Security & Responsible Disclosure
الأمن والإفصاح المسؤول
We take the security of our patients, doctors, and their data seriously. If you've found a vulnerability, please tell us first. نأخذ أمن مرضانا وأطبائنا وبياناتهم بجدية. إن اكتشفت ثغرة، أبلغنا قبل أي إفصاح علني.
Report a vulnerability
الإبلاغ عن ثغرة
- Email: [email protected]
- البريد: [email protected]
- PGP key: /security/pgp.asc (placeholder; live before launch)
- مفتاح PGP: /security/pgp.asc (سيكون متاحا قبل الإطلاق)
- Preferred languages: Arabic, English
- اللغات المفضلة: العربية، الإنجليزية
- RFC 9116 file: /.well-known/security.txt
- ملف RFC 9116: /.well-known/security.txt
Our commitments (SLA)
التزاماتنا (SLA)
| Stepالمرحلة | Targetالمدة المستهدفة |
|---|---|
| Acknowledgment of reportإقرار باستلام البلاغ | ≤ 24 hours |
| Initial triage / severityتصنيف أولي / درجة الخطورة | ≤ 72 hours |
| Status update cadenceتحديثات دورية | Weekly until closedأسبوعيا حتى الإغلاق |
| Resolution · criticalالمعالجة · حرجة | ≤ 30 days |
| Resolution · highالمعالجة · عالية | ≤ 60 days |
| Resolution · medium / lowالمعالجة · متوسطة / منخفضة | ≤ 90 days |
Scope
النطاق
- Doctori iOS app (
com.doctori.userqasim,com.doctori.adminqasim) - Doctori Android app (
app.doctori.userqasim,app.doctori.adminqasim) - doctori.page website and APIs
- Sub-processors are out of scope — report to them directly.
- تطبيق دكتوري لـ iOS
- تطبيق دكتوري لـ Android
- موقع doctori.page وواجهات API
- المعالجون الفرعيون خارج النطاق · يبلغون مباشرة.
Safe harbor
الإطار القانوني الآمن
We will not pursue legal action for good-faith research conducted within this policy:
- Do not exfiltrate data beyond what's needed to demonstrate the issue.
- Do not disrupt service or impact users.
- Do not perform social engineering on staff or users.
- Give us reasonable time to fix before public disclosure.
لن نتخذ إجراء قانونيا ضد الباحثين بحسن نية الذين يلتزمون بهذه السياسة:
- عدم استخراج بيانات أكثر من اللازم لإثبات المشكلة.
- عدم تعطيل الخدمة أو الإضرار بالمستخدمين.
- عدم القيام بهندسة اجتماعية على الموظفين أو المستخدمين.
- إعطاؤنا وقتا معقولا للإصلاح قبل الإفصاح العلني.
Out of scope
خارج النطاق
- DDoS, brute-force on rate-limited endpoints.
- Self-XSS or social engineering of users.
- Missing best-practice headers without demonstrable impact.
- Reports about outdated browsers / OS.
- هجمات DDoS أو brute-force على نقاط محدودة المعدل.
- Self-XSS أو هندسة اجتماعية على المستخدمين.
- غياب headers أمنية بدون أثر مثبت.
- تقارير حول متصفحات / أنظمة قديمة.
Bug bounty
برنامج المكافآت
A monetary bug bounty is not yet offered; we plan to introduce one in v2. In the meantime, we publicly acknowledge researchers (with consent) in the Hall of Fame below.
المكافآت المالية غير متاحة حاليا؛ ستطرح في الإصدار v2. حتى ذلك الحين، نعترف علنا بالباحثين (بموافقتهم) في قاعة المجد أدناه.
Hall of Fame
قاعة المجد
We thank these researchers for responsibly disclosing vulnerabilities to us:
نشكر هؤلاء الباحثين على إبلاغنا عن ثغرات بمسؤولية:
- No public entries yet · be the first.لا توجد إدخالات بعد · كن الأول.
Encryption highlights
أبرز إجراءات التشفير
- TLS 1.3 enforced; HSTS preload-eligible.
- AES-256 server-side; SQLCipher on-device.
- Row-Level Security on every table; biometric app lock.
- Tamper-evident audit chain.
- JIT elevation — no permanent admin privileges.
- Quarterly penetration testing.
- TLS 1.3 إلزامي؛ HSTS مهيأ للـ preload.
- AES-256 على الخادم؛ SQLCipher على الجهاز.
- RLS على كل جدول؛ قفل بيومتري.
- سلسلة تدقيق غير قابلة للعبث.
- JIT elevation · لا صلاحيات إدارية دائمة.
- اختبار اختراق ربع سنوي.