرصت معقولی برای رفع مشکل به ما بدهید.

7. نگهداری و حذف داده‌ها

ما اطلاعات را فقط تا زمانی که برای ارائه خدمات و انطباق با تعهدات قانونی ضروری است نگهداری می‌کنیم. تاریخچه مکالمه، شامل درخواست‌ها و خروجی‌های تولیدشده، تا زمانی که آن را حذف کنید یا حساب خود را فسخ نمایید نگهداری می‌شود. پس از فسخ حساب، شما یک بازه 30 روزه برای صادرات داده‌های خود دارید، پس از آن طبق برنامه نگهداری ما حذف می‌شوند. جزئیات کامل در بخش 4 سیاست حریم خصوصی آمده است.

8. واکنش به حوادث

ما فرآیند واکنش به حوادث امنیتی را حفظ می‌کنیم. در صورت وقوع نقض شامل داده‌های شخصی شما، در صورت امکان مشتریان متأثر را ظرف 72 ساعت از کشف یا زودتر در مواردی که قانون قابل‌اعمال الزامی کند، شامل ماهیت حادثه، داده‌های متأثر و اقدامات توصیه‌شده، مطلع خواهیم کرد.

9. پردازشگران فرعی

ما از مجموعه‌ای منتخب از ارائه‌دهندگان خدمات شخص ثالث برای اداره خدمات استفاده می‌کنیم. هر یک از آن‌ها از نظر قراردادی متعهد به حفاظت از داده‌هایی هستند که از طرف ما پردازش می‌کنند. فهرست کامل و فعلی — شامل هدف هر ارائه‌دهنده، داده‌هایی که پردازش می‌کند و مکان آن — در صفحه پردازشگران فرعی ما منتشر می‌شود، که نحوه ارائه اطلاع‌رسانی تغییرات را توصیف می‌کند.

10. انطباق و بررسی‌های امنیتی

  • توافقنامه پردازش داده. مشتریانی که به عنوان کنترل‌کننده داده عمل می‌کنند می‌توانند توافقنامه‌ای (DPA) که سیاست حریم خصوصی ما را با تعهدات اضافی حفاظت از داده تکمیل می‌کند درخواست کنند. با legal@proyecta.dev تماس بگیرید.
  • پرسش‌نامه‌های امنیتی. ما با خوشحالی پرسش‌نامه‌های امنیتی فروشنده را تکمیل می‌کنیم و از بررسی‌های امنیتی سازمانی پشتیبانی می‌کنیم — با security@proyecta.dev تماس بگیرید.
  • شفافیت پردازشگران فرعی. فهرست پردازشگران فرعی ما عمومی است و به‌روز نگه داشته می‌شود.

با رشد Proyecta، ما به گسترش برنامه رسمی امنیت و انطباق خود ادامه می‌دهیم. برای وضعیت فعلی هر گواهینامه یا تأییدیه خاص، لطفاً با ما تماس بگیرید و موقعیت فعلی خود را به اشتراک خواهیم گذاشت.

11. تماس

Related Documents

Questions?

Contact Legal

Reach us at legal@proyecta.dev for any inquiries.