anonym.legal

By · Last updated 2026-03-11

بازگشت به وبلاگGDPR و انطباق

نقض‌های SaaS ۳۰۰٪ افزایش یافت: ZK الزامی است

Conduent اطلاعات ۲۵.۹ میلیون نفر را فاش کرد. NHS Digital: ۹ میلیون بیمار. مهاجمان در ۹ دقیقه به ارائه‌دهندگان SaaS نفوذ می‌کنند. وقتی فروشنده‌تان خودش هدف حمله است.

March 11, 20269 دقیقه مطالعه
SaaS securitydata breach 2024zero-knowledge architecturevendor risk managementGDPR Article 28

فروشنده اکنون سطح حمله است

به‌روزرسانی برای ۲۰۲۶

یک دهه بود که تیم‌های امنیتی بر یک هدف تمرکز داشتند: جلوگیری از ورود مهاجمان به شبکه. محافظت از محیط. قفل کردن نقاط پایانی. کنترل دسترسی. مدل قدیمی فرض می‌کرد مهاجمان مستقیماً به سازمان شما حمله خواهند کرد.

اما اعداد سال ۲۰۲۴ نشان می‌دهد این مدل شکسته است. نقض‌های SaaS در سال ۲۰۲۴ ۳۰۰٪ افزایش یافت، طبق گزارش تهدیدات امنیتی SaaS 2025 شرکت Obsidian Security. مهاجمان دیگر مستقیماً به سازمان‌ها حمله نمی‌کنند. آن‌ها به ابزارهای SaaS می‌روند که سازمان‌ها اطلاعاتشان را به آن‌ها سپرده‌اند.

وقتی ابزار ابری شما هدف حمله است، شبکه داخلی قوی کمکی نمی‌کند. اطلاعات مشتریان، اسناد کارمندان، و محتوای حساس روی سرورهای ابزار ذخیره شده‌اند. با کلیدهای خود ابزار قفل شده‌اند. و وقتی ابزار مورد حمله قرار می‌گیرد، فاش می‌شوند.

اعداد نقض SaaS در سال ۲۰۲۴

مجموع نقض‌های ۲۰۲۴ مقیاس این خطر را نشان می‌دهد.

Conduent دچار نقضی شد که ۲۵.۹ میلیون رکورد را فاش کرد. Conduent خدمات پردازش کسب‌وکار برای آژانس‌های دولتی و شرکت‌های بزرگ ارائه می‌دهد. مزایا، پرداخت‌ها، و خدمات شهروندی را مدیریت می‌کند. ۲۵.۹ میلیون نفر آسیب‌دیده حتی نمی‌دانستند یک شخص ثالث اطلاعاتشان را نگه می‌دارد.

NHS Digital دچار نقضی شد که ۹ میلیون بیمار را تحت تأثیر قرار داد. اطلاعات بیماران از طریق سرورهای یک ابزار ابری فاش شد. بیماران این اطلاعات را به ارائه‌دهندگان بهداشتی خود داده بودند. دلیلی نداشتند بدانند این اطلاعات به یک پلتفرم شخص ثالث رسیده که هرگز با آن آشنایی نداشتند.

اینها رویدادهای نادر نیستند. این‌ها هنجار جدید است. نقض‌های بزرگ اکنون میلیون‌ها نفر را تحت تأثیر قرار می‌دهند که به یک سازمان اعتماد کرده‌اند اما اطلاعات شخصی‌شان نزد شخص ثالثی است که هرگز از وجودش آگاه نبودند. برای نحوه تخصیص مسئولیت در این موارد، مروری بر انطباق GDPR ما را ببینید.

چرا نقض‌های SaaS متفاوت عمل می‌کنند

یک نقض شبکه کلاسیک مراحل زیادی دارد. مهاجمان باید از محیط عبور کنند. باید در سیستم‌ها حرکت کنند. باید اسناد را استخراج کنند. هر مرحله فرصتی برای شناسایی شدن است.

نقض‌های SaaS متفاوت عمل می‌کنند. وقتی مهاجمان به یک پلتفرم ابری حمله می‌کنند، به اطلاعات تمام مشتریانی دسترسی پیدا می‌کنند که محتوا را از طریق آن پلتفرم ارسال کرده‌اند. یک نقض، اسناد ده‌ها یا صدها مشتری را در یک‌باره افشا می‌کند.

پنجره ۹ دقیقه‌ای نقض — زمان از اولین دسترسی تا سرقت اطلاعات در سیستم‌های SaaS، طبق سوابق رویدادهای Obsidian Security — نشان می‌دهد این فرایند چقدر سریع است. داخل یک پلتفرم مشترک، مهاجمان محتوای مشتریان مختلف را یک‌جا پیدا می‌کنند. این تمرکز ارزش، هر حمله را بسیار کارآمد می‌کند.

قراردادها این شکاف را نمی‌بندند. ماده ۸۲ GDPR مسئولیت مشترک را به پردازشگران برای نقض‌هایی که ایجاد می‌کنند نسبت می‌دهد. اما اثبات تقصیر ماه‌ها طول می‌کشد. تا آن زمان، اطلاعات رفته است. برای نحوه تغییر این نتیجه توسط ابزارهای zero-knowledge، صفحه امنیت و انطباق ما را ببینید.

DPA از اطلاعات شما محافظت نمی‌کند

ماده ۲۸ GDPR می‌گوید سازمان‌ها باید فقط از پردازشگرانی استفاده کنند که "تضمینات کافی" ارائه می‌دهند. توافقنامه پردازش داده (DPA) سند مکتوب این تضمینات است.

مانند توافقنامه شریک تجاری HIPAA، DPA جنبه حقوقی را پوشش می‌دهد. پوشش نمی‌دهد که با اسناد شما روی سرورهای ارائه‌دهنده چه اتفاقی می‌افتد.

یک ابزار ابری با DPA کاملاً منطبق بر GDPR ممکن است همچنان:

  • اطلاعات مشتریان را با رمزگذاری سمت سرور با کلیدهای خود ارائه‌دهنده ذخیره کند
  • اطلاعات کارمندان را از طریق یک سیستم مشترک پردازش کند که توسط مشتریان دیگر هم استفاده می‌شود
  • گزارش‌ها و محتوای کش‌شده را فراتر از موارد توافق‌شده نگه دارد
  • دچار نقضی شود که همه موارد فوق را فاش کند

DPA وظایف حقوقی تعیین می‌کند. یک دیوار فنی در برابر افشا ایجاد نمی‌کند. وقتی مهاجمان در ۹ دقیقه پلتفرم را نقض می‌کنند، DPA آن‌ها را کند نمی‌کند.

برای کمک به زبان ساده در مورد وظایف ماده ۲۸، واژه‌نامه GDPR ما را ببینید.

چرا افزایش ۳۰۰٪ ساختاری است

افزایش ۳۰۰٪ نتیجه دو نیروی همزمان است.

اول، حجم اطلاعات حساس در پلتفرم‌های SaaS در سال ۲۰۲۴ به‌شدت افزایش یافت. سازمان‌های بیشتری کار بیشتری را به ابزارهای ابری منتقل کردند. اسناد بیشتری روی سرورهای شخص ثالث قرار گرفت. محتوای بیشتر یعنی دلیل بیشتری برای حمله به آن سرورها.

دوم، مهاجمان سازگار شدند. سازمان‌ها اکنون اطلاعات مشتریان، گزارش‌های مالی، اطلاعات منابع انسانی، محتوای حقوقی، و سوابق بهداشتی را از طریق ابزارهای SaaS ارسال می‌کنند. حمله به یک پلتفرم، اطلاعات مشتریان زیادی را در بر می‌گیرد. این حساب‌وکتاب، هدف قرار دادن پلتفرم‌ها را بر حمله به سازمان‌های منفرد ترجیح می‌دهد.

عدد ۳۰۰٪ یک جهش جنایی نیست. نشانگر یک تغییر ساختاری در مکان حملات است.

ناشناس‌سازی Zero-Knowledge به‌عنوان راه‌حل

راه‌حل با یک تغییر در طرز فکر آغاز می‌شود. اگر هر پلتفرمی می‌تواند مورد حمله قرار گیرد — و سوابق ۲۰۲۴ این را ثابت می‌کند — پس هیچ پلتفرمی نباید اطلاعات شخصی مشتریان شما را به شکل قابل خواندن دریافت کند.

ناشناس‌سازی zero-knowledge قبل از آپلود، ریسک نقض را کاملاً تغییر می‌دهد. وقتی یک پلتفرم حاوی محتوای پردازش‌شده با zero-knowledge مورد حمله قرار می‌گیرد:

  • مهاجمان به اطلاعات ناشناس‌سازی‌شده می‌رسند که هیچ شناسه مشتری قابل خواندنی ندارد
  • هیچ اطلاع‌رسانی به اشخاص لازم نیست زیرا اطلاعات شخصی افشا نشده
  • هیچ پرونده مسئولیت مشترک طبق ماده ۸۲ GDPR لازم نیست
  • هیچ پیگیری قانونی ناشی از نقض صورت نمی‌گیرد

حمله به پلتفرم می‌رسد. به مشتریان شما نمی‌رسد. اطلاعات شخصی آن‌ها هرگز به شکل قابل خواندن روی سرورهای پلتفرم نرسیده بود.

این نظریه نیست. یک واقعیت ساده است: هیچ اطلاعاتی برای سرقت وجود ندارد زیرا هیچ‌کدام به شکل قابل خواندن ارسال نشده بود. سوالات متداول سوالات رایج در مورد ناشناس‌سازی zero-knowledge را پوشش می‌دهد. صفحه قیمت‌گذاری ما نشان می‌دهد این حفاظت در مقیاس چقدر هزینه دارد.

افزایش ۳۰۰٪ حساب‌وکتاب ریسک را تغییر می‌دهد. بررسی وضعیت امنیتی و شرایط قراردادی یک تامین‌کننده یعنی شرط‌بندی بر اینکه تامین‌کننده‌تان عنوان بعدی اخبار نخواهد شد. ناشناس‌سازی zero-knowledge این شرط‌بندی را حذف می‌کند.

منابع

مقالات مرتبط

GDPR و انطباق

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR و انطباق

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR و انطباق

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

آماده‌اید داده‌های خود را محافظت کنید؟

شروع به ناشناس‌سازی PII با بیش از ۲۸۵ نوع نهاد در ۴۸ زبان.

آغاز دوره آزمایشی رایگانمشاهده ویژگی‌ها

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.