حفظ امنیت و حریم شخصی

به زبان ساده، صادقانه و بدون اصطلاحات حقوقی

سارا
سارا

از کجا مطمئن بشم هیچ‌وقت گفتگوها و فایل‌ها دیده نمی‌شن؟

ولی با همه‌ی اینا دلشوره داریم...

۲۰ کار محافظتی واقعی

برای حفظ امنیت، دائم حواس جمع و در تلاشیم

رمزنگاری دیتا

محتوا حتی روی دیتابیس قابل خواندن نیست

قفل استاندارد بانکی

از یه روش قفل قدرتمند استفاده می‌کنیم که بانک‌ها هم باهاش کار می‌کنن. پیامت رو طوری قفل می‌کنه که هیچ‌کس بدون کلید نمی‌تونه بازش کنه و اگه کسی دستکاری کنه، فوری لو می‌ره.

کلید جدا برای هر کاربر

هر کاربر کلید قفل خودش رو داره. اگه کلید یه نفر - زبونمون لال - گم بشه، فقط دیتای خودش لو می‌ره؛ بقیه کاربرها کاملاً امن می‌مونن.

دو لایه قفل

کلید هر کاربر، خودش با یه کلید مادر دوباره قفل شده. یعنی دو لایه قفل پشت سر هم. حتی اگه کل دیتابیس لو بره، تا کلید مادر دست هکر نباشه نمی‌تونه چیزی بخونه.

گره خوردن دیتا با جاش

هر دیتا فقط تو جای خودش قابل بازشدنه. اگه کسی دیتایی رو از یه جدول به جدول دیگه کپی کنه، خودبه‌خود غیرقابل خوندن می‌شه و باز نمی‌شه.

نسخه‌بندی قفل‌ها

نسخه قفل‌ها رو شماره‌گذاری می‌کنیم. وقتی روزی بخوایم قفل‌ها رو عوض کنیم، دیتای قدیمی همچنان قابل خوندن می‌مونه و چیزی از دست نمی‌ره.

امنیت ارتباط

از مرورگر تا سرور، هیچکس وسط راه چیزی نمی‌بینه

اتصال رمزنگاری شده

بین مرورگر تو و سرور ما، هیچ‌کسی نمی‌تونه چیزی رو ببینه. حتی اگه اتفاقی http به جای https تایپ کنی، مرورگر خودش به نسخه امن سوییچ می‌کنه.

محافظ کدهای مشکوک

یه قانون سختگیر داریم که جلوی کدهای ناشناس و مشکوک رو می‌گیره. اگه هکری بخواد اسکریپت بد تزریق کنه، خود مرورگر جلوش رو می‌گیره.

ضد کلیک‌جک

هیچ سایت دیگه‌ای نمی‌تونه مرشد رو داخل خودش پنهانی نشون بده تا تو رو گول بزنه و جای اشتباه کلیک کنی.

محافظت از آدرس و نوع فایل

وقتی به سایت دیگه‌ای می‌ری، مرورگر فقط می‌گه از مرشد اومدی، نه اینکه دقیقاً کجای مرشد بودی. آدرس کامل با اطلاعاتش بیرون نمی‌ره.

ورود و session

ورود بدون پسورد، session ضدسرقت

ورود بدون پسورد

ما اصلاً پسورد نمی‌گیریم. هر بار با یه کد یک‌بارمصرف وارد می‌شی که چند دقیقه بعد منقضی می‌شه. هیچ پسوردی نیست که بتونه لو بره.

نشست با امضای دیجیتال

نشست تو با امضای دیجیتال محافظت می‌شه. اگه کسی بخواد توکنت رو دستکاری کنه که خودش رو به‌جای تو جا بزنه، فوری لو می‌ره و رد می‌شه.

کوکی محافظت‌شده

کوکی نشست تو طوری ذخیره می‌شه که هیچ اسکریپتی تو مرورگر نمی‌تونه بهش دست بزنه. فقط روی اتصال امن منتقل می‌شه و سایت‌های دیگه نمی‌تونن سوءاستفاده کنن.

محدودسازی حملات

بات، spam و prompt injection اینجا متوقف می‌شن

محدودیت تعداد درخواست

اگه کسی بخواد با پشت سر هم درخواست فرستادن، سرور رو خراب کنه یا کد ورود رو حدس بزنه، خودبه‌خود مسدود می‌شه.

اعتبارسنجی ورودی

هر چیزی که از مرورگر به سرور می‌فرستی، اول از فیلتر چندلایه رد می‌شه. ورودی‌های مشکوک یا غیرعادی همون اول رد می‌شن و به دیتابیس نمی‌رسن.

پاک‌سازی ورودی AI و فیلتر فایل

ورودی‌های هوش مصنوعی پاک‌سازی می‌شن تا کسی نتونه با ترفند مدل رو فریب بده. فایل‌ها هم فقط فرمت‌های امن قبول می‌شن؛ فایل اجرایی و مشکوک رد می‌شه.

ذخیره‌سازی و دسترسی

دیتای تو از کشور خارج نمی‌شه و دسترسی‌ها لاگ می‌شن

سرور داخل ایران

تمام دیتای تو روی سرور داخل ایران (تهران) ذخیره می‌شه. از کشور خارج نمی‌شه و تحت قوانین ایرانه. هیچ کشور ثالثی بهش دسترسی نداره.

پنهان‌سازی داده در گزارش‌ها

تو فایل گزارش‌های سرور، شماره موبایل و ایمیل و کدها همه با ستاره پنهان می‌شن. حتی اگه کسی به گزارش‌ها دسترسی پیدا کنه، نمی‌تونه بفهمه دیتا مال کیه.

ثبت کامل کارهای حساس

هر کار مهم تو سیستم (ورود، حذف، تغییر اساسی) با ساعت و آدرس IP ثبت می‌شه. اگه روزی مشکلی پیش بیاد، می‌تونیم دقیقاً بفهمیم چی اتفاق افتاده.

حقوق و کنترل کاربر

تو همیشه می‌تونی پاک کنی و ببینی چی هست

حذف کامل با یک کلیک

هر وقت بخوای، با یه کلیک می‌تونی همه‌چیزت رو پاک کنی. چت‌ها، فایل‌ها، حافظه و نشست‌ها همگی برای همیشه می‌رن. هیچ ردی از تو نمی‌مونه.

ویرایش حافظه هوش مصنوعی

هر چیزی که هوش مصنوعی ازت یاد گرفته، می‌تونی ببینی، ویرایش کنی یا کلاً پاک کنی. کنترل کاملش دستته.

شفافیت سرویس‌های بیرونی

تمام سرویس‌های بیرونی که داده ازشون رد می‌شه (پیامک، هوش مصنوعی، پرداخت) رو با جزییات کامل تو نسخه کامل آوردیم. هیچ چیز پنهانی نیست.

اصول بنیادین

تعهداتی که از روز اول مرشد داشتیم

بدون آموزش مدل با داده تو

حرف‌های تو با مرشد، فقط برای جواب دادن استفاده می‌شه. هیچ‌وقت برای آموزش مدل‌های هوش مصنوعی به کار نمی‌ره؛ نه ما، نه شرکت‌های مدل (مثل OpenAI و Anthropic).

بدون فروش به اشخاص ثالث

هیچ تکه‌ای از داده تو فروخته نمی‌شه. نه به تبلیغ‌چی، نه به دلال داده، نه حتی به شکل آماری ناشناس. ما فقط از اشتراک کاربرها درآمد داریم.

بدون تبلیغات هدفمند

از داده تو برای تبلیغات هدفمند استفاده نمی‌کنیم. هیچ پروفایل رفتاری ازت ساخته نمی‌شه که بعداً به شبکه‌های تبلیغاتی فروخته بشه.

تست‌هایی که انجام می‌دیم

قبل از هر به‌روزرسانی، ایجنت ما این مجموعه تست‌ها رو انجام می‌ده

۴۱+ تست واحد (Unit)

Vitest روی هر فایل منطق حساس: رمزنگاری، مدیریت کلید، sanitization، authentication. اجرا روی هر commit در GitHub Actions.

تست‌های E2E شبانه

Playwright هر شب ساعت ۴ بامداد به صورت کامل سناریوهای کاربر رو اجرا می‌کنه: ورود با OTP، چت با AI، آپلود فایل، خرید اعتبار. خرابی → اعلان فوری به تیم.

تست user stories

هر فیچر یه User Story داره با Test Cases مشخص. قبل از انتشار، چک‌لیست کامل اجرا می‌شه؛ هیچ فیچری بدون verification منتشر نمی‌شه.

Type-safety کامل

TypeScript strict + Zod runtime validation. خطاهای type قبل از build گرفته می‌شن. هیچ `any` بی‌منطقی در کد production نیست.

Lint + Format خودکار

ESLint + Prettier روی هر commit. کد bad pattern یا unsafe pattern وارد main نمی‌شه.

Pre-commit hooks

Husky قبل از هر commit چک می‌کنه: secret leak (API key، password)، type errors، format. هیچ فاجعه‌ای دیر متوجه نمی‌شیم.

سرتیفیکیت‌های امنیتی

این لیست کامل سرتیفیکیت‌هایی هست که برنامه داریم بگیریم. هر کدوم یه مرحله از بلوغ امنیتی رو تأیید می‌کنه. می‌ریم تو کارشون.

نماد اعتماد الکترونیکی (eNamad)

گرفته‌ایم

نماد رسمی وزارت صمت برای کسب‌وکارهای اینترنتی ایران. تأیید هویت کسب‌وکار + تعهدات حقوقی به مصرف‌کننده.

ساماندهی (وزارت ارتباطات)

در برنامه

ثبت در سامانه ساماندهی پایگاه‌های اینترنتی ایران. الزامی برای فعالیت رسمی.

ISO/IEC 27001 (ISMS)

در برنامه

استاندارد بین‌المللی مدیریت امنیت اطلاعات. ممیزی سالانه فرآیندهای امنیتی، ریسک، رمزنگاری، دسترسی، حادثه.

ISO/IEC 27701 (Privacy)

در برنامه

افزونه ISO 27001 برای حریم خصوصی. تأیید رعایت اصول GDPR-style: حق دسترسی، حذف، انتقال، رضایت‌گیری.

ISO/IEC 27017 (Cloud Security)

در برنامه

استاندارد امنیت ارائه‌دهندگان و کاربران cloud. تأیید جداسازی tenant، کنترل دسترسی، رمزنگاری در ذخیره و انتقال.

ISO/IEC 27018 (PII در Cloud)

در برنامه

حفاظت از داده‌های شخصی قابل شناسایی (PII) در محیط ابری. عدم استفاده برای تبلیغات، اطلاع‌رسانی نقض امنیتی.

SOC 2 Type II

در برنامه

ممیزی AICPA روی Trust Service Criteria: امنیت، در دسترس‌بودن، یکپارچگی پردازش، محرمانگی، حریم خصوصی. مدت ممیزی ۶-۱۲ ماه.

آپا (مرکز ماهر)

در برنامه

ارزیابی امنیتی توسط مرکز افتای ریاست جمهوری. تست نفوذ ملی + گزارش به CSIRT.

ارزیابی GDPR Readiness

در برنامه

بررسی انطباق با اصول GDPR، برای زمانی که کاربران اروپایی هم بیان. data mapping، lawful basis، DPO، DPIA.

وضعیت زنده سرویس‌ها

هر لحظه‌ای که می‌خوای ببینی همه‌چیز سرپاست یا نه: این داده مستقیم از سرورهای ماست

در حال دریافت...
صفحه کامل وضعیت

آخرین به‌روزرسانی: ...

باگ بانتی

هکرهای کلاه‌سفید رو دعوت می‌کنیم

اگه نقطه نفوذی پیدا کردی، responsible disclosure بزن به info@morshed.ai. مزد متناسب با شدت آسیب‌پذیری پرداخت می‌شه و حتماً از خجالتت در میایم. هر گزارش معتبر طی ۴۸ ساعت بررسی و پاسخ داده می‌شه.

ارسال گزارش به info@morshed.ai

آمار به‌روزرسانی‌ها

هر تغییر کد، هر فیچر جدید و هر باگ‌فیکسی که رفته روی سایت — به‌صورت زنده از Git

...
فیچر جدید
...
بهبود
...
باگ‌فیکس
...
کل تغییر
همه تغییرات و تاریخچه کامل

در ۹۰ روز اخیر

از نظر اخلاقی

خلاصه که ما از اون خانواده‌هاش نیستیم. حالا شما عدد بِده! راست راستش دلمون شور می‌زنه و بار مسئولیت سنگینه روی دوشمون و می‌دونیم امنیت ته نداره، برای همین داریم بهترین کاری که می‌تونیم رو می‌کنیم. هر چی تو این صفحه نوشتیم شفاف و واقعیه. همشون قابل پیگیریه و عددها واقعی هستن. از این ما بر میاد.

نسخه کامل با جزئیات حقوقی

همه‌چیز با جدول، نام سرویس‌های ثالث، مدت نگهداری و حقوق کاربر

نسخه کامل را ببین
۰بازدیدبه‌روز شده ۲۷ روز پیش

پیشنهاد بعدی

حریم خصوصی کاملنسخه‌ی حقوقی و جامعشرایط استفادهقوانین و حقوق کاربروضعیت سرویس‌هاآپتایم و رخدادها