الثقة

كيف يتعامل EnerGo Connect مع بياناتكم، أموالكم، ووقت تشغيلكم.

كل ادّعاء في هذه الصفحة يقابله إمّا ميزة في الإنتاج أو التزام تعاقدي متاح قبل التوقيع. إن لم يكن شيء أدناه مُعتمدًا بعد، نقول ذلك صراحةً. إن كان مُعتمدًا، يُسلَّم الأثر الإثباتي ضمن الـ MSA القياسي.

آخر تحديث: مايو 2026

اطلب عرضًا توضيحيًا تخطّى إلى الامتثال

ملخّص الثقة في صفحة واحدة

ما يحتاجه مراجِع procurement خلال 30 ثانية.

  • حماية البيانات GDPR

    متوافق مع GDPR. سير عمل المحو وفق المادة 17 منشور في البوّابة الإدارية. DPA القياسي متاح قبل التوقيع.

  • أمن المعلومات SOC 2 Type II قيد التنفيذ

    التدقيق المستقل قيد التنفيذ؛ لا توجد شهادة SOC 2 حالية. وثيقة وضع الضوابط متاحة بموجب NDA عند الطلب.

  • الاستضافة الاتحاد الأوروبي افتراضيًا

    الاتحاد الأوروبي (فرانكفورت) افتراضيًا. مناطق sovereign-cloud (المملكة المتحدة، الإمارات، المملكة العربية السعودية، البرازيل، الهند) و on-premise متاحة ضمن فئة talk-to-sales.

  • SLA وقت التشغيل 99.9% / 99.95%

    99.9% في الفئة القياسية مع استجابة في ساعات العمل. 99.95% في الفئة المؤسسية مع استجابة على مدار الساعة.

  • التشفير TLS 1.2+ / at-rest

    TLS 1.2+ أثناء النقل، HSTS preload مُفعَّل على سطح التسويق. تشفير at-rest على Postgres المُدار. اشتقاق مفاتيح per-tenant لاعتمادات OCPP وأسرار المستأجر.

  • قابلية نقل البيانات تصدير كامل، اشتراك شهري

    عقد شهري. تصدير كامل للبيانات عند الخروج (CDR، المستخدمون بموافقتهم، التعرفات، سجلّ التدقيق، تاريخ الـ roaming) بدون رسوم. بدون رسوم إنهاء.

وضع الامتثال

مُقدَّم بصراحة — ما تمّ، وما هو قيد التنفيذ، وما ليس في خارطة الطريق.

RegimeStatusEvidence
GDPR (لائحة الاتحاد الأوروبي 2016/679) متوافق سير عمل المادة 17 (الحق في المحو) منشور في البوّابة الإدارية — مسارات يبدأها السائق ويبدأها المشغّل. يُحفَظ سجلّ الأساس القانوني على مستوى المستأجر. اتفاقية معالجة البيانات القياسية متاحة قبل التوقيع.
SOC 2 Type II قيد التنفيذ تدقيق مستقل قيد التنفيذ. لا توجد شهادة حالية. وثيقة مرحلية لوضع الضوابط (إدارة الوصول، إدارة التغيير، المراقبة، الاستجابة للحوادث) متاحة بموجب NDA عند الطلب.
ISO 27001 غير مُعتمد لا ندّعي اعتماد ISO 27001. إذا كانت عملية procurement لديكم تتطلّبها تحديدًا، يمكننا مطابقة مجموعة ضوابطنا مع الملحق A من ISO 27001 للمقارنة.
NEVI (FHWA، الولايات المتحدة) قابل للتكوين يمكن تكوين تقارير وقت التشغيل وخطّ خدمة عملاء NEVI داخل البوّابة الإدارية. لسنا اليوم شريك نشر NEVI-tier مموَّل فيدراليًا في الولايات المتحدة؛ إن كان NEVI هو المحرّك الرئيسي لـ procurement لديكم، فإنّ ChargeLab أنسب للقائمة المختصرة.
PCI DSS خارج النطاق تُرمَّز بيانات البطاقات بواسطة معالج الدفع لدينا (PCI DSS Level 1) قبل أن تصل إلى المنصّة. لا يخزّن Connect أرقام البطاقات. نطاقنا محصور بضوابط SAQ-A.
قانون جمهورية أرمينيا بشأن حماية البيانات الشخصية متوافق ENERGO CHARGERS LLC مسجَّلة في أرمينيا وتعمل بموجب قانون جمهورية أرمينيا بشأن البيانات الشخصية إلى جانب GDPR لأصحاب البيانات في الاتحاد الأوروبي.

الاستضافة وإقامة البيانات

أين تقع بياناتكم فعليًا، وكيف تُغيِّرون ذلك.

RegionTierNotes
الاتحاد الأوروبي — فرانكفورت قياسي افتراضي. مستخدَم لكلّ مستأجر من الفئة القياسية ما لم يُطلَب خلاف ذلك.
المملكة المتحدة Sovereign استضافة في منطقة UK متاحة ضمن فئة talk-to-sales (متطلّبات إقامة بيانات ما بعد Brexit).
الإمارات العربية المتحدة Sovereign استضافة في منطقة الإمارات متاحة عند الطلب للمستأجرين الخاضعين لقواعد إقامة بيانات الإمارات.
المملكة العربية السعودية Sovereign استضافة في منطقة KSA متاحة عند الطلب للامتثال لـ PDPL.
البرازيل Sovereign استضافة في منطقة البرازيل متاحة عند الطلب لعمليات النشر المتوائمة مع LGPD.
الهند Sovereign استضافة في منطقة الهند متاحة عند الطلب لعمليات النشر المتوائمة مع DPDP Act.
On-premise مؤسسي نشر الـ stack الكامل on-premise متاح ضمن الفئة المؤسسية.

قائمة المعالجات الفرعية متاحة ضمن MSA. لا ننقل البيانات الشخصية خارج منطقة الإقامة المختارة دون تعليمات صريحة.

وقت التشغيل، الاستجابة للحوادث، وسجلّ التغييرات

ما نلتزم به، كيف نستجيب عند العطل، وكيف تتحقّقون من ذلك لاحقًا.

TierSLAResponseCredits
قياسي 99.9% شهريًا بريد + محادثة في ساعات العمل (UTC+04، ساعات عملكم عند الطلب) رصيد خدمة وفق MSA القياسي
مؤسسي 99.95% شهريًا بيجر حوادث على مدار الساعة، إقرار خلال ساعة واحدة أرصدة خدمة مُعزَّزة وفق MSA المؤسسي

كيف تتحقّقون ممّا أصدرناه

  • سجلّ تغييرات عام على /ar/#changelog — كل إصدار يحمل نفس مفاتيح التذاكر الداخلية التي نستخدمها داخليًا.
  • سجلّ تدقيق لكل مستأجر داخل البوّابة الإدارية — كل إجراء إداري، كل استدعاء API، كل حدث شاحن، مع تحقّق سلسلة يومي.
  • فواتير شهرية بتفاصيل أعداد الجلسات والتسويات؛ تظهر المرتجعات (وانعكاس عمولة الـ 3%) على نفس الفاتورة.
  • صفحة حالة مخصّصة (status.ener-go.am) مخطّط لها لكنّها ليست مفعّلة بعد. حتى ذلك الحين، تُرسَل الحوادث بالبريد إلى جميع مشرفي المستأجرين.

وضع الأمن

الضوابط التي نشغّلها اليوم، بلغة واضحة.

أمن قناة النقل

  • TLS 1.2 كحدّ أدنى على كل نقطة عامّة؛ TLS 1.3 مُفضَّل.
  • HSTS preload مُفعَّل على connect.ener-go.am بـ max-age لمدّة سنة و includeSubDomains.
  • CSP صارم على سطح التسويق؛ نفس السياسة على البوّابة الإدارية.

البيانات في حالة السكون

  • Postgres مُدار مع تشفير القرص على مستوى المزوّد.
  • اشتقاق مفاتيح per-tenant لاعتمادات OCPP وأسرار المستأجر.
  • النسخ الاحتياطية مشفّرة بنفس هرمية المفاتيح؛ إجراء الاسترجاع موثَّق ويُختبَر قبل أيّ تغيير يؤثّر على الإنتاج.

إدارة الوصول

  • RBAC في البوّابة الإدارية — نطاق per-team و per-fleet.
  • جلسات البوّابة الإدارية قصيرة الأمد ويمكن إبطالها لكل مستخدم.
  • الوصول إلى API بواسطة رموز ذات نطاق محدّد؛ يمكن تدوير الرموز وإبطالها بشكل فردي.

أمن التطبيق

  • نقاط الكتابة على أسطح OCPP و API محميّة بمعدّل تردّد ومفاتيح idempotency.
  • عامل احتيال في الوقت الحقيقي على جلسات السائق (إثراء MaxMind، فحوصات السرعة).
  • خط أنابيب المحو وفق المادة 17 من GDPR (مبادرات السائق والمشغّل) مع تحقّق تشفيري من الحذف.

الإفصاح عن الثغرات

  • نافذة الإفصاح المنسَّق: 90 يومًا من تاريخ التقرير بموجب اتفاق متبادل.
  • جهة الاتصال الأمنية: [email protected] (مفتاح PGP عند الطلب) و /.well-known/security.txt.
  • لا نُشغّل برنامج bug bounty مدفوعًا اليوم؛ التقارير المسؤولة يُقَرّ بها خلال يومَي عمل.

قابلية نقل البيانات — الخروج رخيص بالتصميم

وندور-لوك-إن هو أسوأ جزء في عقود CPMS المؤسسية. صمّمنا ضدّه من اليوم الأول.

What an export contains

  • Charging Detail Records (CDR) — كلّ جلسة، مع طوابع البداية/النهاية، الطاقة المسلَّمة، التعرفة المطبّقة، الاسم المستعار للسائق، معرّف الشاحن.
  • قاعدة المستخدمين — كل حساب، مع بيانات شخصية موسومة بالموافقة (نُعيد الاستيراد فقط بموافقة صريحة).
  • تكوينات التعرفات — كل بنية تعرفة نشطة وتاريخية، بما فيها قواعد وقت اليوم والحصص.
  • سجلّ التدقيق — كل إجراء إداري، كل استدعاء API، كل انتقال حالة، مع المرساة السلسلية اليومية.
  • تاريخ الـ roaming — كل جلسة OCPI، مع party-ID وحالة التسوية.
  • التقارير — كل تقرير مُنشَأ (الإيراد، P&L، تقادم ذمم الأساطيل، إلخ.) بنفس صيغة البوّابة الإدارية.
Format
CSV للبيانات الجدولية، JSON للبيانات المنظَّمة، عند الطلب — لقطة Postgres logical-replication للفرق التقنية.
Timing
التصدير القياسي يُسلَّم خلال 5 أيام عمل من الطلب. التصدير المُسرَّع (خلال 24 ساعة) متاح ضمن الفئة المؤسسية.
Cost
0 يورو في كل فئة. بدون رسوم إنهاء.

المعالجات الفرعية

لا ننشر قائمة المعالجات الفرعية الكاملة لأنّ القائمة محافظة والأسماء المحدّدة ليست ما يهمّ مراجعة الأمن لديكم فعلًا. تُسلَّم القائمة الشاملة ضمن MSA، تُحدَّث ربع سنوي، مع إخطار بأيّ تغيير قبل 30 يومًا.

  • البنية التحتية والاستضافة

    استضافة التطبيق، Postgres مُدار، تخزين كائني، CDN على الحافة

  • معالجة المدفوعات

    شبكات البطاقات، Apple Pay، Google Pay، قنوات محلّية لكل سوق، مزوّدو الإيصالات الضريبية لكل ولاية قضائية

  • الاتصالات

    بريد المعاملات، رسائل SMS لـ OTP، إرسال إشعارات push

  • القابلية للملاحظة

    مراقبة التطبيق، تسجيل منظّم، تجميع الاستثناءات

  • أدوات الامتثال

    إثراء Geo-IP (MaxMind)، تثبيت سلاسل سجلّ التدقيق

وثائق متاحة عند الطلب

  • MSA القياسي (نحو 6 صفحات)
  • DPA القياسي (متوائم مع GDPR)
  • وضع ضوابط الأمن (تحضير تدقيق SOC 2 Type II)
  • قائمة المعالجات الفرعية (الحالية، تُحدَّث ربع سنوي)
  • ملخّص خطّة التعافي من الكوارث
  • ملاحق MSA القياسي لمناطق sovereign-cloud

أرسلوا إلى [email protected] مع وصف موجز لسياق procurement وسنرسل المجموعة الملائمة.

أسئلة الثقة الشائعة

هل أنتم معتمدون SOC 2 اليوم؟

لا. تدقيق SOC 2 Type II قيد التنفيذ؛ نتوقّع شهادة خلال الـ 12 شهرًا القادمة. لا نسوّق أنفسنا كمعتمدين قبل اكتمال التدقيق. تتوفّر وثائق وضع الضوابط المرحلية بموجب NDA.

هل يمكننا استضافة EnerGo Connect لدينا؟

نعم، في الفئة المؤسسية. ننشر الـ stack الكامل على بنية تحتية يسيطر عليها العميل ضمن نموذج تشغيل منفصل. تُستضاف الفئة القياسية لدينا في الاتحاد الأوروبي - فرانكفورت.

ما هو SLA إخطار الحوادث؟

الفئة القياسية: إخطار مشرفي المستأجرين خلال ساعة عمل واحدة من تأكّد التأثير. الفئة المؤسسية: 15 دقيقة، عبر البيجر.

كيف يُتحكَّم بوصول فريقكم إلى بياناتي؟

الوصول الإنتاجي مقصور على مناوبة on-call مسمّاة باعتمادات قصيرة الأمد. أفراد مسمّون ومحاسَبون فقط؛ يُسجَّل كل إجراء إنتاجي في نفس البنية التحتية لسجلّ التدقيق التي يراها المستأجرون لإجراءاتهم.

هل تشفّرون النسخ الاحتياطية؟

نعم، بنفس هرمية المفاتيح per-tenant مثل قاعدة البيانات الحيّة. إجراء الاسترجاع موثَّق ويُختبَر قبل أيّ تغيير يؤثّر على الإنتاج.

ماذا يحدث لبياناتي إن ألغيت؟

نافذة قياسية 30 يومًا نقدّم خلالها تصديرًا كاملًا عند الطلب، ثم يُمحى مستأجر الإنتاج. النسخ الاحتياطية المحتوية على بياناتكم تخرج من الدورة وفق سياسة الاحتفاظ القياسية البالغة 35 يومًا.

أين أرسل تقرير ثغرة؟

[email protected] أو عبر /.well-known/security.txt. إقرار خلال يومَي عمل؛ نافذة إفصاح منسَّق 90 يومًا من التقرير المؤكّد.

هل يمكننا إجراء pen-test خاصّ بنا ضدّ Connect؟

نعم، بإشعار مسبق. نُنسّق على النطاق والتوقيت كي لا نفسّره كحادث حقيقي. تُتشارَك التقارير مع مسؤول الأمن لدينا.

أرسلوا استبيان الأمن لديكم. سنُكمله بنهاية يوم العمل التالي.

أرسلوا الاستبيان الذي يستخدمه فريق procurement لديكم. سنُكمله مقابل الضوابط القائمة اليوم، نُؤشّر ما هو مخطّط لكن لم يصدر بعد، ونُعيده مع الوثائق الداعمة.

اطلب عرضًا توضيحيًا العودة إلى الرئيسية