الثقة والأمان

أمان بمستوى الرعاية الصحية، مهندَس منذ اليوم الأول.

سجلات المرضى هي أكثر البيانات حساسية لدى أي عيادة. كل طبقة في The Clinic — من صف قاعدة البيانات حتى استدعاء المساعد الذكي — مبنية على فرضية أن أي اختراق غير مقبول.

حمّل حزمة الثقةتواصل مع فريق الأمان
  • HIPAA
  • SOC 2 Type II
  • GDPR
  • ISO 27001
الامتثال

كل إطار يطلبه فريق الامتثال لديك.

نُطابق ضوابطنا مع الأطر التي تُدقَّق ضدّها العيادات فعليًا، لا تلك التي تبدو جذابة على شارة فقط.

  • HIPAA

    جاهزون كجهة مغطّاة. اتفاقية شراكة تجارية (BAA) كاملة عند الطلب، وكل وصول مُسجَّل في سجل تدقيق إلحاقي فقط مقاوِم للعبث لمدة سبع سنوات.

  • SOC 2 Type II

    ضوابط مُدقَّقة باستقلالية تشمل الأمان والإتاحة والسرية. أحدث تقرير متاح عند الطلب.

  • GDPR

    أُسس قانونية موثَّقة، أدوات حقوق أصحاب البيانات مدمجة، اتفاقية DPA مع كل عيادة، وإقامة بيانات داخل الاتحاد الأوروبي.

  • ISO 27001

    نظام إدارة أمن المعلومات مُتوافق مع ضوابط الملحق A. الشهادة قيد الإصدار في الربع الثالث من 2026.

  • HITRUST

    ضوابطنا مُطابَقة مع HITRUST CSF v11. تقييم r2 مُجدوَل لنهاية 2026.

  • PCI DSS

    بيانات البطاقات لا تمسّ بنيتنا التحتية أبدًا — تُرمَّز عبر Stripe وTap، وتُدقَّق ربع سنويًا.

الركائز الأربع

دفاع متعدد الطبقات في كل مستوى من المنصة.

تشفير البيانات

  • تشفير AES-256 على القرص لكل عناقيد Postgres ومخازن الكائنات
  • TLS 1.3 أثناء النقل مع HSTS preloading ومجموعات تشفير حديثة فقط
  • تشفير ظرفي بمفاتيح بيانات لكل عيادة، تُدوَّر ربع سنويًا
  • مفاتيح يديرها العميل (BYOK) متاحة على الباقة المؤسسية

التحكم في الوصول

  • صلاحيات مبنية على الأدوار عبر 10 أدوار سريرية، مُطبَّقة على كل مسار API
  • تسجيل دخول موحّد إلزامي (SAML / OIDC) ومصادقة متعددة العوامل لكل حسابات الفريق
  • صلاحيات IAM بأقل امتياز للبنية التحتية، تُراجَع شهريًا
  • وصول إنتاج عند الحاجة فقط مع تسجيل كامل للجلسة

عزل المستأجرين

  • سياسات Row-Level Security في Postgres مُطبَّقة على مستوى قاعدة البيانات
  • سياق المستأجر يُمرَّر عبر AsyncLocalStorage في كل طلب
  • ملحق Prisma يمنع أي كتابة عابرة للمستأجرين على مستوى ORM
  • اختبارات ذاتية مستمرة للعزل تعمل في CI ومع كل نشر

التدقيق والمراقبة

  • كل قراءة وكتابة للمعلومات الصحية المحمية (PHI) تُسجَّل في سجل تدقيق إلحاقي فقط مقاوِم للعبث
  • احتفاظ لمدة 7 سنوات، قابل للتصدير إلى SIEM أو فريق الامتثال لديك عند الطلب
  • تُراجَع سجلات التدقيق خلال يوم عمل واحد؛ تُنبَّه الأحداث عالية الخطورة فريق المناوبة خلال 15 دقيقة
  • مراجعات وصول ربع سنوية وسير عمل إنهاء حسابات تلقائي
البنية

عزل متعدد المستأجرين، مُتحقَّق منه بثلاث طرق.

كل طلب يمرّ عبر ثلاث طبقات إنفاذ مستقلة قبل أن يصل إلى سجل المريض. أي خلل في إحداها تلتقطه الأخريان.

  • التطبيق. بيانات JWT تُحدد معرّف المستأجر، ويُحفظ في سياق AsyncLocalStorage طوال عمر الطلب.
  • ORM. ملحق Prisma يحقن مرشّح المستأجر في كل قراءة، ويمنع أي كتابة عابرة للمستأجرين عند التجميع.
  • قاعدة البيانات. Row-Level Security في Postgres يُطبّق نفس الحدود على طبقة التخزين — تطبيق مُخترَق لا يستطيع تجاوزها.
AES-256 على القرصTLS 1.3 أثناء النقلمفاتيح لكل عيادة
طلب من الطبيبJWT + clinicId
Auth middlewareالطبقة 1

يُحدّد المستأجر ويضبط سياق AsyncLocalStorage

ملحق Prisma للمستأجرينالطبقة 2

يحقن WHERE clinicId ويمنع الكتابات العابرة للمستأجرين

Postgres RLSالطبقة 3

سياسات على مستوى الصف تحكم كل SELECT وUPDATE

بيانات العيادة المشفّرةAES-256، مفاتيح لكل مستأجر

الاستجابة للحوادث

مناوبة طوارئ 24/7، وكتيّب إجراءات موثَّق، واتفاقية مستوى خدمة منشورة. كل حادث ينتهي بتحليل جذري يُشارَك مع العيادات المتأثرة.

  • حرج< ساعةاستجابة أولية، 24/7
  • مرتفع< 4 ساعاتاستجابة أولية، يوم عمل
  • تحليل ما بعد الحادث< 5 أياميُشارَك مع العيادات المتأثرة

الإفصاح عن الثغرات

نُدير برنامج إفصاح منسّق مع بنود حماية للباحثين بحسن نية، ومكافآت أخطاء للنتائج القابلة للتكرار.

  • ملف security.txt منشور مع مسار التصعيد ومفتاح PGP
  • مكافأة أخطاء تُدفع حسب الخطورة، مع شكر علني
  • بند حماية للأبحاث بحسن نية
  • إقرار بالاستلام خلال يوم عمل واحد
security@the-clinic.net
إقامة البيانات

بياناتك تبقى حيث يفرض القانون.

اختر منطقتك عند التسجيل. العيادات المؤسسية يمكنها استخدام مفاتيح KMS الخاصة بها — نحن لا نحتفظ بالمفتاح الرئيسي أبدًا.

  • الخليج

    البحرين

    الإقامة الأساسية للعيادات الخليجية. البيانات لا تغادر المنطقة.

  • الاتحاد الأوروبي

    فرانكفورت

    إقامة متوافقة مع GDPR للنشر الأوروبي بمعالجة داخل الاتحاد فقط.

  • الولايات المتحدة

    فرجينيا

    منطقة متوافقة مع HIPAA للعيادات الأمريكية، مع استرداد كوارث بين المناطق.

استخدم مفاتيح KMS الخاصة بك

العيادات المؤسسية يمكنها تغليف مفاتيح بيانات المستأجرين بمفاتيح محفوظة في AWS KMS أو Azure Key Vault أو GCP KMS الخاصة بها — مما يمنحها مفتاح إيقاف فوري في أي وقت.

موارد الثقة

كل ما يحتاجه فريق الامتثال لديك، في مكان واحد.

جاهز لتجربة The Clinic

شاهدها تُدير عيادتك في ثلاثين دقيقة.

احجز عرضًا مخصصًا. سنستخدم سير عمل عيادتك الحقيقي — لا جولة عامة.

احجز عرضًاتحدث مع المبيعات

بلا بطاقة ائتمان. بلا شرائح عرض. ثلاثون دقيقة.