يولي Keeper اهتمامًا مطلقًا لحماية البيانات وأمان مدير كلمات المرور

نظرة عامة

شركة Keeper Security, Inc. شغوفة بحماية معلومات عملائها باستخدام برنامج أمن Keeper للجوال والأجهزة المكتبية. ويثق الملايين من العملاء والأعمال في Keeper لتأمين كلمات مرورهم ومعلوماتهم الخاصة والوصول إليها.

ويتم تحسين وتحديث برنامج Keeper باستمرار لتزويد عملائنا بأحدث التقنيات والحماية. وتقدم هذه الصفحة نظرة عامة عن بنية أمن Keeper، وأساليب التشفير، وبيئة الاستضافة في الإصدار المنشور الحالي. وتذكر نظرة عامة عن التفاصيل التقنية المتعلقة بأساليب التشفير والأمن الخاصة بنا في هذا المستند.

وتتوفر سياسة الخصوصية وشروط الاستخدام على موقع الويب الخاص بنا عبر الروابط التالية:

Privacy Policy شروط الاستخدام

حماية البيانات

يبدأ مبدأ الثقة المعدومة من أمان كلمات المرور. تقوم شركة KSI بتصميم منتجاتها باستخدام إطار أمان قائم على الثقة المعدومة الذي يقوم على عدم الثقة في أي مستخدم داخل البنية الأمنية. يفترض مبدأ الثقة المعدومة أنه من الممكن اختراق جميع المستخدمين والأجهزة، وبناء على ذلك، يجب التحقق من كل مستخدم ومصادقته قبل الوصول إلى موقع ويب أو تطبيق أو نظام. يعمل هذا الإطار الخاص بالأمن على الإنترنت على تعزيز منصة Keeper للأمن على الإنترنت. وتقدم المنصة لمسؤولي تكنولوجيا المعلومات اطلاعاً كاملاً على كافة المستخدمين والأنظمة والأجهزة التي يصلون إليها، ما يساعد على ضمان الامتثال لمتطلبات الصناعة والمتطلبات التنظيمية. ولكي يكون هناك إطار قائم على الثقة المنعدمة في منظمة ما، لابد من توفر أمن كلمات مرور من طراز عالمي تدعمه بنية أمنية قائمة على صفر المعرفة.

بنية قائمة على مبدأ انعدام الثقة

انقر على i أيقونات المعلومات لمعرفة المزيد.

المستخدمون النهائيون

مستخدمو Keeper على أي جهاز بما في ذلك أجهزة سطح المكتب والأجهزة الجوّالة والمتصفحات ومستخدمو سطر الأوامر.

مقدم الهوية

موفر الهوية (IdP) هو خدمة تتولى تخزين هويات المستخدمين وإدارتها.

تطبيقات SAML

تسمح بتوسيع تسجيل الدخول الأحادي ليشمل مجالات الأمن، ما يتيح استخدام تسجيل الدخول الأحادي مع متصفح الويب.

فرق SecOps وDevOps وتكنولوجيا المعلومات

مستخدمون لهم امتيازات ويتمتعون بإمكانية الوصول إلى الحسابات وبيانات تسجيل الدخول والأسرار شديدة الحساسية.

Keeper Admin Console

استخدم هذه المنصة لإعداد سياسة العمل وتنفيذها بالنسبة للمستخدمين النهائيين.

Keeper Connection Manager (KCM)

يتيح وصول الشبكة القائم على مبدأ انعدام الثقة إلى بنيتك التحتية من دون استخدام VPN.

Keeper Secrets Manager (KSM)

يأمن أسرار البنية التحتية مثل مفاتيح واجهة برمجة التطبيقات، وكلمات مرور قاعدة البيانات، ومفاتيح الوصول، والشهادات، وأي نوع من البيانات السرية.

مدير كلمات المرور Keeper Enterprise (EPM)

يحمي كلمات مرورك ومعلوماتك الشخصية من مجرمي الإنترنت.

أجهزة العملاء ومتصفحاتهم على اختلاف أنواعها

أجهزة المستخدم النهائي التي تصل إلى خزائن كلمات المرور الآمنة.

Windows وLinux وMySQL وSQL SERVER وPostgreSQL

نقاط نهاية متعددة عادة ما يصل إليها المستخدمون التميزون.

Jenkins وGitHub وTerraform وPowerShell

أدوات DevOps والمطورين التي تقوم بأتمتة عملية إنشاء التطبيق وتطويره.

التطبيقات القائمة على كلمات المرور

مواقع الويب والتطبيقات والأنظمة التي تتطلب بيانات تسجيل دخول.

شاهد فيديو شرح مبدأ انعدام الثقة

KSI هي شركة تقدم أمان صفر المعرفة. ولهذا فإن مستخدم Keeper هو الشخص الوحيد الذي يملك السيطرة الكاملة على تشفير بياناته وفك تشفيرها. وباستخدام Keeper، يتم التشفير على مستوى جهاز المستخدم خلال عملية النقل بأكملها من تطبيق المستخدم إلى خزينة أمن السحابة على Keeper. ودائماً ما يكون مفتاح التشفير المطلوب لفك تشفير البيانات مع مستخدم Keeper. ولا يمكن لشركة KSI فك تشفير بيانات العميل المخزنة.

ولا تملك KSI وصولاً إلى السجلات المخزنة داخل خزينة Keeper. ولا يمكن لشركة KSI الوصول عن بعد إلى أجهزة العملاء أو فك تشفير خزينة العملاء. أما المعلومات الوحيدة التي تملك KSI وصولاً لها هي عناوين البريد الإلكتروني ونوع الجهاز وتفاصيل خطة الاشتراك (مثلا Keeper Unlimited) الخاصة بالمستخدم. وإذا فُقد أو سرق جهاز المستخدم، بإمكان KSI المساعدة في الوصول إلى ملفات النسخ الاحتياطي المشفرة لاستعادة خزينة المستخدم عند استبدال الجهاز.

ويمكن الوصول إلى المعلومات المخزنة والتي تم الوصول إليها في Keeper فقط من قبل العميل لأنه يتم على الفور تشفيرها وفك تشفيرها مباشرةً على الجهاز المستخدم – حتى عند استخدام تطبيق الويب من Keeper. ويتكون أسلوب التشفير الذي يستخدمه Keeper من خوارزمية معروفة وموثوق بها وتدعى AES )مقياس التشفير المتقدم( بمفتاح بطول 256-bit. ووفقاً لنشرة اللجنة المعنية بأنظمة الأمن القومي CNSSP-15، تعتبر خوارزمية AES بمفتاح بطول 256-bit آمنة بما يكفي لتشفير بيانات سرية تصل إلى تصنيف "سري للغاية" لحكومة الولايات المتحدة. إن Keeper حاصل على اعتماد FIPS 140-2 وتم التحقق من صحته من قبل NIST CMVP (برنامج التحقق من نموذج التشفير التابع للمعهد الوطني للمعايير والتقنية) (شهادة رقم 3976 - https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/3976)

ولا يتم تخزين مفاتيح الشفرات المستخدمة لتشفير وفك تشفير سجلات العميل أو نقلها إلى خزينة أمن السحابة على Keeper. ولكن لتقديم قدرات المزامنة بين أجهزة متعددة، يتم تخزين إصدار مشفر من مفتاح الشفرة هذا في خزينة أمن السحابة وتقديمه للأجهزة الموجودة في حساب المستخدم. ولا يمكن فك تشفير مفتاح الشفرة المشفر هذا إلّا على الجهاز للاستخدام لاحقاً كمفتاح تشفير للبيانات.

كلمة مرور رئيسية قوية

يُنصح بشدة بأن يختار العملاء كلمة مرور رئيسية قوية لحسابهم على Keeper. ويجب ألّا تستخدم كلمة المرور الرئيسية هذه في أي مكان خارج Keeper. كما يجب على المستخدمين عدم مشاركة كلمات مرورهم الرئيسية مع أي أحد.

المصادقة المزدوجة

للحماية من الوصول غير المصرح به إلى خزينتك ومواقع الويب والتطبيقات الخاصة بك. كما يقدم Keeper أيضاً المصادقة الثنائية، وهي نهج للمصادقة يتطلب اثنين أو أكثر من عوامل المصادقة الثلاثة: عامل المعرفة، وعامل الملكية، وعامل الإرث. لمزيد من المعلومات عن المصادقة الثنائية راجع هذا الرابط.

يستخدم Keeper شيئاً تعرفه (كلمة المرور الخاصة بك) وشيئاً تملكه (الهاتف الذي تحمله) لتزويد المستخدمين بأمن إضافي في حالة تعرض كلمة مرورك الرئيسية أو جهازك للخطر. وللقيام بهذا نقوم بتوليد كلمات مرور تستخدم لمرة واحدة ولفترة زمنية محددة (TOTP).

يولد Keeper مفتاحاً سرياً 10-byte باستخدام مولد أرقام عشوائية مشفر وآمن. ويبقى هذا الرمز صالحاً لنحو دقيقة، ويتم إرساله إلى المستخدم برسالة نصية أو من خلال Duo Security أو RSA SecurID أو تطبيق TOTP، أو Google Authenticator أو أجهزة قابلة للارتداء تتوافق مع Keeper DNA مثل ساعة Apple Watch أو Android Wear.

عند استخدام تطبيق Google Authenticator أو تطبيق TOTP على جهازك المحمول، يقوم خادم Keeper داخلياً بإنشاء رمز QR يضم مفتاحك السري، ولا يتم إرساله إلى طرف ثالث قطّ. وفي كل مرة يقوم أحد المستخدمين بإلغاء تنشيط المصادقة الثنائية ثم إعادة تنشيطها، يتم إنشاء مفتاح سري جديد.

لتفعيل المصادقة الثنائية، قم بزيارة Keeper DNA أو شاشة الإعدادات في Keeper Web App. يمكن لعملاء Keeper Business تطبيق استخدام عامل المصادقة الثنائية اختيارياً لتسجيل الدخول إلى الخزينة وأساليب المصادقة الثنائية المدعومة عبر وظيفة تطبيق دور Keeper Admin Console.

مفاتيح أمن FIDO WebAuthn

يدعم Keeper الأجهزة القائمة على مفاتيح أمن WebAuthn المتوافقة مع FIDO مثل YubiKey كعامل مصادقة ثان. وتوفر مفاتيح الأمن طريقة ملاءمة وآمنة للقيام بالمصادقة الثنائية من دون أن تطلب من المستخدم إدخال الرموز المكونة من 6 أرقام يدوياً. ويمكن تكوين مفاتيح أمن متعددة لخزينة المستخدم. وفيما يتعلق بالمنصات التي لا تدعم أجهزة مفاتيح الأمن، يجوز للمستخدمين العودة لأساليب المصادقة الثنائية المكونة الأخرى. لتكوين مفتاح الأمن وأساليب المصادقة الثنائية الأخرى، قم بزيارة شاشة "الإعدادات" في تطبيق Keeper.

الوصول في حالات الطوارئ (الإرث الرقمي)

يدعم Keeper القدرة على إضافة حتى 5 جهات اتصال في حالات الطوارئ لمنحها القدرة على الوصول للخزينة في حالات الطوارئ أو الوفاة. بمجرد انقضاء مدة الانتظار المحددة، ستحصل جهة الاتصال على القدرة على الوصول لخزينة المستخدم. وتستخدم عملية مشاركة الخزينة صفر المعرفة، ولا يتم مشاركة كلمة المرور الرئيسية للمستخدم أبداً بشكل مباشر. يستخدم تشفير RSA لمشاركة مفتاح 256-bit AES مع جهة الاتصال في حالات الطوارئ، عند انتهاء مدة الانتظار المضبوطة من قبل المستخدم الأصلي. ولهذا، يجب أن تملك جهة الاتصال في حالات الطوارئ حساباً على Keeper (ومفتاح RSA مزدوج عام/خاص) لقبول الدعوة.

استعادة الحساب

خلال تسجيل الحساب، قد يُطلب من المستخدمين تحديد سؤال أمن مخصص وإجابته أو وسيلة أخرى من أنواع الاسترداد. أيضاً خلال التسجيل، يولد Keeper مفتاح بيانات 256-bit AES يستخدم لتشفير وفك تشفير مفاتيح السجل المخزنة مع كل من سجلات الخزينة. ويتم تشفير مفتاح بيانات المستخدم بواسطة مفتاح مشتق من كلمة المرور الرئيسية باستخدام PBKDF2 مع ما يصل إلى 1,000,000 تكرار، ويتم تشفير كل مفتاح سجل AES-256 بواسطة مفتاح بيانات AES-256. يوجد لدى كل سجل في خزينة المستخدم مفاتيح سجل فردية ومختلفة تولد لدى العميل.

طريقة عمل استعادة الحساب (مع وسيلة سؤال الأمن) هي عبر تخزين نسخة ثانية من مفتاح بيانات المستخدم المشفرة بواسطة مفتاح مشتق من إجابة الأمن المحدد مع ما يصل إلى 1,000,000 تكرار. ولإكمال عملية استعادة الخزينة، ويُطلب من المستخدم إدخال رمز تحقق من البريد الإلكتروني، وأيضاً رمز مصادقة ثنائية (إذا كانت مفعلة على الحساب). ونوصي بإنشاء سؤال وإجابة أمن قويين، فضلاً عن تفعيل ميزة المصادقة الثنائية من Keeper من شاشة "الإعدادات". وقد يتم إلغاء تفعيل استعادة الحساب استناداً إلى تكوين حساب Keeper Enterprise. كما يمكن فرض المصادقة الثنائية لعملاء Keeper Enterprise من وحدة تحكم المسؤول Keeper.

ويتم توفير وسيلة قائمة على أسلوب صفر المعرفة لعملاء الشركات والمؤسسات لاستعادة الحساب للمستخدمين باستخدام سياسة نقل الحساب من Keeper.

تشفير العميل.

يتم تشفير البيانات وفك تشفيرها على جهاز المستخدم وليس على خزينة أمن السحابة. ونطلق على هذا اسم "تشفير العميل" لأن العميل (مثلاً iPhone، جهاز Android، تطبيق ويب، إلخ) يقوم بكافة أعمال التشفير. وتخزن خزينة أمن السحابة البيانات في صورة ثنائية خامّة (raw binary) والتي تعتبر بلا فائدة لأي متطفل. وحتى إذا تم الحصول على البيانات عند نقلها بين أجهزة العميل وخزينة أمن السحابة، فلا يمكن فك تشفيرها أو استخدامها لمهاجمة أو تهديد البيانات السرية للمستخدم.

ويتطلب كسر أو اختراق مفتاح 256-bit متماثل قوة حوسبة أكثر 2¹²⁸ مرة من قوة مفتاح 128-bit. ونظرياً يتطلب هذا استخدام جهاز يستغرق 3×10⁵¹ عاماً لاستهلاك مساحة مفتاح 256-bit.

المشاركة

للمستخدم النهائي مفتاحًا مزدوجًا عامًا وخاصًا من منحنى القطع الناقص 256-bit (ECC secp256r1) يُستخدم لمشاركة مفاتيح أخرى (مثل مفاتيح السجلات ومفاتيح الفرق) بين المستخدمين. يتم تشفير المعلومات التي تتم مشاركتها باستخدام المفتاح العام للمستلم. ويقوم المستلم بفك تشفير المعلومات التي تتم مشاركتها باستخدام مفتاحهم الخاص. يسمح هذا للمستخدم بمشاركة السجلات فقط مع المستلم المقصود، حيث يكون بمقدور المستلم فقط فك تشفيره. للتوافق مع السجلات القديمة، يمكن أيضًا استخدام مفتاح 2048-bit RSA.

توليد المفتاح

وسيلة المصادقة الافتراضية في Keeper هي استخدام كلمة مرور رئيسية محددة من قبل المستخدم. ويتم استخدام PBKDF2 لاشتقاق مفتاح من كلمة المرور الرئيسية ليقوم بفك تشفير مفاتيح المستخدم الأخرى مثل مفتاح بيانات 256-bit AES. ويتم توليد مفتاح PBKDF2 ثاني محلياً ثم يتم تجزئته باستخدام HMAC_SHA256 لاشتقاق رمز مصادقة مميز. وتحظر القدرة على المصادقة بواسطة كلمة مرور رئيسية حتى ينجح التحقق من جهاز المستخدم ويتم التحقق بواسطة مصادقة ثنائية. والرقم الافتراضي لعمليات تكرار PBKDF2 هو 1,000,000 دورة. كما يستطيع مسؤولو Keeper فرض مستويات تكرار PBKDF2 على وحدة تحكم المسؤول من Keeper.

التخزين الرئيسي

يتم تشفير كل مفاتيح الأسرار مثل المفتاح الخاص لمنحنى القطع الناقص ومفتاح RSA الخاص ومفتاح بيانات AES-256 لكل مستخدم قبل التخزين أو النقل. وبالنسبة للمستخدمين من المستهلكين والشركات الذين يقومون بتسجيل الدخول باستخدام كلمة مرور رئيسية، يتم اشتقاق مفتاح من كلمة المرور الرئيسية لفك تشفير أي مفاتيح مخزنة. وفيما يتعلق بعملاء الشركات الذين يقومون بتسجيل الدخول بواسطة موفر هوية تسجيل الدخول الأحادي، يتم توفير مفاتيح مشفرة للجهاز بعد المصادقة الناجحة ويتم استخدام مفاتيح المستخدم الخاصة لفك تشفير مفتاح البيانات والمفاتيح الأخرى للخزينة. وحيث إن خزينة أمن سحابة Keeper لا تملك وصولاً إلى كلمة مرور المستخدم الرئيسية أو مفاتيح التشفير، فلا نستطيع فك تشفير أي مفاتيح أو بيانات مخزنة.

Keeper's Cloud Security Vault

تشير Cloud Security Vault إلى البرنامج وبنية الشبكات المملوكة لشركة KSI ويتم استضافتهما فعلياً داخل البنية الأساسية لخدمات الويب منAmazon (AWS).

وعندما يقوم المستخدم بمزامنة خزينته على Keeper مع الأجهزة الأخرى على حسابه، يتم إرسال البيانات الثنائية عبر نفق SSL مشفر وتخزينها في خزينة أمن السحابة على Keeper في تنسيق مشفر.

تعيين إصدار السجلات

يحتفظ Keeper بمحفوظات إصدارات مشفرة بالكامل لكل سجل مخزن في خزينة المستخدم، لتوفير الثقة بأنه لن تفقد أي بيانات هامة أبداً. ويمكن للمستخدمين من تطبيق عميل Keeper فحص محفوظات الإصدارات والقيام باستعادة لأي سجل خزينة فردي. وإذا تم تغيير أو حذف كلمة مرور أو ملف مخزنين في Keeper، فبإمكان المستخدمين دائماً إجراء استعادة لنقطة زمنية محددة.

Keeper Business

يتم إمداد المستخدمين الذين يشترون Keeper Business بطبقة تحكم إضافية على مستخدميهم وأجهزتهم. ويتم منح مسؤولي Keeper وصولاً لوحدة تحكم إدارية قائمة على السحابة وهو الأمر الذي من شأنه منح تحكم كامل في إلحاق المستخدمين وفصلهم والأذونات القائمة على الأدوار والإدارة المفوضة والفرق وتكامل Active Directory/LDAP والمصادقة الثنائية وتسجيل الدخول الأحادي وسياسات إنفاذ الأمن. وسياسات الأمن القائمة على الأدوار من Keeper قابلة للتخصيص والتوسع بشكل كامل في المنظمات من أي حجم.

تشفير على مستوى السجل

ينفذ Keeper نظام تشفير متعدد الطبقات قائم على المفاتيح المولدة من جانب العميل ويتم توليد المفاتيح على مستوى السجل والمفاتيح على مستوى المجلد على الجهاز المحلي والتي تشفر كل سجل خزينة مخزن (على سبيل المثال كلمات المرور). على سبيل المثال، إذا كنت تمتلك 10,000 سجل في خزينتك، فأنت تمتلك 10,000 مفتاح سجل AES يحمي البيانات.

يتم توليد المفاتيح محلياً على الجهاز للحفاظ على أسلوب صفر المعرفة ولدعم الميزات المتقدمة مثل مشاركة السجلات والجلدات. يتم تغليف المفاتيح بمفاتيح أخرى مثل مفتاح البيانات ومفتاح العميل.

الأدوار والفرق والمجلدات المشاركة والمدير المفوض

يقدم Keeper للأعمال مجموعة آمنة وقوية من الضوابط على الوحدات التنظيمية والأدوار والفرق والمجلدات المشاركة. وتقدم الضوابط الخلفية القوية في Keeper أقوى طبقات الأمن التي توفر وصولاً بأقل الامتيازات وإدارة مفوضة بالكامل.

وللأدوار التي تطبق نقل حساب المستخدم:

يتم تشفير مفتاح التطبيق بالمفتاح العام لكل مدير مسموح له بأداء النقل.

(ملحوظة: التطبيقات المستقلة المطبقة على مجموعات مستقلة من المستخدمين يمكن تعيينها ليتم نقلها بواسطة مجموعات مستقلة من المديرين.)

مفتاح بيانات المستخدم (للمستخدمين في دور طُبقت عليه التطبيقات) يتم تشفيره بالمفتاح العام لتطبيق الدور.

يتم نقل الحسابات من خلال قفل حساب المستخدم ثم نقله ثم حذفه. ويضمن هذا عدم أداء العملية بسرية. يسمح مفتاح البيانات المشاركة للعميل وبيانات التعريف للقدرة النهائية بفك تشفير بيانات السجل، ولكنها لا تسمح بالوصول المباشر. ولهذا تصبح السجلات فقط بعد تعيينها لشخص قابلة للاستخدام من قبل هذا الشخص، ولا يملك أي شخص آخر القدرة على الوصول.

تتم جميع عمليات التشفير في جانب العميل، ولا يملك Keeper في أي وقت القدرة على فك تشفير المعلومات التي يتم مشاركتها أو نقلها. وبالإضافة لذلك، لا يتم مشاركة مفتاح العميل الخاص بالمستخدم في أي وقت. ولن يستلم أي مستخدم تم حذفه من فريق أو مجلد مشارك أو مشاركة مباشرة بيانات جديدة من الفريق أو المجلد المشارك أو السجل. ولهذا فعلى الرغم من أن المفتاح معرض للخطر مع هذا الشخص فإن المفتاح غير قابل للاستخدام للحصول على وصول للبيانات الأساسية.

وقد يتم تعيين العديد من الامتيازات الإدارية المختلفة لبعض أجزاء شجرة التدرج الهرمي والتي تسمح لأعضاء الدور المميز بأداء عمليات في وحدة تحكم مسؤول Keeper الخاصة بنا.

كما قد تطبق السياسات من جانب الخادم ومن جانب العميل لأدوار لإملاء تصرف العميل لمجموعات من الأشخاص.

وتسمح الفرق بتوزيع سهل للمجلدات المشاركة لمجموعات من المستخدمين.

Keeper Active Directory / LDAP Bridge

يتكامل Keeper Bridge مع الدليل النشط وخوادم البروتوكول الخفيف لتغيير بيانات الدليل لتزويد المستخدمين وإدخالهم. ويتم التصريح لاتصالات Keeper Bridge أولاً بواسطة مدير له امتيازات إدارة Bridge. ويتم توليد مفتاح انتقال ومشاركته مع Keeper لكافة الاتصالات اللاحقة. ويعتبر استخدام مفتاح الانتقال بمثابة التصريح لكافة العمليات التي تم تأديتها بواسطة Bridge ماعدا تهيئة Bridge. ويمكن توليد مفتاح الانتقال في أي وقت، وسيتم تدويره تلقائياً كل 30 يوماً.

يستخدم مفتاح الانتقال في الانتقال فقط مما يعني أن مفتاح الخطر يمكن أن يعاد تهيئته أو إبطاله بدون خسارة أي بيانات أو إذن.

ولا يمكن لـ Keeper Bridge منح امتيازات لدور أو مستخدم. ولكن يمكن له إضافة مستخدم لدور مميز طالما أنه لا توجد حاجة لمفاتيح إنفاذ. ولا يمكن لـKeeper Bridge رفع نفسه أو مستخدم فوق جزء الشجرة الذي يقوم بإداراته. فليست كل العمليات متاحة لـBridge، أي أن Bridge بإمكانه تعطيل مستخدم نشط، ولكن لا يمكنه حذف المستخدم. ويختار المدير ما إذا كان المستخدم سيتم حذفه أو نقله.

مصادقة تسجيل الدخول الأحادي (SAML 2.0)

يمكن تهيئة Keeper من قبل عملاء Keeper Business لمصادقة مستخدم في خزينة Keeper الخاصة به باستخدام منتجات هوية SAML 2.0 المعيارية. Keeperهو موفر خدمة يتم تهيئته مسبقاً في كل موفر هوية تسجيل دخول أحادي رئيسي مثل Google Apps، وMicrosoft Azure، وOkta، وPing Identity، وغيرها. إن الآلية التي يستخدمها Keeper لمصادقة المستخدمين في خزائنهم في بيئة صفر المعرفة هي إجراء حاصل على براء اختراع باسم Keeper SSO Connect^®. Keeper SSO Connect^® هو برنامج يقوم مسؤولو Keeper Business بتثبيته على بنيتهم التحتية (سواء داخل مقارهم أو على السحابة)، ويعمل كنقطة نهاية مقدم خدمة SAML 2.0. وعند تفعيله على وحدة مؤسسية محددة، يقوم Keeper SSO Connect^® بإدارة كل مفاتيح التشفير للمستخدمين النهائيين لـ Keeper Business. عند المصادقة الناجحة في موفر هوية تسجيل الدخول الأحادي، يتم تسجل دخول المستخدم إلى Keeper باستخدام مفاتيح التشفير لفك تشفير خزائنهم. ويعمل برنامج Keeper SSO Connect^® على أنظمة تشغيل Windows، وMac، وLinux.

SSO Connect^® Cloud

يوفر Keeper SSO Connect^® Cloud لعملاء Keeper Enterprise طريقة لمصادقة المستخدم وفك تشفير البيانات المخزنة في خزينة مشفرة بأسلوب صفر المعرفة، مع توفير المصادقة عبر موفر هوية (IdP) خارجي ]ستخدم بروتوكولات SAML 2.0 المعيارية في بيئة سحابية بالكامل.

في هذا التطبيق يمكن للمستخدم المصادقة عبر مزود هوية SSO الخاص به ثم فك تشفير النص المشفر الخاص بخزينته محلياً على جهازه. ويمتلك كل جهاز زوج مفاتيح منحنى القطع الناقص (EC) العامة / الخاصة ومفتاح البيانات المشفرة. ويمتلك كل مستخدم مفتاح البيانات الخاص به. لتسجيل الدخول على جهاز جديد يجب على المستخدم استخدام الأجهزة المتاحة للموافقة أو يمكن لأحد المسؤولين ممن يتمتعون بامتيازات الموافقة على جهاز جديد.

تكمن أهمية هذه القدرة في تمكن المستخدم من فك تشفير خزينته باستخدام مفتاح مشفر مخزن في سحابة Keeper. ويتم الاحتفاظ بصفر المعرفة لأن سحابة Keeper غير قادرة على فك تشفير مفتاح بيانات المستخدم على جهازه. ويتم فك تشفير مفتاح البيانات (DK) للمستخدم مع المفتاح الخاص للجهاز ("DPRIV")، ويتم تزويد مفتاح البيانات المشفر (EDK) للمستخدم فقط عند نجاح التوثيق من مزود الهوية المعين (على سبيل المثال Okta، Azure، AD FS).

لمستخدمي SSO Connect^® Cloud، يتم إنشاء مفتاح خاص مبني على القطع الناقص (EC) وتخزينه محلياً على كل جهاز. وفيما يتعلق بمتصفحات الويب القائمة على Chromium، فإن خزينة Keeper تخزن مفتاح منحنى القطع الناقص (EC) الخاص للجهاز المحلي ("DPRIV") باعتباره مفتاح تشفير غير قابل للتصدير. ويتم تخزين المفتاح في سلسلة المفاتيح (Keychain) على الأجهزة التي تعمل بنظام تشغيل iOS وMac. وحيثما كان متاحاً، يستخدم Keeper آليات تخزين آمنة.

لا يتم استخدام مفتاح الجهاز الخاص لتشفير أو فك تشفير بيانات الخزينة مباشرة. وبمجرد نجاح المصادقة من مزود الهوية يتم استخدام مفتاح منفصل (لا يتم تخزينه) لفك تشفير بيانات الخزينة. ولا يمكن فك تشفير خزينة المستخدم من خلال استخراج مفتاح الجهاز المحلي من دون الاتصال بالإنترنت.

تمتلك الأجهزة / المنصات المختلفة مستويات متباينة من الأمن وحتى توفر الأمن الأمثل نوصي باستخدام متصفح ويب حديث قائم على Chromium.

كما نوصي أيضاً بحماية جميع الأجهزة (مثل أجهزة الكمبيوتر المكتبية) بتشفير على مستوى القرص وبرامج الحماية من البرامج الضارة الحديثة، كحماية عامة ضد هجمات اختراق الجهاز.

موافقات أجهزة تسجيل الدخول الأحادي

لتسجيل الدخول إلى جهاز جديد، يجب على المستخدم استخدام الأجهزة الحالية للموافقة أو يمكن لمسؤول يملك صلاحيات الموافقة على جهاز جديد. تقوم الأجهزة الجديدة بإنشاء مجموعة جديدة من المفاتيح العامة / الخاصة، ويقوم الجهاز المانح للموافقة بتشفير مفتاح بيانات المستخدم بالمفتاح العام للجهاز الجديد. ويتم توفير مفتاح البيانات المشفر للجهاز الجديد للمستخدم / الجهاز الطالب، ثم يتمكن المستخدم من فك تشفير مفتاح البيانات، والذي يقوم بدوره بفك تشفير خزينة بيانات المستخدم. ويمكن للمستخدم فك تشفير مفاتيح التشفير الأخرى الخاصة به مثل مفاتيح السجلات ومفاتيح المجلدات ومفاتيح الفريق وما إلى ذلك داخل خزينة البيانات التي تم فك تشفيرها.

تكمن أهمية هذه القدرة في تمكن المستخدم من فك تشفير خزينته باستخدام مفتاح مشفر مخزن من قبل سحابة Keeper ولا يتطلب أي خدمات تطبيقات المحلية أو مستضافة من قبل المستخدم لإدارة مفاتيح التشفير. يتم الاحتفاظ بصفر المعرفة لأن سحابة Keeper غير قادرة على فك تشفير مفتاح بيانات المستخدم على جهازه. ويتم فك تشفير مفتاح البيانات للمستخدم مع المفتاح الخاص للجهاز ("DPRIV")، ويتم تزويد مفتاح البيانات المشفر (EDK) للمستخدم فقط عند نجاح التوثيق من مزود الهوية المعين (على سبيل المثال Okta، Azure، AD FS).

من منظور المسؤول تشمل المزايا: سهولة الإعداد ولا يتطلب برنامج مستضاف لإدارة مفاتيح التشفير على النحو الموصوف في نموذج تشفير SSO Connect^® الحالي من Keeper.
يكمن تغيير مسار العمل الوحيد في هذا النموذج (مقارنة بتنفيذ Keeper SSO Connect^® محلياً) في أنه يجب على المستخدم إجراء الموافقة لجهاز جديد من على جهاز مفعل، أو تفويض المسؤولية إلى مسؤول من Keeper للموافقة على الجهاز.

Keeper SSO Connect^® المحلي

SSO Connect^® الداخلي هو تكامل مستضاف ذاتياً يتطلب خادم تطبيقات مستضاف على Windows أو Linux .من أجل الحفاظ على أمان صفر المعرفة وضمان تجربة تسجيل دخول أحادي سلسة للمستخدم، يجب تثبيت Keeper SSO Connect^® على خادم العميل. إن بيئات Windows وMac وLinux مدعومة بالكامل باستخدام أوضاع تشغيل موازنة التحميل لقابلية الوصول العالية.

يقوم Keeper SSO Connect^® تلقائياً بإنشاء كلمة المرور الرئيسية لكل مستخدم معدّ والاحتفاظ بها، وهي عبارة عن مفتاح 256-bit ينشأ بشكل عشوائي. ويتم تشفير كلمة المرور الرئيسية هذه بمفتاح تسجيل دخول احادي. ويتم تشفير مفتاح تسجيل الدخول الأحادي بمفتاح الشجرة. ثم يتم استعادة مفتاح تسجيل الدخول الأحادي من الخادم عند بدء تشغيل خدمة Keeper SSO Connect^®، ويتم بعد ذلك فك تشفيره باستخدام مفتاح الشجرة، وهو مخزن محلياً على الخادم لدعم بدء تشغيل الخدمة تلقائياً. بينما حماية الاتصال بين SSO Connect^® وCloud Security Vault من Keeper عن طريق مفتاح إرسال.

BreachWatch

تقوم BreachWatch بفحص سجلات Keeper باستمرار لكشف أي عمليات اختراق للبيانات العامة وتقوم بتنبيه المستخدم داخل الخزينة. تقوم BreachWatch على بنية صفر المعرفة التي تستخدم عدداً من التقنيات متعددة المستويات لحماية معلومات عملائنا. وبإيجاز:

1. يتم استخدام دالة تجزئة وإخفاء الهوية بصورة آمنة ومشفرة وباستخدام مفاتيح مخصصة لإجراء مقارنة لكلمات المرور مع قاعدة بيانات تضم معلومات الحسابات المخترقة.
2. يتم معالجة كلمات مرور العملاء باستخدام وحدة جهاز أمني (HSM) ومفتاح سري غير قابل للتصدير قبل فحصه بالمقارنة مع كلمات المرور المخترقة أو تخزينه على خوادم BreachWatch.
3. يتفاعل عملاء Keeper مع BreachWatch باستخدام معرفات BreachWatch مجهولة الهوية غير مرتبطة بمعرفات عملاء Keeper الآخرين.
4. تفصل BreachWatch أسماء المستخدمين وكلمات المرور في خدمات منفصلة وتوفر معرفات مميزة ومجهولة الهوية لإلغاء الارتباط بين أسماء المستخدمين والمجالات من ناحية وكلمات المرور من ناحية أخرى.
5. لا يقوم عملاء BreachWatch مطلقاً بتحميل معلومات المجال مطلقاً، بل يقومون فقط بتنزيل المجالات.

الشكل 1. مسار بيانات كلمة مرور العميل المشفرة عبر BreachWatch. يتم فقط حفظ كلمات المرور التي تم تحصينها باستخدام وحدة جهاز أمني (HSM)، ومفتاح أمان غير قابل للتصدير على خوادم BreachWatch. يستخدم عملاء BreachWatch هويات مجهولة عند التفاعل مع خوادم BreachWatch.

لبناء خدمة آمنة، تفصل Keeper خدمة BreachWatch إلى ثلاث خدمات، واحدة لكل من فحص المجالات، ولأسماء المستخدمين، ولكلمات المرور، ومجموعة اسم المستخدم + كلمة المرور. تتواصل تطبيقات Keeper العميلة مع كل من هذه الخدمات الخلفية باستخدام REST API مشفرة.

فحص المجالات

يقوم عملاء BreachWatch بتنزيل قائمة بالمجالات التي تم اختراقها وإجراء الفحص محلياً.

فحص أسماء المستخدمين وكلمات المرور

تتصل الأجهزة العميلة بخوادم BreachWatch وتقوم بتحميل قائمة بأسماء المستخدمين (أو كلمات المرور) المجزأة بالإضافة إلى معرف عشوائي يحدده العميل (معرفات منفصلة لخدمات فحص أسماء المستخدمين وكلمات المرور). يتم معالجة عمليات تجزئة كلمات المرور عند التحميل بتشفيرHMAC باستخدام وحدة جهاز أمنى(HSM) ومفتاح سري مخزن في وحدة الجهاز الأمني (HSM) يتم وضع علامة عليه كغير قابل للتصدير (ما يعني أن وحدة الجهاز الأمني تقوم فقد بمعالجة HMAC محلياً ولا يمكن استخراج المفتاح). يتم مقارنة هذه المدخلات (أسماء المستخدمين أو كلمات المرور) التي تم تشفيرها باستخدام HMAC مع مجموعات بيانات الاختراق والتي تم معالجتها بتشفير HMAC والمفتاح ذاتهما. يتم الإبلاغ عن أي متطابقات للأجهزة العميلة. يتم تخزين أي قيم غير متطابقة جنباً إلى جنب مع معرف مجهول الهوية الخاص بالعميل.

وبينما يتم إضافة أسماء مستخدمين وكلمات مرور جديدة تعرضت للاختراق إلى النظام، يتم معالجتها باستخدام HMAC على وحدة الجهاز الأمني، وإضافتها إلى مجموعة بيانات BreachWatch، ومقارنتها مع قيم العميل المخزنة. وعند اكتشاف أي تطابق يتم جدولة إرسال رسالة لمعرف العميل هذا.

يقوم العملاء بشكل دوري بتسجيل الدخول إلى BreachWatch وعرض معرفاتهم الخاصة بـ BreachWatch. يتم تنزيل أي رسائل مجدولة ويقوم العملاء بتحميل أي أسماء مستخدمين وكلمات مرور جديدة أو تم تغييرها ليتم معالجتها بنفس الطريقة

يقوم أمان خدمات BreachWatch على نموذج "ثقة عند الاستخدام الأول (TOFU، ما يعني أن العملاء يجب أن يفترضوا أن خادم BreachWatch ليس ضاراً (بمعنى أنه لا يتعرض للاختراق بشكل فعال من قبل أي متطفل) عندما يقوم العميل بتحميل قيمه المجزأة. بمجرد معالجة هذه القيم باستخدام وحدة جهاز أمني يتم تأمينها ضد محاولات الاختراق تتم دون الاتصال بالإنترنت. وبعبارة أخرى، إذا قام أحد المتطفلين بسرقة مجموعة بيانات قيم العملاء المخزنة، فلا يستطيع اختراق هذه القيم دون اتصال بالإنترنت دون مفتاح HMAC المخزن في وحدة الجهاز الأمني.

إذا تم اكتشاف عملية اختراق لكلمة مرور، يقوم جهاز العميل بإرسال مجموعة اسم المستخدم + كلمة المرور بصورة مشفرة إلى خوادم BreachWatch، والتي تقوم بعدها بإجراء نفس المقارنة المشفرة باستخدام HMAC لتحديد ما إذا كان قد تم اختراق مجموعة اسم المستخدم + كلمة المرور، وإذا كان الأمر كذلك، يتم إرجاع المجالات المتعلقة بهذه الاختراقات إلى جهاز العميل ليتمكن من تحديد مدى تطابق اسم المستخدم+ كلمة المرور+ المجال من عدمه. وإذا تطابقت المعايير الثلاثة على جهاز العميل، يتم تحذير العميل بمدى خطورة الاختراق.

BreachWatch Business

عندما يتم تفعيل BreachWatch لعملاء الشركات والمؤسسات، يتم فحص خزائن المستخدم النهائي تلقائياً في كل مرة يقوم المستخدم بتسجيل الدخول باستخدام Keeper. ويتم تشفير ملخص بيانات BreachWatch التي تم فحصها على جهاز المستخدم باستخدام مفتاح المؤسسة العام وبتم فك تشفيره من قبل مسؤول المؤسسة عند تسجيل الدخول على وحدة تحكم مسؤول Keeper. وتشمل هذه المعلومات المشفرة على البريد الإلكتروني عدداً من السجلات عالية الخطورة، وعدداً من السجلات المحلولة، وعدداً من السجلات المتجاهلة. ويستطيع مسؤول Keeper رؤية ملخص الاحصائيات على مستوى المستخدم داخل واجهة مستخدم وحدة تحكم المسؤول.

تسجيل الأحداث وإعداد التقارير

عند دمجها مع ميزة الإبلاغ المتقدم و للتنبيهات، يمكن أيضاً تكوين أجهزة المستخدم النهائي من Keeper اختيارياً لتنقل أحداثاً في وقت حدوثها إلى حلول SIEM تابعة لأطراف أخرى وواجهة الإبلاغ في وحدة تحكم مسؤول Keeper. وتحتوي بيانات الحدث على البريد الإلكتروني، ومعرّف سجل فريد، وعنوان IP، ومعلومات الجهاز (لا تحتوي الأحداث على أي بيانات تم فك تشفيرها، حيث إن Keeper هو منصة صفر معرفة ولا يمكنه فك تشفير بيانات المستخدم).

في الوضع الافتراضي، لا يتم إرسال بيانات أحداث BreachWatch التفصيلية إلى ميزة الإبلاغ المتقدم والوحدة النمطية للتنبيهات أو أي أنظمة تسجيل خارجية متصلة. لتنشيط تقارير بيانات BreachWatch على مستوى الأحداث في ميزة الإبلاغ المتقدم والوحدة النمطية للتنبيهات يجب أن تقوم بتفعيل سياسة تنفيذ دور الأحداث أسفل دور محدد>إعدادات التنفيذ> شاشة مميزات الخزينة. وبمجرد تفعيلها ستبدأ أجهزة المستخدم النهائي في إرسال بيانات الحدث هذه. وحيث إن التكامل مع حلول SIEM للأطراف الثالثة ينقل من طرف Keeper إلى خدمة SIEM المستهدفة، فبالتالي يمكن قراءة معلومات هذا الحدث من قبل خدمة SIEM المستهدفة ويمكن استخدامها لتحديد السجلات والمستخدمين الذين لديهم كلمات مرور عالية الخطورة داخل المنظمة. وإذا لم يرغب مسؤول Keeper في نقل بيانات الحدث على مستوى السجل إلى ميزة الإبلاغ المتقدم والوحدة النمطية للتنبيهات، فيمكن ترك هذه الإعدادات غير مفعلة.

وضع عدم الاتصال بالإنترنت

يسمح وضع عدم الاتصال بالإنترنت للمستخدمين بالوصول إلى خزينتهم عندما لا يتمكنون من الوصول إلى Keeper أو إلى مقدم هوية تسجيل الدخول الأحادي الخاص بهم عن طريق الاتصال بالانترنت. تتوفر هذه الإمكانية على تطبيق الهاتف، وتطبيق سطح المكتب الخاص ببرنامج Keeper وتمتد إلى مستخدمي الأعمال على متصفحات الويب الشائعة.

تعمل القدرة من خلال صنع نسخة من الخزينة لجهاز المستخدم المحلي. ويتم تشفير بيانات الخزينة المخزنة من دون اتصال بالإنترنت بواسطة AES-GCM مع "مفتاح عميل" 256-bit يتم توليده بشكل عشوائي ويتم حمايته من قبل PBKDF2-HMAC-SHA512 مع ما يصل إلى 1,000,000 تكرار والقيمة العشوائية المضافة. ويتم تخزين القيمة المضافة والتكرارات محلياً. وعندما يدخل المستخدم كلمة مروره الرئيسية، يتم اشتقاق مفتاح باستخدام القيمة المضافة والتكرارات ويتم إجراء محاولة لفك تشفير مفتاح العميل. ثم يتم استخدام مفتاح العميل لفك تشفير سجل الذاكرة المؤقتة المخزن. إذا تم تمكين حماية التدمير الذاتي في خزينة المستخدم، فسيتم مسح كل بيانات الخزينة المخزنة محلياً بعد 5 محاولات فاشلة لتسجيل الدخول.

بنية الشركات

تستخدم KSI خدمة Amazon AWS في أمريكا الشمالية وأوروبا وأستراليا لخصوصية البيانات المحلية والفصل الجغرافي لاستضافة وتشغيل حل وبنية Keeper. ويسمح استخدام Amazon AWS لـKeeper بقياس الموارد بسلاسة عند الطلب وتزويد العملاء بأكثر بيئات تخزين السحابة سرعة وأمان. وتشغل KSI بيئات متعددة المناطق لتعظيم مدة التشغيل وتقديم أسرع وقت استجابة للعملاء.

مصادقة الخادم

تتم حماية Cloud Security Vault من Keeper بواجهة برمجة تطبيقات تقوم بمصادقة كل طلب من الجهاز العميل. على الجهاز العميل، يتم اشتقاق "مفتاح مصادقة" 256-bit من كلمة المرور الرئيسية باستخدام PBKDF2-HMAC-SHA256 وقيمة عشوائية مضافة. يتم توليد "تجزئة مصادقة" من خلال تجزئة "مفتاح المصادقة" باستخدام SHA-256. لتسجيل الدخول، يتم مقارنة تجزئة المصادقة مع تجزئة مصادقة مخزنة على Cloud Security Vault. بعد تسجيل الدخول، يتم توليد رمز جلسة ويتم استخدامه من قبل الجهاز العميل للطلبات اللاحقة. يجب تجديد رمز المصادقة هذا كل 30 دقيقة، أو بناءً على طلب الخادم.

بروتوكول طبقة المنافذ الآمنة

تدعم KSI كلاً من SSL 256-bit و128-bit لتشفير جميع عمليات نقل البيانات بين تطبيق العميل ومساحة تخزين KSI القائمة على السحابة. ويعتبر هذا هو نفس مستوى التشفير الذي يثق به الملايين من الأفراد والأعمال كل يوم في القيام بتعاملات الويب التي تتطلب الأمن، مثل العمليات المصرفية عبر الإنترنت، والتسوق عبر الإنترنت، وتداول الأسهم والسندات، والوصول إلى المعلومات الطبية، وتقديم الإقرارات الضريبية.

تقوم KSI بنشر شهادات TLS موقعة من قبل DigiCert باستخدام خوارزمية SHA2، وهي الخوارزمية الشهيرة والأكثر أماناً والتي تقدمها حالياً سلطات الشهادات التجارية. وتتفوق SHA2 من ناحية الأمان بشكل كبير عن SHA1 المستخدمة بشكل أوسع، والتي يمكن استغلالها نتيجة الضعف الحسابي المعرف في هذه الخوارزمية. وتساعد SHA2 في الحماية ضد إصدار الشهادات المزورة التي يمكن أن يستخدمها المخترقون لانتحال هوية أحد مواقع الويب.

كما تدعم KSI مبادرة Certificate Transparency "CT" وهي مبادرة جديدة قدمتها Google لإنشاء سجل قابل للتدقيق العام للشهادات الموقعة من قبل سلطات إصدار الشهادات. وتساعد هذه المبادرة على الحماية من إصدار الشهادات من كيانات غير مصرح لها. والمبادرة حالياً مدعومة في الإصدارات الأخيرة من متصفح الويب Chrome. يمكنك إيجاد المزيد من المعلومات عن مبادرة Certificate Transparency على: https://www.certificate-transparency.org. يدعم Keeper مجموعات برامج التشفير TLS التالية:

• ECDHE-ECDSA-AES128-GCM-SHA256
• ECDHE-RSA-AES128-GCM-SHA256
• ECDHE-ECDSA-AES128-SHA256
• ECDHE-RSA-AES128-SHA256
• ECDHE-ECDSA-AES256-GCM-SHA384
• ECDHE-RSA-AES256-GCM-SHA384
• ECDHE-ECDSA-AES256-SHA384
• ECDHE-RSA-AES256-SHA384

الحماية من هجمات البرمجة عبر المواقع (XSS)

تطبق خزينة الويب التي يوفرها Keeper سياسة أمان صارمة للمحتوى تضيع قيوداً على نقطة إصدار الطلبات الصادرة وتمنع تنفيذ جميع البرامج النصية، باستثناء تلك الصادرة صراحةً من Keeper، بما في ذلك البرامج النصية المضمنة وسمات HTML التي تعالج الأحداث، وهو ما يؤدي إلى تقليص معظم متجهات هجمات البرمجة عبر المواقع أو القضاء عليها تماماً.

يقتصر الوصول إلى أسماء المجالات KeeperSecurity.com وKeeperSecurity.eu على HTTPS مع TLS v1.2 ويتم فرضه بواسطة HTTP Strict Transport Security.وهذا يمنع مجموعة واسعة من مخاطر التعرف على الحزمة وتعديل البيانات وهجوم الوسيط.

لن يطالب Keeper من خلال وحدة المتصفح من Keeper المستخدمين بتسجيل الدخول إلى خزينتهم من داخل منطقة إطار الصفحة. يحدث تسجيل الدخول إلى الملحق داخل منطقة شريط أدوات ملحق المتصفح في المتصفح. وسيحدث تسجيل الدخول إلى الخزينة على متصفح الويب دائماً إما على مجال KeeperSecurity.com أو مجال KeeperSecurity.eu أو من شريط أدوات ملحق المتصفح من Keeper التي توجد خارج صفحة المحتوى.

يقوم ملحق المتصفح من Keeper على Chrome وFirefox وEdge وOpera باستخدام iFrames لإدخال بيانات السجل على شاشات تسجيل الدخول لمواقع الويب لضمان عدم وصول المواقع الضارة إلى المحتوى المدخل. يقتصر محتوى السجل المدخل إلى iFrames على سجلات الخزينة المخزنة في خزينة المستخدم التي تتوافق مع المجال الخاص بموقع الويب المستهدف. لا يقدم Keeper ميزة الملء تلقائي لبيانات تسجيل الدخول أو كلمة المرور ما لم يتوافق مجال موقع الويب مع مجال موقع الويب الخاص بسجل خزينة Keeper.

يستخدم ملحق Internet Explorer نافذة تطبيقات منفصلة لتسجيل الدخول والوصول إلى السجلات. لا تخضع هذه النوافذ المنفصلة لهجمات XSS لأنها لا يمكن الوصول إليها من المتصفح. وهذا يسمح للملحق في Internet Explorer بتقديم نافذة تسجيل دخول من داخل الصفحة. لن يُظهر الملحق السجلات ما لم تتوافق السجلات مع جذر عنوان موقع الويب.

قد تحتوي ملحقات المتصفحات الخارجية على أذونات غير مقيدة في متصفح الويب ويمكن الوصول إلى المعلومات داخل الصفحة. ولذلك، يوصى بأن يمنع مديرو Keeper المستخدمين من تثبيت ملحقات متصفح خارجية غير معتمدة من متجر التطبيقات الخاص بالمتصفح.

الامتثال والتدقيق

FedRAMP StateRAMP ITAR FIPS 140-2 SOC2 ISO 27001 GDPR Compliant FDA 21 CFR
Part 11 Compliant HIPAA Compliant FSQS-NL

اعتماد إذعان SOC 2

سجلات خزينة العميل محمية باستخدام ممارسات تحكم داخلية صارمة ومراقبة عن كثب. وتم اعتماد امتثال Keeper إلى SOC 2 من النوع الثاني وفقاً لإطار مراقبة تنظيم الخدمة من AICPA. وتساعد شهادة SOC 2 في ضمان الحفاظ على أمان خزينتك خلال تطبيق الضوابط المحددة كما هي محددة في إطار مبادئ خدمة الثقة من AICPA.

حاصل على شهادة ISO 27001 (نظام إدارة أمن المعلومات)

Keeper حاصل على شهادة ISO 27001، والتي تشمل نظام إدارة معلومات Keeper Security والتي تدعم منصة Keeper Enterprise. يشمل نطاق شهادة ISO 27001 الخاصة ببرنامج Keeper إدارة خدمات الخزينة الرقمية والسحابة وتشغيلها، وتطوير البرامج والتطبيقات، وحماية الأصول الرقمية لخدمات الخزينة الرقمية والسحابة.

امتثال اللائحة العامة لحماية البيانات

يمتثل Keeper للائحة التنظيمية المتعلقة بحماية البيانات العامة ونحن ملتزمون بضمان استمرار الحفاظ على امتثال أساليب العمل التي نتبعها والمنتجات التي نصدرها من أجل عملائنا في الاتحاد الأوروبي. انقر هنا لمعرفة المزيد عن امتثال Keeper للائحة التنظيمية المتعلقة بحماية البيانات العامة وتنزيل اتفاقيات معالجة البيانات.

معتمد وفقاً لمتطلبات برنامج FedRAMP

Keeper Security Government Cloud (KSGC) هي منصة KSI لإدارة كلمات المرور والأمن السيبراني لوكالات القطاع العام. KSGC هو مقدم خدمات مخول من البرنامج الفيدرالي لإدارة المخاطر والتخويل (FedRAMP) على مستوى التأثير المعتدل، وتستضيفه AWS GovCloud (US). يمكن العثور على KSGC في سوق .FedRAMP

يعد البرنامج الفيدرالي لإدارة المخاطر والتخويل (FedRAMP) برنامجاً فيدرالياً على مستوى الحكومة الأمريكية يوفر نهجاً موحداً لتقييم الأمن، والتفويض، والمراقبة المستمرة للمنتجات والخدمات السحابية. تُمكن FedRAMP الوكالات الحكومية من استخدام التقنيات السحابية الحديثة، مع التركيز على أمن وحماية المعلومات الفيدرالية ويساعد في تسريع اعتماد حلول سحابية آمنة.

لمزيد من المعلومات حول FedRAMP، يُرجى زيارة https://www.gsa.gov/technology/government-it-initiatives/fedramp.

مفوض من StateRAMP

Keeper Security Government Cloud (KSGC) هي إدارة كلمات مرور KSI ومنصة أمن الإنترنت الخاصة به لهيئات القطاع الخاص. وKSGC هي مقدم خدمة مفوض من StateRAMP في مستوى الأثر المتوسط، ويتم استضافتها في AWS GovCloud (الولايات المتحدة). ويمكن العثور على KSGC على سوق StateRAMP.

تتبع لجان حوكمة StateRAMP سياسات وإجراءات توحد متطلبات الأمن لمقدمي الخدمات. ويقوم عندها برنامج Program Management Office من StateRAMP بالتحقق من أن تكون عروض السحابة المستخدمة من قبل الحكومة تستوفي متطلبات الأمن المتبعة عبر عمليات تدقيق مستقلة ورقابة مستمرة. ويمكن StateRAMP الهيئات الحكومية من استخدام تقنيات سحابية متقدمة، مع التركيز على الأمن وحماية المعلومات الحساسة والمساعدة في تسريع اعتماد حلول سحابية آمنة...

لمزيد من المعلومات عن StateRAMP، يُرجى زيارة https://stateramp.org.

الامتثال للوائح الاتجار الدولي للأسلحة (ITAR)

تدعم KSGC الامتثال للوائح الأمريكية للاتجار الدولي للأسلحة (ITAR). يجب على الشركات الخاضعة للوائح تصدير ITAR التحكم في الصادرات غير المرغوب فيها عن طريق الحد من الوصول إلى البيانات المحمية للأشخاص الأمريكيين وتقييد الموقع المادي للبيانات المحمية على الولايات المتحدة.

تدعم البيئة المعتدلة لمنظمة KSGC FedRAMP متطلبات ITAR من خلال ما يلي:

• بيانات ممتثلة تمامًا يتم استضافتها على AWS GovCloud وتقتصر على الولايات المتحدة.
• تأمين تشفير البيانات أثناء النقل وفي أثناء المكوث.
• يسمح الأمان القائم على مبدأ انعدام الثقة ومنهج صفر المعرفة، إلى جانب الأذونات الدقيقة، للمنظمات بالتأكد من أن الموظفين المعتمدين فقط يمكنهم الوصول إلى البيانات الحساسة.
• توفر خصائص الإبلاغ بالامتثال القوية سجل مراجعة إلكتروني، يمكن تتبعه لجميع الإجراءات المنفذة والبيانات المدخلة.
• يتألف فريق نجاح العملاء الذي يعمل في معزل عن غيره من الفرق ومن أشخاص أمريكيين مدربين خصيصاً على التعامل الآمن مع بيانات الصادرات الخاضعة للرقابة واللوائح الحكومية للاتجار الدولي للأسلحة (ITAR).
• لا يوجد دعم خارج الولايات المتحدة.

تم تدقيق بيئة Keeper FedRAMP من قبل منظمة تقييم مستقلة تابعة لجهة خارجية (3PAO) للتحقق من انه تم وضع الضوابط المناسبة لدعم برامج الامتثال لعملاء التصدير.

لمزيد من المعلومات حول لوائح الاتجار الدولي للأسلحة (ITAR) يُرجى زيارة https://www.pmddtc.state.gov/.

يمتثل إلى الجزء 21 من قانون اللوائح الفيدرالية (CFR) التابع لهيئة الغذاء والدواء (FDA)

يمتثل Keeper إلى الباب 21 الجزء 11 من قانون اللوائح الفيدرالية (CFR) والتي تُطبق على العلماء العاملين في بيئات شديدة التنظيم، بما في ذلك الباحثين الذين يجرون تجارب سريرية. وتحدد هذه اللائحة معايير هيئة الغذاء والدواء (FDA) التي يعتبر بموجبها السجلات الإلكترونية والتوقيعات جديرة بالثقة ويمكن الاعتماد عليها وتكافئ السجلات الورقية ذات التوقيعات المكتوبة بخط اليد. وبشكل خاص يجب على العلماء التأكد من امتثال كل البرامج التي يستخدمونها إلى قواعد الباب 21 الجزء 11 من قانون اللوائح الفيدرالية (CFR) بشأن ما يلي:

أداوت تحكم أمنية لتحديد هوية المستخدم – يمتثل Keeper إلى متطلبات الباب 21 الجزء 11 من قانون اللوائح الفيدرالية (CFR) الخاصة بميزات الأمن والتي تحد من وصول المستخدم وامتيازاته، ويشمل ذلك التأكد من امتلاك كل المستخدمين أسماء مستخدمين وكلمات مرور فريدة، والقدرة على اكتشاف الوصول غير المصرح به ومنعه، والقدرة على قفل الحسابات المخترقة.

سجل مراجعة مفصل

خلال عمليات فحص FDA، تطلب الجهات التنظيمية من الباحثين توفير سجل مراجعة يفصل السجل الزمني لكل العمليات. تمكن ميزات إعداد تقارير الامتثال من Keeper الباحثين من إصدار سجلات مراجعة إلكترونية يسهل تتبعها.

التوقيعات الإلكترونية

عندما تطالب وثيقة بوجود توقيع إلكتروني ملزم قانوناً، يُطالب الباب 21 الجزء 11 من قانون اللوائح الفيدرالية (CFR) أن يتم إرفاق التوقيع ببيانات تسجيل دخول وكلمة مرور فريدة أو تحديد الهوية بالمقاييس الحيوية. ويدعم Keeper هذه المتطلبات عبر تمكين الباحثين من ضمان حصول كل المستخدمين على أسماء مستخدمين وكلمات مرور فريدة، وأن يتم تخزينها بأمان في خزينة رقمية لا يستطيع أي شخص الوصول إليها سوى المستخدم فقط.

لمزيد من المعلومات بشأن الباب 21 الجزء 11 من قانون اللوائح الفيدرالية (CFR)، يُرجى مراجعة https://www.fda.gov/regulatory-information/search-fda-guidance-documents/part-11-electronic-records-electronic-signatures-scope-and-application

حماية البيانات الطبية للمرضى

يتوافق برنامج Keeper مع المعايير العالمية لحماية البيانات الطبية بما يشمل، دون تقييد، قانون نقل التأمين الطبي ومسؤوليته (HIPAA) وقانون حماية البيانات (DPA).

الامتثال لقانون منقولية ومساءلة التأمين الصحي واتفاقيات شركاء الأعمال

إن Keeper حاصل على اعتماد SOC2 وشهادة ISO 27001، وهو عبارة عن منصة أمن قائمة على بنية صفر المعرفة تمتثل لقانون منقولية ومساءلة التأمين الصحي. علاوة على ذلك، هناك التزام شديد وضوابط صارمة لضمان الخصوصية، والسرية، والنزاهة، والإتاحة. ولا يستطيع Keeper بفضل بنية الأمان التي يتميز بها، فك تشفير أي معلومات أو الاطلاع عليها أو الوصول إليها، بما في ذلك المعلومات الصحية المحمية الإلكترونية (ePHI) المخزنة في خزينة Keeper الخاصة بالمستخدم. وللأسباب السابقة فإن Keeper ليس شريك أعمال كما هو مُعرف في قانون منقولية ومساءلة التأمين الصحي، وبناء عليه، لا يخضع لاتفاقية شركاء الأعمال.

لمعرفة المزيد حول المزايا الإضافية لمقدمي الرعاية الصحية وشركات التأمين الصحي، يُرجى قراءة إقرار الأمان هذا بالكامل وزيارة دليل المؤسسةالخاص بنا.

اختبار الاختراق

يقوم Keeper بإجراء اختبار اختراق دوري مع خبراء خارجيين بما في ذلك NCC Group, Secarma، و، وباحثين أمنيين مستقلين مقابل كل منتجاتنا وأنظمتنا. كما أسس Keeper شراكة مع Bugcrowd لإدارة برنامج الإفصاح عن نقاط الضعف الخاص بها.

اختبارات مسح واختراق أمن الطرف الثالث

يتم مسح البنية التحتية الخاصة بـ Keeper يومياً على Tenable لضمان أن تطبيق الويب الخاص بـKeeper وخزينة أمن السحابة من KSI أمنتين من علميات الاستغلال عن بُعد، ونقاط الضعف، وهجمات رفض الخدمة المعروفة. ويقوم موظفو Keeper بمراجعة ومعالجة كل النتائج.

معالجة الدفع والامتثال لصناعة بطاقات الدفع

يستخدم KSI باي بال وسترايب لمعالجة مدفوعات بطاقات الائتمان والدفع بشكل آمن من خلال موقع دفع KSI. ويُعد باي بال وسترايب حلول معالجة معاملات تتوافق مع PCI-DSS.

KSI هي معتمدة على إنها تمتثل إلى PCI-DSS.

EU-US Privacy Shield

اعتُمد كل من عميل الويب من Keeper، وتطبيق Android، وتطبيق هاتف Windows، وتطبيق iPhone/iPad، وملحقات المتصفحات EU Privacy Shield امتثالاً إلى برنامج EU-U.S. Privacy Shield التابع لوزارة التجارة الأمريكية، لتلبية توجيه المفوضية الأوروبية بشأن حماية البيانات.
لمزيد من المعلومات عن برنامج U.S.-EU Privacy Shield التابع لوزارة التجارة الأمريكية، راجع https://www.privacyshield.gov

مُجاز وفقًا لمعيار FIPS 140-2

يستخدم Keeper نماذج تشفير FIPS 140-2 التي تم التحقق منها لمعالجة المتطلبات الأمنية الصارمة للحكومة والقطاع العام. وتم اعتماد تشفير Keeper من قبل برنامج التحقق من نموذج التشفير (CMVP) التابع للمعهد الوطني للمعايير والتقنية، كما تم التحقق منه مقابل معيار FIPS 140 من قبل معامل خارجية معتمدة. وصدرت إلى Keeperشهادة رقم 3976 بموجب برنامج التحقق من نموذج التشفير (CMVP) التابع للمعهد الوطني للمعايير والتقنية

شهادة نظام تأهيل الخدمات المالية في هولندا

تم اعتماد Keeper Security EMEA Limited بموجب نظام Hellios لتأهيل الخدمات المالية في هولندا (FSQS-NL) الذي يعترف بأعلى معايير الأمان، والجودة، والابتكار في هولندا. ويوضح هذا المعيار الامتثال لهيئة السلوك المالي وهيئة التنظيم التحوطي لضمان مصداقية برنامج Keeper Enterprise للبنوك الكبيرة والمؤسسات المالية.

مرخصة من وزارة التجارة الأمريكية تحت لوائح تنظيم التصدير

Keeper معتمد من قبل وزارة التجارة الأمريكية لشؤون الصناعة والأمن تحت سيطرة تصنيف سلع التصدير رقم 5D992، امتثالاً إلى لوائح تنظيم التصدير.
لمزيد من المعلومات عن لوائح تنظيم التصدير: https://www.bis.doc.gov

مراقبة عن بعد على مدار الساعة

تتم مراقبة Keeper على مدار الساعة بواسطة شبكة مراقبة خارجية عالمية لضمان إتاحة موقع الويب وخزينة أمن السحابة الخاصين بنا للعالم أجمع.

إذا كانت لديك أي أسئلة بشأن الإفصاح الأمني، فرجاء اتصل بنا.

رسائل البريد الإلكتروني للتصيد الاحتيالي أو المحاكاة

إذا استلمت بريداً إلكترونياً يزعم أنه من KSI ولست متأكداً من صحته، فقد يكون "بريداً إلكترونياً للتصيد الاحتيالي" حيث يتم تزوير أو "محاكاة" عنوان البريد الإلكتروني للمرسل. وفي هذه الحالة، قد يتضمن البريد الإلكتروني روابط لموقع ويب يشبه KeeperSecurity.com ولكنه ليس موقعنا. وقد يطلب منك هذا الموقع كلمة مرورك الرئيسية على Keeper Security أو يحاول تثبيت برنامج غير مرغوب فيه على كمبيوترك لمحاولة سرقة معلوماتك الشخصية أو الوصول إلى كمبيوترك. وقد تحتوى رسائل بريد إلكتروني أخرى على روابط قد تقوم بتوجيهك إلى مواقع ويب أخرى يحتمل أن تكون خطيرة. وقد تشمل هذه الرسالة كذلك مرفقات، والتي عادةً ما تحتوي على برامج غير مرغوب فيها تسمى "برامج ضارة". فإذا كنت غير متأكد من بريد إلكتروني في صندوقك الوارد، فعليك حذفه بدون النقر على أي روابط أو فتح أي مرفقات. .

وإذا كنت ترغب في الإبلاغ عن بريد إلكتروني يزعم أنه من KSI ولكنك تعتقد أنه مزور أو لديك مخاوف أمنية أخرى تتعلق بأمور أخرة مع KSI، فرجاءً اتصل بنا.

استضافة البنية التحتية معتمدة لأكثر معايير الصناعة صرامة

يعمل موقع الويب وتخزين السحابة في Keeper بنية أساسية للحوسبة على السحابة آمنة تابعة لـAmazon Web Services (AWS). ولقد تم اعتماد بنية السحابة في AWS والتي تستضيف بنية نظام Keeper لتلبية إثباتات وتقارير وشهادات الطرف الثالث التالية:

SOC 2 PCI Compliant FIPS-140-2 ISO 27001 FedRAMP StateRAMP

برنامج الإبلاغ عن أوجه الضعف ومكافآت الأخطاء

تلتزم Keeper بأفضل ممارسات الصناعة للكشف المسؤول عن مشاكل الأمن المحتملة. لهذا فنحن نأخذ أمنك وخصوصيتك بجدية ونلتزم بحماية خصوصية عملائنا وبياناتهم الشخصية. وتتمثل مهمة KSI في إنشاء تطبيقات الأمن الأكثر أماناً وابتكاراً في العالم، ونعتقد أن الإبلاغ عن أوجه الضعف من المجتمع العالمي للباحثين الأمنيين يعتبر مكوناً قيماً لضمان أمن منتجات وخدمات KSI.

يعتبر الحفاظ على أمن مستخدمينا من الأمور الجوهرية لقيمنا كمنظمة. فنحن نقدر مدخلات المخترقين من ذوي النية الحسنة ونعتقد أن العلاقة الدائمة مع مجتمع المخترقين تساعدنا على ضمان أمنهم وخصوصيتهم، وتجعل الإنترنت مكاناً أكثر أماناً. ويشمل هذا تشجيع اختبارات الأمن المسؤولة والإفصاح عن أوجه الضعف في الأمن.

الإرشادات

تنص سياسة الإفصاح عن أوجه الضعف في Keeper على استثناءات عند العمل مع المخترقين حسني النية، وكذلك ما يمكنك أن تتوقعه منا.

إذا تم اختبار الأمن والإبلاغ عنه في نطاق إرشادات هذه السياسة، فإننا:

• نعتبره مصرحاً به وفقاً لقانون إساءة استعمال الحواسيب والتحايل بها،
• ونعتبره معفياً من قانون حقوق التأليف والنشر الرقمية للألفية، ولن نقيم دعوى ضدك لتجاوزك أي ضوابط أمن أو ضوابط تكنولوجية،
• ونعتبره قانونياً، ولن نتخذ أي إجراء قانوني أو ندعم أي إجراء قانوني فيما يتعلق بهذا البرنامج ضدك،
• وسنعمل معك لفهم وحل المشكلة سريعاً،
• وسنعترف بمساهمتك علناً إذا كنت أول من أبلغ عن المشكلة وقمنا بتصميم كود أو تغيير تكوين بناءً على المشكلة.

إذا راودك الشك في أي وقت أو كنت غير متأكداً من الاختبار بطريقة تتسق مع الإرشادات ونطاق هذه السياسة، الرجاء التواصل معنا على security@keepersecurity.com قبل الاستمرار.

لتشجيع اختبار الأمن حسن النية والإفصاح عن أوجه الضعف المكتشفة، نطلب منك:

• تجنب انتهاك الخصوصية، و/أو الإضرار بتجربة المستخدم، و/أو تعطيل الإنتاج أو أنظمة الشركات، و/أو تدمير البيانات،
• قم بالبحث فقط داخل الإطار المحدد من برنامج Bugcrowd للكشف عن التعرض للأخطار الذي تجد رابطه أدناه، وقم بمراعاة الأنظمة والأنشطة التي تقع خارج النطاق،
• والتواصل معنا على الفور على security@keepersecurity.com إذا صادفت أي بيانات مستخدم أثناء الاختبار،
• وأن تتيح لنا وقتاً معقولاً لتحليل المشكلة المبلغ عنها وتأكيدها وحلها قبل الإفصاح علناً عن أي أوجه ضعف تم اكتشافها.

الإبلاغ

أسس Keeper شراكة مع Bugcrowd لإدارة برنامج الإفصاح عن نقاط الضعف الخاص بنا.

الرجاء إرسال تقارير الإبلاغ من خلال [https://bugcrowd.com/keepersecurity].

معلومات إضافية

وثائق المنتج

منفذ وثائق Keeper الذي يتضمن دليل المنتج والمعلومات التقنية وملاحظات الإصدار وإرشادات المستخدم النهائي متاح على: https://docs.keeper.io

حالة النظام

يمكن الاطلاع على حالة النظام في الوقت الحقيقي على: https://statuspage.keeper.io