الأمن والثقة في Saudi HR
نبني Saudi HR وفق توقعات فرق الموارد البشرية للمؤسسات في المملكة. تعكس هذه الصفحة وضعنا الفعلي اليوم وخارطة الطريق بصدق
- SOC 2 Type IIقيد التنفيذتقييم الاستعداد الربع الثالث ٢٠٢٦
- ISO 27001:2022قيد التنفيذالانطلاق الربع الرابع ٢٠٢٦
- ISO 42001:2023ضمن الخارطةالنصف الأول من ٢٠٢٧
- نظام حماية البيانات الشخصية السعوديمتوافق اليومتعيين مسؤول حماية بيانات مقيم في المملكة الربع الثالث ٢٠٢٦
- اتفاقية معالجة البيانات GDPRمتاحة عند الطلبتُوقَّع عند التعاقد
كل عنصر ضمن خارطة الطريق يحمل تاريخاً مستهدفاً واضحاً. لا ندّعي شهادات لم نحصل عليها
تكاملات البيانات والمعالجون الفرعيون
يعتمد Saudi HR على قائمة موجزة من المعالجين الفرعيين السحابيين الموثوقين لتقديم الخدمة. كل مزوّد مذكور في اتفاقية معالجة البيانات، ونلتزم بإشعار قبل ٣٠ يوماً قبل إضافة أي معالج جديد
| المزوّد | نطاق البيانات | المنطقة | الشهادات |
|---|---|---|---|
| Vercel | استضافة الويب وحوسبة الحافة وتخزين الملفات Vercel Blob | iad1 (US-East) | SOC 2 و ISO 27001 |
| Neon (Postgres) | قاعدة البيانات الرئيسية Postgres للمستخدمين والمحادثات والمستندات وسجل التدقيق | aws-eu-central-1 (Frankfurt) | SOC 2 Type II |
| Pinecone | تضمينات قاعدة المعرفة العامة للموارد البشرية | aws-eu-west-1 | SOC 2 و ISO 27001 |
| Google AI Studio (Gemini) | نماذج اللغة للإجابات داخل المحادثة | Global edge | اتفاقية معالجة بيانات سارية |
| Resend | البريد الإلكتروني للتحقق وإعادة تعيين كلمة المرور ورابط الدخول السريع | US | SOC 2 Type II |
| Polar.sh | إدارة الاشتراكات وإصدار الفواتير | US | اتفاقية معالجة بيانات سارية |
لا تدريب على بياناتك
لا تُستخدم نصوص العملاء وسجل المحادثات والمستندات المرفوعة في تدريب النماذج. يعمل مزوّدو النماذج لدينا بإعداد الاحتفاظ الصفري للبيانات في حركة الإنتاج
نُشعر العملاء قبل ٣٠ يوماً على الأقل من إدخال أي معالج فرعي جديد. القائمة المعلنة هي مرجع اتفاقية معالجة البيانات
ضوابط المؤسسة والتقنية
الدخول الموحّد SAML SSO
Okta و Azure AD و Google Workspace و OneLogin مع توفير المستخدمين عند الدخول
متاح في الربع الثالث ٢٠٢٦توفير المستخدمين SCIM 2.0
مزامنة الدليل لإدارة دورة حياة المستخدمين على خطة المؤسسات
للمؤسسات، متاح في الربع الرابع ٢٠٢٦سجل النشاط للمؤسسة
أحداث المنظمة والمشاريع والوكلاء والأعضاء والفوترة مع الطوابع الزمنية ومُعرّفات الفاعلين
متاح اليومالمصادقة متعددة العوامل
TOTP ومفاتيح المرور WebAuthn فوق كلمة المرور وتسجيل الدخول بحساب Google
متاح في الربع الثالث ٢٠٢٦التحكم في الوصول حسب الدور
أدوار قارئ وعضو ومسؤول ومالك مفروضة من جهة الخادم في كل نقطة عبور
متاح اليوم
سجل النشاط
الأحداث المسجّلة اليوم
- إنشاء وإعادة تسمية وحذف ونقل المنظمة
- إنشاء وإعادة تسمية وأرشفة واستعادة وحذف المشاريع
- إنشاء وتحديث ونسخ وتعديل المهارات وحذف الوكلاء
- إضافة وإزالة الأعضاء وتغيير الأدوار وإرسال الدعوات وقبولها
- تغيير الخطة وتحديث الفوترة ومشاركة المحادثة على مستوى المنظمة
فجوات التغطية ضمن الخارطة
الأحداث التالية ليست مسجّلة بعد، وهي ضمن قائمة العمل القادمة في الموجة التالية من سجل النشاط
- نجاح وفشل عمليات تسجيل الدخول
- تصدير المحادثات وإنشاء روابط المشاركة
- تنزيل المستندات والملفات
مدة الاحتفاظ حسب الخطة
- خطة الفريق تحتفظ بسجل النشاط لمدة ٩٠ يوماً مع إمكانية التصدير CSV
- خطة المؤسسات تحتفظ بسجل النشاط لمدة ٣٦٥ يوماً مع تسليم عبر Webhook لأنظمة SIEM
الذكاء الاصطناعي
لا تدريب على بيانات العملاء
نعمل بإعداد الاحتفاظ الصفري للبيانات مع مزوّدي النماذج. لا تُستخدم نصوص العملاء ولا مخرجات النموذج ولا المستندات المرفوعة في تدريب النماذج الأساسية ولا تُغذّى أي مجموعات تدريب عامة
مزوّدو النماذج
يوجّه Saudi HR طلبات الاستدلال عبر بوابة Vercel AI Gateway التي تستدعي المزوّدين التاليين. كل مزوّد يلتزم بسياسة خصوصية معلنة لعملاء المؤسسات
- Google Vertex AI نماذج Gemini
- Anthropic نماذج Claude
- OpenAI عائلة GPT-4o
- DeepSeek
- xAI نموذج Grok
نظام إدارة الذكاء الاصطناعي ISO 42001:2023
المعيار الدولي الناشئ لإدارة الذكاء الاصطناعي بمسؤولية. نستهدف الحصول على الشهادة لأول مرة في النصف الأول من ٢٠٢٧
الأمن السيبراني
التشفير عند التخزين
AES-256 عبر قاعدة البيانات وتخزين الملفات والتضمينات
التشفير أثناء النقل
TLS 1.2 وأعلى على كل نقطة طرف. اتصال HTTPS فقط
اختبارات الاختراق
اختبار سنوي من طرف ثالث، مع تقرير مختصر يُشارك تحت اتفاقية عدم إفصاح عند الطلب
مكافآت الثغرات
نخطط لإطلاق برنامج مكافآت ثغرات خاص
الإفصاح عن الثغرات
إذا اكتشفت ما يبدو ثغرة أمنية فنرد خلال يوم عمل واحد، ونذكر المُبلّغين في سجل الإفصاح العام
security@saudihr.aiصفحة الحالة العامة
صفحة حالة مباشرة على status.saudihr.ai تعرض سجل التوافر والحوادث
الالتزام
SOC 2 Type II
تقييم الاستعداد في الربع الثالث ٢٠٢٦، وفتح نافذة التدقيق في الربع الرابع، وإصدار تقرير Type II في النصف الأول من ٢٠٢٧. تتوفر خطاب جسر لفِرق المشتريات التي تحتاج غطاءً أثناء نافذة التدقيق
تقييم الاستعداد الربع الثالث ٢٠٢٦ISO 27001:2022
الانطلاق في الربع الرابع ٢٠٢٦ مع مدقق سعودي معتمد. هدف الحصول على الشهادة في النصف الثاني من ٢٠٢٧. تُضمّ شهادة ISO 27701 للخصوصية ضمن قصة PDPL
الانطلاق الربع الرابع ٢٠٢٦نظام حماية البيانات الشخصية
متوافق مع نظام حماية البيانات الشخصية السعودي اليوم. تتوفر بنود تعاقدية معيارية من سدايا لنقل البيانات عبر الحدود. نستهدف تعيين مسؤول حماية بيانات مقيم في المملكة في الربع الثالث ٢٠٢٦
متوافق اليوماتفاقية معالجة البيانات GDPR
اتفاقية معالجة بيانات قياسية تُسلّم عند الطلب وتتوافق مع المادة ٢٨ من GDPR وقالب SCC من سدايا للمتحكّم إلى المعالج
اطلب اتفاقية معالجة البياناتعند الطلب
مكان البيانات
- اليوم تستضاف قاعدة Postgres في فرانكفورت Neon aws-eu-central-1 وتضمينات المتجهات في الاتحاد الأوروبي. تخزين الملفات وبوابة الاستدلال على شبكة الحافة العالمية لـ Vercel
- للمؤسسات اتفاقية معالجة بيانات مخصّصة بسريان النظام السعودي وملحق SCC من سدايا للمتحكّم إلى المعالج. متاحة عند توقيع العقد
- ضمن الخارطة توجيه استدلال Vertex AI إلى منطقة الدمام me-central2 في الربع الثالث ٢٠٢٦ يليه مسار Postgres على AWS me-central-1. تفاصيل التتابع متاحة في وثيقة متطلبات المنتج العامة لاستضافة البيانات داخل المملكة
هل تودّ التعمّق أكثر
تحصل فرق المشتريات في المؤسسات على حزمة الثقة عند الطلب وتتضمّن ملخّص جاهزية SOC 2 واتفاقية معالجة البيانات وسجل المعالجين الفرعيين وملخّص أحدث اختبار اختراق تحت اتفاقية عدم إفصاح
كل عناصر الالتزام أعلاه تحمل تاريخاً مستهدفاً. نخبرك بحقيقة ما هو قيد العمل لا بما نتمنّاه