برای کارکرد بهتر وب‌سایت و بهبود تجربه کاربری شما با سرتفا، ما نیاز به اجرای سرویس تجزیه و تحلیل آماری داریم، آیا موافق این موضوع هستید؟

حریم خصوصی


اطلاع‌رسانی و اشاعه فرهنگ توجه به امنیت و حریم خصوصی کاربران اینترنت در دنیای دیجیتال و آموزش آن، یکی از دلایل راه‌اندازی این وب‌سایت است و در همین مسیر ما خود را پایبند به رعایت اصول علمی، عملی و اخلاقی می‌دانیم. وب‌سایت سرتفا به عنوان یک پایگاه خبری، تحقیقاتی، آموزشی و اطلاعاتی خود را متعهد به حقوق کاربران و حفظ حریم‌خصوصی آن‌ها می‌داند و برای آن تلاش می‌کند. توجه داشته باشید ادامه استفاده شما از این وب‌سایت، به معنای موافقت شما با موارد ذکر شده در زیر خواهد بود.

 

۱) تعاریف

در این متن منظور از «سرتفا»، «این وب‌سایت» و «ما»، تیم سازنده وب‌سایت «https://certfa.com» یعنی «CERTFA - ‌Computer Emergency Response Team in Farsi» است، همین‌طور «کاربران»، «مخاطبان» و «شما» به معنی بازدیدکنندگان از سایت «https://certfa.com» خواهد بود.

 

۲) به‌روزرسانی و شرایط استفاده

با توجه به این‌که وب‌سایت سرتفا در حال توسعه است، شرایط استفاده از آن ممکن است تغییر پیدا کند و موارد جدیدی به آن اضافه شود. در این صورت، این صفحه به‌روز خواهد شد و تداوم استفاده شما از این سایت به معنای موافقت‌تان با آخرین نسخه شرایط استفاده و حریم خصوصی وب‌سایت سرتفا است.

 

۳) ما که هستیم و چه کار می‌کنیم؟

ما، گروهی از فعالان حوزه امنیت و آزادی اینترنت هستیم که با توجه به نیاز جامعه مخاطبان اینترنت فارسی زبان و به اقتضای زمان، این وب‌سایت را برای اطلاع‌رسانی، اشاعه فرهنگ توجه به امنیت دیجیتال و حریم خصوصی در اینترنت، همین‌طور آموزش کاربران و ارتقای دانش عمومی راه‌اندازی کرده‌ایم. جهت کسب اطلاعات بیشتر، به صفحه درباره ما مراجعه کنید.

 

۴) اشتراک‌گذاری اطلاعات در سرتفا

ما هیچ‌گونه اطلاعات کاربری، هویتی و خصوصی کاربران را با هیچ شخص، گروه، شرکت و مجموعه‌ای به اشتراک نمی‌گذاریم. از این‌رو همکاری و ارتباط ما با اشخاص ثالث، تنها در بستر فنی خواهد بود و به اشتراک‌گذاری اطلاعات مربوط به بدافزارها، حملات سایبری و آسیب‌پذیری‌ها خلاصه می‌شود.

۴-۱) انتشار اطلاعات خبری و تحلیلی در قالب گزارش:

گزارش‌ها و نتایج بررسی‌های فنی تیم سرتفا نیز پس از پالایش اطلاعات و طبقه‌بندی داده‌ها، به‌صورت عمومی و به زبان‌های فارسی و انگلیسی منتشر خواهند شد. همچنین پیرو اصول متداول حرفه‌ای، اطلاعات مربوط به آسیب‌پذیری‌ها، در بازه زمانی ۳۰ تا ۹۰ روز پس از اعلام آن به مخاطبان احتمالی تحت‌تاثیر، به‌صورت عمومی منتشر خواهند شد.

۴-۲) حق انتشار اطلاعات تولیدکنندگان بدافزارها و مهاجمان سایبری:

تیم تحقیقاتی سرتفا این اجازه را دارد که اطلاعات و مشخصات سازندگان، دست اندرکاران، اشاعه دهندگان و سایر عوامل دخیل در تولید بدافزارهای ایرانی و همینطور مهاجمان سایبری که کاربران عادی را مورد هدف قرار می‌دهند را پس از بررسی‌های تحلیلی خود منتشر کند.  به‌صورت دقیق این اطلاعات و مشخصات شامل داده‌های هویتی مانند نام و نام خانوادگی، نشانی محل سکونت و کار، شماره تلفن، تصویر چهره و همین‌طور داده‌های اینترنتی مانند آدرس ایمیل، وب‌سایت، آی‌پی‌ها و سرورهای مورد استفاده و مرتبط، حساب‌های شبکه‌های اجتماعی و سایر اطلاعات مربوطه است. همچنین سرتفا این حق برای خود می‌داند که اقدامات لازم جهت جلوگیری از ادامه فعالیت‌های این افراد را در پیش بگیرد.

 

۵) امنیت انتقال داده‌ها

برای محافظت از اطلاعات منتقل شده در هنگام استفاده از وب‌سایت سرتفا، ارتباطات شما با سرورهای سایت ما با استفاده از پروتکل امنیتی HSTS کنترل می‌شود و ارتباط شما با سرورهای ما در برابر حملات مرد میانی برای سلب رمزنگاری «SSL-stripping man-in-the-middle» مقاوم است. به این معنا که ارتباط مرورگرهای اینترنتی با سرورهای ما فقط از طریق HTTPS «پروتکل امن برای انتقال اطلاعات» امکان‌پذیر خواهد بود. همچنین سرتفا در حال حاضر تنها از پروتکل‌های TLSv1.2 و TLSv1.3 و رمزنگاری ECDH پشتیبانی می‌کند و از نسخه‌های قدیمی و آسیب‌پذیر استفاده نمی‌کند.

 

۶) شبکه توزیع محتوا

ما در حال حاضر برای دسترسی سریع مخاطبان به صفحات مختلف وب‌سایت سرتفا، از سرویس کلودفلر «Cloudflare» به عنوان سرویس کمکی CDN یا همان شبکه توزیع محتوا استفاده می‌کنیم. کلودفلر این امکان را برای ما فراهم می‌آورد تا از طریق نزدیک‌ترین مرکز ارتباط داده، اطلاعات وب‌سایت سرتفا را در دسترس شما قرار دهیم.

 

۷) گردآوری اطلاعات برای تحلیل و اندازه‌گیری میزان بازدیدها

تمام تلاش تیم توسعه وب‌سایت سرتفا، از روز نخست بر این استوار بوده است که جمع‌آوری اطلاعات کاربران و اشتراک‌گذاری آن با اشخاص ثالث به هنگام بازدید از این وب‌سایت را به حداقل برساند. در همین راستا، از استفاده برنامه‌ها و سرویس‌های شخص ثالث مانند گوگل آنالیتیکس خودداری شده است و از ابزار پروژه متن باز پیویک «Piwik» متعلق به شرکت «matamo»، جهت تحلیل و اندازه‌گیری میزان بازدیدها از مطالب - به‌صورت میزبانی خصوصی - استفاده می‌شود.

۷-۱) ناشناس‌سازی اطلاعات ذخیره شده:

۷-۱-۱) آی‌پی: ما برای حفظ حق ناشناسی بازدیدکنندگان این وب‌سایت، دو بایت انتهای نشانی IP بازدیدکنندگان را به‌صورت خودکار حذف می‌کنیم. یعنی اگر نشانی آی‌پی شما 111.222.333.44 باشد، تنها چیزی که برای ما قابل مشاهده است 111.222.xxx.xxx خواهد بود.

۷-۱-۲) شناسه کاربری: شناسه کاربری ثبت شده کاربر در سرویس تحلیل بازدید ما، یک متغییر ناشناس و غیرمرتبط با اطلاعات هویتی و اصلی کاربر در اینترنت است. به عبارتی شناسه کاربری ثبت شده در سیستم آنالیز ما، به هیچ عنوان با سایر اطلاعات شما در اینترنت تطابق نداشته و تنها شناسه‌ای ناشناس است که در این سایت به کار می‌رود.

۷-۲) اجازه ذخیره‌سازی و تحلیل اطلاعات:

۷-۲-۱) پشتیبانی از Opt-out: ما برای احترام به حق انتخاب کاربران، پیش از آغاز ذخیره‌سازی و تحلیل اطلاعات، پیغامی را در بالای وب‌سایت در اولین مراجعه تعبیه کرده‌ایم که کارکرد سرویس تحلیل ما، مشروط به اجازه و انتخاب خود کاربر است.

۷-۲-۲) پشتیبانی از Do Not Track: اگر شما در مرورگر اینترنت خود، گزینه Do Not Track را به‌منظور عدم موافقت‌تان با ردیابی توسط وب‌سایت‌هایی که به آن‌ها مراجعه می‌کنید، فعال کرده باشید، سرویس آنالیز مورد استفاده ما این موضوع را تشخیص داده و متوقف می‌شود.

۷-۳) حذف اطلاعات:

هرچند که اطلاعات تحلیلی ما از میزان بازدیدهای سایت شامل اطلاعات حساس کاربری نیست و پیش از ذخیره به‌صورت دقیق پالایش و تفکیک شده است، اما جهت اطلاع بازدیدکنندگان، داده‌های تحلیلی سرویس آنالیز ما، به‌صورت دوره‌ای در بازه‌های زمانی ۶ ماهه حذف می‌شوند.

 

۸) دلیل تحلیل و اندازه‌گیری میزان بازدیدها

تیم سرتفا بنا به دلایل ذکر شده زیر، نیاز به گردآوری اطلاعات مربوط به بازدید از سایت و تحلیل و اندازه‌گیری آن دارد:

۸-۱) آزمایش کارکرد سایت و تشخیص مشکلات فنی

۸-۲) تشخیص حملات سایبری احتمالی و دفاع در برابر آن

۸-۳) بررسی میزان بازدیدها از مطالب و سیاست‌گذاری برای تالیف موضوعات جدید

 

۹) اطلاعات ذخیره شده در زمان برقراری ارتباط با سرتفا

در صورت برقراری ارتباط با تیم‌ پشتیبانی ما، با توجه به نحوه برقراری ارتباط، اطلاعات به شرح زیر ذخیره شده و در دسترس قرار خواهند گرفت:

۹-۱) فرم تعبیه شده در بخش «تماس با ما»:

برای حفظ امنیت داده‌های رد و بدل شده میان شما و سرورهای میزبان وب‌سایت سرتفا، ما از تکنولوژی رمزنگاری اطلاعات با استفاده از OpenPGP استفاده کرده‌ایم که از دسترسی به محتوای اصلی نوشته شده شما در میانه راه توسط افراد دیگر جلوگیری می‌شود.

۹-۱-۱) ارسال پیام ناشناس: اجازه و اختیار برای ارسال پیام به‌صورت ناشناس، بدون اجبار به ثبت آدرس ایمیل و مشخصات هویتی حق شماست. از این رو هیچ‌گونه نیازی به ثبت آدرس ایمیل در فرم «تماس با ما» نیست و شما می‌توانید برای ارسال پیام‌های یک‌طرفه به ما از آن استفاده کنید. در صورت نیاز برای دریافت پاسخ به پیام خود، مشخصا باید یک راه ارتباطی در متن پیام به ما معرفی کنید یا آدرس ایمیل‌تان را بنویسید.

۹-۱-۲) سایر موارد: هیچ‌گونه سابقه و اطلاعاتی کاربری (Log) در زمان ارسال پیام با استفاده از این فرم، در سرورهای ما ذخیره نمی‌شود و تنها متن پیام‌های دریافتی از طریق فرم ارتباط با ما، تا یک سال در سرورهای ما ذخیره و نگهداری خواهند شد.

۹-۲) ارتباط از طریق ایمیل:

برای برقراری ارتباط از طریق ایمیل، می‌توانید با استفاده از کلیدهای عمومی رمزنگاری PGP وب‌سایت و اعضای سرتفا، پیام‌های خود را به‌صورت رمزگذاری‌شده به ما ارسال کنید. توصیه ما به شما مخاطبان سرتفا، استفاده از رمزنگاری ایمیلی و استفاده از سرویس‌های ایمیلی امن است.

۹-۲-۱) دسترسی‌ها: جهت حفظ امنیت اطلاعات مخاطبان وب‌سایت، تنها مسئول بخش پشتیبانی سرتفا قادر خواهد بود که ایمیل‌های دریافتی در نشانی contact@certfa.com را مطالعه کند و در صورت نیاز به اشتراک‌گذاری با سایر اعضای تیم فنی سرتفا، تنها متن پیام ارسالی شما، یا فایل‌های ارسالی جهت بررسی، بدون اطلاعات هویتی و ارتباطی به اشتراک گذاشته خواهد شد.

۹-۲-۲) حذف پیام‌ها: تمام ایمیل‌ها و پیام‌های دریافتی در نشانی contact@certfa.com به‌صورت دوره‌ای، در بازه زمانی یک ساله حذف می‌شود و تنها آدرس ایمیل‌های مخاطبان ارتباطی ما، به‌صورت طبقه‌بندی شده بدون جزئیات هویتی، ذخیره خواهند شد.

۹-۲-۳) اطلاعات مربوط به همکاری‌ها و مکاتبات: در صورت برقراری ارتباط با اعضای تیم فنی سرتفا که مشخصا از طریق آدرس ایمیل‌های تحت دامنه وب‌سایت certfa.com امکان‌پذیر است، آدرس ایمیل فرستنده، فایل پیوست شده، متن و عنوان ایمیل‌ها در سرورهای ما ذخیره خواهد شد که از این اطلاعات برای پیگیری و بررسی درخواست‌ها، پاسخ به پیام‌ها و تداوم ارتباط با مخاطبان استفاده می‌شود. این اطلاعات در صورت عدم استفاده توسط تیم فنی سرتفا، بعد از ۱۲ ماه حذف خواهند شد.

 

۱۰) استفاده از کوکی‌ها

به‌صورت پیش‌فرض در اولین مراجعه به وب‌سایت سرتفا، یک کوکی با نام  __cfduid توسط سرویس کلادفلر و دیگری با نام lang توسط وب‌سایت ما ایجاد و ذخیره می‌شود که استفاده از این دو کوکی، جهت اجرا و مشاهده‌ی وب‌سایت سرتفا لازم و اجباری است. اما کوکی سوم با نام __certfa برای ثبت و نگهداری از گزینه‌ی انتخابی شما برای تنظیم و تشخیص موافقت یا عدم موافقت شما با جمع‌آوری اطلاعات جهت تحلیل و اندازه‌گیری میزان بازدیدها از وب‌سایت ما استفاده شده است.

 

۱۱) سیاست ارجاع

در راستای احترام به امنیت و حریم‌خصوصی مخاطبان و کاهش انتشار اطلاعات کاربری در زمان وب‌گردی، سیاست ارجاع پیاده‌سازی شده در بستر فنی وب‌سایت سرتفا، فاقد اطلاعات ارجاع دهنده‌ی مبدا به مقصد تنظیم شده است. به عبارتی ما از متغییر «no-referrer» برای «Referrer-Policy» استفاده کرده‌ایم.

به زبان ساده اگر شما از طریق وب‌سایت ما به لینکی که مربوط به یک وب‌سایت دیگر به عنوان مقصد است مراجعه کنید، مدیران آن سایت و سرویس‌های آنالیز استفاده شده در آن، اطلاعاتی از مبدا ارجاع دهنده، یعنی وب‌سایت https://certfa.com نخواهند داشت.

 

۱۲) مکان ذخیره‌سازی اطلاعات

کلیه اطلاعات میزبانی شده در وب‌سایت سرتفا و همینطور پیام‌های ارسالی و دریافتی توسط سرویس ایمیل ما، در سرورهای وب شرکت Amazon یا همان AWS که در کشورهای اتحادیه اروپا و همینطور آمریکا و کانادا مستقر هستند، به‌صورت امن نگهداری می‌شوند و هیچ شرکت یا مجموعه دیگری بلحاظ نرم‌افزاری و فیزیکی دسترسی مستقیم به آن‌ها ندارد.

 

۱۳) اطلاع‌رسانی در صورت نشت اطلاعات و نقص امنیتی

تیم فنی سرتفا خود را متعهد به این می‌دانید که در صورت بروز نقص امنیتی، هک و نشت اطلاعات در وب‌سایت خود، در کوتاه‌ترین زمان ممکن نوع اتفاق، دامنه آن و رویکرد مقابله را با جزئیات تمام به شما مخاطبان اطلاع دهد. تجربه نشان داده است که صداقت و شفافیت درباره مشکلات و ضعف‌های امنیتی، باعث ایجاد اعتماد و زمینه‌ساز پیشرفت می‌شود و پنهان کاری در فضای اینترنت، بی‌فایده است.

 

۱۴) سلب مسئولیت

۱۴-۱) وب‌سایت سرتفا مسئولیتی در قبال جمع‌آوری اطلاعات کاربری مربوط به بازدیدها، همچنین کوکی‌ها و... توسط سرویس‌های اشتراک‌گذاری و انتشار اطلاعات، مانند یوتیوب، ساوندکلود و اینستاگرام که محتوای آن‌ها در بعضی از بخش‌های این سایت شاید استفاده شوند، ندارد.

۱۴-۲) همچنین ما هیچ مسئولیتی در قبال سایر وب‌سایت‌ها که مطالب ما در آن‌ها بازنشر می‌شود و همینطور دیگر وب‌سایت‌ها که از نظر نام و نشانی شبیه به سرتفا هستند، بر عهده نداریم.

۱۴-۳) مسئولیت استفاده از وب‌سایت‌های اشاره شده در منابع و ارجاعات مطالب موجود در این سایت، بر عهده خود کاربر است. سرتفا هیچ گونه مسئولیتی در قبال امنیت کاربری و حریم خصوصی، همچنین مشکلات امنیتی احتمالی در سایر وب‌سایت‌ها را برعهده ندارد.

۱۴-۵) برای کاهش خطرات امنیتی و آلود‌گی‌های احتمالی در برخی از نشانی‌های مخرب اینترنتی، آدرس‌ها به‌صورت hxxps://malicious[.]com/download[.]exe در متن مطالب و خبرها نوشته می‌شوند که در صورت مراجعه کاربر به این آدرس‌ها و بروز خسارت، سرتفا هیچ‌گونه مسئولیتی برعهده نخواهد داشت.

 

 


 

- این متن در تاریخ ۲۵ می ۲۰۱۸، برابر با ۴ خرداد ۱۳۹۷ منتشر شده است.