close

يولي Keeper اهتمامًا مطلقًا لحماية البيانات وأمان مدير كلمات المرور

يستخدم Keeper بنية أمان هي الأفضل في مجالها وإطار قائم على الثقة المعدومة وبنية أمان قائمة على صفر المعرفة لحماية معلوماتك وتخفيف خطر التعرض لعمليات اختراق البيانات.

أفضل أمن من Keeper

كلمة المرور الرئيسية الخاصة.

يملك المستخدم وحده معرفة كلمة المرور الرئيسية وإمكانية الوصول إليها والمفتاح المستخدم لتشفير وفك تشفير معلوماته.

أقوى تشفير

يحمي Keeper معلوماتك باستخدام تشفير AES 256-bit وتجزئة PBKDF2، المقبولة بشكل واسع باعتبارها أقوى طريقة تشفير متاحة.

تشفير عميق المستوى

يتم تشفير وفك تشفير بيانات المستخدم على مستوى الجهاز وليس على خوادم Keeper أو في السحابة.

مصادقة متعددة العوامل

يدعم Keeper المصادقة متعددة العوامل وتسجيل الدخول بالعلامات الحيوية وKeeper DNA الذي يستخدم ساعة Apple Watch أو جهاز Android Wear لتأكيد هويتك.

مُجاز وفقًا لمعيار FIPS 140-2

يستخدم تطبيق Keeper خاصية التشفير المعتمدة والمجازة من برنامج التحقق من وحدة التشفير Cryptographic Module Verification Program (CMVP)الذي أنشأه المعهد الوطني للمعايير والتقنية وفقاً لمعيار FIPS 140-2.

خزينة سحابة آمنة/موثوق بها

يقوم Keeper باستخدام Amazon AWS في عدة مواقع جغرافية لاستضافة وتشغيل خزينة Keeper والبنية التي تزود العملاء بتخزين السحابة الأسرع والأكثر أماناً. ويتم عزل البيانات الموجودة على جهاز المستخدم والمنقولة بالكامل في مركز بيانات عمومي يفضله العميل.

نظرة عامة

شركة Keeper Security, Inc. شغوفة بحماية معلومات عملائها باستخدام برنامج أمن Keeper للجوال والأجهزة المكتبية. ويثق الملايين من العملاء والأعمال في Keeper لتأمين كلمات مرورهم ومعلوماتهم الخاصة والوصول إليها.

ويتم تحسين وتحديث برنامج Keeper باستمرار لتزويد عملائنا بأحدث التقنيات والحماية. وتقدم هذه الصفحة نظرة عامة عن بنية أمن Keeper، وأساليب التشفير، وبيئة الاستضافة في الإصدار المنشور الحالي. وتذكر نظرة عامة عن التفاصيل التقنية المتعلقة بأساليب التشفير والأمن الخاصة بنا في هذا المستند.

وتتوفر سياسة الخصوصية وشروط الاستخدام على موقع الويب الخاص بنا عبر الروابط التالية:

حماية البيانات

يبدأ مبدأ الثقة المعدومة من أمان كلمات المرور. تقوم شركة KSI بتصميم منتجاتها باستخدام إطار أمان قائم على الثقة المعدومة الذي يقوم على عدم الثقة في أي مستخدم داخل البنية الأمنية. يفترض مبدأ الثقة المعدومة أنه من الممكن اختراق جميع المستخدمين والأجهزة، وبناء على ذلك، يجب التحقق من كل مستخدم ومصادقته قبل الوصول إلى موقع ويب أو تطبيق أو نظام. يعمل هذا الإطار الخاص بالأمن على الإنترنت على تعزيز منصة Keeper للأمن على الإنترنت. وتقدم المنصة لمسؤولي تكنولوجيا المعلومات اطلاعاً كاملاً على كافة المستخدمين والأنظمة والأجهزة التي يصلون إليها، ما يساعد على ضمان الامتثال لمتطلبات الصناعة والمتطلبات التنظيمية. ولكي يكون هناك إطار قائم على الثقة المنعدمة في منظمة ما، لابد من توفر أمن كلمات مرور من طراز عالمي تدعمه بنية أمنية قائمة على صفر المعرفة.


KSI هي شركة تقدم أمان صفر المعرفة. ولهذا فإن مستخدم Keeper هو الشخص الوحيد الذي يملك السيطرة الكاملة على تشفير بياناته وفك تشفيرها. وباستخدام Keeper، يتم التشفير على مستوى جهاز المستخدم خلال عملية النقل بأكملها من تطبيق المستخدم إلى خزينة أمن السحابة على Keeper. ودائماً ما يكون مفتاح التشفير المطلوب لفك تشفير البيانات مع مستخدم Keeper. ولا يمكن لشركة KSI فك تشفير بيانات العميل المخزنة.

ولا تملك KSI وصولاً إلى السجلات المخزنة داخل خزينة Keeper. ولا يمكن لشركة KSI الوصول عن بعد إلى أجهزة العملاء أو فك تشفير خزينة العملاء. أما المعلومات الوحيدة التي تملك KSI وصولاً لها هي عناوين البريد الإلكتروني ونوع الجهاز وتفاصيل خطة الاشتراك (مثلا Keeper Unlimited) الخاصة بالمستخدم. وإذا فُقد أو سرق جهاز المستخدم، بإمكان KSI المساعدة في الوصول إلى ملفات النسخ الاحتياطي المشفرة لاستعادة خزينة المستخدم عند استبدال الجهاز.

ويمكن الوصول إلى المعلومات المخزنة والتي تم الوصول إليها في Keeper فقط من قبل العميل لأنه يتم على الفور تشفيرها وفك تشفيرها مباشرةً على الجهاز المستخدم – حتى عند استخدام تطبيق الويب من Keeper. ويتكون أسلوب التشفير الذي يستخدمه Keeper من خوارزمية معروفة وموثوق بها وتدعى AES )مقياس التشفير المتقدم( بمفتاح بطول 256-bit. ووفقاً لنشرة اللجنة المعنية بأنظمة الأمن القومي CNSSP-15، تعتبر خوارزمية AES بمفتاح بطول 256-bit آمنة بما يكفي لتشفير بيانات سرية تصل إلى تصنيف "سري للغاية" لحكومة الولايات المتحدة. إن Keeper حاصل على اعتماد FIPS 140-2 وتم التحقق من صحته من قبل NIST CMVP (برنامج التحقق من نموذج التشفير التابع للمعهد الوطني للمعايير والتقنية) (شهادة رقم 3976 - https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/3976)


ولا يتم تخزين مفاتيح الشفرات المستخدمة لتشفير وفك تشفير سجلات العميل أو نقلها إلى خزينة أمن السحابة على Keeper. ولكن لتقديم قدرات المزامنة بين أجهزة متعددة، يتم تخزين إصدار مشفر من مفتاح الشفرة هذا في خزينة أمن السحابة وتقديمه للأجهزة الموجودة في حساب المستخدم. ولا يمكن فك تشفير مفتاح الشفرة المشفر هذا إلّا على الجهاز للاستخدام لاحقاً كمفتاح تشفير للبيانات.

تشفير العميل

كلمة مرور رئيسية قوية

يُنصح بشدة بأن يختار العملاء كلمة مرور رئيسية قوية لحسابهم على Keeper. ويجب ألّا تستخدم كلمة المرور الرئيسية هذه في أي مكان خارج Keeper. كما يجب على المستخدمين عدم مشاركة كلمات مرورهم الرئيسية مع أي أحد.

المصادقة المزدوجة

للحماية من الوصول غير المصرح به إلى خزينتك ومواقع الويب والتطبيقات الخاصة بك. كما يقدم Keeper أيضاً المصادقة الثنائية، وهي نهج للمصادقة يتطلب اثنين أو أكثر من عوامل المصادقة الثلاثة: عامل المعرفة، وعامل الملكية، وعامل الإرث. لمزيد من المعلومات عن المصادقة الثنائية راجع هذا الرابط.


يستخدم Keeper شيئاً تعرفه (كلمة المرور الخاصة بك) وشيئاً تملكه (الهاتف الذي تحمله) لتزويد المستخدمين بأمن إضافي في حالة تعرض كلمة مرورك الرئيسية أو جهازك للخطر. وللقيام بهذا نقوم بتوليد كلمات مرور تستخدم لمرة واحدة ولفترة زمنية محددة (TOTP).


يولد Keeper مفتاحاً سرياً 10-byte باستخدام مولد أرقام عشوائية مشفر وآمن. ويبقى هذا الرمز صالحاً لنحو دقيقة، ويتم إرساله إلى المستخدم برسالة نصية أو من خلال Duo Security أو RSA SecurID أو تطبيق TOTP، أو Google Authenticator أو أجهزة قابلة للارتداء تتوافق مع Keeper DNA مثل ساعة Apple Watch أو Android Wear.

المصادقة المزدوجة

عند استخدام تطبيق Google Authenticator أو تطبيق TOTP على جهازك المحمول، يقوم خادم Keeper داخلياً بإنشاء رمز QR يضم مفتاحك السري، ولا يتم إرساله إلى طرف ثالث قطّ. وفي كل مرة يقوم أحد المستخدمين بإلغاء تنشيط المصادقة الثنائية ثم إعادة تنشيطها، يتم إنشاء مفتاح سري جديد.


لتفعيل المصادقة الثنائية، قم بزيارة Keeper DNA أو شاشة الإعدادات في Keeper Web App. يمكن لعملاء Keeper Business تطبيق استخدام عامل المصادقة الثنائية اختيارياً لتسجيل الدخول إلى الخزينة وأساليب المصادقة الثنائية المدعومة عبر وظيفة تطبيق دور Keeper Admin Console.

مفاتيح أمان FIDO (U2F)

يدعم Keeper أجهزة مفاتيح أمان المصادقة الثنائية القائمة على المعدات المتوافقة مع معيار FIDO مثل YubiKey كعامل ثاني. وتقدم مفاتيح الأمان طريقة مريحة وآمنة لإجراء مصادقة ثنائية بدون مطالبة المستخدم بإدخال رموز ذات 6 أرقام يدوياً. ويمكن تكوين مفاتيح أمان متعددة لخزينة مستخدم. أما بالنسبة للمنصات التي لا تدعم أجهزة مفاتيح الأمان، يمكن للمستخدمين الاعتماد على طرق المصادقة الثنائية المكونة الأخرى. ولتكوين مفتاح أمان وغيره من طرق المصادقة الثنائية، زُر شاشة "الإعدادات" في تطبيق Keeper.

مفاتيح أمان FIDO (U2F)

الوصول في حالات الطوارئ (الإرث الرقمي)

يدعم Keeper القدرة على إضافة حتى 5 جهات اتصال في حالات الطوارئ لمنحها القدرة على الوصول للخزينة في حالات الطوارئ أو الوفاة. بمجرد انقضاء مدة الانتظار المحددة، ستحصل جهة الاتصال على القدرة على الوصول لخزينة المستخدم. وتستخدم عملية مشاركة الخزينة صفر المعرفة، ولا يتم مشاركة كلمة المرور الرئيسية للمستخدم أبداً بشكل مباشر. يستخدم تشفير RSA لمشاركة مفتاح 256-bit AES مع جهة الاتصال في حالات الطوارئ، عند انتهاء مدة الانتظار المضبوطة من قبل المستخدم الأصلي. ولهذا، يجب أن تملك جهة الاتصال في حالات الطوارئ حساباً على Keeper (ومفتاح RSA مزدوج عام/خاص) لقبول الدعوة.

الوصول في حالات الطوارئ (الإرث الرقمي)

استعادة الحساب

خلال تسجيل الحساب، يطلب من المستخدمين اختيار سؤال أمان وإجابته. وكذلك خلال التسجيل، ينشئ Keeper مفتاح بيانات يستخدم لتشفير ولفك تشفير مفاتيح السجل المخزنة مع كل سجل من سجلات الخزينة. ويتم تشفير مفتاح بيانات المستخدم بكلمة المرور الرئيسية، ويتم تشفير كل مفتاح سجل بمفتاح بيانات. ويكون لدى كل سجل في خزينة المستخدم مفاتيح سجل فردية ومختلفة.

وتتم استعادة الحساب من خلال تخزين نسخة ثانية من مفتاح بيانات المستخدم المشفر بسؤال الأمان المحدد وإجابته. ولإكمال استعادة الخزينة يطلب من المستخدم إدخال رمز التحقق عبر البريد الإلكتروني، وأيضاً رمز المصادقة الثنائية (إذا كان مفعلاً على الحساب). ونوصي بإنشاء سؤال أمان وإجابة قويين، بالإضافة إلي تفعيل ميزة المصادقة الثنائية من Keeper من خلال شاشة "الإعدادات". ويمكن أيضاً فرض المصادقة الثنائية على عملاء Keeper للأعمال عبر لوحة تحكم المشرف.

تشفير العميل

يتم تشفير البيانات وفك تشفيرها على جهاز المستخدم وليس على خزينة أمن السحابة. ونطلق على هذا اسم "تشفير العميل" لأن العميل (مثلاً iPhone، جهاز Android، تطبيق ويب، إلخ) يقوم بكافة أعمال التشفير. وتخزن خزينة أمن السحابة البيانات في صورة ثنائية خامّة (raw binary) والتي تعتبر بلا فائدة لأي متطفل. وحتى إذا تم الحصول على البيانات عند نقلها بين أجهزة العميل وخزينة أمن السحابة، فلا يمكن فك تشفيرها أو استخدامها لمهاجمة أو تهديد البيانات السرية للمستخدم.


ويتطلب كسر أو اختراق مفتاح 256-bit متماثل قوة حوسبة أكثر 2128 مرة من قوة مفتاح 128-bit. ونظرياً يتطلب هذا استخدام جهاز يستغرق 3×1051 عاماً لاستهلاك مساحة مفتاح 256-bit.

تشفير العميل

المشاركة

يملك كل مستخدم مفتاح مزدوج 2048-bit RSA يستخدم للمشاركة. ويتم تشفير سجلات الخزينة المشاركة بالمفتاح العام للمستلم. ويقوم المستلم بفك تشفير السجل باستخدام مفتاحه الخاص. ويسمح هذا للمستخدم بمشاركة سجلات فقط مع المستلم المستهدف، حيث إن المستلم وحده القادر على فك تشفيره.

المشاركة

توليد المفتاح

يستخدم Keeper PBKDF2 مع HMAC-SHA256 لتحويل كلمة المرور الرئيسية للمستخدم إلى مفتاح تشفير 256-bit مع حد أدنى 1000 لفة.

التخزين الرئيسي

يتم تشفير جميع المفاتيح السرية التي يجب تخزينها (مثل مفتاح RSA الخاص لكل مستخدم ومفتاح البيانات) قبل التخزين أو النقل. وتطلب كلمة المرور الرئيسية للمستخدم لفك تشفير أي مفتاح. ولأن Keeper's Cloud Security Vault ليس لها وصول إلى كلمة المرور الرئيسية للمستخدم فلا يمكننا فك تشفير أي من مفاتيحك أو بياناتك.

Keeper's Cloud Security Vault

تشير Cloud Security Vault إلى البرنامج وبنية الشبكات المملوكة لشركة KSI ويتم استضافتهما فعلياً داخل البنية الأساسية لخدمات الويب منAmazon (AWS).

وعندما يقوم المستخدم بمزامنة خزينته على Keeper مع الأجهزة الأخرى على حسابه، يتم إرسال البيانات الثنائية عبر نفق SSL مشفر وتخزينها في خزينة أمن السحابة على Keeper في تنسيق مشفر.

تعيين إصدار السجلات

يحتفظ Keeper بمحفوظات إصدارات مشفرة بالكامل لكل سجل مخزن في خزينة المستخدم، لتوفير الثقة بأنه لن تفقد أي بيانات هامة أبداً. ويمكن للمستخدمين من تطبيق عميل Keeper فحص محفوظات الإصدارات والقيام باستعادة لأي سجل خزينة فردي. وإذا تم تغيير أو حذف كلمة مرور أو ملف مخزنين في Keeper، فبإمكان المستخدمين دائماً إجراء استعادة لنقطة زمنية محددة.

تعيين إصدار السجلات

Keeper Business

ويتم تزويد العملاء الذين يقومون بشراء Keeper Business بطبقة إضافية من التحكم في مستخدميهم وأجهزتهم. ويتم تزويد مديري Keeper بوصول بوحدة تحكم إدارية قائمة على السحابة تسمح بتحكم كامل في إعداد وإلغاء المستخدمين، والأذونات القائمة على الأدوار، والإدارة المكلفة، والفرق، ومكاملة Active Directory/البروتوكول الخفيف لتغيير بيانات الدليل، والمصادقة الثنائية، وتسجيل الدخول الأحادي، وسياسات إنفاذ الأمن. ويمكن تخصيص سياسات الإنفاذ القائمة على الأدوار من Keeper بالكامل وترقيتها لأي حجم منظمة.

Keeper Business

تشفير على مستوى السجل

وفي طبقة التشفير، يملك كل سجل (مثلاً كلمة المرور أو بيانات الاعتماد) مخزن في منصة Keeper معرّف سجل فريد (UID). ويتم تشفير كل سجل بمفتاح سجل. وتشترك المجلدات المشاركة في مفتاح مجلد، ولكل فريق مفتاح فريق ومفتاح مزدوج عام/خاص، ولكل مستخدم مفتاح بيانات مستخدم ومفتاح عميل ومفتاح مزدوج عام/خاص. ولكل دور يتطلب نقل حساب المستخدم له مفتاح تطبيق للدور ومفتاح مزدوج عام/خاص. ويتم تشفير البيانات الموجودة على جهاز المستخدم بمفتاح عميل المستخدم. بينما يتم تشفير مفتاح بيانات المستخدم ومفتاح العميل بكلمة المرور الرئيسية للمستخدم.


ويكون مفتاح السجل الخاص بالسجلات المنشأة بواسطة المستخدم مشفراً بمفتاح بيانات المستخدم. وتضاف السجلات لمجلد مشارك عن طريق تشفير مفتاح السجل بمفتاح المجلد المشارك. ويتم مشاركة المجلدات مباشرةً إلى المستخدم عن طريق تشفير مفتاح السجل بالمفتاح العام للمستخدم. ويضاف المستخدمين لمجلد مشارك عن طريق تشفير مفتاح المجلد المشارك بالمفتاح العام للمستخدم. وتضاف الفرق لمجلد مشارك عن طريق تشفير مفتاح المجلد المشارك بالمفتاح العام للفريق. ويضاف المستخدمون لفريق عن طريق تشفير مفتاح الفريق بالمفتاح العام للمستخدم.

الأدوار والفرق والمجلدات المشاركة والمدير المفوض

يقدم Keeper للأعمال مجموعة آمنة وقوية من الضوابط على الوحدات التنظيمية والأدوار والفرق والمجلدات المشاركة. وتقدم الضوابط الخلفية القوية في Keeper أقوى طبقات الأمن التي توفر وصولاً بأقل الامتيازات وإدارة مفوضة بالكامل.


وللأدوار التي تطبق نقل حساب المستخدم:


يتم تشفير مفتاح التطبيق بالمفتاح العام لكل مدير مسموح له بأداء النقل.


(ملحوظة: التطبيقات المستقلة المطبقة على مجموعات مستقلة من المستخدمين يمكن تعيينها ليتم نقلها بواسطة مجموعات مستقلة من المديرين.)


مفتاح بيانات المستخدم (للمستخدمين في دور طُبقت عليه التطبيقات) يتم تشفيره بالمفتاح العام لتطبيق الدور.


يتم نقل الحسابات من خلال قفل حساب المستخدم ثم نقله ثم حذفه. ويضمن هذا عدم أداء العملية بسرية. يسمح مفتاح البيانات المشاركة للعميل وبيانات التعريف للقدرة النهائية بفك تشفير بيانات السجل، ولكنها لا تسمح بالوصول المباشر. ولهذا تصبح السجلات فقط بعد تعيينها لشخص قابلة للاستخدام من قبل هذا الشخص، ولا يملك أي شخص آخر القدرة على الوصول.


تتم جميع عمليات التشفير في جانب العميل، ولا يملك Keeper في أي وقت القدرة على فك تشفير المعلومات التي يتم مشاركتها أو نقلها. وبالإضافة لذلك، لا يتم مشاركة مفتاح العميل الخاص بالمستخدم في أي وقت. ولن يستلم أي مستخدم تم حذفه من فريق أو مجلد مشارك أو مشاركة مباشرة بيانات جديدة من الفريق أو المجلد المشارك أو السجل. ولهذا فعلى الرغم من أن المفتاح معرض للخطر مع هذا الشخص فإن المفتاح غير قابل للاستخدام للحصول على وصول للبيانات الأساسية.


وقد يتم تعيين العديد من الامتيازات الإدارية المختلفة لبعض أجزاء شجرة التدرج الهرمي والتي تسمح لأعضاء الدور المميز بأداء عمليات في وحدة تحكم مسؤول Keeper الخاصة بنا.


كما قد تطبق السياسات من جانب الخادم ومن جانب العميل لأدوار لإملاء تصرف العميل لمجموعات من الأشخاص.


وتسمح الفرق بتوزيع سهل للمجلدات المشاركة لمجموعات من المستخدمين.

Keeper Active Directory / LDAP Bridge

يتكامل Keeper Bridge مع الدليل النشط وخوادم البروتوكول الخفيف لتغيير بيانات الدليل لتزويد المستخدمين وإدخالهم. ويتم التصريح لاتصالات Keeper Bridge أولاً بواسطة مدير له امتيازات إدارة Bridge. ويتم توليد مفتاح انتقال ومشاركته مع Keeper لكافة الاتصالات اللاحقة. ويعتبر استخدام مفتاح الانتقال بمثابة التصريح لكافة العمليات التي تم تأديتها بواسطة Bridge ماعدا تهيئة Bridge. ويمكن توليد مفتاح الانتقال في أي وقت، وسيتم تدويره تلقائياً كل 30 يوماً.

يستخدم مفتاح الانتقال في الانتقال فقط مما يعني أن مفتاح الخطر يمكن أن يعاد تهيئته أو إبطاله بدون خسارة أي بيانات أو إذن.

ولا يمكن لـ Keeper Bridge منح امتيازات لدور أو مستخدم. ولكن يمكن له إضافة مستخدم لدور مميز طالما أنه لا توجد حاجة لمفاتيح إنفاذ. ولا يمكن لـKeeper Bridge رفع نفسه أو مستخدم فوق جزء الشجرة الذي يقوم بإداراته. فليست كل العمليات متاحة لـBridge، أي أن Bridge بإمكانه تعطيل مستخدم نشط، ولكن لا يمكنه حذف المستخدم. ويختار المدير ما إذا كان المستخدم سيتم حذفه أو نقله.

Keeper Active Directory / LDAP Bridge

مصادقة تسجيل الدخول الأحادي (SAML 2.0)

يمكن تكوين Keeper من قبل عملاء Keeper Business لمصادقة مستخدم إلى خزينة Keeper الخاصة بهم باستخدام منتجات هوية SAML 2.0 قياسية. ويعتبر Keeper مقدم خدمات مسبق التكوين في جميع مقدمي هويات تسجيل الدخول الأحادي الكبار مثل Google Apps، وMicrosoft Azure، وOkta، وPing Identity وغيرها. ويستخدم Keeper آلية لمصادقة المستخدمين إلى خزينتهم في بيئة صفر المعرفة وهي تطبيق في انتظار براءة الاختراع يسمى SSO Connect™. Keeper SSO Connect هو عبارة عن تطبيق برمجي يقوم مديرو Keeper Business بتثبيته على بنيتهم الخاصة (سواء في مكان العمل أو السحابة)، ويعمل بمثابة نقطة نهاية لمقدمي خدمات SAML 2.0. وعند تنشيطه على وحدة تنظيمية محددة، يدير Keeper SSO Connect جميع مفاتيح التشفير لمستخدمي for Keeper Business النهائيين. وعند نجاح المصادقة إلى مقدم هوية تسجيل الدخول الأحادي، يتم تسجيل دخول المستخدم في Keeper بمفاتيح التشفير الضرورية لفك شفرة خزينته. ويعمل برنامج Keeper SSO Connect على بيئات Windows و Mac وLinux.

SSO Connect Cloud™

يوفر Keeper SSO Connect Cloud لعملاء Keeper Enterprise طريقة لمصادقة المستخدم وفك تشفير البيانات المخزنة في خزينة مشفرة بأسلوب صفر المعرفة، مع توفير المصادقة عبر موفر هوية (IdP) خارجي ]ستخدم بروتوكولات SAML 2.0 المعيارية في بيئة سحابية بالكامل.


في هذا التطبيق يمكن للمستخدم المصادقة عبر مزود هوية SSO الخاص به ثم فك تشفير النص المشفر الخاص بخزينته محلياً على جهازه. ويمتلك كل جهاز زوج مفاتيح منحنى القطع الناقص (EC) العامة / الخاصة ومفتاح البيانات المشفرة. ويمتلك كل مستخدم مفتاح البيانات الخاص به. لتسجيل الدخول على جهاز جديد يجب على المستخدم استخدام الأجهزة المتاحة للموافقة أو يمكن لأحد المسؤولين ممن يتمتعون بامتيازات الموافقة على جهاز جديد.


تكمن أهمية هذه القدرة في تمكن المستخدم من فك تشفير خزينته باستخدام مفتاح مشفر مخزن في سحابة Keeper. ويتم الاحتفاظ بصفر المعرفة لأن سحابة Keeper غير قادرة على فك تشفير مفتاح بيانات المستخدم على جهازه. ويتم فك تشفير مفتاح البيانات (DK) للمستخدم مع المفتاح الخاص للجهاز ("DPRIV")، ويتم تزويد مفتاح البيانات المشفر (EDK) للمستخدم فقط عند نجاح التوثيق من مزود الهوية المعين (على سبيل المثال Okta، Azure، AD FS).


لمستخدمي SSO Connect Cloud، يتم إنشاء مفتاح خاص مبني على القطع الناقص (EC) وتخزينه محلياً على كل جهاز. وفيما يتعلق بمتصفحات الويب القائمة على Chromium، فإن خزينة Keeper تخزن مفتاح منحنى القطع الناقص (EC) الخاص للجهاز المحلي ("DPRIV") باعتباره مفتاح تشفير غير قابل للتصدير. ويتم تخزين المفتاح في سلسلة المفاتيح (Keychain) على الأجهزة التي تعمل بنظام تشغيل iOS وMac. وحيثما كان متاحاً، يستخدم Keeper آليات تخزين آمنة.


لا يتم استخدام مفتاح الجهاز الخاص لتشفير أو فك تشفير بيانات الخزينة مباشرة. وبمجرد نجاح المصادقة من مزود الهوية يتم استخدام مفتاح منفصل (لا يتم تخزينه) لفك تشفير بيانات الخزينة. ولا يمكن فك تشفير خزينة المستخدم من خلال استخراج مفتاح الجهاز المحلي من دون الاتصال بالإنترنت.


تمتلك الأجهزة / المنصات المختلفة مستويات متباينة من الأمن وحتى توفر الأمن الأمثل نوصي باستخدام متصفح ويب حديث قائم على Chromium.


كما نوصي أيضاً بحماية جميع الأجهزة (مثل أجهزة الكمبيوتر المكتبية) بتشفير على مستوى القرص وبرامج الحماية من البرامج الضارة الحديثة، كحماية عامة ضد هجمات اختراق الجهاز.

موافقات أجهزة تسجيل الدخول الأحادي

لتسجيل الدخول إلى جهاز جديد، يجب على المستخدم استخدام الأجهزة الحالية للموافقة أو يمكن لمسؤول يملك صلاحيات الموافقة على جهاز جديد. تقوم الأجهزة الجديدة بإنشاء مجموعة جديدة من المفاتيح العامة / الخاصة، ويقوم الجهاز المانح للموافقة بتشفير مفتاح بيانات المستخدم بالمفتاح العام للجهاز الجديد. ويتم توفير مفتاح البيانات المشفر للجهاز الجديد للمستخدم / الجهاز الطالب، ثم يتمكن المستخدم من فك تشفير مفتاح البيانات، والذي يقوم بدوره بفك تشفير خزينة بيانات المستخدم. ويمكن للمستخدم فك تشفير مفاتيح التشفير الأخرى الخاصة به مثل مفاتيح السجلات ومفاتيح المجلدات ومفاتيح الفريق وما إلى ذلك داخل خزينة البيانات التي تم فك تشفيرها.


تكمن أهمية هذه القدرة في تمكن المستخدم من فك تشفير خزينته باستخدام مفتاح مشفر مخزن من قبل سحابة Keeper ولا يتطلب أي خدمات تطبيقات المحلية أو مستضافة من قبل المستخدم لإدارة مفاتيح التشفير. يتم الاحتفاظ بصفر المعرفة لأن سحابة Keeper غير قادرة على فك تشفير مفتاح بيانات المستخدم على جهازه. ويتم فك تشفير مفتاح البيانات للمستخدم مع المفتاح الخاص للجهاز ("DPRIV")، ويتم تزويد مفتاح البيانات المشفر (EDK) للمستخدم فقط عند نجاح التوثيق من مزود الهوية المعين (على سبيل المثال Okta، Azure، AD FS).


من منظور المسؤول تشمل المزايا: سهولة الإعداد ولا يتطلب برنامج مستضاف لإدارة مفاتيح التشفير على النحو الموصوف في نموذج تشفير SSO Connect الحالي من Keeper.
يكمن تغيير مسار العمل الوحيد في هذا النموذج (مقارنة بتنفيذ Keeper SSO Connect محلياً) في أنه يجب على المستخدم إجراء الموافقة لجهاز جديد من على جهاز مفعل، أو تفويض المسؤولية إلى مسؤول من Keeper للموافقة على الجهاز.

Keeper SSO Connect المحلي

SSO Connect الداخلي هو تكامل مستضاف ذاتياً يتطلب خادم تطبيقات مستضاف على Windows أو Linux .من أجل الحفاظ على أمان صفر المعرفة وضمان تجربة تسجيل دخول أحادي سلسة للمستخدم، يجب تثبيت Keeper SSO Connect على خادم العميل. إن بيئات Windows وMac وLinux مدعومة بالكامل باستخدام أوضاع تشغيل موازنة التحميل لقابلية الوصول العالية.

يقوم Keeper SSO Connect تلقائياً بإنشاء كلمة المرور الرئيسية لكل مستخدم معدّ والاحتفاظ بها، وهي عبارة عن مفتاح 256-bit ينشأ بشكل عشوائي. ويتم تشفير كلمة المرور الرئيسية هذه بمفتاح تسجيل دخول احادي. ويتم تشفير مفتاح تسجيل الدخول الأحادي بمفتاح الشجرة. ثم يتم استعادة مفتاح تسجيل الدخول الأحادي من الخادم عند بدء تشغيل خدمة Keeper SSO Connect، ويتم بعد ذلك فك تشفيره باستخدام مفتاح الشجرة، وهو مخزن محلياً على الخادم لدعم بدء تشغيل الخدمة تلقائياً. بينما حماية الاتصال بين SSO Connect وCloud Security Vault من Keeper عن طريق مفتاح إرسال.

Keeper Active Directory / LDAP Bridge

BreachWatch

تقوم BreachWatch بفحص سجلات Keeper باستمرار لكشف أي عمليات اختراق للبيانات العامة وتقوم بتنبيه المستخدم داخل الخزينة. تقوم BreachWatch على بنية صفر المعرفة التي تستخدم عدداً من التقنيات متعددة المستويات لحماية معلومات عملائنا. وبإيجاز:


  1. يتم استخدام دالة تجزئة وإخفاء الهوية بصورة آمنة ومشفرة وباستخدام مفاتيح مخصصة لإجراء مقارنة لكلمات المرور مع قاعدة بيانات تضم معلومات الحسابات المخترقة.
  2. يتم معالجة كلمات مرور العملاء باستخدام وحدة جهاز أمني (HSM) ومفتاح سري غير قابل للتصدير قبل فحصه بالمقارنة مع كلمات المرور المخترقة أو تخزينه على خوادم BreachWatch.
  3. يتفاعل عملاء Keeper مع BreachWatch باستخدام معرفات BreachWatch مجهولة الهوية غير مرتبطة بمعرفات عملاء Keeper الآخرين.
  4. تفصل BreachWatch أسماء المستخدمين وكلمات المرور في خدمات منفصلة وتوفر معرفات مميزة ومجهولة الهوية لإلغاء الارتباط بين أسماء المستخدمين والمجالات من ناحية وكلمات المرور من ناحية أخرى.
  5. لا يقوم عملاء BreachWatch مطلقاً بتحميل معلومات المجال مطلقاً، بل يقومون فقط بتنزيل المجالات.

BreachWatch Process

الشكل 1. مسار بيانات كلمة مرور العميل المشفرة عبر BreachWatch. يتم فقط حفظ كلمات المرور التي تم تحصينها باستخدام وحدة جهاز أمني (HSM)، ومفتاح أمان غير قابل للتصدير على خوادم BreachWatch. يستخدم عملاء BreachWatch هويات مجهولة عند التفاعل مع خوادم BreachWatch.


لبناء خدمة آمنة، تفصل Keeper خدمة BreachWatch إلى ثلاث خدمات، واحدة لكل من فحص المجالات، ولأسماء المستخدمين، ولكلمات المرور، ومجموعة اسم المستخدم + كلمة المرور. تتواصل تطبيقات Keeper العميلة مع كل من هذه الخدمات الخلفية باستخدام REST API مشفرة.

فحص المجالات

يقوم عملاء BreachWatch بتنزيل قائمة بالمجالات التي تم اختراقها وإجراء الفحص محلياً.

فحص أسماء المستخدمين وكلمات المرور

تتصل الأجهزة العميلة بخوادم BreachWatch وتقوم بتحميل قائمة بأسماء المستخدمين (أو كلمات المرور) المجزأة بالإضافة إلى معرف عشوائي يحدده العميل (معرفات منفصلة لخدمات فحص أسماء المستخدمين وكلمات المرور). يتم معالجة عمليات تجزئة كلمات المرور عند التحميل بتشفيرHMAC باستخدام وحدة جهاز أمنى(HSM) ومفتاح سري مخزن في وحدة الجهاز الأمني (HSM) يتم وضع علامة عليه كغير قابل للتصدير (ما يعني أن وحدة الجهاز الأمني تقوم فقد بمعالجة HMAC محلياً ولا يمكن استخراج المفتاح). يتم مقارنة هذه المدخلات (أسماء المستخدمين أو كلمات المرور) التي تم تشفيرها باستخدام HMAC مع مجموعات بيانات الاختراق والتي تم معالجتها بتشفير HMAC والمفتاح ذاتهما. يتم الإبلاغ عن أي متطابقات للأجهزة العميلة. يتم تخزين أي قيم غير متطابقة جنباً إلى جنب مع معرف مجهول الهوية الخاص بالعميل.


وبينما يتم إضافة أسماء مستخدمين وكلمات مرور جديدة تعرضت للاختراق إلى النظام، يتم معالجتها باستخدام HMAC على وحدة الجهاز الأمني، وإضافتها إلى مجموعة بيانات BreachWatch، ومقارنتها مع قيم العميل المخزنة. وعند اكتشاف أي تطابق يتم جدولة إرسال رسالة لمعرف العميل هذا.


يقوم العملاء بشكل دوري بتسجيل الدخول إلى BreachWatch وعرض معرفاتهم الخاصة بـ BreachWatch. يتم تنزيل أي رسائل مجدولة ويقوم العملاء بتحميل أي أسماء مستخدمين وكلمات مرور جديدة أو تم تغييرها ليتم معالجتها بنفس الطريقة


يقوم أمان خدمات BreachWatch على نموذج "ثقة عند الاستخدام الأول (TOFU، ما يعني أن العملاء يجب أن يفترضوا أن خادم BreachWatch ليس ضاراً (بمعنى أنه لا يتعرض للاختراق بشكل فعال من قبل أي متطفل) عندما يقوم العميل بتحميل قيمه المجزأة. بمجرد معالجة هذه القيم باستخدام وحدة جهاز أمني يتم تأمينها ضد محاولات الاختراق تتم دون الاتصال بالإنترنت. وبعبارة أخرى، إذا قام أحد المتطفلين بسرقة مجموعة بيانات قيم العملاء المخزنة، فلا يستطيع اختراق هذه القيم دون اتصال بالإنترنت دون مفتاح HMAC المخزن في وحدة الجهاز الأمني.


إذا تم اكتشاف عملية اختراق لكلمة مرور، يقوم جهاز العميل بإرسال مجموعة اسم المستخدم + كلمة المرور بصورة مشفرة إلى خوادم BreachWatch، والتي تقوم بعدها بإجراء نفس المقارنة المشفرة باستخدام HMAC لتحديد ما إذا كان قد تم اختراق مجموعة اسم المستخدم + كلمة المرور، وإذا كان الأمر كذلك، يتم إرجاع المجالات المتعلقة بهذه الاختراقات إلى جهاز العميل ليتمكن من تحديد مدى تطابق اسم المستخدم+ كلمة المرور+ المجال من عدمه. وإذا تطابقت المعايير الثلاثة على جهاز العميل، يتم تحذير العميل بمدى خطورة الاختراق.

BreachWatch Business

عندما يتم تفعيل BreachWatch لعملاء الشركات والمؤسسات، يتم فحص خزائن المستخدم النهائي تلقائياً في كل مرة يقوم المستخدم بتسجيل الدخول باستخدام Keeper. ويتم تشفير ملخص بيانات BreachWatch التي تم فحصها على جهاز المستخدم باستخدام مفتاح المؤسسة العام وبتم فك تشفيره من قبل مسؤول المؤسسة عند تسجيل الدخول على وحدة تحكم مسؤول Keeper. وتشمل هذه المعلومات المشفرة على البريد الإلكتروني عدداً من السجلات عالية الخطورة، وعدداً من السجلات المحلولة، وعدداً من السجلات المتجاهلة. ويستطيع مسؤول Keeper رؤية ملخص الاحصائيات على مستوى المستخدم داخل واجهة مستخدم وحدة تحكم المسؤول.

تسجيل الأحداث وإعداد التقارير

عند دمجها مع ميزة الإبلاغ المتقدم والوحدة النمطية للتنبيهات، يمكن أيضاً تكوين أجهزة المستخدم النهائي من Keeper اختيارياً لتنقل أحداثاً في وقت حدوثها إلى حلول SIEM تابعة لأطراف أخرى وواجهة الإبلاغ في وحدة تحكم مسؤول Keeper. وتحتوي بيانات الحدث على البريد الإلكتروني، ومعرّف سجل فريد، وعنوان IP، ومعلومات الجهاز (لا تحتوي الأحداث على أي بيانات تم فك تشفيرها، حيث إن Keeper هو منصة صفر معرفة ولا يمكنه فك تشفير بيانات المستخدم).


في الوضع الافتراضي، لا يتم إرسال بيانات أحداث BreachWatch التفصيلية إلى ميزة الإبلاغ المتقدم والوحدة النمطية للتنبيهات أو أي أنظمة تسجيل خارجية متصلة. لتنشيط تقارير بيانات BreachWatch على مستوى الأحداث في ميزة الإبلاغ المتقدم والوحدة النمطية للتنبيهات يجب أن تقوم بتفعيل سياسة تنفيذ دور الأحداث أسفل دور محدد>إعدادات التنفيذ> شاشة مميزات الخزينة. وبمجرد تفعيلها ستبدأ أجهزة المستخدم النهائي في إرسال بيانات الحدث هذه. وحيث إن التكامل مع حلول SIEM للأطراف الثالثة ينقل من طرف Keeper إلى خدمة SIEM المستهدفة، فبالتالي يمكن قراءة معلومات هذا الحدث من قبل خدمة SIEM المستهدفة ويمكن استخدامها لتحديد السجلات والمستخدمين الذين لديهم كلمات مرور عالية الخطورة داخل المنظمة. وإذا لم يرغب مسؤول Keeper في نقل بيانات الحدث على مستوى السجل إلى ميزة الإبلاغ المتقدم والوحدة النمطية للتنبيهات، فيمكن ترك هذه الإعدادات غير مفعلة.

تسجيل الأحداث وإعداد التقارير

وضع عدم الاتصال بالإنترنت

يسمح وضع عدم الاتصال بالإنترنت للمستخدمين بالوصول إلى خزينتهم عندما لا يتمكنون من الوصول إلى Keeper أو إلى مقدم هوية تسجيل الدخول الأحادي الخاص بهم عن طريق الاتصال بالانترنت. تتوفر هذه الإمكانية على تطبيق الهاتف، وتطبيق سطح المكتب الخاص ببرنامج Keeper وتمتد إلى مستخدمي الأعمال على متصفحات الويب الشائعة.


تعمل هذه الإمكانية من خلال عمل نسخة من الخزينة على الجهاز المحلي للمستخدم. يتم تشفير بيانات الخزينة المخزنة في وضع عدم الاتصال بالإنترنت بتشفير AES-GCM باستخدام "مفتاح عميل" 256-bit الذي يتم إنشاؤه عشوائياً ويتم حمايته بواسطة PBKDF2- HMAC-SHA512 مع ما يصل إلى 100,000 تكرار وقيمة عشوائية مضافة. يتم تخزين التكرار والقيمة العشوائية المضافة محلياً. وعندما يقوم المستخدم بإدخال كلمة مروره الرئيسية، يتم اشتقاق مفتاح باستخدام التكرار والقيمة العشوائية المضافة ويتم عمل محاولة لفك تشفير المفتاح العميل. يستخدم المفتاح العميل بعد ذلك لفك تشفير ذاكرة التخزين المؤقت المخزنة الخاصة بالسجل. إذا تم تمكين حماية التدمير الذاتي على خزينة المستخدم، فإن 5 محاولات فاشلة لتسجيل الدخول ستؤدي إلى مسح كافة بيانات الخزينة المخزنة تلقائياً.

تسجيل الأحداث وإعداد التقارير

بنية الشبكات

تستخدم KSI خدمة Amazon AWS في أمريكا الشمالية وأوروبا وأستراليا لخصوصية البيانات المحلية والفصل الجغرافي لاستضافة وتشغيل حل وبنية Keeper. ويسمح استخدام Amazon AWS لـKeeper بقياس الموارد بسلاسة عند الطلب وتزويد العملاء بأكثر بيئات تخزين السحابة سرعة وأمان. وتشغل KSI بيئات متعددة المناطق لتعظيم مدة التشغيل وتقديم أسرع وقت استجابة للعملاء.

بنية الشبكات

مصادقة الخادم

تتم حماية Cloud Security Vault من Keeper بواجهة برمجة تطبيقات تقوم بمصادقة كل طلب من الجهاز العميل. على الجهاز العميل، يتم اشتقاق "مفتاح مصادقة" 256-bit من كلمة المرور الرئيسية باستخدام PBKDF2-HMAC-SHA256 وقيمة عشوائية مضافة. يتم توليد "تجزئة مصادقة" من خلال تجزئة "مفتاح المصادقة" باستخدام SHA-256. لتسجيل الدخول، يتم مقارنة تجزئة المصادقة مع تجزئة مصادقة مخزنة على Cloud Security Vault. بعد تسجيل الدخول، يتم توليد رمز جلسة ويتم استخدامه من قبل الجهاز العميل للطلبات اللاحقة. يجب تجديد رمز المصادقة هذا كل 30 دقيقة، أو بناءً على طلب الخادم.

بروتوكول طبقة المنافذ الآمنة

تدعم KSI كلاً من SSL 256-bit و128-bit لتشفير جميع عمليات نقل البيانات بين تطبيق العميل ومساحة تخزين KSI القائمة على السحابة. ويعتبر هذا هو نفس مستوى التشفير الذي يثق به الملايين من الأفراد والأعمال كل يوم في القيام بتعاملات الويب التي تتطلب الأمن، مثل العمليات المصرفية عبر الإنترنت، والتسوق عبر الإنترنت، وتداول الأسهم والسندات، والوصول إلى المعلومات الطبية، وتقديم الإقرارات الضريبية.


تقوم KSI بنشر شهادات TLS موقعة من قبل DigiCert باستخدام خوارزمية SHA2، وهي الخوارزمية الشهيرة والأكثر أماناً والتي تقدمها حالياً سلطات الشهادات التجارية. وتتفوق SHA2 من ناحية الأمان بشكل كبير عن SHA1 المستخدمة بشكل أوسع، والتي يمكن استغلالها نتيجة الضعف الحسابي المعرف في هذه الخوارزمية. وتساعد SHA2 في الحماية ضد إصدار الشهادات المزورة التي يمكن أن يستخدمها المخترقون لانتحال هوية أحد مواقع الويب.


كما تدعم KSI مبادرة Certificate Transparency "CT" وهي مبادرة جديدة قدمتها Google لإنشاء سجل قابل للتدقيق العام للشهادات الموقعة من قبل سلطات إصدار الشهادات. وتساعد هذه المبادرة على الحماية من إصدار الشهادات من كيانات غير مصرح لها. والمبادرة حالياً مدعومة في الإصدارات الأخيرة من متصفح الويب Chrome. يمكنك إيجاد المزيد من المعلومات عن مبادرة Certificate Transparency على: https://www.certificate-transparency.org. يدعم Keeper مجموعات برامج التشفير TLS التالية:


  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

تثبيت المفتاح

يقوم عملاء Keeper المحليين بتثبيت المفتاح العام HTTP، وهي آلية أمن تسمح لمواقع الويب HTTPS بمقاومة انتحال الهوية من قبل المخترقين باستخدام شهادات رقمية احتيالية.

الحماية من هجمات البرمجة عبر المواقع (XSS)

تطبق خزينة الويب التي يوفرها Keeper سياسة أمان صارمة للمحتوى تضيع قيوداً على نقطة إصدار الطلبات الصادرة وتمنع تنفيذ جميع البرامج النصية، باستثناء تلك الصادرة صراحةً من Keeper، بما في ذلك البرامج النصية المضمنة وسمات HTML التي تعالج الأحداث، وهو ما يؤدي إلى تقليص معظم متجهات هجمات البرمجة عبر المواقع أو القضاء عليها تماماً.


يقتصر الوصول إلى أسماء المجالات KeeperSecurity.com وKeeperSecurity.eu على HTTPS مع TLS v1.2 ويتم فرضه بواسطة HTTP Strict Transport Security.وهذا يمنع مجموعة واسعة من مخاطر التعرف على الحزمة وتعديل البيانات وهجوم الوسيط.


لن يطالب Keeper من خلال وحدة المتصفح من Keeper المستخدمين بتسجيل الدخول إلى خزينتهم من داخل منطقة إطار الصفحة. يحدث تسجيل الدخول إلى الملحق داخل منطقة شريط أدوات ملحق المتصفح في المتصفح. وسيحدث تسجيل الدخول إلى الخزينة على متصفح الويب دائماً إما على مجال KeeperSecurity.com أو مجال KeeperSecurity.eu أو من شريط أدوات ملحق المتصفح من Keeper التي توجد خارج صفحة المحتوى.


يقوم ملحق المتصفح من Keeper على Chrome وFirefox وEdge وOpera باستخدام iFrames لإدخال بيانات السجل على شاشات تسجيل الدخول لمواقع الويب لضمان عدم وصول المواقع الضارة إلى المحتوى المدخل. يقتصر محتوى السجل المدخل إلى iFrames على سجلات الخزينة المخزنة في خزينة المستخدم التي تتوافق مع المجال الخاص بموقع الويب المستهدف. لا يقدم Keeper ميزة الملء تلقائي لبيانات تسجيل الدخول أو كلمة المرور ما لم يتوافق مجال موقع الويب مع مجال موقع الويب الخاص بسجل خزينة Keeper.


يستخدم ملحق Internet Explorer نافذة تطبيقات منفصلة لتسجيل الدخول والوصول إلى السجلات. لا تخضع هذه النوافذ المنفصلة لهجمات XSS لأنها لا يمكن الوصول إليها من المتصفح. وهذا يسمح للملحق في Internet Explorer بتقديم نافذة تسجيل دخول من داخل الصفحة. لن يُظهر الملحق السجلات ما لم تتوافق السجلات مع جذر عنوان موقع الويب.


قد تحتوي ملحقات المتصفحات الخارجية على أذونات غير مقيدة في متصفح الويب ويمكن الوصول إلى المعلومات داخل الصفحة. ولذلك، يوصى بأن يمنع مديرو Keeper المستخدمين من تثبيت ملحقات متصفح خارجية غير معتمدة من متجر التطبيقات الخاص بالمتصفح.

سلسلة مفاتيح iOS وTouch ID®

يُمكنك Touch ID وFace ID المتاحان على الأجهزة التي تعمل بنظام تشغيل iOS من الوصول إلى خزينة Keeper الخاصة بك باستخدام المقاييس الحيوية. لتوفير هذه الميزة التي تسهل الاستخدام، يتم تخزين "مفتاح مقاييس حيوية" بتشفير 256 bit يتم إنشاؤه بشكل عشوائي في سلسلة مفاتيح iOS. ولا يكون عنصر سلسلة مفاتيح iOS المنشأ لهذه الوظيفة مخصصاً للمزامنة مع سلسلة مفاتيح iCloud، وبناء عليه لن يغادر جهاز الجوال الخاص بك الذي يعمل بنظام تشغيل iOS.

يوصي بشدة أن تستخدم كلمة مرور رئيسية مركبة وأن تقوم بتمكين المصادقة المتعددة لتوفير أقصى أمان لخزينة Keeper المشفرة الخاصة بك. ييسر استخدام Touch ID وFace ID استخدام كلم مرور رئيسية معقدة على جهازك الجوال الذي يعمل بنظام تشغيل iOS. كما يوصي باستخدام رمز مرور أطول من الحد الأدنى الذي يتكون من 4 أرقام لتأمين سلسلة مفاتيح iOS.

يتم استخدام سلسلة مفاتيح iOS من قبل نظام تشغيل iOS وتطبيقاته لتخزين بيانات الاعتماد بشكل آمن. وتقوم تطبيقات iOS باستخدام سلسلة مفاتيح iOS لتخزين مجموعة متنوعة من المعلومات الحساسة بما في ذلك كلمات المرور الخاصة بمواقع الويب، والمفاتيح، وأرقام بطاقات الائتمان، ومعلومات Apple Pay™. ولا يقوم Keeper باستخدام سلسلة مفاتيح iOS لتخزين سجلات Keeper – حيث تبقى جميع سجلات Keeper محمية بتشفير 256-bit AES ومخزنة بأمان في خزينة Keeper. كما أن سلسلة مفاتيح iOS مشفرة بتشفير 256-bit AES باستخدام رمز المرور الخاص بالجهاز. حتى في حالة فقدان الجهاز أو سرقته أو تمكن أحد المجرمين من الوصول إلى جهاز الجوال، فلن يتمكن من الوصول لأية معلومات مخزنة تتعلق بـ Keeper. ولا يمكن فك تشفير سلسلة مفاتيح iOS من دون رمز المرور ولا يمكن فك تشفير خزينة Keeper من دون كلمة المرور الرئيسية لمستخدم Keeper.

سلسلة مفاتيح iOS وTouch ID<sup>®</sup>

المقاييس الحيوية

يدعم Keeper بالأساس Windows Hello، وTouch ID، وFace ID، والمقاييس الحيوية لأنظمة التشغيل التي تعمل بنظام Android. ويمكن للعميل الذي يقوم بتسجيل الدخول بشكل طبيعي على خزينة Keeper الخاص به باستخدام كلمة المرور الرئيسية أو تسجيل دخول Enterprise SSO (SAML 2.0) تسجيل الدخول أيضاً على أجهزته باستخدام المقاييس الحيوية. ويجب تمكين المقاييس الحيوية من قبل مسؤول Keeper في سياسة الأدوار. ويمكن الحصول على وصول من دون الاتصال بالإنترنت أيضاً باستخدام المقاييس الحيوية لكل من كلمة المرور الرئيسية والمستخدمين الممكن لهم SSO عند تنشيط هذه الميزة.


عند تمكين تسجيل الدخول بالمقاييس الحيوية على الجهاز، يتم إنشاء المفتاح محلياً بشكل عشوائي وتخزينه في منطقة معزولة آمنة (على سبيل المثال سلسلة المفاتيح "Keychain") في الجهاز. ويتم تشفير مفتاح بيانات المستخدم بمفتاح المقاييس الحيوية. وعند نجاح مصادقة المقاييس الحيوية يتم استعادة المفتاح ويتمكن المستخدم من فك تشفير خزينته.

Apple Watch®

تسمح ميزة التفضيل في Apple Watch بعرض السجلات المحددة في Apple Watch المقترنة. يجب أن يتم تمكين سجلات Keeper صراحةً للسماح بالعرض على Apple Watch. وتتواصل Apple Watch المقترنة مع ملحق Keeper Watch والذي يعمل بشفافية في فراغ تحديد آلية وصول مستقل عن تطبيق Keeper لنظام iOS. كما يستخدم ملحق Keeper Watch سلسلة مفاتيح iOS من أجل التخزين والوصول الآمنين للمفاتيح لتمكينه من التواصل بسلاسة وأمان مع تطبيق Keeper لنظام iOS.

Keeper DNA®

يعتبر Keeper DNA إضافة جديدة ومبتكرة للمصادقة متعددة العوامل. فعند استخدامها مع Apple Watch مقترنة، تقدم ميزة Keeper DNA أسلوب مصادقة متعدد العوامل لا مثيل له من حيث الراحة والأمان. وتستخدم Keeper DNA رموزاً مميزة آمنة ومخزنة في خزينة Keeper لتوليد رموز قائمة على الوقت للمصادقة متعددة العوامل. ويمكن الموافقة على طلبات المصادقة القائمة على الوقت هذه وإرسالها تلقائياً من Apple Watch (أو جهاز Android Wear) بمجرد ضغطة على شاشة الساعة أو الإدخال يدوياً من قبل المستخدم. وتساعد الطبقات المتعددة من التشفير، وTouch ID، والمصادقة متعددة العوامل في جعل Keeper DNA أسلوب المصادقة الأكثر روعة وأماناً وتقدماً من بين الخيارات الأخرى المتاحة.

الامتثال والتدقيق

سلسلة مفاتيح iOS وTouch ID<sup>®</sup>

اعتماد إذعان SOC 2

سجلات خزينة العميل محمية باستخدام ممارسات تحكم داخلية صارمة ومراقبة عن كثب. وتم اعتماد امتثال Keeper إلى SOC 2 من النوع الثاني وفقاً لإطار مراقبة تنظيم الخدمة من AICPA. وتساعد شهادة SOC 2 في ضمان الحفاظ على أمان خزينتك خلال تطبيق الضوابط المحددة كما هي محددة في إطار مبادئ خدمة الثقة من AICPA.

حاصل على شهادة ISO 27001 (نظام إدارة أمن المعلومات)

Keeper حاصل على شهادة ISO 27001، والتي تشمل نظام إدارة معلومات Keeper Security والتي تدعم منصة Keeper Enterprise. يشمل نطاق شهادة ISO 27001 الخاصة ببرنامج Keeper إدارة خدمات الخزينة الرقمية والسحابة وتشغيلها، وتطوير البرامج والتطبيقات، وحماية الأصول الرقمية لخدمات الخزينة الرقمية والسحابة.

امتثال اللائحة العامة لحماية البيانات

يمتثل Keeper للائحة التنظيمية المتعلقة بحماية البيانات العامة ونحن ملتزمون بضمان استمرار الحفاظ على امتثال أساليب العمل التي نتبعها والمنتجات التي نصدرها من أجل عملائنا في الاتحاد الأوروبي. انقر هنا لمعرفة المزيد عن امتثال Keeper للائحة التنظيمية المتعلقة بحماية البيانات العامة وتنزيل اتفاقيات معالجة البيانات.

حماية البيانات الطبية للمرضى

يتوافق برنامج Keeper مع المعايير العالمية لحماية البيانات الطبية بما يشمل، دون تقييد، قانون نقل التأمين الطبي ومسؤوليته (HIPAA) وقانون حماية البيانات (DPA).

الامتثال لقانون منقولية ومساءلة التأمين الصحي واتفاقيات شركاء الأعمال

إن Keeper حاصل على اعتماد SOC2 وشهادة ISO 27001، وهو عبارة عن منصة أمن قائمة على بنية صفر المعرفة تمتثل لقانون منقولية ومساءلة التأمين الصحي. علاوة على ذلك، هناك التزام شديد وضوابط صارمة لضمان الخصوصية، والسرية، والنزاهة، والإتاحة. ولا يستطيع Keeper بفضل بنية الأمان التي يتميز بها، فك تشفير أي معلومات أو الاطلاع عليها أو الوصول إليها، بما في ذلك المعلومات الصحية المحمية الإلكترونية (ePHI) المخزنة في خزينة Keeper الخاصة بالمستخدم. وللأسباب السابقة فإن Keeper ليس شريك أعمال كما هو مُعرف في قانون منقولية ومساءلة التأمين الصحي، وبناء عليه، لا يخضع لاتفاقية شركاء الأعمال.


لمعرفة المزيد حول المزايا الإضافية لمقدمي الرعاية الصحية وشركات التأمين الصحي، يُرجى قراءة إقرار الأمان هذا بالكامل وزيارة دليل المؤسسةالخاص بنا.

اختبار الاختراق

يقوم Keeper بإجراء اختبار اختراق دوري مع خبراء خارجيين بما في ذلك NCC Group, Secarma، وRhino Security، وباحثين أمنيين مستقلين مقابل كل منتجاتنا وأنظمتنا. كما أسس Keeper شراكة مع Bugcrowd لإدارة برنامج الإفصاح عن نقاط الضعف الخاص بها.

اختبارات مسح واختراق أمن الطرف الثالث

يتم اختبار KSI يومياً من قبل McAfee Secure لضمان أن تطبيق الويب من Keeper وخزينة أمن السحابة من KSI آمنين من الاستغلال المعروف عن بعد، والثغرات الأمنية، وهجمات قطع الخدمة. ويمكن العثور على شعارات McAfee Secure على موقع Keeper لتأكيد الاختبار اليومي لموقع Keeper، وتطبيق الويب، وخزينة أمن السحابة.

ويتم إجراء مسح أمن خارجي شامل شهرياً على موقع Keeper، وتطبيق الويب من Keeper، وخزينة أمن السحابة على Keeper. ويقوم طاقم Keeper بشكل دوري ببدء عمليات مسح خارجي عند الطلب عبر McAfee Secure.

معالجة الدفع والامتثال لصناعة بطاقات الدفع

KSI تستخدم PayPal Payments Pro للمعالجة الآمنة لعمليات دفع بالبطاقات الائتمانية وبطاقات الخصم من خلال موقع الدفع الخاص بشركة KSI. PayPal Payments Pro هو حل معالجة المعاملات المذعن.

وKSI حاصلة على اعتماد إذعان PCI-DSS من قبل McAfee Secure.

EU-US Privacy Shield

اعتُمد كل من عميل الويب من Keeper، وتطبيق Android، وتطبيق هاتف Windows، وتطبيق iPhone/iPad، وملحقات المتصفحات EU Privacy Shield امتثالاً إلى برنامج EU-U.S. Privacy Shield التابع لوزارة التجارة الأمريكية، لتلبية توجيه المفوضية الأوروبية بشأن حماية البيانات.
لمزيد من المعلومات عن برنامج U.S.-EU Privacy Shield التابع لوزارة التجارة الأمريكية، راجع https://www.privacyshield.gov

مُجاز وفقًا لمعيار FIPS 140-2

يستخدم Keeper نماذج تشفير FIPS 140-2 التي تم التحقق منها لمعالجة المتطلبات الأمنية الصارمة للحكومة والقطاع العام. وتم اعتماد تشفير Keeper من قبل برنامج التحقق من نموذج التشفير (CMVP) التابع للمعهد الوطني للمعايير والتقنية، كما تم التحقق منه مقابل معيار FIPS 140 من قبل معامل خارجية معتمدة. وصدرت إلى Keeperشهادة رقم 3976 بموجب برنامج التحقق من نموذج التشفير (CMVP) التابع للمعهد الوطني للمعايير والتقنية

مرخصة من وزارة التجارة الأمريكية تحت لوائح تنظيم التصدير

Keeper معتمد من قبل وزارة التجارة الأمريكية لشؤون الصناعة والأمن تحت سيطرة تصنيف سلع التصدير رقم 5D992، امتثالاً إلى لوائح تنظيم التصدير.
لمزيد من المعلومات عن لوائح تنظيم التصدير: https://www.bis.doc.gov

مراقبة عن بعد على مدار الساعة

تتم مراقبة Keeper على مدار الساعة بواسطة شبكة مراقبة خارجية عالمية لضمان إتاحة موقع الويب وخزينة أمن السحابة الخاصين بنا للعالم أجمع.

إذا كانت لديك أي أسئلة بشأن الإفصاح الأمني، فرجاء اتصل بنا.

رسائل البريد الإلكتروني للتصيد الاحتيالي أو المحاكاة

إذا استلمت بريداً إلكترونياً يزعم أنه من KSI ولست متأكداً من صحته، فقد يكون "بريداً إلكترونياً للتصيد الاحتيالي" حيث يتم تزوير أو "محاكاة" عنوان البريد الإلكتروني للمرسل. وفي هذه الحالة، قد يتضمن البريد الإلكتروني روابط لموقع ويب يشبه KeeperSecurity.com ولكنه ليس موقعنا. وقد يطلب منك هذا الموقع كلمة مرورك الرئيسية على Keeper Security أو يحاول تثبيت برنامج غير مرغوب فيه على كمبيوترك لمحاولة سرقة معلوماتك الشخصية أو الوصول إلى كمبيوترك. وقد تحتوى رسائل بريد إلكتروني أخرى على روابط قد تقوم بتوجيهك إلى مواقع ويب أخرى يحتمل أن تكون خطيرة. وقد تشمل هذه الرسالة كذلك مرفقات، والتي عادةً ما تحتوي على برامج غير مرغوب فيها تسمى "برامج ضارة". فإذا كنت غير متأكد من بريد إلكتروني في صندوقك الوارد، فعليك حذفه بدون النقر على أي روابط أو فتح أي مرفقات. .

وإذا كنت ترغب في الإبلاغ عن بريد إلكتروني يزعم أنه من KSI ولكنك تعتقد أنه مزور أو لديك مخاوف أمنية أخرى تتعلق بأمور أخرة مع KSI، فرجاءً اتصل بنا.

استضافة البنية التحتية معتمدة لأكثر معايير الصناعة صرامة

يعمل موقع الويب وتخزين السحابة في Keeper بنية أساسية للحوسبة على السحابة آمنة تابعة لـAmazon Web Services (AWS). ولقد تم اعتماد بنية السحابة في AWS والتي تستضيف بنية نظام Keeper لتلبية إثباتات وتقارير وشهادات الطرف الثالث التالية:

  • SOC 1 / SSAE 16 / ISAE 3402
    (SAS70)
  • SOC 2
  • SOC 3
  • PCI DSS Level 1
  • ISO 27001
  • FedRamp
  • DIACAP
  • FISMA
  • ITAC
  • FIPS 140-2
  • CSA
  • MPAA

برنامج الإبلاغ عن أوجه الضعف ومكافآت الأخطاء

تلتزم Keeper بأفضل ممارسات الصناعة للكشف المسؤول عن مشاكل الأمن المحتملة. لهذا فنحن نأخذ أمنك وخصوصيتك بجدية ونلتزم بحماية خصوصية عملائنا وبياناتهم الشخصية. وتتمثل مهمة KSI في إنشاء تطبيقات الأمن الأكثر أماناً وابتكاراً في العالم، ونعتقد أن الإبلاغ عن أوجه الضعف من المجتمع العالمي للباحثين الأمنيين يعتبر مكوناً قيماً لضمان أمن منتجات وخدمات KSI.


يعتبر الحفاظ على أمن مستخدمينا من الأمور الجوهرية لقيمنا كمنظمة. فنحن نقدر مدخلات المخترقين من ذوي النية الحسنة ونعتقد أن العلاقة الدائمة مع مجتمع المخترقين تساعدنا على ضمان أمنهم وخصوصيتهم، وتجعل الإنترنت مكاناً أكثر أماناً. ويشمل هذا تشجيع اختبارات الأمن المسؤولة والإفصاح عن أوجه الضعف في الأمن.

الإرشادات

تنص سياسة الإفصاح عن أوجه الضعف في Keeper على استثناءات عند العمل مع المخترقين حسني النية، وكذلك ما يمكنك أن تتوقعه منا.

إذا تم اختبار الأمن والإبلاغ عنه في نطاق إرشادات هذه السياسة، فإننا:

  • نعتبره مصرحاً به وفقاً لقانون إساءة استعمال الحواسيب والتحايل بها،
  • ونعتبره معفياً من قانون حقوق التأليف والنشر الرقمية للألفية، ولن نقيم دعوى ضدك لتجاوزك أي ضوابط أمن أو ضوابط تكنولوجية،
  • ونعتبره قانونياً، ولن نتخذ أي إجراء قانوني أو ندعم أي إجراء قانوني فيما يتعلق بهذا البرنامج ضدك،
  • وسنعمل معك لفهم وحل المشكلة سريعاً،
  • وسنعترف بمساهمتك علناً إذا كنت أول من أبلغ عن المشكلة وقمنا بتصميم كود أو تغيير تكوين بناءً على المشكلة.

إذا راودك الشك في أي وقت أو كنت غير متأكداً من الاختبار بطريقة تتسق مع الإرشادات ونطاق هذه السياسة، الرجاء التواصل معنا على security@keepersecurity.com قبل الاستمرار.

لتشجيع اختبار الأمن حسن النية والإفصاح عن أوجه الضعف المكتشفة، نطلب منك:

  • تجنب انتهاك الخصوصية، و/أو الإضرار بتجربة المستخدم، و/أو تعطيل الإنتاج أو أنظمة الشركات، و/أو تدمير البيانات،
  • قم بالبحث فقط داخل الإطار المحدد من برنامج Bugcrowd للكشف عن التعرض للأخطار الذي تجد رابطه أدناه، وقم بمراعاة الأنظمة والأنشطة التي تقع خارج النطاق،
  • والتواصل معنا على الفور على security@keepersecurity.com إذا صادفت أي بيانات مستخدم أثناء الاختبار،
  • وأن تتيح لنا وقتاً معقولاً لتحليل المشكلة المبلغ عنها وتأكيدها وحلها قبل الإفصاح علناً عن أي أوجه ضعف تم اكتشافها.

الإبلاغ

أسس Keeper شراكة مع Bugcrowd لإدارة برنامج الإفصاح عن نقاط الضعف الخاص بنا.

bugcrowd

الرجاء إرسال تقارير الإبلاغ من خلال [https://bugcrowd.com/keepersecurity].

معلومات إضافية

وثائق المنتج

منفذ وثائق Keeper الذي يتضمن دليل المنتج والمعلومات التقنية وملاحظات الإصدار وإرشادات المستخدم النهائي متاح على: https://docs.keeper.io

حالة النظام

يمكن الاطلاع على حالة النظام في الوقت الحقيقي على: https://statuspage.keeper.io