حریم خصوصی

اطلاع‌رسانی و اشاعه فرهنگ توجه به امنیت و حریم خصوصی کاربران اینترنت در دنیای دیجیتال و آموزش آن، یکی از دلایل راه‌اندازی این وب‌سایت است و در همین مسیر ما خود را پایبند به رعایت اصول علمی، عملی و اخلاقی می‌دانیم. وب‌سایت سرتفا به عنوان یک پایگاه خبری، تحقیقاتی، آموزشی و اطلاعاتی خود را متعهد به حقوق کاربران و حفظ حریم‌خصوصی آن‌ها می‌داند و برای آن تلاش می‌کند. توجه داشته باشید ادامه استفاده شما از این وب‌سایت، به معنای موافقت شما با موارد ذکر شده در زیر خواهد بود.


۱) تعاریف

در این متن منظور از «سرتفا»، «این وب‌سایت» و «ما»، تیم سازنده وب‌سایت «https://certfa.com» یعنی «CERTFA» مخفف عبارت «Computer Emergency Response Team in Farsi» است، همین‌طور «کاربران»، «مخاطبان» و «شما» به معنی بازدیدکنندگان از سایت «https://certfa.com» خواهد بود.


۲) به‌روزرسانی و شرایط استفاده

با توجه به این‌که وب‌سایت سرتفا در حال توسعه است، شرایط استفاده از آن ممکن است تغییر پیدا کند و موارد جدیدی به آن اضافه شود. در این صورت، این صفحه به‌روز خواهد شد و تداوم استفاده شما از این سایت به معنای موافقت‌تان با آخرین نسخه شرایط استفاده و حریم خصوصی وب‌سایت سرتفا است.


۳) ما که هستیم و چه کار می‌کنیم؟

ما، گروهی از فعالان حوزه امنیت و آزادی اینترنت هستیم که با توجه به نیاز جامعه مخاطبان اینترنت فارسی زبان و به اقتضای زمان، این وب‌سایت را برای اطلاع‌رسانی، اشاعه فرهنگ توجه به امنیت دیجیتال و حریم خصوصی در اینترنت، همین‌طور آموزش کاربران و ارتقای دانش عمومی راه‌اندازی کرده‌ایم. جهت کسب اطلاعات بیشتر، به صفحه درباره ما مراجعه کنید.


۴) اشتراک‌گذاری اطلاعات در سرتفا

ما هیچ‌گونه اطلاعات کاربری، هویتی و خصوصی کاربران را با هیچ شخص، گروه، شرکت و مجموعه‌ای به اشتراک نمی‌گذاریم. از این‌رو همکاری و ارتباط ما با اشخاص ثالث، تنها در بستر فنی خواهد بود و به اشتراک‌گذاری اطلاعات مربوط به بدافزارها، حملات سایبری و آسیب‌پذیری‌ها خلاصه می‌شود.

۴-۱) انتشار اطلاعات خبری و تحلیلی در قالب گزارش:

گزارش‌ها و نتایج بررسی‌های فنی تیم سرتفا نیز پس از پالایش اطلاعات و طبقه‌بندی داده‌ها، به‌صورت عمومی و به زبان‌های فارسی و انگلیسی منتشر خواهند شد. همچنین پیرو اصول متداول حرفه‌ای، اطلاعات مربوط به آسیب‌پذیری‌های بحرانی، در بازه زمانی ۳۰ تا ۹۰ روز پس از اعلام آن به مخاطبان احتمالی تحت‌تاثیر، به‌صورت عمومی منتشر خواهند شد.

۴-۲) حق انتشار اطلاعات تولیدکنندگان بدافزارها و مهاجمان سایبری:

تیم تحقیقاتی سرتفا این اجازه را دارد که اطلاعات و مشخصات سازندگان، دست اندرکاران، اشاعه دهندگان و سایر عوامل دخیل در تولید بدافزارهای ایرانی و همینطور مهاجمان سایبری که کاربران اینترنت را مورد هدف قرار می‌دهند، پس از بررسی‌های تحلیلی خود منتشر کند.  به‌صورت دقیق، این اطلاعات و مشخصات شامل داده‌های هویتی مانند نام و نام خانوادگی، نشانی محل سکونت و کار، شماره تلفن، تصویر چهره و همین‌طور داده‌های اینترنتی مانند آدرس ایمیل، وب‌سایت، آی‌پی‌ها و سرورهای مورد استفاده و مرتبط، حساب‌های شبکه‌های اجتماعی و سایر اطلاعات مربوط به افرادی است که در جرایم سایبری اشاره شده، مشارکت دارند. همچنین سرتفا این حق برای خود می‌داند که اقدامات لازم جهت جلوگیری از ادامه فعالیت‌های این افراد را در پیش بگیرد.


۵) امنیت انتقال داده‌ها

برای محافظت از اطلاعات منتقل شده در هنگام استفاده از وب‌سایت سرتفا، ارتباطات شما با سرورهای سایت ما با استفاده از پروتکل امنیتی HSTS کنترل می‌شود و ارتباط شما با سرورهای ما در برابر حملات مرد میانی برای سلب رمزنگاری «SSL-stripping man-in-the-middle» مقاوم است. به این معنا که ارتباط مرورگرهای اینترنتی با سرورهای ما فقط از طریق HTTPS «پروتکل امن برای انتقال اطلاعات» امکان‌پذیر خواهد بود. همچنین سرتفا در حال حاضر تنها از پروتکل‌های TLSv1.2 و TLSv1.3 و رمزنگاری ECDH پشتیبانی می‌کند و از نسخه‌های قدیمی و آسیب‌پذیر استفاده نمی‌کند.


۶) شبکه توزیع محتوا

ما در حال حاضر برای دسترسی سریع مخاطبان به صفحات مختلف وب‌سایت سرتفا، از سرویس کلودفلر «Cloudflare» به عنوان سرویس کمکی CDN یا همان شبکه توزیع محتوا استفاده می‌کنیم. کلودفلر این امکان را برای ما فراهم می‌آورد تا از طریق نزدیک‌ترین مرکز ارتباط داده، اطلاعات و محتوای وب‌سایت سرتفا را در دسترس شما قرار دهیم.


۷) عدم جمع‌آوری اطلاعات بازدیدها

تمام تلاش تیم فنی و توسعه وب‌سایت سرتفا، از روز نخست بر این استوار بوده است که جمع‌آوری اطلاعات کاربران و اشتراک‌گذاری آن با اشخاص ثالث به هنگام بازدید از این وب‌سایت را به حداقل برساند. در همین راستا، در دو سال اول فعالیت وب‌سرتفا، ما تنها از ابزار پروژه متن باز پیویک «Piwik» متعلق به شرکت «matamo»، جهت تحلیل و اندازه‌گیری میزان بازدیدها از مطالب - به‌صورت میزبانی خصوصی و داده‌های ناشناس‌سازی شده - استفاده می‌کردیم که در آخرین به‌روزرسانی وب‌سایت، استفاده از این ابزار نیز به‌دلیل عدم نیاز به آن در ادامه فعالیت‌های سرتفا، به‌صورت کلی کنار گذاشته شده است. بنابراین، وب‌سرتفا هیچ‌گونه داده‌ای درخصوص میزان بازدیدها و اطلاعات کاربران بازدیدکننده از وب‌سایت جمع‌آوری و نگهداری نمی‌کند.


۸) اطلاعات ذخیره شده در زمان برقراری ارتباط با سرتفا

در صورت برقراری ارتباط با تیم‌ پشتیبانی ما، با توجه به نحوه برقراری ارتباط، اطلاعات به شرح زیر ذخیره شده و در دسترس قرار خواهند گرفت:

۸-۱) فرم تعبیه شده در بخش «تماس با ما»:

برای حفظ امنیت داده‌های رد و بدل شده میان شما و سرورهای میزبان وب‌سایت سرتفا، ما از تکنولوژی رمزنگاری اطلاعات با استفاده از OpenPGP استفاده کرده‌ایم که از دسترسی به محتوای اصلی نوشته شده شما در میانه راه توسط افراد دیگر جلوگیری می‌شود. توجه داشته باشید که این فناوری، تنها در مرورگرهای مدرن (آخرین نسخه‌های مرورگرهای امن، مانند فایرفاکس و گوگل کروم) در دسترس و قابل اجرا است.

۸-۱-۱) ارسال پیام ناشناس:اجازه و اختیار برای ارسال پیام به‌صورت ناشناس، بدون اجبار به ثبت آدرس ایمیل و مشخصات هویتی حق شماست. از این رو هیچ‌گونه نیازی به ثبت آدرس ایمیل در فرم «تماس با ما» نیست و شما می‌توانید برای ارسال پیام‌های یک‌طرفه به ما از آن استفاده کنید. در صورت نیاز برای دریافت پاسخ به پیام خود، مشخصا باید یک راه ارتباطی در متن پیام به ما معرفی کنید یا آدرس ایمیل‌تان را بنویسید.

۸-۱-۲) سایر موارد: هیچ‌گونه سابقه و اطلاعاتی کاربری (Log) در زمان ارسال پیام با استفاده از این فرم، در سرورهای ما ذخیره نمی‌شود و تنها متن پیام‌های دریافتی از طریق فرم ارتباط با ما، تا یک سال در سرورهای ما ذخیره و نگهداری می‌شد.

۸-۲) ارتباط از طریق ایمیل:

برای برقراری ارتباط از طریق ایمیل، می‌توانید با استفاده از کلیدهای عمومی رمزنگاری PGP وب‌سایت و اعضای سرتفا، پیام‌های خود را به‌صورت رمزگذاری‌شده به ما ارسال کنید. توصیه ما به شما مخاطبان سرتفا، استفاده از رمزنگاری ایمیلی و استفاده از سرویس‌های ایمیلی امن است.

۸-۲-۱) دسترسی‌ها: جهت حفظ امنیت اطلاعات مخاطبان وب‌سایت، تنها مسئول بخش پشتیبانی سرتفا قادر خواهد بود که ایمیل‌های دریافتی در نشانی contact@certfa.com را مطالعه کند و در صورت نیاز به اشتراک‌گذاری با سایر اعضای تیم فنی سرتفا، تنها متن پیام ارسالی شما، یا فایل‌های ارسالی جهت بررسی، بدون اطلاعات هویتی و ارتباطی به اشتراک گذاشته خواهد شد.

۸-۲-۲) حذف پیام‌ها: تمام ایمیل‌ها و پیام‌های دریافتی در نشانی contact@certfa.com به‌صورت دوره‌ای، در بازه زمانی یک ساله حذف می‌شود و تنها آدرس ایمیل‌های مخاطبان ارتباطی ما، به‌صورت طبقه‌بندی شده بدون جزئیات هویتی، جهت حفظ ارتباطات، ذخیره خواهند شد.

۸-۲-۳) اطلاعات مربوط به همکاری‌ها و مکاتبات:در صورت برقراری ارتباط با اعضای تیم فنی سرتفا که مشخصا از طریق آدرس ایمیل‌های تحت دامنه وب‌سایت certfa.com امکان‌پذیر است، آدرس ایمیل فرستنده، فایل پیوست شده، متن و عنوان ایمیل‌ها در سرورهای ما ذخیره خواهد شد که از این اطلاعات برای پیگیری و بررسی درخواست‌ها، پاسخ به پیام‌ها و تداوم ارتباط با مخاطبان استفاده می‌شود. این اطلاعات در صورت عدم استفاده توسط تیم فنی سرتفا، بعد از ۱۲ ماه حذف خواهند شد.


۹) عدم استفاده از کوکی‌

به‌صورت پیش‌فرض، در بخش‌های عمومی وب‌سایت (مانند دانشنامه، آخرین خبرها و...)، ما از کوکی‌ (Cookie) در هیچ سطحی در سمت کاربر استفاده نمی‌کنیم. از این رو، می‌توانید با هر نوع مرورگری و با هر گونه تنظیمات امنیتی شخصی، با خیال راحت از وب‌سایت سرتفا بازید کنید. یکی از عمده دلایل عدم استفاده از کوکی‌ در وب‌سایت سرتفا، به حداقل رساندن پروفایل‌سازی‌‌های یکتا برای کاربران و جلوگیری ردیابی‌های آنلاین است.


۱۰) سیاست ارجاع

در راستای احترام به امنیت و حریم‌خصوصی مخاطبان و به‌حداقل رساندن اشتراک‌گذاری اطلاعات کاربری در زمان وب‌گردی، سیاست ارجاع پیاده‌سازی شده در بستر زیرساخت وب‌سایت سرتفا، فاقد اطلاعات ارجاع دهنده‌ی مبدا به مقصد تنظیم شده است. به عبارتی ما از متغییر «no-referrer» برای «Referrer-Policy» استفاده کرده‌ایم.

به زبان ساده اگر شما از طریق وب‌سایت ما به لینکی که مربوط به یک وب‌سایت دیگر به عنوان مقصد است مراجعه کنید، مدیران آن وب‌سایت و سرویس‌های آنالیز استفاده شده از سوی آن‌ها، اطلاعاتی از مبدا ارجاع دهنده، یعنی وب‌سایت https://certfa.com نخواهند داشت.


۱۱) مکان میزبانی اطلاعات

کلیه اطلاعات میزبانی شده در وب‌سایت سرتفا و همینطور پیام‌های ارسالی و دریافتی توسط سرویس ایمیل ما، در سرورهای وب شرکت Amazon یا همان AWS که به‌صورت فیزیکی در کشورهای اروپایی، همینطور آمریکا و کانادا مستقر هستند، به‌صورت امن (رمزگذاری شده) نگهداری می‌شوند و هیچ شرکت یا مجموعه دیگری بلحاظ نرم‌افزاری و فیزیکی، دسترسی مستقیم به آن‌ها ندارد.


۱۲) اطلاع‌رسانی در صورت نشت اطلاعات و نقص امنیتی

تیم فنی سرتفا خود را متعهد به این می‌دانید که در صورت بروز نقص امنیتی، هک و نشت اطلاعات در وب‌سایت خود، در کوتاه‌ترین زمان ممکن نوع اتفاق، دامنه آن و رویکرد مقابله را با جزئیات تمام به شما مخاطبان اطلاع دهد. تجربه نشان داده است که صداقت و شفافیت درباره مشکلات و ضعف‌های امنیتی، باعث ایجاد اعتماد و زمینه‌ساز پیشرفت می‌شود و پنهان کاری در فضای اینترنت، بی‌فایده است.


۱۳) سلب مسئولیت

۱۳-۱) وب‌سایت سرتفا مسئولیتی در قبال جمع‌آوری اطلاعات کاربری مربوط به بازدیدها، همچنین کوکی‌ها و... توسط سرویس‌های اشتراک‌گذاری و انتشار اطلاعات، مانند یوتیوب، ساوندکلود و اینستاگرام که محتوای آن‌ها در بعضی از بخش‌های این سایت شاید استفاده شوند، ندارد.

۱۳-۲) همچنین ما هیچ مسئولیتی در قبال سایر وب‌سایت‌ها که مطالب ما در آن‌ها بازنشر می‌شود و همینطور دیگر وب‌سایت‌ها که از نظر نام و نشانی شبیه به سرتفا هستند، بر عهده نداریم.

۱۳-۳) مسئولیت استفاده از وب‌سایت‌های اشاره شده در منابع و ارجاعات مطالب موجود در این سایت، بر عهده خود کاربر است. سرتفا هیچ گونه مسئولیتی در قبال امنیت کاربری و حریم خصوصی، همچنین مشکلات امنیتی احتمالی در سایر وب‌سایت‌ها را برعهده ندارد.

۱۳-۴) برای کاهش خطرات امنیتی و آلود‌گی‌های احتمالی در برخی از نشانی‌های مخرب اینترنتی، آدرس‌ها به‌صورت hxxps://malicious[.]com/download[.]exe در متن مطالب و خبرها نوشته می‌شوند که در صورت مراجعه کاربر به این آدرس‌ها و بروز خسارت، سرتفا هیچ‌گونه مسئولیتی برعهده نخواهد داشت.


- این متن در تاریخ ۲۵ می ۲۰۱۸، برابر با ۴ خرداد ۱۳۹۷ منتشر شده و ویرایش آن در تاریخ ۲۷ مارس ۲۰۲۰، برابر با ۸ فروردین ۱۳۹۹ انجام شده است.