يودع مستخدمو Evernote المليارات من ملاحظاتهم ومشاريعهم وأفكارهم لدينا. تعتمد هذه الثقة على حفاظنا على خصوصية هذه البيانات وأمانها. تهدف المعلومات الواردة في هذه الصفحة إلى توفير الشفافية حول كيفية حمايتنا لتلك البيانات. سنستمر في توسيع نطاق هذه المعلومات وتحديثها حيث نضيف إمكانيات أمان جديدة ونجري تحسينات أمنية على منتجاتنا.
الأمن هو فريق متخصص داخل Evernote. يحمي ميثاق فريق الأمان لدينا البيانات التي تُخزنها في خدمتنا. نحن نقود برنامج أمان يتضمن مجالات التركيز التالية: أمان المنتج، وضوابط البنية التحتية (المادية والمنطقية)، والسياسات، وإدراك الموظفين، وكشف التسلل، وأنشطة التقييم.
يدير فريق الأمن برنامجًا داخليًا للاستجابة للحوادث ("IR") ويقدم إرشادات لموظفي Evernote حول كيفية الإبلاغ عن أي نشاط مشبوه. يمتلك فريق العلاقات الخارجية لدينا إجراءات وأدوات مطبقة للاستجابة لقضايا الأمان ويواصل تقييم التقنيات الجديدة لتحسين قدرتنا على اكتشاف الهجمات ضد بنيتنا التحتية وخدمتنا وموظفينا.
نقوم بشكل دوري بتقييم البنية التحتية والتطبيقات الخاصة بنا بحثًا عن نقاط الضعف ومعالجة تلك التي قد تؤثر على أمان بيانات العملاء. يقوم فريق الأمان لدينا باستمرار بتقييم الأدوات الجديدة لزيادة تغطية وعمق هذه التقييمات.
يحدد Evernote حدود الشبكة الخاصة به باستخدام مجموعة من موازين التحميل، والجدران النارية، والشبكات الافتراضية الخاصة. نستخدم هذه المجموعة للتحكم في الخدمات التي تتعرض بواسطتنا للإنترنت ولتجزئة شبكة الإنتاج لدينا عن بقية البنية التحتية للحوسبة خاصتنا. نحن نحدد من يمكنه الوصول إلى البنية التحتية لإنتاجنا بناءً على حاجة العمل ونصادق بشدة على هذا الوصول.
لا يخزن Evernote كلمة مرورك أبدًا في نص عادي. عندما نحتاج إلى تخزين كلمة مرور حسابك بشكل آمن لمصادقتك، فإننا نستخدم PBKDF2 (وظيفة اشتقاق المفتاح المستندة إلى كلمة المرور 2) مع سمة فريدة لكل من بيانات اعتماد. نختار عدد مرات تكرار التجزئة بطريقة تحقق التوازن بين تجربة المستخدم وتعقيد تكسير كلمة المرور.
على الرغم من أننا لا نطلب منك تعيين كلمة مرور معقدة، فإن مقياس قوة كلمة المرور الخاص بنا سيشجعك على اختيار كلمة مرور قوية. نحن نحصر محاولات تسجيل الدخول الفاشلة على أساس كل حساب وكل عنوان IP لإبطاء هجمات تخمين كلمة المرور.
تقدم Evernote hالمصادقة بخطوتين ("2SV")، المعروفة أيضًا باسم المصادقة الثنائية أو المصادقة متعددة العوامل، لجميع الحسابات. تعتمد آلية التحقُّق بخطوتين لدينا على خوارزمية كلمة مرور لمرة واحدة تستند إلى الوقت (TOTP). يمكن لجميع المستخدمين إنشاء رموز محليًا باستخدام تطبيق على أجهزتهم المحمولة أو يمكنهم اختيار تسليم الرموز كرسالة نصية.
يمنحك Evernote طريقة لإنشاء ملاحظات في حسابك عن طريق إرسال رسائل بريد إلكتروني إلى عنوان بريد إلكتروني فريد في Evernote. لحمايتك من المحتوى الضار، نقوم بفحص جميع رسائل البريد الإلكتروني التي نتلقاها باستخدام محرك مسح تجاري لمكافحة الفيروسات.
عندما تتلقى بريدًا إلكترونيًا من Evernote، نريدك أن تكون واثقًا من أنها جاءت منا بالفعل. ننشر سياسة DMARC (المصادقة على الرسالة المستندة إلى النطاق والإبلاغ عنها ومطابقتها)، القابلة للإنفاذ، لتحسين ثقتك في أن البريد الإلكتروني الذي تتلقاه من Evernote شرعي. سيتم توقيع كل بريد إلكتروني نرسله من النطاقات التالية بشكل مشفر باستخدام DKIM (البريد المُعرَّف بمفاتيح النطاق) وينشأ من عنوان IP الذي ننشره في سجل نظام التعرف على هوية المرسل (SPF) الخاص بنا.
Evernote:
يعد تأمين خدمة الويب التي تواجه الإنترنت أمرًا بالغ الأهمية لحماية بياناتك. يقود فريق الأمان لدينا برنامج لأمان التطبيق لتحسين ممارسات أمان الكود وتقييم خدماتنا بشكل دوري فيما يتعلق بمشكلات أمان التطبيقات الشائعة بما في ذلك: CSRF (تزوير الطلب عبر الموقع)، وهجمات الحقن (XSS (استخدام البرامج النصية عبر المواقع)، وSQLi (حقن لغة الاستعلام الهيكلية)) وإدارة الجلسة، وإعادة توجيه عنوان URL، وخطف النقرات.
تصادق خدمة الويب الخاصة بنا جميع تطبيقات العميل التابعة لأطراف خارجية باستخدام OAuth. يوفر OAuth طريقة سلسة لتوصيل تطبيق طرف خارجي معين بحسابك دون الحاجة إلى منح التطبيق بيانات اعتماد تسجيل الدخول الخاصة بك. بمجرد المصادقة على Evernote بنجاح، نعيد رمز المصادقة إلى العميل لمصادقة وصولك من تلك النقطة فصاعدًا. هذا يلغي الحاجة إلى تطبيق طرف خارجي لتخزين اسم المستخدم وكلمة المرور الخاصين بك على جهازك.
كل تطبيق عميل يتحدث إلى خدمتنا يستخدم واجهة برمجة تطبيقات التوفير محددة جيدًا لجميع الإجراءات. من خلال التوسط في جميع الاتصالات من خلال واجهة برمجة التطبيقات هذه، يمكننا إنشاء عمليات التحقق من التفويض كبنية أساسية في بنية التطبيق. لا يوجد وصول مباشر للكائن داخل الخدمة ويتم التحقق من رمز المصادقة الخاص بكل عميل عند كل عملية وصول إلى الخدمة لضمان مصادقة العميل وتخويله للوصول إلى ملاحظة أو دفتر ملاحظات معين. يرجى مراجعة dev.evernote.com لمزيد من المعلومات.
خدمة Evernote متعددة المستأجرين ولا تقوم بتقسيم بياناتك من بيانات المستخدمين الآخرين. قد تبقى بياناتك على نفس الحاسبات الخادمة مثل بيانات مستخدم آخر. نحن نعتبر بياناتك خاصة ولا نسمح لمستخدم آخر بالوصول إليها ما لم تشاركها صراحةً.
يحتفظ Evernote بالمحتوى الخاص بك ما لم تتخذ خطوات صريحة لحذف الملاحظات و/أو دفاتر الملاحظات. للحصول على معلومات حول كيفية حذف الملاحظات، يرجى الاطلاع على مقالة مركز المساعدة هذه. للحصول على معلومات حول سياسات الاحتفاظ لدينا، يرجى الرجوع إلى قسمسياسة الخصوصية، بعنوان "حذف المعلومات".
نقوم بمسح أو تدمير جميع وسائط التخزين بشكل آمن إذا كان قد تم استخدامها في أي وقت لتخزين بيانات المستخدم. نتبع إرشادات NIST (المعهد الوطني للمقاييس والتقنية) في المنشور الخاص 800-88 لإنجاز ذلك. للحصول على مثال حول كيفية تدمير محركات الأقراص الثابتة المعطلة بشكل آمن، يرجى مراجعة مقالة المدونة هذه.
نحن نستخدم مجموعة متنوعة من خيارات التخزين في منصة سحابة Google ("GCP")، بما في ذلك الأقراص المحلية، والأقراص الدائمة، وحاويات تخزين سحابة Google. نستفيد من عمليات محو التشفير في Google للتأكد من أن إعادة استخدام التخزين لا يؤدي إلى كشف بيانات العملاء الخاصة.
تُجري خدمة Evernote تسجيلاً من جانب الحاسب الخادم لتفاعلات العميل مع خدماتنا. يتضمن ذلك تسجيل الوصول إلى الحاسب الخادم للويب، بالإضافة إلى تسجيل النشاط للإجراءات المتخذة من خلال واجهة برمجة التطبيقات الخاصة بنا. نقوم أيضًا بجمع بيانات الأحداث من تطبيقات عملائنا. يمكنك عرض أوقات الوصول الأخيرة وعناوين IP لكل تطبيق متصل بحسابك في قسم سجل الوصول في إعدادات حسابك.
يستخدم Evernote التشفير القياسي للصناعة لحماية بياناتك أثناء النقل. يشار إلى هذا عادةً باسم أمان طبقة النقل ("TLS") أو تقنية طبقة المقابس الآمنة ("SSL"). بالإضافة إلى ذلك، ندعم أمان نقل HTTP الصارم ("HSTS") لخدمة Evernote (www.evernote.com). نحن ندعم مزيجًا من مجموعات التشفير وبروتوكولات TLS لتوفير توازن بين التشفير القوي للمتصفحات والعملاء الذين يدعمونها وبين التوافق مع الإصدارات السابقة للعملاء القدامى الذين يحتاجون إليها. نخطط لمواصلة تحسين وضع أمن النقل لدينا لدعم التزامنا بحماية بياناتك.
نحن ندعم STARTTLS لكل من البريد الإلكتروني الوارد والصادر. إذا كان مزود خدمة البريد الخاص بك يدعم TLS (أمان طبقة النقل)، فسيتم تشفير بريدك الإلكتروني أثناء النقل، من وإلى خدمة Evernote.
نحن نحمي جميع بيانات العملاء المتدفقة بين مركز البيانات لدينا وGoogle Cloud Platform باستخدام IPSEC (أمان بروتوكول الإنترنت) مع تشفير GCM-AES-128 أو TLS (أمان طبقة النقل).
في أواخر عام 2016، بدأنا في ترحيل خدمة Evernote إلى Google Cloud Platform ("GCP"). ستتم حماية بيانات العميل التي نقوم بتخزينها في برنامج "شركاء Google المعتمدون" باستخدام ميزات التشفير الثابتة المضمنة من Google. بشكل أكثر تقنية، نحن نستخدم ميزة التشفير من جانب الخادم من Google مع مفاتيح التشفير التي تديرها Google لتشفير جميع البيانات الثابتة باستخدام AES-256، وذلك بشفافية وتلقائية. يمكنك العثور على معلومات إضافية حول كيفية حماية التشفير الثابت لبياناتك هنا.
نقوم بتشغيل بنية قادرة على تحمل الأخطاء لضمان توفر Evernote عند الحاجة إليه.
في كل من مراكز البيانات المادية لدينا والبنية التحتية السحابية لدينا، يشمل ذلك:
يوفر كل من Google ومورد الموقع المشترك لدينا خدمات للمنشآت قادرة على تحمل الأخطاء، بما في ذلك: الطاقة والتدفئة والتهوية وتكييف الهواء وإخماد الحرائق.
نحن نقدم تحديثات مباشرة وتاريخية عن حالة توفر الخدمة لدينا هنا: https://twitter.com/evernotestatus و http://status.evernote.com.
نقوم بعمل نسخة احتياطية لجميع محتويات العملاء مرة واحدة على الأقل يوميًا. لا نستخدم وسائط محمولة أو قابلة للإزالة للنسخ الاحتياطية.
نقوم بتشغيل خدمة Evernote باستخدام مجموعة من الخدمات السحابية ومراكز البيانات المادية.
بالنسبة لمراكز البيانات الخاصة بنا، نقوم بتأمين بنيتنا التحتية في قفص مغلق خاص يتضمن مراقبة 24 ساعة طوال الأسبوع على مدار العام. يتطلب الوصول إلى مراكز البيانات هذه كحد أدنى، مصادقة ثنائية العامل، ولكن قد يشمل القياسات الحيوية كعامل ثالث. خضع كل مركز من مراكز البيانات لدينا لتدقيق SOC-1 Type 2، مما يدل على قدرتها على تأمين بنيتنا التحتية ماديًا. فقط موظفو عمليات Evernote وموظفو مراكز البيانات لديهم إمكانية الوصول المادي إلى هذه البنية التحتية، ويتم تنبيه فريق العمليات لدينا في كل مرة يصل فيها شخص ما إلى قفصنا، بما في ذلك تسجيل فيديو للحدث.
بالنسبة لخدماتنا السحابية، نستخدم منصة سحابة Google. حصلت Google على العديد من الشهادات التي تثبت قدرتها على تأمين بيانات Evernote ماديًا. يمكنك قراءة المزيد حول أمان منصة سحابة Google هنا.
جميع بيانات Evernote موجودة داخل الولايات المتحدة.
يرجى مراجعة مركز الخصوصية للحصول على مزيد من المعلومات. نحن لا ننشر تقرير مراقبة مؤسسة الخدمة (“SOC”).