كيفية الإبلاغ عن مشكلة أمنية.

تغطّي هذه السياسة ثغرات الأمان في خدمة Prism على prismlens.net، بما في ذلك تطبيق الويب والواجهة البرمجية وأي عملاء موبايل نصدرها. لا تغطي خدمات الأطراف الثالثة (Supabase، Vercel، Anthropic، OpenAI، Stripe، Resend) — أبلغ عن مشكلاتها مباشرةً إلى المورّد.

·ثغرات المصادقة والتفويض (تجاوز التحكم بالوصول، معالجة الجلسة، تصعيد الصلاحيات).

·تعرّض البيانات أو تسرّبها (مدخلات مستخدمين آخرين، التضمينات، التحليل، أو البيانات الشخصية المرئية دون تفويض).

·ثغرات الحقن (SQL، القوالب، الأوامر، حقن المطالبات الذي يسرّب البيانات عبر المستخدمين).

·التنفيذ عن بُعد للكود.

·تزوير الطلبات من جانب الخادم (SSRF) أو مخاطر البنية التحتية الأخرى.

·ثغرات منطقية تتيح الوصول المجاني للميزات المدفوعة أو تجاوز حدود المعدل أو الخسارة المالية.

·مخاطر سلسلة التوريد الخاصة بنشر Prism.

·مشكلات الأطراف الثالثة في Supabase وVercel وAnthropic وOpenAI وStripe وResend — أبلغ المورّد.

·هجمات حجب الخدمة أو الهجمات الحجمية أو الهجمات الجسدية.

·هجمات الهندسة الاجتماعية ضد موظفي Prism.

·XSS الذاتي الذي يتطلب من المستخدم لصق كود في متصفحه.

·رؤوس أمان مفقودة دون تأثير يمكن إثباته.

·اختطاف النقر على صفحات لا تحوي إجراءات حساسة.

·مشكلات تتطلب جهازاً مخترقاً مسبقاً أو صلاحيات root/jailbreak.

·CSRF على نقاط طرفية بلا تأثير أمني.

·تحديد المعدل / القوة العمياء دون تأثير على صحة بيانات الاعتماد.

·تقارير تُولَّد كلياً بواسطة أدوات فحص آلية دون تحقق يدوي.

البريد الإلكتروني security@prismlens.net مع:

·وصف واضح للمشكلة.

·خطوات إعادة الإنتاج أو إثبات المفهوم.

·تقييمك للتأثير (من يتأثر وكيف).

·بيانات الاتصال (اختيارية) إن أردت الإسناد أو رداً.

·تأكيد الاستلام خلال 3 أيام عمل.

·الفرز والرد بتقييمنا الأولي خلال 7 أيام عمل.

·إبقاؤك على اطلاع طوال مرحلة المعالجة.

·عدم اتخاذ إجراء قانوني ضد الأبحاث الحسنة النية التي تجرى وفق هذه السياسة، بشرط تجنّب الوصول إلى بيانات المستخدمين الآخرين أو تسريبها فيما يتجاوز الحد الأدنى اللازم لإثبات المشكلة، وعدم الإضرار بتوافر الخدمة، وإعطائنا نافذة معقولة (90 يوماً افتراضياً) قبل الإفصاح العلني.

·لا تختبر باستخدام بيانات مستخدمين حقيقيين. أنشئ حساب اختبار.

·لا تستخدم الهندسة الاجتماعية ضد مؤسسي Prism أو موظفيها أو مستخدميها.

·لا تسرّب بيانات تتجاوز ما يلزم لإثبات المشكلة.

·لا تُفصح علناً قبل أن نحظى بنافذة معقولة للرد والمعالجة.

·أبلغ باللغة الإنجليزية أو العربية.

لا يعمل Prism حالياً برنامج مكافآت نقدية. بالنسبة للمشاكل الكبيرة، سنعترف بها علناً (بإذنك)، ونعترف بك في إدخال السجل، ونصدر بضائع Prism حيثما توفرت. أولويتنا هي سرعة الإصلاح، وليس ميزانية المكافآت — سنعيد النظر مع نموّنا.

إلى أقصى حد يمكننا تقديمه، بحثك بحسن نية بموجب هذه السياسة:

·مأذون من Prism ولا ينتهك شروط خدمة Prism.

·لن يكون مسوّغاً لإجراء مدني أو جنائي من قِبَل Prism بموجب قوانين إساءة استخدام الحاسوب المعمول بها.

·لن يؤدي إلى شكوى لصاحب العمل أو الجهة التنظيمية أو الجهات الأمنية.

هذا الملاذ الآمن هو التزامنا ولا يضمن أن تتخذ الأطراف الثالثة (معالجات الدفع وموفرو البنية التحتية) نفس الموقف. في حالة الشك، اسألنا قبل أن تختبر.

·Security reports: security@prismlens.net

·General support: support@prismlens.net

·Privacy / DPO: privacy@prismlens.net · dpo@prismlens.net