الأسئلة الشائعة

سيزو للاستشارات السعودية هي المنصة الرائدة في مجال الاستخبارات السيبرانية في المملكة العربية السعودية، وتتضمن بودكاست ومؤشرات التهديدات وأحدث أخبار الأمن السيبراني المتعلقة بالسوق السعودي.

نغطي جميع أطر الأمن السيبراني السعودية الرئيسية بما في ذلك ضوابط الأمن السيبراني الأساسية للهيئة الوطنية للأمن السيبراني، وإطار الأمن السيبراني لساما، ونظام حماية البيانات الشخصية، والإطار التنظيمي للحوسبة السحابية.

مركز العمليات الأمنية (SOC) هو فريق مركزي مسؤول عن مراقبة التهديدات السيبرانية والكشف عنها والاستجابة لها في الوقت الفعلي. يتطلب كل من إطار SAMA CSF وضوابط NCA ECC مراقبة أمنية على مدار الساعة طوال أيام الأسبوع للجهات الخاضعة للتنظيم. يمكن للمؤسسات إنشاء SOC داخلي أو استخدام مزود SOC مُدار أو نموذج هجين حسب الميزانية والحجم وملف المخاطر.

بناء برنامج الأمن السيبراني في المملكة يتضمن: (1) تحديد الأطر المنطبقة (SAMA CSF وNCA ECC وPDPL بناءً على القطاع)؛ (2) إجراء تقييم خط أساس للمخاطر وتحليل الفجوات؛ (3) تعريف هيكل الحوكمة وتعيين CISO أو vCISO؛ (4) وضع السياسات والإجراءات المتوافقة مع الإطار؛ (5) تطبيق الضوابط التقنية (IAM وأمن نقاط النهاية والمراقبة)؛ (6) بناء أو الاستعانة بقدرات SOC؛ (7) تدريب الموظفين؛ (8) إجراء تقييمات سنوية والإبلاغ للجهات التنظيمية.

يجب أن تتضمن خطة الاستجابة الشاملة للحوادث: (1) الأدوار والمسؤوليات (CISO وفريق IR والقانوني والاتصالات)؛ (2) تصنيف الحوادث ومستويات الخطورة؛ (3) إجراءات الكشف والإبلاغ؛ (4) خطوات الاحتواء والاستئصال والتعافي؛ (5) إرشادات الحفاظ على الأدلة والتحقيق الجنائي؛ (6) متطلبات الإخطار التنظيمي لساما/الهيئة الوطنية؛ (7) خطة الاتصالات الخارجية؛ (8) عملية الدروس المستفادة؛ (9) جدول الاختبارات.

تُعدّ برامج التوعية بالأمن السيبراني متطلباً صريحاً في SAMA CSF (الضابط 3.2.1 – التوعية والتدريب) وNCA ECC (المادة 2-6 – أمن الموارد البشرية). والبرنامج الفعّال لا يقتصر على دورة سنوية تقليدية، بل يسعى إلى بناء ثقافة أمنية مستدامة. إليك كيفية بناء برنامج يلبّي كلا الإطارين: **أولاً – تحليل الاحتياجات التدريبية حسب الدور الوظيفي:** صمّم المحتوى وفق طبيعة كل فئة: القيادات التنفيذية تحتاج إلى توعية بمخاطر الهندسة الاجتماعية والحوكمة، بينما يحتاج الموظفون العامون إلى التدريب على التصيد الاحتيالي وإدارة كلمات المرور والتعامل الآمن مع البيانات. وتشترط SAMA تدريباً مُعزَّزاً لمستخدمي الصلاحيات المتميزة تحديداً. **ثانياً – وضع جدول تدريبي منتظم:** تشترط ساما توثيق تدريب رسمي مرة سنوياً على الأقل، غير أن الممارسات المثلى تشمل محاكاة فصلية لهجمات التصيد، ونشرات أمنية شهرية، وبرامج توجيهية إلزامية للموظفين الجدد. **ثالثاً – تضمين محتوى منسجم مع التشريعات السعودية:** يجب أن يغطي البرنامج متطلبات PDPL في التعامل مع البيانات، وإجراءات الإبلاغ عن الحوادث وفق ساما، وسياسات الاستخدام المقبول المنصوص عليها في NCA ECC، فضلاً عن تكتيكات الاحتيال الشائعة في القطاع المالي كاحتيال البريد التجاري (CEO Fraud) والتصيد الصوتي. **رابعاً – قياس الفاعلية:** راقب معدلات النقر في محاكاة التصيد ونسب إتمام التدريب ونتائج الاختبارات القبلية والبعدية. يتوقع مدققو ساما وهيئة NCA وجود مقاييس موثقة تثبت تطور فاعلية البرنامج مع الوقت. **خامساً – التوطين والملاءمة الثقافية:** يُحسّن المحتوى باللغة العربية مع سيناريوهات مستوحاة من البيئة المحلية والتهديدات الشائعة في منطقة الشرق الأوسط مستوى التفاعل والاستيعاب بشكل ملحوظ. احرص على توثيق كل شيء: سجلات الحضور، ونتائج التقييمات، وإجراءات المعالجة للموظفين الذين لم يجتازوا اختبارات التصيد. هذا التوثيق ضروري خلال مراجعات ساما الإشرافية وعمليات تدقيق الامتثال لدى هيئة NCA.

يتم إصدار حلقات جديدة أسبوعياً، عادة يوم الأحد. قد يتم إصدار حلقات خاصة تغطي أحداث الأمن السيبراني العاجلة حسب الحاجة.

إطار الأمن السيبراني لساما هو إطار شامل صادر عن البنك المركزي السعودي لمساعدة المؤسسات المالية على إدارة المخاطر السيبرانية. ويغطي الحوكمة وإدارة المخاطر والامتثال والعمليات وأمن الطرف الثالث.

ISO/IEC 27001 هو المعيار الدولي لأنظمة إدارة أمن المعلومات (ISMS). ليس إلزامياً في المملكة العربية السعودية بموجب القانون، لكنه موصى به بشدة ومطلوب في كثير من الأحيان من قبل العملاء المؤسسيين والمناقصات الحكومية. يُثبت تحقيق شهادة ISO 27001 وضعاً أمنياً ناضجاً ويمكن أن يسرّع الامتثال لـ SAMA CSF وNCA ECC.

أعاد ISO 27001:2022 هيكلة الملحق أ من 14 نطاقاً و114 ضابطاً إلى 4 محاور (تنظيمية وبشرية ومادية وتكنولوجية) و93 ضابطاً. تشمل الإضافات الرئيسية ضوابط لاستخبارات التهديدات، وأمن المعلومات للخدمات السحابية، واستعداد تقنية المعلومات لاستمرارية الأعمال، ومراقبة الأمن المادي، وإدارة التهيئة، وإخفاء البيانات. يجب على المؤسسات المعتمدة وفق إصدار 2013 الانتقال بحلول أكتوبر 2025.

يمكنك الإبلاغ عن الحوادث السيبرانية من خلال بوابة الهيئة الوطنية للأمن السيبراني، أو التواصل معنا عبر نموذج الاتصال وسنوجهك إلى الجهات والموارد المناسبة.

نلتزم بنظام حماية البيانات الشخصية السعودي. بياناتك مشفرة، والوصول يعتمد على الأدوار، ونطبق ضوابط أمنية معيارية بما في ذلك جدار حماية تطبيقات الويب وسياسة أمان المحتوى والتدقيق الأمني المنتظم. يمكنك طلب نسخة من بياناتك أو حذفها في أي وقت.

يجب على جميع المؤسسات المالية الخاضعة لرقابة البنك المركزي السعودي (ساما) الامتثال، بما في ذلك البنوك التجارية وشركات التأمين وشركات التمويل ومزودو خدمات الدفع والشركات التقنية المالية العاملة في المملكة.

يحتوي إطار الأمن السيبراني لساما الإصدار 2.0 على 251 ضابطاً فرعياً موزعاً على 12 نطاقاً تشمل الحوكمة وإدارة المخاطر وإدارة الهوية والوصول وأمن العمليات وأمن الشبكات واقتناء الأنظمة وإدارة الأطراف الثالثة واستمرارية الأعمال وإدارة التهديدات.

يُلزم إطار SAMA للأمن السيبراني المؤسساتِ الخاضعة للتنظيم بوضع برنامج متكامل لإدارة مخاطر الموردين والأطراف الثالثة يغطي دورة حياة العلاقة كاملةً، من الإعداد الأولي وحتى إنهاء التعاقد. **أولاً: تصنيف الموردين حسب الأهمية:** قسّم الموردين إلى ثلاث فئات — الفئة الأولى (الموردون الحيويون كأنظمة الصيرفة الأساسية)، الفئة الثانية (الموردون المهمون)، والفئة الثالثة (الموردون منخفضو المخاطر). يحدد هذا التصنيف مستوى العناية الواجبة المطلوبة. **ثانياً: العناية الواجبة قبل التعاقد:** اطلب من الموردين تعبئة استبيان أمني مبني على ضوابط إطار SAMA، وتقديم شهادات معترف بها مثل ISO 27001 أو SOC 2، وإجراء تقييمات أمنية مستقلة للموردين من الفئة الأولى. **ثالثاً: الاشتراطات التعاقدية:** ادرج في العقود بنوداً تشمل حق التدقيق، والتزامات الإبلاغ عن الحوادث خلال 72 ساعة وفق توقعات SAMA، ومتطلبات حماية البيانات بما يتسق مع نظام PDPL. **رابعاً: المراقبة المستمرة:** أجرِ إعادة تقييم سنوية لموردي الفئتين الأولى والثانية، واستخدم أدوات استخبارات التهديدات لرصد أي اختراقات قد تطال موردين تتعامل معهم. **خامساً: إنهاء التعاقد:** تحقق من حذف البيانات، وإلغاء الصلاحيات، وتوثيق إعادة الأصول. من أبرز الأخطاء الشائعة في المؤسسات المالية السعودية معاملة مخاطر الأطراف الثالثة كإجراء لمرة واحدة لا كبرنامج مستمر. الحل يكمن في دمج مراجعة الموردين ضمن دورة التقييم الذاتي السنوي لإطار SAMA.

تُعدّ خطة الاستجابة للحوادث السيبرانية من أكثر المتطلبات تعقيداً وأهمية في البيئة التنظيمية السعودية، إذ تتشابك فيها اشتراطات SAMA وفق الضابط 3.6 واشتراطات NCA ECC في النطاق 2-7. يجب أن تُغطي الخطة ست مراحل أساسية: التحضير، والكشف والتحليل، والاحتواء، والاستئصال، والاسترداد، ومراجعة ما بعد الحادثة. ومن أبرز الالتزامات التنظيمية: الإبلاغ عن أي حادثة تؤثر على العمليات أو بيانات العملاء خلال 72 ساعة من اكتشافها، مع تقديم تقرير تحليل جذر المشكلة (RCA) خلال 30 يوماً. كما تُلزم NCA المؤسساتِ بالإبلاغ عن الحوادث الجسيمة عبر قنواتها الرسمية، ويُنصح بالتسجيل في الفريق الوطني للاستجابة للطوارئ الحاسوبية (saCERT) للاستفادة من منظومة تبادل معلومات التهديدات. وعلى صعيد نظام PDPL، فإن أي اختراق يطال بيانات شخصية يستوجب إخطار هيئة البيانات والذكاء الاصطناعي (SDAIA) والأفراد المتضررين عند الاقتضاء. يتضمن الإطار العملي للخطة تحديد الأدوار بوضوح، وتصنيف مستويات الخطورة، ونماذج تواصل جاهزة للتصعيد الداخلي والإبلاغ التنظيمي. تُوفر منصتنا نماذج خطط استجابة مُعدّة مسبقاً وفق متطلبات SAMA وNCA مع أدوات لتتبع الحوادث وإدارة الإخطارات التنظيمية آلياً.

إدارة مخاطر الأطراف الثالثة تُعدّ من أبرز المتطلبات التي تفرضها كل من متطلبات إطار الأمن السيبراني لساما (التحكم 3.3.6 – علاقات الموردين) والضوابط الأساسية للأمن السيبراني الصادرة عن هيئة الاتصالات الوطنية (المجال الرابع). إليك منهجية عملية لتطبيق ذلك: **أولاً – تقييم المورد قبل التعاقد:** قبل أي تعاون مع أي طرف خارجي، يجب إجراء تقييم شامل لمخاطر الأمن السيبراني يشمل نطاق الوصول إلى البيانات، وطبيعة الخدمة (سحابية أم محلية)، والارتباط بالبيانات الحساسة. يُشترط في إطار ساما تصنيف الأطراف الثالثة رسمياً وفق مستوى المخاطر. **ثانياً – الضمانات التعاقدية:** يجب تضمين بنود واضحة في العقود تتعلق بحق التدقيق، وإشعار الحوادث خلال 72 ساعة وفق المادة 19 من نظام حماية البيانات الشخصية، والتزامات التعامل مع البيانات، والمتطلبات الأمنية الدنيا المتوافقة مع معايير ISO 27001. **ثالثاً – المتابعة المستمرة:** لا يكفي التقييم عند الإعداد الأولي، بل يجب مراجعة الموردين الحيويين سنوياً، ومتابعة شهاداتهم الأمنية، ورصد أي اختراقات موثقة تطالهم. **رابعاً – مخاطر التركز:** تنبّه ساما صراحةً إلى خطر الاعتماد المفرط على مورد واحد. يُلزَم بوضع خطط واضحة للخروج من الخدمة واستمرارية الأعمال لكل طرف ثالث حيوي. **خامساً – الخدمات السحابية:** للموردين الذين يقدمون خدمات سحابية، تسري ضوابط NCA CCC؛ لذا تأكد من استضافة البيانات داخل المملكة أو الحصول على موافقة تنظيمية مسبقة لأي معالجة خارج حدودها. عملياً، ابنِ سجلاً لمخاطر الأطراف الثالثة، وصنّفها حسب الأثر والاحتمالية، وحدد دورات المراجعة المناسبة لكل فئة.

التوعية الأمنية ليست مجرد بند في قائمة المتطلبات، بل هي خط الدفاع الأول ضد التصيد الاحتيالي والهندسة الاجتماعية والتهديدات الداخلية. يُلزم كل من إطار ساما (التحكم 3.3.2) والضوابط الأساسية لهيئة الاتصالات الوطنية (الضابط 2-4) بوجود برامج توعية منظمة. إليك كيفية بناء برنامج يحقق متطلبات كلا الإطارين فعلياً: **المتطلبات التنظيمية الدنيا:** - **إطار ساما:** يشترط تدريباً مخصصاً حسب الدور الوظيفي (موظفون عاديون، مستخدمو الصلاحيات المرتفعة، فرق تقنية المعلومات والأمن، الإدارة العليا)، مع التوثيق والتتبع والتجديد السنوي. - **ضوابط هيئة الاتصالات:** يستلزم برنامجاً رسمياً يغطي التصيد الاحتيالي، وإدارة كلمات المرور، وسياسة المكتب النظيف، وإجراءات الإبلاغ عن الحوادث. **هيكل البرنامج المقترح:** 1. **التقييم الأساسي:** ابدأ بمحاكاة تصيد احتيالي لقياس مستوى الوعي الحالي، وهو ما يتوافق مع منهجية ساما في قياس مستوى النضج. 2. **المناهج حسب الدور:** - *جميع الموظفين:* التصيد الاحتيالي، كلمات المرور، أساسيات حماية البيانات الشخصية وفق النظام - *فرق تقنية المعلومات والأمن:* إجراءات التصعيد، إدارة الصلاحيات المرتفعة - *الإدارة العليا ومجلس الإدارة:* حوكمة المخاطر السيبرانية، المسؤوليات التنظيمية، التزامات استمرارية الأعمال 3. **أساليب التدريب:** امزج وحدات تعليمية قصيرة شهرياً (5-10 دقائق) مع محاكاة تصيد ربع سنوية وورش عمل سنوية معمقة. التلعيب يرفع معدلات الإتمام بشكل ملحوظ. 4. **القياس والإبلاغ:** تتبع معدلات الإتمام ونسب النقر على رسائل التصيد قبل التدريب وبعده، ودرجات الاختبارات. تتوقع ساما وجود أدلة موثقة على فعالية التدريب. 5. **اللغة:** قدّم المحتوى بالعربية والإنجليزية لضمان الاستيعاب الكامل لدى جميع الموظفين. **نصيحة عملية:** احتفظ بسجل تدريب يتضمن أسماء الموظفين وتواريخ الإتمام والدرجات وإصدار المحتوى — فهذا ما تطلبه ساما عادةً خلال الفحوصات التنظيمية وتقييمات هيئة الاتصالات.

يُلزم إطار SAMA للأمن السيبراني، تحديداً ضمن نطاق المتطلبات 3.3 المتعلقة بالأمن السيبراني للأطراف الثالثة، المؤسساتِ الماليةَ السعوديةَ بوضع برنامج متكامل لإدارة مخاطر الموردين يغطي كامل دورة حياة العلاقة التعاقدية. **أولاً: تصنيف الموردين وترتيبهم حسب الأولوية:** يجب تصنيف الموردين بناءً على حساسية البيانات التي يصلون إليها وطبيعة الخدمات التي يقدمونها. الموردون من الفئة الأولى — كمزودي أنظمة البنوك الأساسية وشركاء الاستضافة السحابية — يستوجبون أعلى مستويات الرقابة والتدقيق. **ثانياً: العناية الواجبة قبل التعاقد:** قبل إبرام أي عقد، يُطلب من المورد تعبئة استبيان للأمن السيبراني مبني على محاور إطار SAMA، مع تقديم أدلة دامغة كشهادة ISO 27001 ونتائج اختبارات الاختراق وتقارير SOC 2. **ثالثاً: اشتراطات تعاقدية واضحة (وفق SAMA CSF 3.3.4):** يجب إدراج بنود أمنية ملزمة في جميع العقود تشمل: حق التدقيق والمراجعة، والإخطار الفوري عند وقوع الحوادث خلال 72 ساعة، ومعايير حماية البيانات والتشفير، والالتزام بمتطلبات هيئة الاتصالات الوطنية ونظام حماية البيانات الشخصية متى اقتضى الأمر. **رابعاً: المراقبة المستمرة:** يُوصى بإجراء تقييمات دورية للموردين من الفئة الأولى سنوياً، ومرتين سنوياً للفئة الثانية، مع الاستعانة بمصادر التهديدات الإلكترونية للكشف المبكر عن أي اختراقات أو ثغرات في حلولهم. **خامساً: إجراءات إنهاء العلاقة التعاقدية:** يجب توثيق والتحقق من عمليات حذف البيانات وإلغاء الصلاحيات وقطع الوصول فور انتهاء العقد. من أبرز الثغرات التي تُكشف خلال تقييمات SAMA: وجود قوائم بالموردين دون تصنيف فعلي للمخاطر أو متابعة موثقة. لذا، يُعدّ بناء سجل رسمي لمخاطر الأطراف الثالثة مع تحديد المسؤوليات وجداول المراجعة أمراً لا غنى عنه.

بموجب المتطلبات المنصوص عليها في الضابط 3.3 من إطار الأمن السيبراني لساما المتعلق بإدارة الجهات الخارجية، يتعين على البنوك والمؤسسات المالية السعودية بناء برنامج متكامل وقائم على تقييم المخاطر يغطي دورة حياة المورد كاملةً من الإضافة وحتى إنهاء العلاقة. فيما يلي المكونات الأساسية لبرنامج فعّال: **أولاً: تصنيف الموردين وتحديد مستوى الخطورة:** صنّف الموردين وفقاً لحساسية البيانات التي يصلون إليها وأهميتهم التشغيلية، حيث يستوجب الموردون من الفئة الأولى (كمزودي أنظمة الحوسبة الأساسية) مستوى أعلى من العناية الواجبة مقارنةً بالفئات الأدنى خطورة. **ثانياً: العناية الواجبة قبل التعاقد:** اطلب من الموردين تعبئة استبيانات أمن سيبراني مبنية على نطاقات إطار ساما، وللموردين عالي الخطورة، اشترط تقديم شهادات مثل ISO 27001 أو تقارير تدقيق مستقلة من نوع SOC 2. **ثالثاً: الضمانات التعاقدية:** احرص على تضمين العقود بنوداً أمنية واضحة، منها: حق التدقيق، والتزامات الإشعار بالحوادث خلال 72 ساعة وفقاً للمادة 24 من نظام حماية البيانات الشخصية ومتطلبات ساما، وقيود التعامل مع البيانات، والتزامات الاستمرارية. **رابعاً: المتابعة المستمرة:** أجرِ تقييمات دورية سنوية لموردي الفئة الأولى وكل عامين لموردي الفئة الثانية، مع الاستفادة من أدوات تقييم الوضع السيبراني للمراقبة الجارية. **خامساً: ضوابط إنهاء العلاقة:** حدد إجراءات واضحة لإعادة البيانات وحذفها بشكل آمن عند انتهاء العلاقة مع أي مورد. تتيح منصة الحوكمة والمخاطر والامتثال أتمتة توزيع الاستبيانات وتتبع خطط المعالجة وإنتاج تقارير جاهزة للمراجعات الرقابية من ساما.

تُعدّ إدارة استمرارية الأعمال من المتطلبات الإلزامية التي يفرضها كل من إطار الأمن السيبراني لساما والضوابط الأساسية للأمن السيبراني الصادرة عن الهيئة الوطنية للأمن السيبراني، وعلى المؤسسات المالية السعودية بناء برامج متكاملة لاستمرارية الأعمال وتطويرها باستمرار. **متطلبات ساما:** يستوجب الإطار وجود خطط موثقة لاستمرارية الأعمال والتعافي من الكوارث، يجري مراجعتها واختبارها سنوياً على الأقل. كما يتعين تحديد أهداف وقت الاسترداد (RTO) وأهداف نقطة الاسترداد (RPO) بوضوح لجميع الأنظمة الحيوية، لا سيما أنظمة الخدمات المصرفية الأساسية ومنصات الدفع والقنوات الرقمية. **متطلبات الهيئة الوطنية للأمن السيبراني:** تشترط الضوابط الأساسية تحديد سيناريوهات استمرارية الأعمال ذات الصلة بالأمن السيبراني، كهجمات الفدية وانقطاع الأنظمة الحرجة واضطرابات سلاسل التوريد، مع ضرورة دمج الأمن السيبراني في تمارين الاستمرارية كجزء عضوي منها لا كمسار منفصل. **خطوات التطبيق العملي:** 1. إجراء تحليل أثر الأعمال (BIA) لتحديد العمليات الحيوية ومستويات التعطل المقبولة. 2. تحديد قيم RTO وRPO لجميع الأصول الحيوية بالتنسيق مع فرق التقنية والأعمال. 3. إعداد خطط تعافٍ مدمجة مع متطلبات الأمن السيبراني تشمل سلامة النسخ الاحتياطية وإجراءات التحويل التلقائي وبروتوكولات الاتصال الطارئ. 4. إجراء تمارين محاكاة واقعية سنوياً بمشاركة فرق تقنية المعلومات والأمن والعمليات والقيادة التنفيذية. 5. توثيق نتائج الاختبارات والثغرات المكتشفة وخطط المعالجة في منصة حوكمة الأمن السيبراني لضمان جاهزية ملف التدقيق التنظيمي. تجدر الإشارة إلى أن المنظمين باتوا يولون اهتماماً متزايداً لملف استمرارية الأعمال خلال فحوصات ساما، وأن المؤسسات التي تمتلك خططاً غير محدّثة أو غير مُختبرة تتعرض لمخاطر امتثال جسيمة.

تُعدّ إدارة استمرارية الأعمال (BCM) متطلباً إلزامياً بموجب مجال التحكم 3.7 من SAMA CSF والمتطلب 2-13 من NCA ECC. وفيما يلي خارطة طريق عملية للتطبيق: **1. تحليل أثر الأعمال (BIA)**: ابدأ بتحديد العمليات الحيوية وتحديد الحد الأقصى للتوقف المقبول (MTD) وأهداف وقت الاستعادة (RTO) ونقطة الاسترداد (RPO). تتوقع هيئة SAMA أن لا يتجاوز RTO لأنظمة البنوك الأساسية 4 ساعات في الغالب. **2. السياسة والحوكمة**: ضع سياسة BCM معتمدة من مجلس الإدارة، تُحدد الصلاحيات وتُحمّل مدير أمن المعلومات والإدارة العليا المسؤولية المباشرة. **3. خطط الاستمرارية والتعافي**: طوّر وثائق BCP وDRP منفصلة تشمل التحويل التلقائي للأنظمة، والبدائل اليدوية، وتفعيل المواقع الاحتياطية، وبروتوكولات التواصل. **4. الاختبار والتدريبات**: يُلزم SAMA CSF بإجراء اختبارات سنوية على الأقل، سواء عبر تمارين المحاكاة الجدولية أو تجارب التعافي الكامل، مع توثيق النتائج والإجراءات التصحيحية وفق المادة 2-13 من NCA ECC. **5. استمرارية الموردين**: تأكد من أن الموردين الحيويين يمتلكون برامج BCM خاصة بهم ومتوافقة مع متطلبات مؤسستك، وفق المتطلب 3.6 من SAMA CSF. **6. دمج سيناريوهات الحوادث السيبرانية**: يجب أن تتضمن خطط BCM سيناريوهات الهجمات السيبرانية كالفدية وهجمات DDoS وانقطاع مراكز البيانات، مع ربطها بخطة الاستجابة للحوادث السيبرانية. **7. الإبلاغ التنظيمي**: أبلغ هيئة SAMA عن أي انقطاعات جوهرية ضمن الأطر الزمنية المحددة، واحتفظ بسجل موثق جاهز للمراجعة السنوية.

تُعدّ استمرارية الأعمال والمرونة السيبرانية من أكثر المجالات التي تُركّز عليها فرق التفتيش الرقابي لساما. يُحدد النطاق الفرعي 3.5 (المرونة السيبرانية) من إطار ساما متطلبات صريحة تتجاوز مفهوم التعافي من الكوارث التقليدي نحو بناء مرونة مؤسسية حقيقية. **أبرز متطلبات إطار ساما (النطاق الفرعي 3.5):** - **الضابط 3.5.1 – إعداد خطط الاستمرارية والتعافي:** يجب أن تمتلك البنوك خططاً موثقة لاستمرارية الأعمال والتعافي من الكوارث تأخذ في الحسبان سيناريوهات الهجمات السيبرانية (كالفدية وهجمات الحرمان من الخدمة وتدمير البيانات)، لا الكوارث الطبيعية وأعطال الأجهزة فحسب. - **الضابط 3.5.2 – دورية الاختبار:** يجب اختبار الخطط سنوياً على الأقل، وتشمل الاختبارات التمارين المكتبية، ومحاكاة الحوادث، واختبارات التحويل الكامل للأنظمة، مع توثيق الدروس المستخلصة من كل تمرين. - **الضابط 3.5.3 – أهداف التعافي:** يجب تحديد أهداف وقت التعافي (RTO) ونقطة استعادة البيانات (RPO) واعتمادها رسمياً من الإدارة العليا بما يتناسب مع مستوى حساسية كل نظام. - **الضابط 3.5.4 – التكامل مع خطة الاستجابة للحوادث:** يجب دمج خطة الاستجابة للحوادث السيبرانية ضمن خطة استمرارية الأعمال بحيث يُطلق أي حادث سيبراني آلياً بروتوكولات الاستمرارية المناسبة. **التكامل مع معيار ISO 22301:** يوفر معيار ISO 22301 (نظام إدارة استمرارية الأعمال) الإطار الهيكلي الذي يُجسّد متطلبات النطاق 3.5 من إطار ساما عملياً: - يدعم البند 6.2 من المعيار (تحليل أثر الأعمال) متطلب ساما في تحديد الأنظمة الحيوية وترتيبها حسب الأولوية. - يتوافق البند 8.5 (التمارين والاختبار) مع الضابط 3.5.2 من إطار ساما. - يُعزز الحصول على شهادة ISO 22301 بشكل ملموس مستوى نضج مؤسستك وفق إطار ساما. **التوافق مع ضوابط الهيئة الوطنية للأمن السيبراني:** تُلزم المادة 2-14 من ضوابط ECC مستقلةً عن ساما بوضع خطط للمرونة السيبرانية للجهات التابعة للحكومة، مما يعني أن المؤسسات المالية ذات الملكية الحكومية مُلزَمة بتلبية متطلبات الجهتين التنظيميتين معاً.

تُشكّل إدارة استمرارية الأعمال ركيزةً أساسية في إطار ساما للأمن السيبراني، إذ يُلزم النطاق 3.5 المتعلق بالمرونة السيبرانية المؤسساتِ الماليةَ بتطوير برنامج متكامل للمرونة السيبرانية يضمن استمرار العمليات الحيوية في مواجهة الهجمات الإلكترونية والتعافي منها. يشترط الضابط 3.5.1 من إطار ساما أن تتضمن خطط الاستمرارية سيناريوهات تهديد سيبراني واقعية، كهجمات الفدية، وهجمات حجب الخدمة، وسرقة البيانات، وليس الاقتصار على الكوارث التقنية التقليدية فحسب. أبرز ما يجب على مسؤول أمن المعلومات مراعاته: **1. تحليل الأثر على الأعمال (BIA):** تحديد الوظائف الحيوية وتبعياتها التقنية، وتحديد أهداف وقت الاسترداد (RTO) وأهداف نقطة الاسترداد (RPO) لكل منها. تتوقع ساما أن يكون RTO لأنظمة الدفع الحيوية أقل من 4 ساعات في الغالب. **2. اختبار سيناريوهات سيبرانية في تدريبات BCM:** يستلزم الضابط 3.5.3 إجراء اختبارات دورية تشمل سيناريوهات سيبرانية فعلية، كالتمارين المكتبية المحاكِية لهجمات الفدية أو اختراق سلسلة التوريد. **3. بروتوكولات التواصل في الأزمات:** يجب أن تُحدد الخطة مسارات التصعيد نحو ساما في غضون 72 ساعة من اكتشاف الحوادث الكبرى، إضافة إلى التواصل مع مجلس الإدارة والعملاء. **4. ضوابط النسخ الاحتياطي والاسترداد:** وفق الضابط 3.3.10، يجب الاحتفاظ بنسخ احتياطية غير متصلة بالشبكة وغير قابلة للتعديل، مع اختبار استعادتها دورياً للتحقق من تحقيق أهداف RTO/RPO. **5. التوافق مع ضوابط هيئة الاتصالات الوطنية:** تعكس المادة 2-12 من ضوابط ECC التزامات مماثلة، مما يستوجب تنسيقاً مستمراً بين مسؤول أمن المعلومات ومسؤول المخاطر والعمليات. ينبغي أن ينظر مسؤولو أمن المعلومات إلى BCM باعتبارها منظومة مرونة مستدامة لا مجرد متطلب امتثال يُستوفى مرة واحدة في السنة.

إدارة استمرارية الأعمال ركيزة أساسية في إطار SAMA CSF (المجال الخامس - الصمود السيبراني، الضوابط 5.1 إلى 5.4)، وتُلزم البنوك السعودية بامتلاك خطط استمرارية شاملة ومُختبرة ومعتمدة من مجلس الإدارة. **الأساس التحليلي:** يبدأ البرنامج بتحليل أثر الأعمال (BIA) الذي يُحدد الوظائف الحرجة وأقصى فترة توقف مقبولة (MTD)، وأهداف وقت الاسترداد (RTO) وأهداف نقطة الاسترداد (RPO) لكل وظيفة. ويشترط SAMA أن تكون RTOs للأنظمة الحرجة محددة ومُعززة تعاقدياً. **الربط بالأمن السيبراني:** يجب دمج BCM مع خطة الاستجابة للحوادث السيبرانية (CIRP)، مع تغطية صريحة لسيناريوهات هجمات الفدية وهجمات DDoS وفقدان البيانات الحرجة — وهو جانب يُغفله كثير من البنوك السعودية. **مكونات البرنامج:** تشمل الخطة المتوافقة: خطة إدارة الأزمات، وخطة التعافي من الكوارث (DRP)، وخطط استئناف الأعمال لكل إدارة، وخطط التواصل الداخلية والتنظيمية والخارجية. ويشترط الضابط 5.2 من SAMA CSF إخطار SAMA ضمن أطر زمنية محددة عند وقوع اضطراب جوهري. **الاختبار والتحقق:** يُلزم SAMA بإجراء تمارين BCP/DR سنوياً تشمل محاكاة الطاولة وتمارين الفشل الكامل (Failover)، مع توثيق النتائج واستخلاص الدروس وتحديث الخطط. **الحوكمة:** يستلزم البرنامج رعاية تنفيذية، مع مساءلة مشتركة بين CISO ومدير المخاطر، ومراجعة الخطط سنوياً واعتمادها من الإدارة العليا. توفر منصتنا قوالب BCM مُعيَّنة مسبقاً على مجالات SAMA CSF، لمساعدة البنوك على بناء برامج الصمود السيبراني وتوثيقها باحترافية.

تُعدّ إدارة استمرارية الأعمال من المتطلبات الجوهرية المنصوص عليها في المجال الرابع من إطار SAMA CSF الخاص بالمرونة التشغيلية، إذ تشترط مؤسسة النقد العربي السعودي (ساما) أن يمتلك كل بنك برنامجاً موثقاً ومعتمداً من مجلس الإدارة، وخاضعاً للاختبار الدوري. **المكونات الأساسية للبرنامج:** **1. تحليل أثر الأعمال (BIA):** وفقاً للضابط 4.1.1 من SAMA CSF، يتعين تحديد الوظائف الحيوية وتبعياتها، وتحديد أهداف وقت الاسترداد (RTO) وأهداف نقطة الاسترداد (RPO). وبالنسبة للبنوك ذات الأهمية النظامية، يُتوقع عادةً استئناف خدمات الصيرفة الأساسية في غضون 4 ساعات. **2. سياسة واستراتيجية الاستمرارية:** تتضمن سياسة معتمدة من مجلس الإدارة تحدد النطاق والأدوار والمسؤوليات وآليات التصعيد، إضافةً إلى خطط تفعيل المواقع البديلة والحلول اليدوية وبروتوكولات التواصل. **3. التعافي من الكوارث (DR):** يُلزم الضابط 4.2 بتوثيق إجراءات التعافي التقنية لجميع الأنظمة من المستوى الأول، وضمان توافق آليات النسخ الاحتياطي مع أهداف RPO المحددة. **4. الاختبار والتمارين:** تُوجب ساما إجراء اختبار شامل للتعافي من الكوارث مرة سنوياً على الأقل، إلى جانب تمارين محاكاة سيناريوهات الأزمات، مع توثيق النتائج ومتابعة الإجراءات التصحيحية. **5. الربط بمتطلبات نظام حماية البيانات الشخصية (PDPL):** تستوجب المادة 19 من النظام الحفاظ على سلامة البيانات الشخصية وحقوق الوصول إليها أثناء عمليات التعافي، وذلك لمنع أي تسرب أو كشف غير مقصود للبيانات. **نصيحة عملية:** احتفظ بسجل موحد لبرنامج الاستمرارية يربط كل خطة بمالكها وتاريخ آخر اختبار وأهداف RTO/RPO والضابط المرجعي في SAMA CSF، مما يُسهّل بشكل كبير الاستجابة لفحوصات الرقابة.

تُعدّ إدارة استمرارية الأعمال (BCM) ركيزةً إلزامية ضمن إطار SAMA CSF في مجال التحكم 3.5. ويتعين على البنوك السعودية بناء برنامج متكامل يضمن استمرار الخدمات المالية الحيوية خلال فترات الاضطراب، سواءً أكانت حوادث إلكترونية أم كوارث طبيعية أم أعطال منهجية. **متطلبات SAMA CSF لاستمرارية الأعمال:** **1. تحليل أثر الأعمال (BIA):** تحديد العمليات الحيوية وتصنيفها، وتعريف أهداف وقت الاسترداد (RTO) وأهداف نقطة الاسترداد (RPO) لكل منها، مع تحليل التبعيات مع الأطراف الثالثة وأنظمة تقنية المعلومات. يتوقع SAMA ألا تتجاوز RTO للأنظمة الحيوية 4 ساعات. **2. الحوكمة والسياسة:** يجب وجود سياسة BCM معتمدة رسمياً من الإدارة العليا، تُراجَع سنوياً، مع تعيين مسؤول تنفيذي مخصص لها. **3. خطط الاستمرارية والتعافي من الكوارث:** يجب إعداد خطط منفصلة ومتكاملة تغطي العنصر البشري والعمليات والتقنية والمرافق، وتشمل مسارات تصعيد واضحة وأماكن بديلة للعمل. **4. الاختبار والتدريب:** يشترط SAMA إجراء اختبارات BCM سنوياً على الأقل، تشمل تمارين الطاولة ومحاكاة السيناريوهات واختبارات التحويل الكامل للأنظمة الحيوية، مع توثيق النتائج ومعالجة الثغرات. **5. التوافق مع NCA ECC:** تُعزز المادة 2-15 من NCA ECC متطلبات BCM للمنشآت التي تُشغّل بنية تحتية وطنية، مضيفةً اشتراطات تتعلق بالمرونة الإلكترونية واستمرارية الخدمات الرقمية. **6. اعتبارات PDPL:** يجب أن تأخذ خطط BCM في الحسبان التزامات حماية البيانات، بحيث تحافظ أنظمة النسخ الاحتياطي على ذات ضوابط الأمان والوصول المعتمدة في الأنظمة الأساسية. **خطوات عملية:** - دمج BCM ضمن تقرير التقييم الذاتي السنوي المقدم إلى SAMA. - استخدام وحدة BCM في منصتنا لرسم خرائط RTO/RPO وجدولة الاختبارات وإصدار تقارير جاهزة للجهات التنظيمية تلقائياً. - التوافق مع ISO 22301 لاعتماد أفضل الممارسات الدولية.

تُعدّ إدارة استمرارية الأعمال من أبرز الالتزامات التنظيمية للمؤسسات المالية السعودية، إذ يُوجب كلٌّ من SAMA CSF (المجال الرابع — المرونة التشغيلية) وNCA ECC (المادة 2-14) وجود برنامج رسمي ومنظم لهذا الغرض. وفيما يلي خارطة طريق عملية للتطبيق: **أولاً: الحوكمة والسياسات:** ضع سياسة استمرارية أعمال معتمدة من مجلس الإدارة أو اللجنة التنفيذية، مع تحديد مسؤول تنفيذي واضح — غالباً CISO أو COO — يتولى الإشراف على البرنامج. **ثانياً: تحليل الأثر على الأعمال (BIA):** أجرِ تحليلاً شاملاً لتحديد الوظائف الحيوية وتبعياتها وأهداف وقت الاسترداد (RTO) ونقطة الاسترداد (RPO). يتوقع SAMA تحديد هذه الأهداف لجميع الأنظمة الحرجة. **ثالثاً: الربط بإدارة المخاطر:** يجب دمج برنامج الاستمرارية مع إطار إدارة مخاطر الأمن السيبراني، وتشمل المادة 2-14 من NCA ECC بصفة خاصة سيناريوهات الهجمات الإلكترونية وبرامج الفدية وانقطاع الأنظمة. **رابعاً: إعداد الخطط:** طوّر خطط استمرارية الأعمال (BCP) وخطط التعافي من الكوارث (DRP) التي تغطي العناصر البشرية والتقنية والتشغيلية، مع معالجة سيناريوهات الفشل الجزئي والكلي. **خامساً: الاختبار والتمارين:** يُلزم SAMA CSF بإجراء اختبارات دورية لا تقل عن مرة سنوياً عبر تمارين المحاكاة أو الاختبارات الوظيفية أو التحويل الفعلي للأنظمة، مع توثيق النتائج ودروس التعلم. **سادساً: الأطراف الخارجية:** راجع ترتيبات الاستمرارية مع موردي الخدمات الحرجة ومزودي الحوسبة السحابية، وتأكد من تضمين متطلبات BCM في العقود المبرمة معهم. يُنصح بمراجعة الخطط سنوياً أو عقب أي تغيير جوهري للحفاظ على انسجامها مع المتطلبات التنظيمية المستجدة.

تُعدّ إدارة استمرارية الأعمال من أهم مجالات الامتثال للمؤسسات المالية السعودية، وتنظمها بصورة رئيسية المتطلبات المحددة في النطاق الرابع من إطار SAMA CSF المتعلق بالمرونة التشغيلية، إلى جانب ضوابط NCA ECC 2-9 و2-10 الخاصة بالمرونة والتعافي. **أبرز متطلبات SAMA CSF:** يشترط الضابط 4.1 من SAMA CSF إنشاء برنامج رسمي لاستمرارية الأعمال يشمل تحليل أثر الأعمال (BIA)، وتحديد أهداف وقت التعافي (RTO) وأهداف نقطة الاسترداد (RPO)، وإعداد خطط استمرارية معتمدة ومختبرة. ومن المتوقع عموماً ألّا تتجاوز RTOs للخدمات المصرفية الحيوية 4 ساعات، مع RPOs لا تتجاوز ساعتين للأنظمة من المستوى الأول. **التوافق مع NCA ECC:** يُلزم المادة 2-9 من NCA ECC المؤسساتِ بإعداد خطط تعافٍ من الكوارث (DRPs) مع إجراءات تحويل موثقة، فيما تستوجب المادة 2-10 إجراء اختبارات دورية ومحاكاة سنوية على الأقل. **خطوات التطبيق العملي:** 1. إجراء تحليل شامل لأثر الأعمال لتحديد العمليات الحيوية وحدود التوقف المقبولة. 2. تحديد RTO/RPO لكل نظام حيوي: الصيرفة الأساسية وقنوات الدفع والخدمات الموجهة للعملاء. 3. تطوير خطط استمرارية متدرجة: على مستوى الموقع، والنظام، والتواصل في الأزمات. 4. تأسيس موقع بديل نشط يستوفي متطلبات الفصل الجغرافي لدى ساما. 5. اختبار الخطط عبر تمارين على الطاولة وتدريبات وظيفية ومحاكاة تحويل كاملة سنوياً. 6. دمج BCM مع خطة الاستجابة للحوادث لتغطية سيناريوهات الفدية والانقطاعات الإلكترونية. تجدر الإشارة إلى أن أبرز نقاط الضعف الشائعة هي التعامل مع BCM كمهمة سنوية روتينية، في حين تعمد المؤسسات الناجحة إلى دمجه في عمليات إدارة التغيير والإصدار على مدار العام.

تُمثّل إدارة استمرارية الأعمال مجالاً إلزامياً ضمن إطار SAMA CSF، وتحديداً في النطاق 3.5 الخاص بالمرونة التشغيلية. ويتعيّن على المؤسسات المالية بناء برنامج متكامل يضمن قدرتها على الصمود والتعافي من الاضطرابات، سواء كانت سيبرانية أو تشغيلية. **المكوّنات الأساسية وفق SAMA CSF:** 1. **تحليل أثر الأعمال (BIA)**: تحديد الوظائف التشغيلية الحيوية وترتيب أولوياتها، وتحديد أهداف وقت الاستعادة (RTO) ونقطة الاستعادة (RPO) لكل وظيفة. 2. **خطط الاستمرارية والتعافي من الكوارث**: إعداد خطط موثّقة ومختبَرة تغطي سيناريوهات متعددة كهجمات برامج الفدية وانقطاع مراكز البيانات. 3. **إطار إدارة الأزمات**: تشكيل فريق إدارة أزمات بصلاحيات واضحة ومسارات تصعيد محددة، مع تسمية مسؤولين تنفيذيين ونوابهم لاتخاذ قرارات الاستمرارية. 4. **الاختبار والتدريب**: يستوجب المتطلب 3.5.4 من SAMA CSF إجراء اختبارات سنوية على الأقل تشمل التمارين على الطاولة والمحاكاة الكاملة، مع توثيق النتائج ومعالجة الثغرات. 5. **التكامل مع الاستجابة للحوادث السيبرانية**: يجب أن يتكامل برنامج الاستمرارية مع خطة الاستجابة للحوادث السيبرانية لضمان التنسيق خلال أي اضطراب سيبراني. 6. **الإبلاغ التنظيمي**: يُوجب إطار SAMA للإبلاغ عن الحوادث السيبرانية الإبلاغ عن أي حادث يستدعي تفعيل خطة الاستمرارية ضمن جداول زمنية محددة. على شركات التقنية المالية تحديداً الانتباه إلى الاعتماد على الخدمات السحابية وموفري SaaS، والتأكد من أن الاتفاقيات التعاقدية مع الموردين تتضمن مستويات خدمة تتوافق مع أهداف الاستعادة المعتمدة لديهم.

تُعدّ إدارة استمرارية الأعمال من المجالات الإلزامية في إطار SAMA CSF، وتكتسب أهمية بالغة لشركات الفينتك تحديداً نظراً لاعتمادها الكامل على البنية الرقمية والأطراف الخارجية. يُحدد المجال الرابع (المرونة التشغيلية) من إطار ساما المتطلبات الشاملة في هذا الشأن. **المتطلبات الرئيسية:** - **تحليل أثر الأعمال (BIA):** يُلزم الضابط 4.1 الشركاتِ بإجراء تحليل رسمي يحدد العمليات الحيوية وأهداف وقت الاسترداد (RTO) ونقطة الاسترداد (RPO)، مع توقع ألا يتجاوز RTO لخدمات الدفع أربع ساعات. - **خطة استمرارية الأعمال وخطة التعافي من الكوارث:** يجب توثيق كلتا الخطتين واعتمادهما من الإدارة العليا ومراجعتهما سنوياً على أقل تقدير، مع تحديد تسلسل استرداد الأنظمة وإجراءات التبديل التلقائي. - **الاختبارات والتدريبات:** تشترط ساما إجراء تمارين المحاكاة الميدانية وتدريبات التعافي الفعلي بصفة منتظمة، مع توثيق النتائج وتتبع إجراءات التحسين. - **خطط التواصل:** تتضمن البروتوكولات الداخلية وآليات إخطار ساما عند وقوع أي اضطراب تشغيلي جوهري. - **مرونة الموردين:** يجب على شركات الفينتك التحقق من جاهزية موردي التقنية الحيويين (كمزودي الخدمات السحابية ومعالجي المدفوعات) ضمن استراتيجية المرونة الشاملة. - **التوافق مع ISO 22301:** يُسهم التوافق مع هذا المعيار في تعزيز الجاهزية للتدقيق الرقابي وإثبات نضج البرنامج. ينبغي لشركات الفينتك أن تنظر إلى استمرارية الأعمال باعتبارها ركيزةً تشغيلية حقيقية لحماية ثقة العملاء والوضع الرقابي، لا مجرد متطلب امتثال يُستوفى شكلياً.

تُعدّ إدارة استمرارية الأعمال من أبرز الالتزامات التنظيمية التي تواجهها المؤسسات المالية السعودية، إذ يضع كل من SAMA CSF وNCA ECC توقعات واضحة ومحددة في هذا الشأن. **متطلبات SAMA CSF (المجال 3.4):** يشترط إطار SAMA وجود برنامج رسمي لإدارة الاستمرارية يشمل تحليل أثر الأعمال (BIA)، وخطط استمرارية الأعمال (BCP)، وخطط التعافي من الكوارث (DRP). ومن أبرز المتطلبات: - تحديد أهداف وقت التعافي (RTO) وأهداف نقطة الاسترداد (RPO) لكل نظام حيوي - اختبار خطط BCP سنوياً على الأقل عبر تمارين المحاكاة، مع إجراء اختبارات تعافٍ كاملة كل عامين على الأقل - اشتراط موافقة الإدارة العليا على برنامج الاستمرارية وارتباطه بشهية المخاطر المؤسسية **متطلبات NCA ECC (المادة 2-13):** تُوجب NCA ECC توفير ضوابط المرونة التشغيلية، بما تشمله من أنظمة احتياطية، وقدرات التحويل التلقائي، وإجراءات تعافٍ موثقة، مع ضمان دمج متطلبات الاستمرارية الأمنية ضمن الإطار الأشمل لإدارة الأعمال. **خطوات التطبيق العملي:** 1. إجراء تحليل أثر الأعمال لتحديد العمليات الحيوية وتبعياتها 2. تحديد RTO وRPO بما يتوافق مع عتبات المرونة التشغيلية لدى SAMA 3. إعداد وثائق BCP وDRP متدرجة تغطي العنصر البشري والعمليات والتقنية 4. توفير موقع بديل للعمليات المصرفية الحيوية (حار أو فاتر أو بارد) 5. دمج سيناريوهات الحوادث السيبرانية في اختبارات BCP، كمحاكاة هجمات الفدية وDDoS 6. الحفاظ على جدول اختبارات سنوي وتوثيق نتائجه مع الدروس المستخلصة **اعتبار PDPL:** بموجب نظام حماية البيانات الشخصية، يجب ضمان حماية البيانات الشخصية حتى خلال عمليات التعافي من الكوارث، والتأكد من أن بيئات التعافي تطبق ذات ضوابط الحماية المعمول بها في بيئة الإنتاج.

تُعدّ إدارة استمرارية الأعمال من أبرز المتطلبات التي يفرضها إطار SAMA CSF على المؤسسات المالية السعودية، وتندرج بشكل رئيسي ضمن المجال الرابع المتعلق بالمرونة السيبرانية. إليك أبرز المتطلبات وكيفية تطبيقها: **أولاً: السياسة والحوكمة** يجب أن تمتلك كل مؤسسة سياسة معتمدة من مجلس الإدارة تحدد أهداف وقت الاسترداد (RTO) وأهداف نقطة الاسترداد (RPO) لكل نظام حيوي. ويُشترط تعيين مسؤول متخصص لاستمرارية الأعمال على مستوى الإدارة العليا. **ثانياً: تحليل تأثير الأعمال (BIA)** يُنصح بإجراء تحليل تأثير الأعمال سنوياً لتحديد الوظائف الحيوية وتبعياتها وحدود التوقف المقبولة. وبالنسبة للأنظمة المصرفية الجوهرية، تتوقع هيئة ساما عادةً ألا يتجاوز RTO أربع ساعات للمؤسسات من الفئة الأولى. **ثالثاً: خطة التعافي من الكوارث** يستلزم الإطار وجود خطة تعافٍ موثقة ومختبرة تشمل أنظمة تقنية المعلومات ومراكز البيانات والجهات الخارجية. ويجب أن يكون موقع التعافي الاحتياطي منفصلاً جغرافياً مع اختبار الفشل الكامل مرة على الأقل سنوياً. **رابعاً: الاختبار والتدريب** يتطلب SAMA CSF تنفيذ تمارين مكتبية سنوية وتدريبات تقنية نصف سنوية، مع توثيق النتائج ومعالجة الثغرات وحفظ الأدلة للمراجعات التنظيمية. **خامساً: التوافق مع NCA ECC** تأكد من أن برنامجك يستوفي متطلبات كلا الإطارين تفادياً لتكرار ملاحظات التدقيق، إذ تتقاطع متطلبات المرونة في المادة 3-8 من NCA ECC مع متطلبات SAMA CSF. **نصيحة عملية:** ادمج برنامج استمرارية الأعمال مع خطة الاستجابة للحوادث السيبرانية بحيث تُفعَّل آليات الاستمرارية تلقائياً عند وقوع أي حادثة سيبرانية كبرى.

تُعدّ إدارة استمرارية الأعمال متطلباً إلزامياً بموجب النطاق الرابع من إطار SAMA CSF وضابط NCA ECC 2-10، وتهدف إلى ضمان قدرة المؤسسات المالية على الصمود في مواجهة الاضطرابات والحوادث السيبرانية والكوارث. **متطلبات SAMA CSF لاستمرارية الأعمال:** - وضع سياسة رسمية لاستمرارية الأعمال معتمدة من الإدارة العليا - إجراء تحليل أثر الأعمال (BIA) لتحديد الوظائف الحرجة وأقصى وقت تحمّل للتوقف - تحديد أهداف وقت الاسترداد (RTO) وأهداف نقطة الاسترداد (RPO) لجميع الأنظمة الحرجة — وتتوقع ساما عادةً أن لا يتجاوز RTO لأنظمة الصيرفة الأساسية 4 ساعات - اختبار خطط التعافي من الكوارث سنوياً على الأقل من خلال تمارين محاكاة موثقة **التوافق مع NCA ECC الضابط 2-10:** - يشترط دمج الاعتبارات السيبرانية ضمن خطط الاستمرارية، بما يشمل سيناريوهات الاسترداد من الهجمات السيبرانية كبرامج الفدية وهجمات الحرمان من الخدمة وانقطاعات سلسلة التوريد **الاختبارات والتمارين:** - يجب توثيق تمارين الطاولة والتدريبات الوظيفية واختبارات التحويل الكامل للأنظمة - يجب تسجيل النتائج والثغرات والإجراءات التصحيحية ومتابعتها رسمياً - يطلب مفتشو ساما أدلة على نتائج الاختبارات خلال عمليات التقييم الرقابي **التكامل مع خطط الاستجابة للحوادث:** - يجب أن تكون خطط استمرارية الأعمال والاستجابة للحوادث متوافقة لتجنب التعارض في الإجراءات عند تفعيل الأزمات - تحديد أدوار واضحة للتواصل في الأزمات بما يشمل الإبلاغ التنظيمي لساما ضمن الإطار الزمني المحدد **نصيحة عملية:** أنشئ لجنة توجيهية لاستمرارية الأعمال تضم ممثلين من تقنية المعلومات والعمليات والمخاطر والشؤون القانونية لضمان الملكية المؤسسية الشاملة والتوافق مع توقعات ساما الحوكمية.

تُمثّل إدارة استمرارية الأعمال ركيزةً رقابية أساسية للمؤسسات المالية السعودية، وذلك في إطار المجال الرابع من SAMA CSF، ولا سيما الضوابط من 4.3.1 إلى 4.3.6. وفيما يلي العناصر الجوهرية لبناء برنامج متوافق مع هذه المتطلبات: **أولاً: تحليل أثر الأعمال (BIA)** - حدّد العمليات الحرجة وتبعياتها والحد الأقصى لتوقفها المسموح به. - اضبط أهداف وقت الاسترداد (RTO) ونقطة الاسترداد (RPO) لكل نظام حرج. - يجب مراجعة نتائج هذا التحليل سنوياً أو عند إجراء تغييرات جوهرية. **ثانياً: خطة استمرارية الأعمال (BCP)** - وثّق إجراءات تفصيلية لاستعادة كل وظيفة حرجة، مع تحديد الأدوار والمسؤوليات ومسارات التصعيد بوضوح. - يجب أن تشمل الخطة سيناريوهات الاضطراب الناجمة عن الحوادث السيبرانية والكوارث الطبيعية والبيئية على حد سواء. **ثالثاً: خطة التعافي من الكوارث (DR)** - تشترط هيئة ساما توافر موقع DR تشغيلي مختبَر ومنفصل جغرافياً عن الموقع الرئيسي. - يجب أن تستوفي قدرات التحويل التلقائي الأهداف المحددة لـ RTO وRPO. **رابعاً: الاختبار والتدريبات** - يُلزم ضابط 4.3.5 بإجراء اختبارات دورية للبرنامج تشمل تمارين الطاولة وتجارب التحويل الكاملة، وذلك مرة سنوياً على الأقل مع توثيق النتائج والدروس المستفادة. **خامساً: التكامل مع الاستجابة للحوادث السيبرانية** - يجب ربط برنامج استمرارية الأعمال بخطة الاستجابة للحوادث السيبرانية ربطاً وثيقاً لضمان التفعيل السلس عند الحاجة. **سادساً: الحوكمة والإبلاغ** - تقع ملكية البرنامج على المستوى التنفيذي (COO أو CRO)، فيما يتولى مدير أمن المعلومات (CISO) مسؤولية مكوّن الصمود السيبراني. - تُرفع تقارير البرنامج السنوية إلى لجنة المخاطر في مجلس الإدارة. **نصيحة جوهرية:** تولي الجهات الرقابية اهتماماً متزايداً بالفجوة بين الخطط الموثّقة والقدرات الفعلية المختبَرة، لذا استثمر في تمارين محاكاة واقعية وليس فقط في الوثائق.

يستخدم إطار SAMA CSF خمسة مستويات للنضج: المستوى الأول (أولي/عشوائي) — ضوابط غير رسمية؛ المستوى الثاني (قيد التطوير) — قابل للتكرار لكن غير موثق؛ المستوى الثالث (محدد) — موثق وموحد؛ المستوى الرابع (مُدار) — مقيس ومتحكم به؛ المستوى الخامس (محسَّن) — تحسين مستمر. يُتوقع من المؤسسات المالية تحقيق المستوى الثالث على الأقل لمعظم الضوابط.

يُلزم ساما الجهات الخاضعة لرقابته بإجراء تقييم ذاتي سنوي مقابل إطار الأمن السيبراني. يجب تقديم النتائج إلى ساما واستخدامها لإعداد خطط المعالجة. وقد يجري ساما أيضاً عمليات تفتيش ميدانية أو يطلب تقارير تدقيق من أطراف ثالثة.

يمكن لساما فرض عقوبات تنظيمية تشمل الغرامات والتحذيرات الرقابية وجداول زمنية إلزامية للمعالجة وتقييد أنشطة الأعمال، أو في الحالات الخطيرة تعليق التراخيص. تعتمد العقوبات الدقيقة على طبيعة وجسامة عدم الامتثال وتقدير ساما.

يُلزم إطار SAMA CSF — تحديداً ضمن نطاق إدارة مخاطر الأمن السيبراني (القسم الثالث، الضوابط 3.3.1 إلى 3.3.5) — البنوكَ والمؤسسات المالية السعودية بتبني برنامج متكامل لإدارة مخاطر الأطراف الثالثة. ويقوم هذا البرنامج على أربعة محاور أساسية: **أولاً – التقييم المسبق قبل التعاقد:** إجراء تقييم شامل لوضع الأمن السيبراني لدى المورد، يشمل ممارساته في التعامل مع البيانات وشهاداته الأمنية كـ ISO 27001، مع تصنيفه ضمن درجات المخاطر (حرج، عالٍ، متوسط، منخفض) بحسب مستوى وصوله إلى الأنظمة والبيانات. **ثانياً – الاشتراطات الأمنية في العقود:** إدراج متطلبات أمنية صريحة في عقود الموردين، تشمل حق التدقيق، والتزامات الإبلاغ عن الحوادث خلال 72 ساعة وفق نظام PDPL، وشروط الاحتفاظ بالبيانات داخل المملكة، والالتزام بضوابط NCA ECC عند الاقتضاء. **ثالثاً – المتابعة والرقابة المستمرة:** إجراء تقييمات دورية سنوية للموردين الحيويين، ونصف سنوية لعالي المخاطر، مع استخدام أدوات المراقبة المستمرة لرصد أي ثغرات أو انتهاكات معلنة. **رابعاً – إجراءات إنهاء التعاقد:** ضمان حذف البيانات بشكل آمن وإلغاء صلاحيات الوصول فور انتهاء العلاقة التعاقدية. تشترط هيئة ساما وجود إشراف على مستوى مجلس الإدارة على هذا البرنامج، مع تحمّل مسؤول أمن المعلومات (CISO) مسؤولية الحفاظ على سجل مخاطر الموردين. وتساعد منصات مثل CISO Consulting على أتمتة عمليات التقييم وربط النتائج بضوابط SAMA CSF وإنتاج تقارير جاهزة للمراجعة التنظيمية.

إدارة مخاطر الأطراف الثالثة من أبرز المتطلبات التي يُركز عليها إطار SAMA للأمن السيبراني في النطاق 3.3، إذ يُلزم المؤسسات المالية ببناء برنامج رسمي لتقييم مخاطر الموردين قبل أي تعاقد يمنح طرفاً خارجياً وصولاً إلى الأنظمة أو البيانات الحساسة. على الصعيد العملي، يتطلب ذلك إجراء تقييم أمني شامل لكل مورد يشمل ضوابطه الأمنية وشهاداته مثل ISO 27001 وقدرته على الاستجابة للحوادث وأسلوب تعامله مع البيانات. وبموجب الضابط 3.3.2 من إطار SAMA، يجب أن تتضمن عقود الموردين الحيويين بنوداً صريحة تغطي حماية البيانات وحق التدقيق والإبلاغ عن الاختراقات خلال 72 ساعة. كما تتقاطع متطلبات نظام حماية البيانات الشخصية (PDPL) مع هذا الجانب، فإذا كان المورد يعالج بيانات شخصية لمقيمين في المملكة، فلا بد من إبرام اتفاقية معالجة بيانات رسمية، وتبقى المؤسسة المسؤولة بوصفها المتحكم في البيانات. من الناحية العملية، يُنصح بتصنيف الموردين حسب درجة حساسيتهم وتحديث سجلاتهم بصفة دورية وإجراء تقييمات سنوية للموردين الجوهريين. تُتيح منصتنا أتمتة هذه العملية بالكامل من تقييم المخاطر وتتبع دورات المراجعة وإصدار تقارير جاهزة لمتطلبات SAMA.

يُلزم إطار SAMA للأمن السيبراني، تحديداً في نطاق التحكم 3.3 الخاص بأمن الأطراف الثالثة، جميع البنوك والمؤسسات المالية ببناء برنامج منظّم لإدارة مخاطر الموردين يتجاوز بكثير إجراءات العناية الواجبة التقليدية. يجب أن يشمل البرنامج الفعّال عدة محاور أساسية: أولاً، **تقييم ما قبل التعاقد**، إذ ينبغي تقييم كل طرف ثالث يتعامل مع بيانات حساسة أو أنظمة حيوية باستخدام استبيانات أمنية موحّدة مبنية على ضوابط SAMA CSF، مع تصنيف الموردين وفق مستوى المخاطر الكامنة. ثانياً، **الالتزامات التعاقدية**، بحيث تتضمن عقود الموردين بنوداً واضحة تغطي حماية البيانات وفق نظام PDPL، ومهل الإخطار بالحوادث، وحق التدقيق، والحد الأدنى من المتطلبات الأمنية. ثالثاً، **المراقبة المستمرة**، لا سيما للموردين الجوهريين كمزودي أنظمة الحوسبة السحابية وخدمات الصيرفة الأساسية، إذ يُستحسن إجراء تقييمات أمنية سنوية ميدانية أو عن بُعد. رابعاً، **إدارة مخاطر التركّز**، وهي من أكثر النقاط التي يتحقق منها مقيّمو SAMA، حيث يُتوقع أن تُدرك مجالس الإدارة مخاطر الاعتماد على مورد واحد لعدة وظائف حيوية. خامساً، **إجراءات إنهاء العلاقة**، وتشمل استرداد البيانات أو إتلافها وإلغاء صلاحيات الوصول. من الناحية العملية، تكمن أكبر الثغرات لدى معظم البنوك السعودية في ضعف المراقبة المستمرة وقصور البنود التعاقدية. ابدأ بحصر جميع موردّيك وتصنيفهم، واحرص على توثيق كل خطوة، لأن مقيّمي SAMA يبحثون عن أدلة ملموسة على فاعلية البرنامج لا مجرد وجود سياسات مكتوبة.

إدارة مخاطر الأطراف الثالثة تُعدّ من أبرز المتطلبات التي تفرضها جهات الرقابة المالية في المملكة، إذ تشترط المادة 3.3 من إطار عمل ساما للأمن السيبراني وجود برنامج رسمي لإدارة مخاطر الموردين يشمل جميع مراحل دورة حياة العلاقة معهم. **أبرز متطلبات البرنامج الفعّال:** **أولاً — تصنيف الموردين:** قسّم الموردين إلى ثلاث طبقات حسب الأثر التشغيلي والمعلوماتي، وطبّق ضوابط مناسبة لكل مستوى. **ثانياً — التقييم قبل التعاقد:** اشترط على الموردين الحيويين تقديم ما يُثبت التزامهم بمعيار آيزو 27001 أو تقارير مستقلة معادلة مثل SOC 2. **ثالثاً — الاشتراطات التعاقدية:** أدرج في العقود بنوداً صريحة تتعلق بحماية البيانات، والإشعار بالاختراقات خلال 72 ساعة وفق المادة 19 من نظام حماية البيانات الشخصية، وحق التدقيق، والحد الأدنى من الضوابط الأمنية. **رابعاً — المراقبة المستمرة:** استخدم أدوات رصد لرقعة الهجوم لمتابعة التعرض السيبراني للموردين، تماشياً مع متطلبات محور إدارة الأصول في معايير هيئة الاتصالات الوطنية. **خامساً — إنهاء العلاقة بأمان:** تأكد من حذف البيانات وإلغاء الصلاحيات فور انتهاء التعاقد. كذلك، يجب على المؤسسات التي تُسند عمليات جوهرية إلى مزودي خدمات الحوسبة السحابية أو شركات التقنية المالية مراعاة متطلبات التعهيد الصادرة عن ساما، والتي تستلزم إشعار البنك المركزي عند تعهيد الأعمال الجوهرية. وتُشكّل قصور إدارة مخاطر الأطراف الثالثة أحد أكثر ملاحظات الرقابة تكراراً، مما ينعكس سلباً على درجات النضج في تقييمات إطار عمل ساما.

تواجه المؤسسات المالية السعودية متطلبات متعددة ومتداخلة للاستجابة للحوادث السيبرانية، صادرة عن جهات تنظيمية مختلفة. إليك الصورة الكاملة: **أولاً – متطلبات إطار ساما (التحكم 3.3.5):** - يجب توثيق خطة الاستجابة للحوادث السيبرانية ومراجعتها سنوياً على الأقل. - يُلزَم بتصنيف الحوادث وفق مصفوفة خطورة واضحة (حرج، عالٍ، متوسط، منخفض). - تُبلَّغ ساما بالحوادث الحرجة خلال 4 ساعات من اكتشافها عادةً، وفق إطار الإبلاغ عن الحوادث السيبرانية الصادر عنها. - تقارير ما بعد الحادثة إلزامية وتشمل تحليل الجذور والإجراءات التصحيحية. **ثانياً – متطلبات الضوابط الأساسية لهيئة الاتصالات الوطنية (الضابط 2-7):** - يُشترط توافر قدرة تشغيلية على مدار الساعة طوال أيام الأسبوع، سواء عبر مركز عمليات أمني داخلي أو بموجب عقد مع مزود خارجي. - تُبلَّغ الهيئة بالحوادث التي تمس البنية التحتية الوطنية أو البيانات الحساسة عبر القنوات الرسمية. **ثالثاً – متطلبات نظام حماية البيانات الشخصية (المادة 19):** - عند وقوع اختراق يطال بيانات شخصية، يجب إخطار الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا) خلال 72 ساعة من اللحظة التي تصبح فيها المؤسسة على علم بالحادثة. - يجب أيضاً إبلاغ أصحاب البيانات المتضررين إذا كانت الحادثة تشكّل خطراً مرتفعاً على حقوقهم أو مصالحهم. **قائمة التحقق العملية:** ✅ خطة استجابة موثقة مع أدوار واضحة وممرات تصعيد محددة ✅ مصفوفة تصنيف الحوادث وترتيب أولوياتها ✅ نماذج إشعار جاهزة مسبقاً لساما وهيئة الاتصالات وسدايا ✅ تمارين محاكاة دورية مرتين على الأقل سنوياً ✅ قدرة على التحليل الجنائي الرقمي داخلياً أو من خلال جهة خارجية متخصصة

يُلزم إطار الأمن السيبراني لساما (المتطلب 3.3) المؤسسات المالية بإنشاء برنامج رسمي لإدارة مخاطر الأطراف الثالثة يغطي دورة حياة المورد بالكامل، من التعاقد حتى إنهاء العلاقة. من الناحية العملية، يرتكز البرنامج الناجح على أربعة محاور: أولاً — **العناية الواجبة قبل التعاقد**: صنّف كل مورد وفق مستوى المخاطرة (حرج، عالٍ، متوسط، منخفض) بناءً على طبيعة البيانات التي يصل إليها وعمق تكاملها مع أنظمتك. المورّدون الذين يتعاملون مع بيانات العملاء الحساسة يستوجبون تقييماً أمنياً مكثفاً. ثانياً — **الاشتراطات التعاقدية**: يجب أن تتضمن العقود حق التدقيق، ومتطلبات الإبلاغ عن الحوادث خلال 72 ساعة وفق نظام حماية البيانات الشخصية، ومعايير حماية البيانات. ثالثاً — **الرقابة المستمرة**: لا تكتفِ بالتقييم عند التعاقد، بل راقب الموردين الحيويين ربع سنوياً، ونفّذ تدقيقاً ميدانياً سنوياً، واستعن بأدوات استخبارات التهديدات لرصد أوضاعهم الأمنية. رابعاً — **التخارج الآمن**: وثّق إجراءات استرداد البيانات وإتلافها وإلغاء الصلاحيات عند إنهاء التعاقد وفق متطلبات المعيار الدولي ISO 27001. كثير من البنوك السعودية تخفق في تقييمات ساما تحديداً في هذا الجانب لأنها تتعامل معه كإجراء شكلي لا كعملية مستمرة. يجب أن تربط منصة GRC الخاصة بك كل مورد بضوابط ساما المقابلة، وتحدد أصحاب المخاطر، وتتابع خطط المعالجة.

تُعدّ إدارة استمرارية الأعمال من أكثر المجالات دقةً وصرامةً في تقييمات إطار SAMA CSF. فبموجب المجال الرابع من الإطار المتعلق بالمرونة التشغيلية، وتحديداً المتطلب 4.2 الخاص بالاستمرارية والتعافي من الكوارث، يُلزَم كل بنك ومؤسسة مالية ببناء برنامج BCM شامل يشمل التوثيق والتطبيق والاختبار الدوري. **المكونات الأساسية المطلوبة:** **١. تحليل أثر الأعمال (BIA):** حدّد العمليات الحيوية، وأقصى وقت تحمّل للتوقف (MTD)، وأهداف وقت الاسترداد (RTO) وأهداف نقطة الاسترداد (RPO). وفي البيئات المصرفية، غالباً ما يُحدد RTO بأربع ساعات أو أقل للأنظمة من المستوى الأول. **٢. توثيق الخطط:** احتفظ بخطط موثقة لاستمرارية الأعمال والتعافي من الكوارث، يُراجَع محتواها سنوياً على الأقل أو عقب أي تغييرات تنظيمية جوهرية. **٣. الاختبار الدوري:** تشترط SAMA إجراء اختبار تعافٍ كامل مرة سنوياً كحد أدنى، مع تمارين طاولة تغطي سيناريوهات مثل هجمات الفدية وانقطاع مركز البيانات والحوادث السيبرانية، مع توثيق النتائج. **٤. ضوابط النسخ الاحتياطي:** وفق Control 3.3.8، يجب تشفير النسخ الاحتياطية وتخزينها في موقع بديل أو مركز بيانات ثانوي، مع اختبار قابلية الاستعادة ربع سنوياً على الأقل. **٥. خطط التواصل والتصعيد:** وضّح إجراءات إخطار الأطراف المعنية والجداول الزمنية للتبليغ التنظيمي لدى SAMA في حالات الانقطاع الكبرى. **٦. التكامل مع NCA ECC:** يُضيف المتطلب 2-12 من NCA ECC متطلبات تكاملية حول المرونة السيبرانية ينبغي دمجها في إطار BCM لتفادي التكرار والتعارض. أخيراً، عيّن مالكاً لـ BCM على مستوى الإدارة العليا، وادمج البرنامج في منظومة إدارة المخاطر المؤسسية بدلاً من التعامل معه كنشاط منفصل.

تُعدّ استمرارية الأعمال والمرونة السيبرانية من أكثر المجالات التي تُركّز عليها فحوصات SAMA. يخصّص إطار SAMA للأمن السيبراني نطاقًا كاملًا لهذا الغرض (النطاق 3.6 – المرونة السيبرانية)، يستهدف ضمان قدرة المؤسسات المالية على الصمود والتعافي والتكيّف في مواجهة الحوادث السيبرانية. **المتطلبات الجوهرية لـ SAMA CSF:** - **تحليل أثر الأعمال (BIA):** يُلزم الإطار بإجراء تحليل رسمي يُحدد العمليات الحيوية واعتمادياتها وأهداف وقت التعافي المقبولة (RTO/RPO). - **خطط المرونة السيبرانية:** يجب توثيق خطة مرونة سيبرانية شاملة تغطي احتواء الحوادث وإجراءات الاسترداد وبروتوكولات التواصل، مع دمجها في خطة استمرارية الأعمال الشاملة. - **الاختبار والتمرين:** يشترط SAMA إجراء اختبارات سنوية لخطط BCP/DRP، تشمل تمارين على الطاولة وسيناريوهات محاكاة للحوادث السيبرانية، مع مراجعة النتائج من قِبل الإدارة العليا. - **أهداف وقت التعافي:** تستلزم الخدمات المصرفية الحيوية كالأنظمة الجوهرية وأنظمة الدفع تحديد أهداف RTO — لا تتجاوز 4 ساعات عادةً للخدمات من الفئة الأولى. - **مرونة سلسلة التوريد:** يجب أن تأخذ خطط الاستمرارية في الحسبان الاعتمادية على الأطراف الثالثة الحيوية. **التوافق مع ISO 22301:** yتكامل معيار ISO 22301 لإدارة استمرارية الأعمال مع SAMA CSF بصورة مثالية. تشمل أوجه التوافق: منهجية BIA، وسياسات BCMS الموثّقة، ومتطلبات الكفاءة، ودورات التحسين المستمر. ويُمثّل الحصول على شهادة ISO 22301 مؤشرًا واضحًا على النضج المؤسسي ويُيسّر فحوصات SAMA. **إرشادات عملية:** 1. قابل ضوابط SAMA CSF 3.6 مباشرةً مع بنود ISO 22301 لتحديد الفجوات. 2. أدرج سيناريوهات حوادث سيبرانية (برامج الفدية، هجمات DDoS، اختراق البيانات) في اختبارات BCP السنوية. 3. تأكد من أن خطة التواصل في الأزمات تتضمن التزامات الإخطار لـ SAMA (خلال 72 ساعة للحوادث الكبرى). 4. راجع الخطط وحدِّثها بعد كل حادثة كبرى أو تغيير جوهري في البنية التحتية.

تُمثّل استمرارية الأعمال ركيزةً محوريةً في إطار الأمن السيبراني الصادر عن ساما. إذ يُلزم نطاق الضوابط 3.5 (المرونة) المؤسساتِ الأعضاءَ بإنشاء برامج استمرارية أعمال شاملة، وتطبيقها واختبارها وتحسينها باستمرار، بما يغطي الحوادث السيبرانية والاضطرابات التشغيلية على حدٍّ سواء. يقوم البرنامج المتوافق مع متطلبات ساما على المحاور التالية: **1. تحليل أثر الأعمال (BIA)** تحديد الوظائف الحيوية وتبعياتها، ورسم أهداف وقت الاسترداد (RTO) ونقطة الاسترداد (RPO) بما يتوافق مع شهية المخاطر والتزامات العملاء. **2. خطط الاستمرارية والتعافي من الكوارث** توثيق إجراءات الاستجابة التفصيلية لسيناريوهات متعددة كالهجمات السيبرانية وأعطال الأنظمة وتعذّر الوصول إلى المنشآت، مع التركيز على آليات الإنتقال الفوري للأنظمة واستعادة البيانات. **3. التواصل في حالات الأزمات** تحديد مسارات التصعيد الداخلي وبروتوكولات الإخطار الخارجي، بما فيها إبلاغ ساما خلال الفترات الزمنية المحددة في إرشادات الإبلاغ عن الحوادث السيبرانية. **4. الاختبار والتدريب** تشترط ساما توثيق اختبارات دورية تشمل تمارين الطاولة والمحاكاة والاختبارات الفعلية للتشغيل البديل، مرة على الأقل سنوياً، مع تحويل نتائجها إلى خطة تحسين رسمية. **5. إدارة مخاطر الأطراف الثالثة** التحقق من امتلاك الموردين الحيويين ومزودي الخدمات السحابية لقدرات استمرارية أعمال موثّقة وفاعلة. يُنصح بدمج هذا البرنامج مع متطلبات ISO 22301 لرفع درجة النضج في تقييمات ساما، وإثبات توافق المؤسسة مع أفضل الممارسات الدولية خلال الفحوصات الرقابية.

تُمثّل إدارة استمرارية الأعمال (BCM) التزامًا تنظيميًا لازمًا للمؤسسات المالية السعودية، يحكمه بصفة رئيسية المجال الخامس من إطار SAMA CSF المتعلق بالمرونة، إضافةً إلى الضابط 3-7 من معايير NCA ECC. ويتعين على المؤسسات بناء برنامج متكامل يدمج متطلبات المرونة السيبرانية مع الاستمرارية التشغيلية الشاملة. **الأساس التنظيمي:** يُلزم ضابط SAMA CSF رقم 5.1 المؤسساتِ بإعداد خطط استمرارية الأعمال (BCP) وخطط التعافي من الكوارث (DRP) وتحديثها واختبارها بصفة منتظمة، مع تحديد أهداف وقت الاسترداد (RTO) ونقطة الاسترداد (RPO) وفقًا لدرجة أهمية كل نظام. **خطوات التطبيق الرئيسية:** 1. **تحليل أثر الأعمال (BIA):** حصر العمليات الحيوية وأصول تقنية المعلومات الداعمة لها، وتحديد الحد الأقصى للتوقف المسموح به. وعادةً لا يتجاوز RTO للأنظمة المصرفية الجوهرية أربع ساعات. 2. **سيناريوهات إلكترونية متخصصة:** يجب أن تُعالج خطط BCM صراحةً هجمات الفدية وهجمات الحرمان من الخدمة (DDoS) وانقطاعات مراكز البيانات، لا الكوارث الطبيعية وأعطال الأجهزة فحسب. 3. **جدولة الاختبارات:** يشترط SAMA CSF إجراء اختبارات BCM مرةً على الأقل سنويًا، وتشمل تمارين المحاكاة المكتبية والميدانية واختبارات التحوّل الكامل للأنظمة الحيوية. 4. **الاعتماد على أطراف ثالثة:** يجب أن توثّق خطط BCP مدى جاهزية الموردين الرئيسيين ومزودي الخدمات السحابية للاستمرارية، بما يشمل الالتزامات التعاقدية لمستويات الخدمة. 5. **التقارير المرفوعة للإدارة:** يُستلزم رفع تقرير دوري عن برنامج BCM ونتائج الاختبارات والفجوات المرصودة إلى الإدارة العليا ولجنة مخاطر مجلس الإدارة مرةً على الأقل سنويًا. يُستحسن توثيق جميع الأدلة والسجلات ضمن منصة GRC لتسهيل إثبات الامتثال خلال مراجعات مؤسسة النقد العربي السعودي.

استمرارية الأعمال ليست رفاهية تنظيمية، بل هي التزام رقابي صريح تفرضه هيئة السوق المالية (SAMA) على جميع المؤسسات المالية في المملكة. يُخصص النطاق الرابع من إطار SAMA CSF قسماً متكاملاً لمتطلبات إدارة استمرارية الأعمال (BCM)، ويُوصى بشدة بالتوافق مع معيار ISO 22301 باعتباره المرجع المهني المعتمد في هذا المجال. إليك خارطة طريق تطبيقية: **1. تحليل الأثر على الأعمال (BIA)** حدد الوظائف الحيوية وأهداف وقت الاسترداد (RTO) ونقطة الاسترداد (RPO). يشترط الضابط 4.2.1 من SAMA CSF توثيق هذه المؤشرات واعتمادها من الإدارة العليا. **2. ربط BCM بإدارة المخاطر** يجب أن يكون برنامج استمرارية الأعمال مرتبطاً ارتباطاً وثيقاً بإطار المخاطر المؤسسية والأمن السيبراني، مع تمثيل سيناريوهات الفدية والهجمات الإلكترونية صراحةً في الخطط. **3. بناء الخطط** طوّر خطة استمرارية الأعمال (BCP) وخطة التعافي من الكوارث (DRP) وخطة التواصل في الأزمات، مع تغطية الأنظمة المصرفية الأساسية وشبكات الدفع (SARIE/AFAQ) والقنوات الرقمية للعملاء. **4. الاختبار الدوري** يستوجب الضابط 4.2.5 من SAMA CSF إجراء تمارين اختبار سنوية على الأقل تشمل التمارين التدريبية والمحاكاة الكاملة، مع توثيق النتائج ورفعها إلى لجنة مخاطر مجلس الإدارة. **5. استمرارية الأطراف الخارجية** تأكد من أن مزودي الخدمات الحيويين يمتلكون برامج BCM متوافقة مع أهداف الاسترداد لديك — وهي ثغرة متكررة في فحوصات SAMA. **6. التحسين المستمر** راجعات ما بعد الحوادث والتدقيق السنوي المستقل لبرنامج BCM ضروريان للحفاظ على الامتثال وشهادة ISO 22301.

تُعدّ استمرارية الأعمال والمرونة السيبرانية من أكثر المجالات التي تُولي لها هيئة ساما اهتماماً خلال فحوصاتها الرقابية. يشترط إطار SAMA CSF في نطاق المتطلبات 3.4 (المرونة السيبرانية) أن تُطوّر المؤسسات المالية خطط استمرارية أعمال وخطط استرداد من الحوادث السيبرانية، وأن تحافظ عليها وتختبرها بصفة دورية — مع التركيز على سيناريوهات الأمن السيبراني وليس فقط التعافي التقليدي من كوارث تقنية المعلومات. **أبرز المتطلبات:** **أولاً: أهداف الاسترداد:** تتطلب ساما توثيق أهداف وقت الاسترداد (RTO) ونقطة الاسترداد (RPO) لجميع الأنظمة الحيوية — وتتراوح عادةً بين 4 و24 ساعة للأنظمة المصرفية الجوهرية. ويجب التحقق من هذه الأهداف فعلياً لا مجرد تقديرها نظرياً. **ثانياً: الاختبارات القائمة على السيناريوهات:** يجب أن تشمل اختبارات BCP السنوية سيناريوهات سيبرانية محددة كهجمات برامج الفدية، وهجمات حجب الخدمة الموزع (DDoS)، وانقطاع خدمات الأطراف الثالثة. وتُعدّ تمارين المحاكاة الفكرية (Tabletop) التي تضم المدير التنفيذي للأمن والمخاطر والإدارة التنفيذية ضرورة ملزمة. **ثالثاً: إدارة الأزمات والتواصل:** يستلزم SAMA CSF وجود قوالب تواصل معتمدة مسبقاً ومصفوفات تصعيد للحوادث السيبرانية، بما فيها إخطار ساما خلال النوافذ الزمنية المحددة (عادةً 72 ساعة من اكتشاف الحادثة الجسيمة). **رابعاً: التوافق مع NCA ECC:** يُوجب الضابط 2-14 من NCA ECC الحفاظ على قدرات المرونة التشغيلية، وينبغي أن تتوافق خطط BCP للمؤسسات الخاضعة لساما مع هذه المتطلبات لتفادي الثغرات المتكررة. ضعف استمرارية الأعمال من أبرز أسباب تراجع درجات نضج إطار SAMA CSF. لذا، عامل اختبارات المرونة باعتبارها برنامجاً مستمراً لا مجرد إجراء شكلي سنوي.

تُعدّ إدارة استمرارية الأعمال من أبرز المجالات التي تنظمها أطر تنظيمية متعددة في المملكة العربية السعودية. إليك كيفية بناء برنامج فعّال: **متطلبات إطار ساما (الضابط 3.3.9)**: يُلزم الإطار بوجود برنامج رسمي لاستمرارية الأعمال يتضمن تحليل الأثر على الأعمال (BIA)، وأهداف وقت الاسترداد (RTO)، وأهداف نقطة الاسترداد (RPO)، وخطط التعافي من الكوارث (DRP) المُختبَرة. ويُتوقع أن يكون RTO للخدمات المصرفية الحيوية أقل من 4 ساعات، وRPO لا يتجاوز ساعة واحدة. **الانسجام مع ضوابط الهيئة الوطنية (المادة 2-18)**: تُعزز ضوابط الأمن السيبراني للهيئة الوطنية متطلبات الاستمرارية من خلال اشتراط ضوابط مرونة موثقة تُراجع وتُختبر سنوياً على الأقل. **خطوات التطبيق الجوهرية**: (1) إجراء تحليل شامل للأثر على الأعمال لتحديد العمليات الحيوية; (2) تحديد RTOs وRPOs وفق مستويات الأهمية; (3) إنشاء مواقع بديلة أو بيئات تعافٍ سحابية; (4) وضع خطة تواصل في الأزمات; (5) إجراء تمارين محاكاة وعمليات DR كاملة سنوياً; (6) التأكد من أن نطاق الاستمرارية يغطي الحوادث السيبرانية لا الكوارث الطبيعية فحسب. **التوثيق والتدقيق**: يتوقع مدققو ساما الاطلاع على نتائج الاختبارات وتقارير الدروس المستفادة وموافقة الإدارة العليا على الخطط. ويُنصح بربط استمرارية الأعمال بخطة الاستجابة للحوادث لضمان تكامل الاستجابة عند وقوع اضطرابات سيبرانية.

تُعدّ استمرارية الأعمال من المجالات الإلزامية ضمن إطار SAMA CSF (المجال الرابع: المرونة)، وتتوقع هيئة ساما أن تمتلك البنوك برنامجاً شاملاً ومعتمداً من مجلس الإدارة ويُختبر بانتظام. وفيما يلي ملامح البرنامج الناضج: **الأساس — السياسات والحوكمة:** - سياسة استمرارية أعمال معتمدة من مجلس الإدارة، متوافقة مع الضابط 4.1 من SAMA CSF والمعيار ISO 22301. - تحديد مسؤول استمرارية الأعمال، ويُفضل أن يتبع مباشرة لمدير أمن المعلومات أو المدير التشغيلي. **تحليل أثر الأعمال (BIA):** - تحديد الوظائف الحرجة وتصنيف أولوياتها مع تحديد أهداف وقت الاسترداد (RTO) وأهداف نقطة الاسترداد (RPO). - تتوقع ساما من البنوك الكبرى تحقيق RTO أقل من 4 ساعات للخدمات الحيوية كمعالجة المدفوعات والحوسبة المركزية. **الخطط والأدلة التشغيلية:** - **خطة استمرارية الأعمال (BCP)** تغطي استمرارية العنصر البشري والعمليات والتقنية. - **خطة التعافي من الكوارث (DRP)** مع اختبار التحول التلقائي إلى مركز البيانات الاحتياطي. - **خطة التواصل في الأزمات** تشمل التواصل مع الموظفين والجهات الرقابية والعملاء. **الاختبار والتدريبات:** - يستلزم الضابط 4.3 من SAMA CSF إجراء اختبارات شاملة سنوياً مع توثيق النتائج والدروس المستفادة، بدءاً من تمارين الطاولة وصولاً إلى محاكاة الكوارث الكاملة. **التكامل مع الأمن السيبراني:** - يجب دمج سيناريوهات الفدية والحوادث السيبرانية في اختبارات BCP/DRP، انعكاساً لتركيز ساما على المرونة السيبرانية. - تُغذّي نتائج البرنامج سجلَّ المخاطر المؤسسي والتقييم الذاتي السنوي لساما. البرنامج الناضج ليس مجرد وثيقة، بل هو قدرة مؤسسية حية تُختبر باستمرار وتتطور مع المتغيرات التشغيلية.

تُعدّ إدارة استمرارية الأعمال من أبرز المتطلبات التنظيمية لشركات الفنتك في المملكة العربية السعودية، وتحكمها المجالُ الرابع من إطار SAMA CSF المعني بالمرونة التشغيلية، إضافةً إلى ضابط 2-14 من ضوابط NCA ECC. والإخفاق في هذا الجانب قد يُعرّض الشركة لعقوبات تنظيمية وأضرار سمعة بالغة، لا سيما في ظل اهتمام البنك المركزي بمتانة منظومة المدفوعات. **متطلبات SAMA CSF – المجال الرابع:** - إجراء تحليل رسمي لأثر الأعمال (BIA) يُحدد العمليات الحيوية وحدود التوقف المقبول (MTD). - تحديد أهداف وقت الاسترداد (RTO) وأهداف نقطة الاسترداد (RPO) بما يتوافق مع نتائج التحليل. - إعداد خطة استمرارية الأعمال (BCP) وخطة التعافي من الكوارث (DRP) ومراجعتهما سنوياً من قِبل الإدارة العليا. - اختبار الخطط سنوياً على الأقل من خلال تمارين المحاكاة على الطاولة، وتدريبات التحويل الكامل للأنظمة. **متطلبات NCA ECC – الضابط 2-14:** - وضع سياسة استمرارية أعمال مستقلة وتحديد مسؤول تنفيذي عنها. - دمج سيناريوهات الحوادث السيبرانية ضمن تمارين الاستمرارية لا معالجتها بمعزل. - توثيق الدروس المستفادة من الاختبارات وتحديث الخطط بناءً عليها. **خطوات تطبيقية موصى بها:** 1. رسم خريطة كاملة لخدمات الفنتك (المدفوعات، الإقراض، التأهيل) مع ربطها بالأنظمة التقنية والموردين الخارجيين. 2. تحديد أولويات الاسترداد على مراحل — إذ يُوصى عادةً بأن يكون RTO لأنظمة المدفوعات أقل من 4 ساعات. 3. الاعتماد على بنية تحتية سحابية متعددة المناطق الجغرافية داخل المملكة أو في مناطق الإقامة المعتمدة وفق توجيهات SAMA. 4. تكامل خطة استمرارية الأعمال مع خطة الاستجابة للحوادث لضمان التصعيد السلس. 5. رفع نتائج اختبارات الاستمرارية إلى لجنة المخاطر ربع سنوياً. اعتماد معيار ISO 22301 كمرجع هيكلي يوفر إطاراً معترفاً به دولياً يُرضي مدققي SAMA وNCA في آنٍ واحد.

تُشكّل إدارة استمرارية الأعمال (BCM) مجالاً إلزامياً ضمن إطار SAMA CSF، وتحديداً في المجال الرابع المعني بالمرونة التشغيلية. ويتعين على المؤسسات المالية إنشاء برنامج متكامل لاستمرارية الأعمال والحفاظ عليه وتحديثه بصفة دورية، لضمان استمرار تقديم الخدمات المالية الحيوية أثناء الاضطرابات وبعدها. **المتطلبات الجوهرية وفق SAMA CSF:** **تحليل أثر الأعمال (BIA):** يستوجب الضابط 4.1 إجراء تحليل رسمي يحدد الوظائف الحيوية والتبعيات وأهداف وقت الاسترداد (RTO) ونقطة الاسترداد (RPO)، إذ يُتوقع أن لا يتجاوز RTO للأنظمة المصرفية الحيوية أربع ساعات. **خطط الاستمرارية والتعافي:** يجب توثيق خطط شاملة تغطي السيناريوهات المحتملة كالهجمات السيبرانية وانقطاعات مراكز البيانات والأزمات الصحية. **الاختبار والتدريبات:** يشترط الضابط 4.3 اختبار الخطط سنوياً على الأقل، وتشمل الاختبارات التمارين المكتبية والتدريبات الوظيفية وعمليات التحويل الكامل للأنظمة الحيوية، مع توثيق نتائجها والدروس المستفادة. **التواصل في الأزمات:** ينبغي تحديد مسارات تواصل واضحة مع الجهات الداخلية وهيئة ساما والعملاء خلال الحوادث. **إدارة تبعيات الأطراف الخارجية:** يجب أن تأخذ خطط الاستمرارية في الحسبان الموردين الحيويين والأطراف المُوكلة إليهم الخدمات، والتحقق من توافقها مع معايير الاستمرارية المطلوبة. **إشراف مجلس الإدارة:** يُتوقع من مجلس الإدارة والإدارة التنفيذية مراجعة سياسات BCM والموافقة عليها سنوياً، واستلام نتائج الاختبارات بصفة منتظمة. **التوافق مع ISO 22301:** تسعى كثير من المؤسسات السعودية إلى مواءمة برامج استمرارية أعمالها مع معيار ISO 22301 للحصول على شهادة دولية معترف بها تنسجم في آنٍ واحد مع متطلبات ساما. ويُعدّ الاحتفاظ بوثائق الاختبارات وتحديثات BIA وموافقات مجلس الإدارة أمراً بالغ الأهمية في عمليات الفحص الرقابي.

يُلزم إطار SAMA CSF في النطاق 3.7 الخاص بإدارة الصمود المؤسسي، البنوكَ والمؤسسات المالية السعودية بتطوير برنامج متكامل لاستمرارية الأعمال يشمل التعافي من الحوادث السيبرانية والكوارث التشغيلية على حدٍّ سواء. أبرز ما تشترطه هذه المتطلبات: أولاً، إجراء تحليل رسمي لأثر الأعمال (BIA) يحدد العمليات الحرجة وأهداف وقت التعافي (RTO) وأهداف نقطة التعافي (RPO) لكل نظام، مع اشتراط التوثيق والاعتماد من الإدارة العليا وفق الضابط 3.7.2. ثانياً، اختبار خطط التعافي من الكوارث مرة على الأقل سنوياً، مع توثيق النتائج ومتابعة إجراءات المعالجة؛ ولا يكتفى بالتمارين الورقية في الأنظمة الجوهرية بل يُتوقع إجراء اختبارات تحويل فعلي. ثالثاً، دمج متطلبات الصمود السيبراني في خطط الاستمرارية لتغطية سيناريوهات الفدية وهجمات الحرمان من الخدمة وتعطل أنظمة الصيرفة الأساسية، انسجاماً مع المادة 2-14 من ضوابط NCA ECC. رابعاً، مراعاة اعتماديات الأطراف الخارجية كمزودي الخدمات السحابية وشبكات الدفع ضمن خطط الاستمرارية. وعملياً، يُنصح بمطابقة وثائق BCM مع مراجع ضوابط SAMA CSF مباشرةً لتيسير عمليات الفحص الرقابي، والاستناد إلى معيار ISO 22301 لبناء إطار معترف به دولياً يلبي متطلبات المراجعين المحليين والدوليين.

يعتمد إطار الأمن السيبراني لمؤسسة النقد العربي السعودي (SAMA CSF) نموذجاً متدرجاً لقياس مستوى النضج المؤسسي في مجال الأمن السيبراني. ويُشكّل الفهم العميق لهذا النموذج والاستعداد المنهجي له ركيزةً جوهريةً لأي بنك يسعى إلى إثبات امتثاله التنظيمي وبناء منظومة سيبرانية مرنة وفعّالة. **نموذج النضج في SAMA CSF:** يُحدّد الإطار خمسة مستويات للنضج تتدرج من المستوى الأول (المبدئي/العشوائي) إلى المستوى الخامس (الأمثل). وتُتوقع من المؤسسات المالية عموماً بلوغ المستوى الثاني كحدٍّ أدنى، في حين تستهدف البنوك الكبرى المستوى الثالث (المُحدَّد) أو أعلى في المجالات الحيوية كالحوكمة وإدارة المخاطر والعمليات السيبرانية. **المجالات الرئيسية للتقييم:** يغطي الإطار خمسة محاور أساسية: (1) القيادة والحوكمة السيبرانية، (2) إدارة المخاطر والامتثال، (3) العمليات والتقنيات السيبرانية، (4) أمن الأطراف الثالثة، (5) الصمود السيبراني. ولكل محور ضوابط فرعية ومؤشرات نضج محددة. **التوجيهات العملية للاستعداد:** 1. **ابدأ بتقييم الفجوات**: قارن ضوابطك الحالية بمتطلبات كل محور فرعي قبل التقييم الرسمي باستخدام أداة تحليل منهجية. 2. **وثّق كل شيء**: يبحث المقيّمون عن أدلة موثّقة تشمل السياسات والإجراءات ومحاضر الاجتماعات وسجلات التدريب والإعدادات التقنية. 3. **عزّز موقع CISO في الهيكل التنظيمي**: يشترط المتطلب 3.1.1 أن يُرفع الأمن السيبراني مباشرةً إلى مستوى مجلس الإدارة أو الإدارة التنفيذية العليا. 4. **ركّز على المجالات الأعلى خطورة**: أعطِ الأولوية لإدارة الهويات والصلاحيات، والاستجابة للحوادث، وإدارة الثغرات، إذ تتصدر قائمة الملاحظات المتكررة في التقييمات. 5. **استعن بمقيّم مستقل**: يُنصح بإجراء تقييم مسبق بواسطة جهة متخصصة للكشف عن الفجوات قبل المراجعة التنظيمية الرسمية. 6. **أرسِ برنامج رصد مستمر**: أثبت أن ضوابطك فعّالة بصفة دائمة، لا في لحظة التقييم وحدها. البنوك التي تتعامل مع تقييم SAMA CSF باعتباره حدثاً سنوياً عارضاً تحصل باستمرار على درجات أدنى. لذلك، ادمج تحسين النضج ضمن خارطة طريق الأمن السيبراني المؤسسية لتحقيق نتائج مستدامة.

تُعدّ إدارة استمرارية الأعمال من المتطلبات التنظيمية الجوهرية لشركات الفينتك في المملكة العربية السعودية. فقد خصّص إطار SAMA CSF نطاقاً كاملاً لهذا الغرض (النطاق 3.6 – الصمود السيبراني)، فيما تناولها إطار NCA ECC في المادة 2-10. **أبرز مكونات البرنامج:** **1. تحليل أثر الأعمال (BIA):** حدّد جميع العمليات الحيوية وأنظمة تقنية المعلومات الداعمة لها، واضبط مؤشرات الاسترداد مثل RTO وRPO لكل منها. تتوقع هيئة SAMA أن يكون RTO لخدمات الدفع الحيوية في حدود 4 ساعات. **2. خطة استمرارية الأعمال وخطة التعافي من الكوارث:** أعدّ خططاً موثقة ومختبرة تغطي الأفراد والعمليات والتقنية والمرافق، مع التركيز على سيناريوهات الانقطاع الناجمة عن الحوادث السيبرانية تحديداً. **3. متطلبات الاختبار:** يشترط SAMA CSF إجراء اختبارات BCM مرة سنوياً على الأقل، وتشمل التمارين التحليلية والتدريبات الوظيفية واختبارات التحويل الكامل للأنظمة الحيوية. **4. ضوابط النسخ الاحتياطي والاسترداد:** تشترط المادة 2-10 من NCA ECC وجود نسخ احتياطية مشفرة في مواقع جغرافية منفصلة، مع التحقق الدوري من سلامة البيانات عبر اختبارات الاسترداد، وفق استراتيجية 3-2-1. **5. الحوكمة والمسؤولية:** يُلزَم بتعيين مسؤول رسمي عن استمرارية الأعمال على مستوى الإدارة العليا، مع تقديم تقارير سنوية للـ CISO ومجلس الإدارة. **6. الإخطار التنظيمي:** وفق إرشادات SAMA، يجب الإبلاغ عن الانقطاعات الجوهرية في الخدمات المالية ضمن الإطار الزمني المحدد، مع مراعاة التوافق مع متطلبات الإخطار في نظام حماية البيانات الشخصية (PDPL). إدماج برنامج BCM في منصة GRC يضمن مراقبة مستمرة وتنبيهات اختبار آلية وإدارة أدلة جاهزة للتدقيق.

تواجه شركات الفنتك السعودية تحدياً حقيقياً في بناء برنامج استمرارية أعمال يستوفي متطلبات SAMA CSF في المجال الرابع المتعلق بالمرونة التشغيلية، إلى جانب متطلبات NCA ECC في المتحكم 2-18. وفيما يلي خارطة طريق عملية للتطبيق: **أولاً، تحليل أثر الأعمال (BIA):** حدد الوظائف الحيوية وحدد أهداف وقت الاسترداد (RTO) وأهداف نقطة الاسترداد (RPO) مع الحصول على اعتماد الإدارة العليا. **ثانياً، الحوكمة والسياسات:** أصدر سياسة استمرارية معتمدة من مجلس الإدارة كما يشترط المتطلب 4.1 من SAMA CSF. **ثالثاً، خطة التعافي من الكوارث:** حافظ على خطة DR مختبرة لجميع الأنظمة الحيوية، مع اشتراط NCA ECC الفصل الجغرافي لمواقع الاسترداد. **رابعاً، إدارة الأزمات:** ضع إجراءات تصعيد واضحة وبروتوكولات إخطار الجهات التنظيمية ضمن الأطر الزمنية المحددة من SAMA. **خامساً، الاختبار والتمارين:** نفّذ محاكاة سنوية شاملة وتمارين طاولة نصف سنوية مع توثيق نتائجها. **سادساً، الأطراف الخارجية:** تحقق من وجود ترتيبات استمرارية مع موردي الخدمات الحيوية. **سابعاً، التحسين المستمر:** استثمر دروس التمارين في دورة المراجعة السنوية للبرنامج. توفر منصتنا قوالب جاهزة مربوطة بضوابط SAMA وNCA ECC تُسرّع تقييم الفجوات وتقيس مستوى الامتثال آلياً.

ضوابط الأمن السيبراني الأساسية (ECC) هي إطار إلزامي صادر عن الهيئة الوطنية للأمن السيبراني في المملكة العربية السعودية. وتنطبق على جميع الجهات الحكومية السعودية والشركات المملوكة للدولة ومؤسسات البنية التحتية الحيوية الوطنية. وتحتوي على 114 ضابطاً موزعاً على 5 نطاقات.

تغطي ضوابط NCA ECC: (1) حوكمة الأمن السيبراني — السياسات والأدوار والاستراتيجية؛ (2) تعزيز الأمن السيبراني — الضوابط التقنية لنقاط النهاية والخوادم والتطبيقات والشبكات؛ (3) صمود الأمن السيبراني — استمرارية الأعمال والاستجابة للحوادث والتعافي من الكوارث؛ (4) الأمن السيبراني للأطراف الثالثة والسحابة — إدارة الموردين وضوابط استخدام السحابة؛ (5) أمن أنظمة التحكم الصناعية — الأمن السيبراني لبيئات OT/ICS.

تستخدم الهيئة الوطنية عملية تقييم نضج الأمن السيبراني (CMA) المنظمة. تقدم الجهات تقييماتها الذاتية التي يتم التحقق منها من خلال دورة مراجعة الهيئة. وقد تجري الهيئة عمليات تفتيش ميدانية وطلب أدلة ونشر تقييمات الامتثال. تتلقى الجهات غير الممتثلة خطط معالجة بمواعيد نهائية.

تنطبق NCA ECC (ضوابط الأمن السيبراني الأساسية) على نطاق واسع على جميع الجهات الحكومية وهي المعيار الأساسي. أما NCA CSCC (ضوابط الأمن السيبراني للقطاع الحيوي) فهي إطار أكثر صرامة لقطاعات البنية التحتية الحيوية الوطنية مثل الطاقة والمياه والاتصالات والخدمات المالية. تبني CSCC على ECC بمتطلبات قطاعية إضافية.

صدر نظام حماية البيانات الشخصية السعودي (PDPL) بمرسوم ملكي في سبتمبر 2021 ودخل حيز التطبيق الرسمي في سبتمبر 2023 بعد فترة انتقالية مدتها سنتان. وقد أُدخلت تعديلات عليه في 2023 لمواءمته مع أفضل الممارسات العالمية لحماية البيانات.

بموجب PDPL يجب على المؤسسات: (1) الحصول على موافقة صريحة قبل جمع البيانات الشخصية؛ (2) تحديد الغرض من الجمع والاقتصار عليه؛ (3) تطبيق ضوابط أمنية ملائمة؛ (4) احترام حقوق أصحاب البيانات (الوصول والتصحيح والحذف والاعتراض)؛ (5) الإبلاغ عن انتهاكات البيانات خلال 72 ساعة لـ SDAIA؛ (6) تعيين مسؤول حماية البيانات في حالة معالجة كميات كبيرة؛ (7) تقييد نقل البيانات عبر الحدود.

يمنح نظام حماية البيانات الشخصية السعودي الصادر عن هيئة البيانات والذكاء الاصطناعي (سدايا) الأفرادَ حزمة واسعة من الحقوق على بياناتهم الشخصية. وبالنسبة للمؤسسات المالية التي تعالج فئات بيانات بالغة الحساسية كالسجلات المالية والهويات الوطنية والبيانات البيومترية، فإن تلبية هذه الالتزامات تستوجب استعداداً قانونياً وتقنياً متكاملاً. **أبرز حقوق أصحاب البيانات وفق المواد 4 إلى 9:** - **حق الاطلاع:** يحق للفرد طلب نسخة من بياناته الشخصية، وعلى المؤسسة الرد خلال 30 يوماً. - **حق التصحيح:** يُلزَم بتصحيح البيانات غير الدقيقة أو الناقصة عند الطلب. - **حق الحذف:** تُحذف البيانات حين تنتفي الحاجة إليها، مع مراعاة متطلبات الاحتفاظ القانونية؛ إذ تشترط ساما الاحتفاظ بسجلات المعاملات لمدة 10 سنوات. - **حق الاعتراض:** يمكن للأفراد الاعتراض على معالجة بياناتهم لأغراض التسويق المباشر أو التنميط. - **حق نقل البيانات:** التزام ناشئ يتطلب توفير البيانات بصيغة منظمة قابلة للقراءة الآلية. **الضوابط التقنية المطلوبة:** 1. **اكتشاف البيانات ورسم خرائطها:** احتفظ بسجل محدّث لأنشطة المعالجة يوضح أين تقع البيانات الشخصية عبر الأنظمة المختلفة. 2. **سير عمل طلبات الوصول:** اعتمد نظاماً آلياً لمعالجة طلبات أصحاب البيانات وتتبع المواعيد والردود ضمن منصة الحوكمة. 3. **إدارة الموافقة:** وظّف أدوات إدارة الموافقة لتسجيل سحبها والاستجابة له فورياً. 4. **مسارات إخفاء الهوية والحذف:** أنشئ مسارات آلية لإخفاء الهوية والحذف الآمن مع ضمان تطبيقه على نسخ الاحتياط. 5. **سجلات التدقيق:** احتفظ بسجلات غير قابلة للتعديل لجميع أنشطة معالجة البيانات لإثبات الامتثال أمام سدايا. **ملاحظة مهمة:** قد تُشكّل متطلبات الاحتفاظ الواردة في إطار ساما وأنظمة مكافحة غسل الأموال مبرراً مشروعاً لرفض طلبات الحذف في حالات معينة—وثّق هذه الاستثناءات بوضوح في إشعارات الخصوصية والسياسات الداخلية.

بموجب نظام حماية البيانات الشخصية ولوائحه التنفيذية، تنشأ التزامات الإبلاغ عن الاختراقات التي تُلحق ضرراً فعلياً أو محتملاً بأصحاب البيانات. وفيما يلي إطار عملي للتعامل مع هذه الحوادث: **الخطوة الأولى — الكشف والتصعيد الداخلي (خلال 24 ساعة):** فعّل خطة الاستجابة للحوادث فور اكتشاف الاختراق. عيّن مسؤولاً عن الاستجابة (مسؤول حماية البيانات أو CISO). اعزل الأنظمة المتأثرة، احفظ الأدلة، وابدأ تقييم الأثر الأولي: كم عدد السجلات المتأثرة؟ ما فئات البيانات المخترقة؟ (البيانات المالية والهويات الوطنية والبيانات البيومترية تحمل أوزان مخاطر أعلى). **الخطوة الثانية — الإبلاغ لهيئة الذكاء الاصطناعي والبيانات (خلال 72 ساعة):** وفق المادة 24 من النظام، يجب إخطار هيئة الذكاء الاصطناعي والبيانات (سدايا) خلال 72 ساعة من اكتشاف الاختراق الذي يُشكّل خطراً على الأفراد. يتضمن الإخطار: طبيعة الاختراق، وفئات وأعداد المتأثرين، والعواقب المحتملة، والإجراءات المتخذة. **الخطوة الثالثة — إخطار أصحاب البيانات:** إذا كان الاختراق مرجحاً لإلحاق ضرر مباشر بالأفراد (سرقة الهوية، مخاطر الاحتيال المالي)، يجب إخطارهم دون تأخير، مع توضيح ما حدث وما تم الكشف عنه وما يمكنهم فعله لحماية أنفسهم. **الخطوة الرابعة — التوثيق ومراجعة ما بعد الحادثة:** يستوجب النظام الاحتفاظ بسجل للاختراقات يوثّق جميع الحوادث بصرف النظر عن عتبة الإبلاغ. أجرِ مراجعة شاملة لما بعد الحادثة وفق المعيار ISO 27001 وحدّث سجل المخاطر والضوابط. **تنبيه مهم لشركات التقنية المالية:** إذا كانت منصتك تعالج بيانات الدفع، فقد تواجه التزامات إبلاغ متوازية بموجب ضوابط ساما ومتطلبات PCI-DSS. نسّق هذه الإخطارات بعناية لضمان اتساق الرسائل الموجهة للجهات المختلفة.

يمنح نظام حماية البيانات الشخصية (PDPL) الأفراد حقوقًا قابلة للتطبيق على بياناتهم الشخصية. وبالنظر إلى حجم البيانات المالية والهوياتية الحساسة التي تعالجها شركات الفينتك، فإن وضع إجراءات موثّقة وفعّالة للتعامل مع هذه الطلبات يُعدّ ضرورة قانونية وعملية. **حقوق أصحاب البيانات بموجب PDPL:** - **حق الوصول:** للفرد الحق في الاطلاع على بياناته وأسلوب معالجتها. - **حق التصحيح:** يجب تصحيح البيانات غير الدقيقة أو الناقصة فور الطلب. - **حق المحو:** يحق للفرد طلب حذف بياناته حين تنتفي الحاجة إليها أو عند سحب الموافقة، مع مراعاة التزامات الاحتفاظ القانونية. - **حق نقل البيانات:** يجب تقديم البيانات بصيغة منظمة وقابلة للقراءة آليًا عند الاقتضاء. - **حق الاعتراض:** يمكن للفرد الاعتراض على أنواع معينة من المعالجة كالتسويق المباشر. **المتطلبات التشغيلية:** 1. أنشئ قناة مخصصة لاستقبال الطلبات (بوابة خصوصية أو بريد إلكتروني) مُشار إليها بوضوح في إشعار الخصوصية. 2. حدِّد مستوى خدمة داخليًا — يُوجب PDPL الرد خلال 30 يومًا مع إمكانية تمديد واحد. 3. تحقّق من هوية مقدم الطلب قبل أي إفصاح عن البيانات. 4. احتفظ بسجل للطلبات لأغراض التدقيق — إذ قد تُجري هيئة البيانات الوطنية مراجعات للامتثال. 5. درِّب فرق خدمة العملاء والأمن السيبراني على التعرف على هذه الطلبات وتصعيدها. **التقاطع مع الأنظمة المالية:** انتبه إلى أن بعض طلبات المحو قد تتعارض مع متطلبات SAMA للاحتفاظ بالسجلات (10 سنوات عادةً). يجب على شركات الفينتك الموازنة بين التزامات PDPL وقواعد SAMA ومتطلبات مكافحة غسل الأموال، مع توثيق الأساس القانوني لأي استثناءات من الحذف.

تواجه شركات الفنتك السعودية التي تجمع وتعالج البيانات المالية للعملاء عبر التطبيقات المحمولة جملةً من الالتزامات الصريحة بموجب نظام حماية البيانات الشخصية (PDPL) ولائحته التنفيذية: **1. المسوّغ القانوني للمعالجة**: بموجب المادة 6 من النظام، تستلزم معالجة البيانات المالية توافر مسوّغ قانوني واضح، كالموافقة الصريحة أو الضرورة التعاقدية. يجب أن تكون الموافقة تفصيلية وطوعية وقابلة للسحب في أي وقت، ولا تُقبل الموافقات المجمّعة أو المُحددة مسبقاً. **2. إشعار الخصوصية**: تُوجب المادة 11 توفير إشعار خصوصية واضح داخل التطبيق عند نقطة جمع البيانات، يتضمن أنواع البيانات المجمّعة وأغراض المعالجة ومدد الاحتفاظ وحقوق الأفراد. **3. البيانات المالية الحساسة**: قد تُصنَّف بيانات كسجل المعاملات ودرجات الائتمان وبيانات الحسابات ضمن البيانات الحساسة، مما يستوجب ضوابط معززة كالتشفير والتحكم بالوصول وسجلات المراجعة وفق ISO 27001. **4. تقليل البيانات**: اجمع فقط ما تحتاجه الخدمة فعلاً، وتجنب طلب أذونات زائدة للجهاز دون مبرر واضح، إذ تُدقق هيئة SAMA أيضاً في هذا الجانب ضمن إطار الخدمات المصرفية المفتوحة. **5. حقوق أصحاب البيانات**: يمنح النظام العملاءَ حق الاطلاع والتصحيح وطلب الحذف. يجب أن يُتاح تفعيل هذه الحقوق داخل التطبيق مع الاستجابة خلال 30 يوماً وفق المادة 15. **6. الإبلاغ عن الاختراقات**: تُلزم المادة 27 بإبلاغ الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا) خلال 72 ساعة من اكتشاف أي اختراق، مع إخطار المتأثرين دون تأخير. **7. تعيين مسؤول حماية البيانات**: يُنصح شركات الفنتك التي تُعالج بيانات بحجم كبير بتعيين مسؤول حماية بيانات (DPO) لمتابعة الامتثال والتواصل مع سدايا وحفظ سجلات المعالجة.

يمنح نظام حماية البيانات الشخصية السعودي (PDPL)، الذي تُشرف على تطبيقه الهيئة السعودية للبيانات والذكاء الاصطناعي (SDAIA)، أصحاب البيانات جملةً من الحقوق المحددة إزاء بياناتهم الشخصية. وبالنسبة لشركات الفينتك التي تعالج بيانات العملاء—كمعلومات التحقق من الهوية (KYC) وسجلات المعاملات والتحليلات السلوكية—فإن بناء إجراءات منظمة للتعامل مع هذه الحقوق يُعدّ التزامًا قانونيًا لا غنى عنه، فضلًا عن كونه عاملًا محوريًا في بناء ثقة العملاء. **الحقوق المكفولة بموجب نظام PDPL:** 1. **حق الاطلاع (المادة 4):** يحق لصاحب البيانات طلب التأكد من معالجة بياناته والحصول على نسخة منها. ويُوصي دليل SDAIA بالرد خلال ثلاثين يومًا. 2. **حق التصحيح (المادة 14):** يمكن للعميل طلب تصحيح البيانات غير الدقيقة أو المنقوصة، وهو أمر بالغ الأهمية في سجلات KYC والمعلومات الائتمانية. 3. **حق الحذف (المادة 15):** يحق لصاحب البيانات طلب مسح بياناته عند انتهاء الغرض من معالجتها أو سحب الموافقة—مع مراعاة متطلبات الاحتفاظ التنظيمية المنصوص عليها في أنظمة مكافحة غسل الأموال الصادرة عن مؤسسة النقد ومعايير FATF. 4. **حق نقل البيانات:** يحق للفرد طلب تسليمه بياناته بصيغة منظمة وقابلة للقراءة. 5. **حق الاعتراض:** يمكن لصاحب البيانات الاعتراض على معالجة بياناته لأغراض التسويق المباشر أو القرارات الآلية. **التطبيق العملي لشركات الفينتك:** - إنشاء قناة مخصصة لاستقبال طلبات أصحاب البيانات (نموذج إلكتروني أو خاصية داخل التطبيق) - تكليف مسؤول حماية البيانات (DPO) بالإشراف على هذه الطلبات - بناء مسار عمل واضح بمواعيد استجابة داخلية متوافقة مع إطار PDPL الزمني - توثيق جميع الطلبات والقرارات والنتائج في سجل مركزي - تحديد نقاط التعارض بين حق الحذف المكفول بموجب PDPL وواجبات الاحتفاظ بالبيانات المفروضة من جهات التنظيم المالي، مع توثيق السند القانوني لكل حالة قد يُعرّض الإخلال بالاستجابة لطلبات أصحاب البيانات الشركةَ لتدقيق رقابي من SDAIA وعقوبات مالية محتملة.

يُلقي نظام حماية البيانات الشخصية (PDPL) الذي تُشرف على تطبيقه الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا) بالتزامات واضحة على شركات التقنية المالية فيما يخص تصنيف البيانات الشخصية وحمايتها. وبموجب المواد 5 و6 من النظام، يجب على المنشآت تحديد جميع البيانات الشخصية التي تعالجها، وإثبات المسوّغ القانوني لمعالجتها، وتطبيق ضمانات تقنية وتنظيمية متناسبة. يتضمن الإطار العملي لحماية البيانات المتوافق مع PDPL في شركات الفنتك: **أولاً: جرد البيانات وتصنيفها:** رصم جميع تدفقات البيانات الشخصية عبر الأنظمة — سجلات التحقق من الهوية (KYC)، وبيانات المعاملات، والمعرّفات البيومترية، والمعلومات الائتمانية. أما البيانات المالية الحساسة ومؤشرات الضائقة المالية فقد ترقى إلى مستوى البيانات الحساسة التي تستوجب حماية مشددة بموجب المادة 23. **ثانياً: الضوابط التقنية:** تشفير البيانات الشخصية أثناء التخزين والنقل (AES-256 و TLS 1.2 كحد أدنى)، وتطبيق ضوابط الوصول المستندة إلى الأدوار (RBAC) وإخفاء البيانات في بيئات الاختبار. ووفقاً للضابط 2-4 في NCA ECC، يجب تطبيق تصنيفات البيانات على أنظمة التخزين والإرسال. **ثالثاً: الاحتفاظ بالبيانات وحذفها:** تُلزم المادة 18 من PDPL بعدم الاحتفاظ بالبيانات الشخصية بعد انتهاء الغرض منها، مع وضع سياسات آلية لدورة حياة البيانات. **رابعاً: حقوق أصحاب البيانات:** بناء آليات للاستجابة لطلبات الوصول والتصحيح والحذف خلال 15 يوم عمل. قد تصل غرامات المخالفة إلى 5 ملايين ريال سعودي، إضافة إلى المساس بالسمعة وخطر إيقاف العمليات.

يُلزم نظام حماية البيانات الشخصية (PDPL) ولوائحه التنفيذية شركاتِ التقنية المالية بتحديد وتوثيق أساس قانوني واضح لكل عملية معالجة للبيانات. وهذا الالتزام ليس مجرد إجراء شكلي، بل يؤثر مباشرة على تصميم المنتجات وتجربة التسجيل وحوكمة البيانات. **الأسس القانونية الستة وفق نظام PDPL:** 1. **الموافقة** – يجب أن تكون طوعية وصريحة ومحددة، وقابلة للسحب في أي وقت دون أي عواقب. 2. **ضرورة التعاقد** – معالجة البيانات اللازمة لتنفيذ عقد مع صاحب البيانات، كمعالجة بيانات الدفع لإتمام التحويل. 3. **الالتزام القانوني** – المعالجة التي يفرضها النظام السعودي، كمتطلبات مكافحة غسل الأموال وتمويل الإرهاب وفق إرشادات ساما. 4. **المصالح الحيوية** – حماية حياة صاحب البيانات أو سلامته. 5. **المصلحة العامة** – في نطاق الأنشطة المرخصة التي تخدم المصلحة العامة. 6. **المصالح المشروعة** – مشروطة بعدم تغليب مصالح الجهة المعالِجة على حقوق الأفراد، وتستلزم توثيق اختبار الموازنة. **خطوات عملية لشركات التقنية المالية:** - أجرِ **رسم خرائط البيانات** لجرد جميع عمليات المعالجة وفئات البيانات والأغراض. - خصص أساساً قانونياً لكل عملية في **سجل أنشطة المعالجة (RoPA)**. - راجع نماذج الموافقة وتجربة تسجيل العملاء لضمان توافقها مع المادة الخامسة من النظام. - اشترط الحصول على موافقة صريحة للبيانات الحساسة كالسجل المالي والبيانات الحيوية. - عيّن **مسؤول حماية البيانات (DPO)** إذا كانت عمليات المعالجة واسعة النطاق أو تشمل فئات حساسة. يجب مراجعة الأسس القانونية بصفة منتظمة، لا سيما عند إضافة ميزات جديدة أو تغيير أغراض المعالجة.

تشمل عقوبات PDPL: غرامات تصل إلى 5 ملايين ريال سعودي لانتهاكات حقوق أصحاب البيانات أو ضعف ضوابط الأمن؛ وغرامات تصل إلى 10 ملايين ريال للنقل غير المصرح به للبيانات عبر الحدود؛ وغرامات تصل إلى 3 ملايين ريال للإخفاق في الإبلاغ عن الانتهاكات. قد تتضاعف الغرامات عند تكرار الانتهاكات، وقد تصل إلى ملاحقة جنائية في حالات إساءة الاستخدام المتعمدة.

نعم. ينطبق PDPL على أي جهة تعالج البيانات الشخصية للأفراد المقيمين في المملكة العربية السعودية بصرف النظر عن موقع الجهة داخل أو خارج المملكة. يجب على الشركات الأجنبية التي تستهدف المستهلكين السعوديين أو تعالج بيانات المقيمين السعوديين الامتثال لمتطلبات PDPL.

يُعدّ نقل البيانات الشخصية خارج المملكة من أكثر المتطلبات تعقيداً من الناحية التشغيلية في نظام حماية البيانات الشخصية (PDPL) ولائحته التنفيذية، لا سيما بالنسبة لشركات التقنية المالية التي تعتمد على مزودي السحابة العالميين أو معالجي المدفوعات الدوليين. **الأسس القانونية للنقل وفق المادة 29 من PDPL:** yُحظر نقل البيانات الشخصية للخارج إلا في الحالات التالية: - ضرورة النقل لإتمام التزام تعاقدي مع صاحب البيانات - خدمة مصلحة حيوية لصاحب البيانات - توفر الدولة المستقبلة مستوى حماية كافياً وفق تقدير الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا) - وجود اتفاقية ملزمة تضمن معايير حماية مكافئة - الحصول على موافقة صريحة من صاحب البيانات **ضوابط عملية لشركات التقنية المالية:** 1. **رسم خرائط تدفق البيانات:** وثّق جميع تدفقات البيانات عبر الحدود، بما تشمل استدعاءات API لخدمات خارجية، والنسخ الاحتياطي في مناطق سحابية غير سعودية، وأدوات التحليلات الخارجية. 2. **تقييم أثر النقل (TIA):** قبل أي نقل عابر للحدود، أجرِ تقييماً شاملاً يرصد الإطار القانوني ومستوى الأمن في الدولة المستقبلة. 3. **الضمانات التعاقدية:** أبرم اتفاقيات معالجة بيانات (DPAs) مع الجهات الدولية تتضمن بنوداً تعكس حماية PDPL، كالإبلاغ عن الخروقات، وضوابط المعالجين الفرعيين، وحق حذف البيانات. 4. **استراتيجية التخزين المحلي:** لفئات البيانات المالية الحساسة، فكّر في الاستضافة في مناطق السحابة السعودية (مثل مناطق AWS أو Azure أو Google Cloud في المملكة) للحد من مخاطر النقل. 5. **إدارة الموافقة:** ادمج آليات موافقة تفصيلية في رحلة تأهيل العملاء لأي بيانات قد تُعالج خارج المملكة. تواصل سدايا إصدار التوجيهات المتعلقة بقرارات الملاءمة، لذا ينبغي لشركات التقنية المالية متابعة المستجدات التنظيمية ودمج امتثال نقل البيانات ضمن برامج ISO 27001 وإطار SAMA الأشمل.

يُرسي نظام حماية البيانات الشخصية السعودي (المرسوم الملكي م/19، المُطبَّق منذ يوليو 2023) التزامات محددة تتعلق بمعالجة بيانات الموظفين، وهو مجال يستوجب تنسيقاً وثيقاً بين فرق الموارد البشرية والشؤون القانونية والأمن السيبراني. **الأسس القانونية المعتمدة لمعالجة بيانات الموظفين وفق النظام تشمل:** (1) **ضرورة تنفيذ العقد**، أي المعالجة اللازمة لتنفيذ عقد العمل كالرواتب والمزايا والامتثال القانوني؛ (2) **الالتزام القانوني**، وهو المعالجة المطلوبة بموجب نظام العمل السعودي أو التزامات المؤسسة العامة للتأمينات الاجتماعية وصندوق تنمية الموارد البشرية؛ (3) **المصلحة المشروعة**، كمراقبة الأمن ومنع الاحتيال وضمان استمرارية الأعمال، شريطة أن تكون متناسبة وموثّقة؛ (4) **الموافقة الصريحة**، وهي مطلوبة لأي معالجة تتجاوز نطاق العقد أو القانون، خاصةً للفئات الحساسة كالبيانات البيومترية والصحية. **على صعيد فرق الأمن السيبراني:** يجب الإفصاح بوضوح عن برامج مراقبة الموظفين، سواء كانت أدوات DLP أو مراقبة البريد الإلكتروني أو سجلات الوصول أو كاميرات المراقبة، في إشعار خصوصية شفاف مع توثيق الأساس القانوني لكل نشاط. أما المراقبة الخفية دون مسوّغ قانوني فتُعدّ انتهاكاً صريحاً للنظام. كما تستلزم أي عمليات نقل لبيانات الموظفين خارج المملكة — بما فيها منصات الموارد البشرية السحابية أو أنظمة الشركات الأم — توافر ضمانات ملائمة وفق قواعد نقل البيانات في النظام. **على صعيد فرق الموارد البشرية:** احرصوا على تحديث عقود العمل ووثائق الاستقبال لتتضمن إشعارات خصوصية متوافقة مع النظام، وحددوا جداول الاحتفاظ بالبيانات للموظفين السابقين، وتذكروا أن للموظفين حق الاطلاع على بياناتهم وتصحيحها. تتولى هيئة البيانات والذكاء الاصطناعي (سدايا) إنفاذ النظام، وتصل الغرامات إلى 5 ملايين ريال سعودي.

يفرض نظام حماية البيانات الشخصية (PDPL) ولوائحه التنفيذية التزامات واضحة على شركات الفنتك التي تعتمد أنظمة الذكاء الاصطناعي أو اتخاذ القرار الآلي — كمحركات تقييم الجدارة الائتمانية، ونماذج كشف الاحتيال، وروبوتات إعداد العملاء، ومنصات التحليل السلوكي. **أبرز الالتزامات بموجب PDPL:** **١. المسوّغ القانوني للمعالجة:** تستلزم المادة الثامنة من النظام توافر أساس قانوني صريح لمعالجة البيانات الشخصية عبر الأنظمة الآلية، سواء كان ذلك ضرورة تعاقدية أو مصلحة مشروعة أو موافقة صريحة. وبالنسبة للبيانات المالية الحساسة، يجب أن تكون الموافقة موثقة وصريحة. **٢. الشفافية والإفصاح:** تُوجب المادة الحادية عشرة إخطار الأفراد بوجود أنظمة آلية تؤثر في قرارات تمسهم، مع توضيح آلية عملها والنتائج المحتملة. ويجب أن تعكس سياسة الخصوصية لديك هذه الأنظمة بوضوح. **٣. حق الاعتراض والمراجعة البشرية:** يحق للأفراد طلب مراجعة بشرية للقرارات الصادرة بصورة آلية كلياً، لا سيما تلك ذات التأثير القانوني أو الجوهري كرفض القرض أو تجميد الحساب. على الفنتك وضع إجراء واضح للتعامل مع هذه الطلبات ضمن المهل النظامية. **٤. تقليص البيانات:** لا تُعالَج إلا البيانات الضرورية فعلاً لغرض النموذج، تماشياً مع مبدأ تقليص البيانات المنصوص عليه في المادة الرابعة عشرة. **٥. الاحتفاظ بالبيانات وحذفها:** حدّد فترات احتفاظ واضحة للبيانات المستخدمة في تدريب النماذج وتشغيلها، ولا تتجاوز الغرض المعلن وفق المادة الثامنة عشرة. **٦. تقييم أثر حماية البيانات (DPIA):** تستوجب أنشطة المعالجة عالية المخاطر — كتحليل سلوك العملاء على نطاق واسع — إجراء تقييم أثر قبل الإطلاق، مع توثيق المخاطر وإجراءات التخفيف. **التكامل مع SAMA CSF:** تتكامل ضوابط حماية بيانات العملاء في SAMA CSF (المجال 3.5) مع متطلبات PDPL، وتستلزم تطبيق ضمانات تقنية تشمل ضوابط الوصول والسجلات التدقيقية وآليات قابلية التفسير في أنظمة المعالجة الآلية. يُنصح بإشراك مسؤول حماية البيانات (DPO) في مراحل تصميم المنتجات الذكية منذ البداية، لضمان دمج مبادئ الخصوصية بالتصميم في صميم الحل.

يفرض نظام حماية البيانات الشخصية السعودي (PDPL)، الذي تُشرف على تطبيقه هيئة البيانات والذكاء الاصطناعي (سدايا)، التزامات واضحة على شركات التقنية المالية لبناء إطار منهجي لتصنيف البيانات وحمايتها. وقد تصل الغرامات على المخالفات إلى 5 ملايين ريال سعودي للمخالفة الأولى، وتتضاعف في حالات التكرار. **الخطوة الأولى – اكتشاف البيانات وتصنيفها:** أجرِ جرداً شاملاً لجميع البيانات الشخصية التي تجمعها المنصة أو تعالجها أو تخزنها. وبموجب المادة السادسة من النظام، تُصنَّف البيانات إلى: بيانات شخصية عامة، وبيانات شخصية حساسة (تشمل البيانات المالية والسجلات الصحية والبيانات البيومترية وأرقام الهوية الوطنية)، وبيانات الأطفال. **الخطوة الثانية – تحديد الأساس القانوني للمعالجة:** حدّد وثّق الأساس القانوني لمعالجة كل فئة من البيانات وفق المادة الخامسة من النظام، سواء أكان موافقة صريحة، أم ضرورة تعاقدية، أم التزاماً قانونياً، أم مصلحة مشروعة. **الخطوة الثالثة – الضوابط التقنية والتنظيمية:** - تشفير البيانات الشخصية الحساسة في حالة التخزين والنقل (AES-256 و TLS 1.2 كحد أدنى). - تطبيق التحكم في الوصول المبني على الأدوار (RBAC) وفق مبدأ الحد الأدنى من الصلاحيات. - الاحتفاظ بسجل أنشطة المعالجة (ROPA) وفق المادة الثانية عشرة من النظام. - وضع جداول زمنية لحفظ البيانات وحذفها تتوافق مع المادة الثامنة عشرة. **الخطوة الرابعة – الإخطار بالاختراق:** تُوجب المادة التاسعة عشرة من النظام إخطار سدايا خلال 72 ساعة من اكتشاف أي اختراق للبيانات الشخصية ينطوي على مخاطر على أصحابها. **التكامل مع إطار ساما:** بالنسبة لشركات التقنية المالية المرخصة، يتوافق الضابط 3.3.9 من إطار ساما (حماية البيانات والمعلومات) بشكل وثيق مع متطلبات نظام PDPL، مما يعني أن سياسة حماية بيانات موحدة ومتكاملة يمكنها تلبية متطلبات الجهتين التنظيميتين في آنٍ واحد.

يُرسي نظام حماية البيانات الشخصية (PDPL) الصادر في المملكة العربية السعودية مبادئ صارمة تتعلق بالحد من جمع البيانات وتحديد مدد الاحتفاظ بها، وهي مبادئ يتعين على شركات التقنية المالية تضمينها في بنيتها التقنية وإجراءاتها التشغيلية على حد سواء. بموجب المادة الثامنة من النظام، لا يجوز جمع البيانات الشخصية إلا بالقدر اللازم للغرض المُعلَن. وهذا يعني أن الشركات مُلزَمة بتجنب الجمع المفرط للبيانات خلال مراحل التسجيل والمعاملات والتحقق من الهوية. كما تستلزم أنشطة المعالجة عالية الخطورة إجراء تقييم أثر حماية البيانات (DPIA) قبل الإطلاق. أما فيما يخص الاحتفاظ بالبيانات، فتُوجب المادة 14 حذفها فور انتهاء الغرض من معالجتها. غير أن متطلبات مكافحة غسل الأموال الصادرة عن ساما — التي تستوجب الاحتفاظ بسجلات المعاملات لمدة 10 سنوات — تُضيف طبقة إضافية من الالتزام، مما يستوجب تنسيقاً دقيقاً بين فريقي الأمن والامتثال. من الناحية العملية، يُنصح باتباع الخطوات الآتية: 1. بناء سجل شامل لتصنيف البيانات الشخصية وتحديد أصولها 2. تفعيل سياسات دورة حياة البيانات تلقائياً لحذف البيانات أو إخفاء هويتها عند انتهاء مدة الاحتفاظ 3. مراجعة تكاملات الواجهات البرمجية (APIs) والجهات الخارجية للتأكد من التزامها بمبدأ الحد الأدنى 4. توثيق مبررات الاحتفاظ القانونية لكل فئة بيانات في سجل أنشطة المعالجة (RoPA) 5. مراجعة دورية سنوية للبيانات المحتفظ بها للتحقق من استمرار الحاجة إليها تجدر الإشارة إلى أن مخالفة أحكام النظام قد تُفضي إلى غرامات تصل إلى 5 ملايين ريال سعودي.

يفرض نظام حماية البيانات الشخصية (PDPL) ولوائحه التنفيذية التزامات محددة على شركات الفنتك التي توظف أنظمة الذكاء الاصطناعي أو آليات اتخاذ القرار الآلي في معالجة بيانات العملاء — وهو ملف يشهد تصاعداً ملحوظاً في الرقابة التنظيمية. **الأساس القانوني للمعالجة:** تشترط المادة السابعة من PDPL تحديد أساس قانوني واضح لأي نظام ذكاء اصطناعي يعالج بيانات شخصية. في سياقات التقييم الائتماني وكشف الاحتيال وتحليل السلوك، يجب أن تكون الموافقة صريحة ومفصّلة وقابلة للسحب. **متطلبات الشفافية:** تُلزم المادة الحادية عشرة بإخطار الأفراد عند استخدام قرارات آلية تمسّهم، مع توضيح المنطق المستخدم والنتائج المحتملة. ويجب أن تعكس إشعارات الخصوصية هذه المعلومات بصورة واضحة وبسيطة. **حق الاعتراض على القرارات الآلية:** تُشير لوائح الهيئة السعودية للبيانات والذكاء الاصطناعي (SDAIA) إلى توجه نحو منح أصحاب البيانات حق طلب مراجعة بشرية للقرارات الصادرة بصورة آلية بالكامل، لا سيما في حالات رفض القروض أو تقييد الحسابات أو اعتراضات KYC. **تقليل البيانات وتقييد الغرض:** تحظر المادتان التاسعة والرابعة عشرة معالجة بيانات تتجاوز الحاجة أو استخدامها لأغراض غير مُعلنة. يجب حوكمة نماذج الذكاء الاصطناعي المدرَّبة على بيانات العملاء لمنع توسّع الأغراض. **تقييم أثر حماية البيانات (DPIA):** تستلزم أنظمة الذكاء الاصطناعي عالية المخاطر — كمعالجة البيانات البيومترية أو التحليل السلوكي الواسع — إجراء DPIA قبل النشر مع توثيق كامل. **التقاطع مع متطلبات SAMA:** يشترط إطار الخدمات المصرفية المفتوحة من SAMA ومبادئ حماية المستهلك ضمان العدالة الخوارزمية وعدم التمييز في توصيات المنتجات المالية. توفر منصتنا قوالب DPIA متوافقة مع PDPL وقوائم مراجعة حوكمة الذكاء الاصطناعي المصممة خصيصاً لبيئات الفنتك السعودية.

تتحمل شركات التقنية المالية السعودية التي تشغّل تطبيقات جوّال لجمع البيانات المالية للعملاء ومعالجتها التزامات جوهرية بموجب نظام حماية البيانات الشخصية (PDPL) ولائحته التنفيذية الصادرة عن الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا). **الأساس القانوني للمعالجة والموافقة (المواد 5–7 من PDPL):** تستلزم معالجة البيانات المالية الشخصية أساساً قانونياً واضحاً، غالباً ما يتمثل في موافقة صريحة ومستنيرة أو ضرورة تعاقدية. يجب أن تكون الموافقة تفصيلية ومنفصلة لكل غرض: جمع البيانات، والمعالجة، والتحليل، والتسويق. ويُعدّ استخدام مربعات الاختيار المحددة مسبقاً أو بنود الموافقة المجمّعة مخالفاً للنظام. **الشفافية وإشعارات الخصوصية (المادة 11 من PDPL):** يجب أن تعرض التطبيقات إشعار خصوصية واضحاً باللغة العربية يتضمن: فئات البيانات المجمّعة، وأغراض المعالجة، ومدد الاحتفاظ، والجهات الخارجية المشاركة، وحقوق المستخدم. ويُشترط عرض الإشعار قبل جمع البيانات أو عند نقطة الجمع. **حقوق أصحاب البيانات (المواد 14–18 من PDPL):** يتعين على شركات التقنية المالية تفعيل حقوق المستخدمين عبر التطبيق أو قناة مخصصة: حق الوصول والتصحيح والحذف وسحب الموافقة، مع الالتزام بالرد خلال 30 يوماً وفق اللائحة التنفيذية. **تقليل البيانات والاحتفاظ بها:** ينبغي جمع البيانات الضرورية فحسب للغرض المُعلَن. وتجدر الإشارة إلى أن بيانات المعاملات المالية قد تخضع لمدد احتفاظ إلزامية بموجب لوائح ساما تصل إلى 10 سنوات، مما قد يتعارض مع حق المحو. لذا يجب توثيق آلية التعامل مع هذا التعارض ضمن سجلات أنشطة المعالجة (RoPA). **الضمانات الأمنية:** تستوجب المادة 19 من PDPL تطبيق ضمانات تقنية وتنظيمية مناسبة، تشمل للتطبيقات المالية: التشفير الشامل، وربط الشهادات (Certificate Pinning)، والمصادقة الآمنة عبر OAuth 2.0/FAPI، واختبارات DAST/SAST الدورية. يُنصح بتعيين مسؤول حماية بيانات (DPO) في حالات المعالجة الواسعة النطاق أو التي تتضمن ملفات مالية حساسة، مع تسجيل أنشطة المعالجة لدى سدايا.

يفرض نظام حماية البيانات الشخصية (PDPL) الصادر في المملكة العربية السعودية والمُشرف على تطبيقه من قِبل هيئة البيانات والذكاء الاصطناعي (SDAIA)، التزامات واضحة على المنظمات عند وقوع اختراق للبيانات الشخصية. وهذا الأمر بالغ الأهمية للبنوك وشركات الفنتك التي تعالج كميات ضخمة من البيانات المالية والشخصية الحساسة. **التزامات الإخطار بموجب PDPL:** تُلزم المادة 23 من النظام المنظماتِ بإخطار SDAIA عن أي اختراق للبيانات الشخصية قد يُلحق ضرراً بأصحابها، وذلك **دون تأخير غير مبرر** — إذ يتوقع المنظمون عملياً الإخطار خلال 72 ساعة من اكتشاف الاختراق، تماشياً مع الممارسات الدولية المعتمدة. وإذا كان الاختراق يشكّل خطراً مرتفعاً على الأفراد — كالكشف عن أرقام الحسابات المصرفية أو بيانات الهوية الوطنية أو المعطيات البيومترية — وجب **إخطار أصحاب البيانات مباشرةً** مع توضيح طبيعة الاختراق والإجراءات الوقائية الموصى بها. **مهام مسؤول حماية البيانات عند الاختراق:** 1. **الاحتواء الفوري**: عزل الأنظمة المتضررة وإلغاء صلاحيات الوصول المخترقة. 2. **التقييم**: تحديد نطاق الاختراق من حيث فئات البيانات وعدد الأفراد المتضررين ومستوى الخطر. 3. **التوثيق**: تسجيل الحادثة في سجل الاختراقات الداخلي مع الجدول الزمني والأسباب وتفاصيل الأثر. 4. **إخطار SDAIA**: تقديم إشعار رسمي عبر بوابة SDAIA يتضمن: طبيعة الاختراق، فئات البيانات وحجمها، التداعيات المحتملة، والإجراءات التصحيحية المتخذة. 5. **إخطار أصحاب البيانات**: عند الاقتضاء، إصدار إشعارات واضحة وصريحة — تجنّب الصياغات المبهمة التي قد تُضاعف المسؤولية القانونية. 6. **التنسيق مع SAMA**: على المؤسسات المالية إخطار SAMA بالتوازي وفق ضابط 3.4.2 الخاص بإدارة حوادث الأمن السيبراني، إذ يُعدّ الإبلاغ لدى جهتين تنظيميتين متزامناً إلزامياً. 7. **المراجعة اللاحقة للحادث**: إجراء تحليل للسبب الجذري خلال 30 يوماً وتحديث تقييمات أثر حماية البيانات (DPIA) والضوابط الأمنية بناءً عليه. عدم الامتثال لمتطلبات إخطار الاختراق في نظام PDPL قد يُفضي إلى غرامات تصل إلى 5 ملايين ريال سعودي، تتضاعف عند تكرار المخالفة.

يُفرز توظيف الذكاء الاصطناعي في التسجيل الائتماني بيئةً تنظيمية متشعبة تجمع بين نظام حماية البيانات الشخصية (PDPL) ومتطلبات حوكمة البيانات في SAMA CSF واعتبارات أخلاقيات الذكاء الاصطناعي. وفيما يلي أبرز ما يجب على فرق الامتثال في شركات الفنتك مراعاته: أولاً، الأساس القانوني للمعالجة؛ تستوجب المادة الخامسة من النظام أن تستند معالجة البيانات المالية لأغراض التسجيل الائتماني إلى أساس قانوني مشروع كالضرورة التعاقدية أو المصلحة المشروعة، وقد تستلزم الحالات التي تُستخلص فيها معلومات حساسة الحصول على موافقة صريحة. ثانياً، الشفافية والإفصاح؛ تُلزم المادتان 11 و12 الشركاتِ بإخطار الأفراد بعمليات اتخاذ القرار الآلي التي تمسهم، ويجب أن تُفصح سياسات الخصوصية صراحةً عن استخدام الذكاء الاصطناعي في التسجيل ومدخلات البيانات المعتمدة. ثالثاً، الحد الأدنى من البيانات؛ يقتصر الجمع على البيانات ذات الصلة المباشرة بتقييم الجدارة الائتمانية. رابعاً، قابلية الشرح؛ وإن لم يُقنّن النظام حقاً صريحاً في الشرح كما في المادة 22 من GDPR، إلا أن الضابط 3.3.7 من SAMA CSF يتوقع قدرة المؤسسات على تفسير قراراتها الآلية المؤثرة في العملاء. خامساً، مدد الاحتفاظ؛ يجب توثيق جداول احتفاظ مراجَعة سنوياً وعدم الإبقاء على البيانات أطول من الضرورة. سادساً، النقل عبر الحدود؛ إن كانت نماذج الذكاء الاصطناعي تُدرَّب أو تُستضاف خارج المملكة، تسري ضوابط النقل في المادة 29 من النظام. ويُنصح بإشراك مسؤول حماية البيانات منذ مرحلة تصميم النموذج لضمان تضمين مبادئ الخصوصية بالتصميم.

تعمل شركات الفينتك السعودية في ظل منظومة تنظيمية مزدوجة تجمع بين نظام حماية البيانات الشخصية (PDPL) وإطار SAMA CSF، ولكل منهما متطلباته الخاصة في ما يخص الاستجابة لاختراقات البيانات. ولذلك، يُعدّ بناء خطة موحدة ضرورةً تنظيميةً وعمليةً في آنٍ واحد. **التزامات نظام PDPL:** تُوجب المادة 24 من نظام PDPL على المتحكمين في البيانات إخطار الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا) فور اكتشاف أي اختراق قد يُلحق ضرراً بأصحاب البيانات، ويُتوقع أن يكون ذلك خلال 72 ساعة للاختراقات عالية المخاطر. كما يُشترط إخطار الأشخاص المتضررين عند وجود خطر مباشر على حقوقهم أو مصالحهم. **التزامات إطار SAMA CSF:** يشترط المتطلب 3.5.4 من SAMA CSF توثيق إجراءات الاستجابة للحوادث الأمنية بما يشمل الاكتشاف والاحتواء والاستئصال والتعافي والمراجعة اللاحقة. وتُرفع تقارير الحوادث المؤثرة في بيانات العملاء إلى مؤسسة النقد خلال مهل محددة، وعادةً خلال 24 ساعة للحوادث الحرجة. **خطوات بناء خطة استجابة موحدة:** 1. **تصنيف شدة الاختراق مسبقاً**: حدّد معايير واضحة لتفعيل الإخطارات المطلوبة لكل جهة رقابية وللعملاء المتضررين. 2. **تشكيل فريق استجابة متكامل**: يضم الإدارة القانونية، ومسؤول حماية البيانات، والمسؤول الأول عن أمن المعلومات، وفريق العمليات، والتواصل المؤسسي، مع تحديد الأدوار بوضوح. 3. **حفظ سجلات الأدلة**: احرص على توثيق الأدلة الجنائية الرقمية وسجلات الوصول وكافة المراسلات طوال دورة حياة الحادثة. 4. **إجراء اختبارات منتظمة**: نفّذ تمارين محاكاة (Tabletop Exercises) مرتين على الأقل سنوياً. 5. **تنسيق الإخطارات**: أعدّ قوالب إخطار جاهزة ومعتمدة مسبقاً لسدايا ومؤسسة النقد والعملاء لتفادي التأخير تحت ضغط الأزمة. خطة الاستجابة الموحدة لا تضمن الامتثال فحسب، بل تُقلّص بشكل ملموس المخاطر المالية والسمعة عند وقوع أي اختراق.

تواجه شركات الفنتك في المملكة العربية السعودية التزامات تنظيمية مزدوجة عند وقوع خرق للبيانات: الامتثال لنظام حماية البيانات الشخصية (PDPL) الذي تشرف عليه هيئة البيانات والذكاء الاصطناعي (SDAIA)، والوفاء بمتطلبات إدارة الحوادث وفق إطار SAMA CSF. وتحقيق التوافق بين المتطلبين ضرورة حتمية لتفادي الغرامات التنظيمية والأضرار السمعية. **التزامات نظام PDPL (المواد 25-27):** يُلزم النظام المؤسسات بإخطار SDAIA فور اكتشاف الخرق دون تأخير غير مبرر — ويُفسَّر ذلك عملياً بـ 72 ساعة من لحظة الإدراك — إذا كان الخرق يُشكّل خطراً على حقوق أصحاب البيانات. وفي حال تأكيد الخطر العالي، يجب إخطار الأفراد المتأثرين بلغة واضحة تشرح طبيعة الخرق وفئات البيانات المُخترقة والإجراءات المتخذة. **التزامات SAMA CSF (الضابط 3.6 — إدارة حوادث الأمن السيبراني):** يشترط SAMA الإبلاغ عن الحوادث السيبرانية وفق أُطر زمنية مرتبطة بمستوى الخطورة؛ إذ تُبلَّغ الحوادث الحرجة خلال ساعتين من الكشف، مع تقديم تقرير ما بعد الحادثة خلال 72 ساعة. **خطوات التوافق العملي:** 1. بناء خطة استجابة موحدة (IRP) تربط محفزات الإخطار في PDPL وSAMA بمسار عمل واحد من الكشف إلى الإبلاغ. 2. وضع آلية فرز للخروقات تُقيّم في وقت واحد مدى تعرض البيانات الشخصية (للامتثال لـ PDPL) والأثر التشغيلي والمالي (للامتثال لـ SAMA). 3. تحديد مسؤوليات الإشعار التنظيمي بوضوح بين مسؤول حماية البيانات (DPO) والمدير التنفيذي للأمن السيبراني (CISO). 4. إجراء تدريبات محاكاة تغطي سيناريوهات خرق البيانات أمام كلا الجهتين التنظيميتين. 5. إعداد قوالب إشعار معتمدة مسبقاً لـ SDAIA وSAMA والعملاء المتأثرين لتسريع وقت الاستجابة. هذا التكامل الاستباقي يُقلّص تعارض الأُطر الزمنية ويُعزز الثقة التنظيمية مع كلا الجهتين.

مسؤول أمن المعلومات الافتراضي (vCISO) هو مسؤول تنفيذي متمرس في الأمن السيبراني يقدم القيادة الاستراتيجية بصورة جزئية أو تعاقدية. تستفيد المؤسسات من vCISO عندما: تفتقر إلى CISO بدوام كامل، تحتاج خبرة الامتثال التنظيمي (SAMA/NCA)، تستعد لتدقيق أو شهادة، أو تريد بناء برنامج أمن سيبراني بتكلفة فعّالة دون راتب تنفيذي كامل.

يستغرق تقييم الفجوات لإطار SAMA CSF عادةً من 4 إلى 8 أسابيع حسب حجم المؤسسة وتعقيدها. تتضمن العملية مراجعة الوثائق، ومقابلات مع أصحاب المصلحة الرئيسيين، واختبار الضوابط التقنية، وجمع الأدلة، والتقييم مقابل 251 ضابطاً فرعياً، وتسليم خارطة طريق للمعالجة بنتائج مرتبة حسب الأولوية.

يجب أن يقدم تقييم الأمن السيبراني الشامل: (1) ملخصاً تنفيذياً للمجلس/الإدارة؛ (2) تقرير تفصيلي لتحليل الفجوات؛ (3) درجة النضج الحالية لكل نطاق؛ (4) خارطة طريق للمعالجة بترتيب المخاطر؛ (5) مصفوفة أدلة الضوابط؛ (6) خريطة حرارية للامتثال؛ (7) الإصلاحات السريعة مقابل التوصيات بعيدة المدى؛ (8) نسبة الامتثال لكل إطار تنظيمي.

المدير التنفيذي الافتراضي للأمن السيبراني (vCISO) هو خبير أمني استراتيجي يُستعان به بصفة جزئية أو مؤقتة أو لمشاريع بعينها، لتقديم قيادة أمنية رفيعة المستوى دون التكلفة الكاملة لتعيين مدير متفرغ. وبالنسبة للمؤسسات المالية السعودية — ولا سيما شركات الفنتك الناشئة ومزودي خدمات الدفع والبنوك المتوسطة — يُمثّل vCISO خياراً عملياً يُسرّع النضج الأمني والامتثال التنظيمي. **متى يكون vCISO الخيار الأنسب؟** 1. **شركات الفنتك في مراحلها الأولى:** الشركات الساعية للحصول على ترخيص SAMA أو الامتثال لمتطلبات Open Banking تحتاج إلى بناء برنامج أمني متكامل بسرعة؛ وهنا يُقدّم vCISO قيمة فورية قابلة للقياس. 2. **تسريع الامتثال:** المؤسسات التي تواجه مواعيد تدقيق ضيقة لـ SAMA CSF أو NCA ECC أو ISO 27001 تستفيد من خبرة vCISO الذي نفّذ هذه البرامج مراراً. 3. **اعتبارات التكلفة:** يتقاضى المدير التنفيذي المتفرغ للأمن السيبراني في السوق السعودية رواتب مرتفعة، في حين يوفر vCISO قيمة استراتيجية مماثلة بتكلفة أقل بنسبة 30 إلى 60 بالمئة، مما يجعله خياراً جذاباً للمؤسسات ذات الموارد المحدودة. 4. **تغطية المرحلة الانتقالية:** عند شغور منصب CISO أو خلال فترة البحث عن كفاءة متفرغة، يضمن vCISO استمرارية الحوكمة والعلاقات التنظيمية. 5. **خبرة متخصصة:** حين تحتاج المؤسسة إلى خبرة في تطبيق PDPL، أو ضوابط SWIFT CSCF، أو تقديم تقارير مجلس الإدارة الأمنية، يمكن الاستعانة بـ vCISO يتمتع بهذه التخصصات تحديداً. **ما الذي يُقدّمه vCISO؟** يتولى vCISO المؤهَّل قيادة الاستراتيجية الأمنية، وإدارة برنامج GRC، والتواصل مع الجهات التنظيمية كـ SAMA وNCA وSDAIA، والإشراف على الاستجابة للحوادث، وتقديم التقارير لمجلس الإدارة. وتحكم هذه العلاقة عقود صارمة تكفل السرية وتمنع تعارض المصالح. وبالنسبة للمؤسسات في مرحلة النمو، يُعدّ vCISO جسراً مثالياً يبني القدرات الداخلية ريثما تكون المؤسسة مستعدة لتعيين مدير متفرغ.

نعم. يتطلب كل من إطار SAMA CSF وضوابط NCA ECC إجراء اختبارات اختراق دورية. يتطلب ساما اختبار اختراق سنوي على الأقل للأنظمة والتطبيقات والبنية التحتية الحيوية. تفرض NCA ECC بالمثل تقييمات الثغرات واختبارات الاختراق بشكل منتظم. يجب توثيق النتائج وتتبع المعالجة.

يُلزم إطار SAMA للأمن السيبراني (بموجب الضابط 3.3.6 المتعلق بتقييم الثغرات واختبار الاختراق) جميع البنوك والمؤسسات المالية السعودية بإجراء اختبارات اختراق منتظمة ضمن برنامج متكامل لإدارة الثغرات. وفيما يلي أبرز المتطلبات: **الدورية الزمنية:** - اختبار الاختراق الخارجي: مرة واحدة على الأقل سنوياً، أو عقب أي تغيير جوهري في البنية التحتية - اختبار الشبكة الداخلية: مرة واحدة في السنة كحد أدنى - اختبار التطبيقات والخدمات المصرفية الإلكترونية: سنوياً أو بعد كل إصدار رئيسي **نطاق الاختبار:** - يجب أن يشمل الاختبار الأنظمة الحيوية كأنظمة الحسابات الأساسية وبنية الدفع والتطبيقات المتاحة للعموم - ينبغي تضمين محاكاة التصيد الاحتيالي والهندسة الاجتماعية للحصول على صورة شاملة - يُوصى بتمارين الفريق الأحمر للمؤسسات ذات النضج الأمني المتقدم **المنهجية والتوثيق:** - يجب اتباع منهجية معترف بها مثل PTES أو OWASP أو NIST SP 800-115 - توثيق جميع النتائج وتصنيفها وفق مستوى المخاطر ومتابعة معالجتها حتى الإغلاق - تتوقع هيئة SAMA وجود أدلة على جداول المعالجة وموافقة الإدارة العليا **الجهات المنفذة:** - يُفضَّل الاستعانة بمختبرين مستقلين من جهات خارجية معتمدة لضمان الحيادية - يجب أن يحمل المختبرون شهادات معترفاً بها مثل OSCP أو CREST أو CEH **نصيحة عملية:** اربط جدول اختبارات الاختراق بدورة التقييم الذاتي السنوية لإطار SAMA بحيث تُغذّي النتائج مباشرةً تقارير الامتثال، واحتفظ بسجل ثغرات محدّث لعرضه في تقارير مجلس الإدارة.

بموجب إطار SAMA للأمن السيبراني، تحديداً في نطاق التحكم 3.3 المتعلق بإدارة مخاطر الأمن السيبراني، يُلزَم كل بنك ومؤسسة مالية سعودية بإجراء اختبارات اختراق دورية ومنتظمة. والحد الأدنى المقبول هو اختبار اختراق خارجي سنوي، مع اختبار داخلي بالتوازي. لكن المؤسسات الكبرى (Tier 1) يُتوقع منها إجراء الاختبارات مرتين سنوياً على الأقل، وبعد كل تغيير جوهري في البنية التحتية. أبرز المتطلبات: **النطاق:** يجب أن تشمل الاختبارات الأنظمة المكشوفة للإنترنت، والشبكات الداخلية، وتطبيقات الخدمات المصرفية (وِب وموبايل)، وواجهات برمجة التطبيقات (APIs)، إضافةً إلى بيئات الحوسبة السحابية. **المنهجية:** يُفضّل الاعتماد على منهجيات معترف بها كـ OWASP وPTES وNIST SP 800-115، مع التأكيد على الجمع بين الفحص الآلي والاستغلال اليدوي. **المختبرون:** يجب أن تُنفَّذ الاختبارات من قِبل شركات متخصصة مستقلة، يحمل منسوبوها شهادات معتمدة مثل OSCP أو CREST. **متابعة المعالجة:** يُصنَّف كل نتيجة حسب درجة خطورتها، وتُعالَج ضمن جداول زمنية محددة (الثغرات الحرجة خلال 15-30 يوماً)، ثم يُعاد اختبارها للتحقق من الإغلاق الفعلي. **الربط بـ NCA ECC:** تعزز المادة 2-7 من إطار NCA ECC هذا الالتزام، وتُوجبه على المؤسسات التي تُعدّ جزءاً من البنية التحتية الحيوية للمملكة. نصيحة عملية: احرص على توثيق جميع اختبارات الاختراق في منصة GRC الخاصة بك، بما يشمل النطاق والنتائج وحالة المعالجة والاعتمادات الرسمية، لتكون جاهزاً للفحوصات الرقابية من SAMA.

اختبار الاختراق ليس خياراً في البيئة التنظيمية السعودية، بل هو متطلب إلزامي صريح بموجب إطار SAMA CSF (المجال الرابع - العمليات الأمنية، الضابط 4.3) ومعيار NCA ECC (المادة 3-14). **التكرار والنطاق:** يشترط SAMA CSF إجراء اختبارات الاختراق مرة واحدة على الأقل سنوياً، وكذلك عند إجراء أي تغيير جوهري على البنية التحتية. يجب أن تشمل الاختبارات الأنظمة المكشوفة للإنترنت، والشبكات الداخلية، والتطبيقات الحساسة، وأنظمة المدفوعات. ويمتد نطاق NCA ECC ليشمل البيئات التشغيلية (OT/ICS) عند الاقتضاء. **المنهجية:** ينبغي أن تستند الاختبارات إلى أطر عمل معتمدة مثل PTES وOWASP واختبار TIBER المُكيَّف للسياق السعودي، مع توثيق كامل لجميع مراحل الاختبار. **الحوكمة والتفويض:** يجب إعداد وثيقة "قواعد الاشتباك" (RoE) وتوقيعها قبل بدء الاختبار، وأن تكون نتائج الاختبارات مرئية على مستوى مجلس الإدارة وفق متطلبات SAMA. **متطلبات الجهات المنفِّذة:** يجب أن تستوفي شركات الاختبار الخارجية معايير ضمان الطرف الثالث المحددة في SAMA CSF، وأن يحمل المختبرون شهادات معتمدة كـ CREST أو OSCP أو ما يعادلها. **متابعة المعالجة:** يجب تصنيف النتائج وفق مستويات المخاطر ومتابعة معالجتها ضمن خطة رسمية محددة المواعيد، مع إعادة اختبار الثغرات الحرجة خلال 30 يوماً. تدعم منصتنا فرق الأمن في إدارة دورة حياة اختبار الاختراق بالكامل، من اختيار الجهة المنفِّذة حتى متابعة المعالجة وفق متطلبات SAMA وNCA.

يُلزم إطار الأمن السيبراني لمؤسسة النقد العربي السعودي (SAMA CSF) البنوكَ السعودية بإجراء اختبارات اختراق دورية ومنهجية ضمن برنامج ضمان الأمن السيبراني، وذلك وفق المتطلبات التالية: **الدورية:** يجب إجراء اختبارات الاختراق الخارجية مرة على الأقل سنوياً، فيما يُوصى بإجرائها كل ستة أشهر للأنظمة الحرجة والبنية التحتية المكشوفة على الإنترنت، أو عقب أي تغييرات جوهرية. **النطاق:** يشمل الاختبار البنية التحتية للشبكة، وتطبيقات الويب، ومنصات البنك الإلكتروني، وواجهات برمجة التطبيقات (APIs)، إضافةً إلى تقييمات الهندسة الاجتماعية والأمن المادي. **المنهجية:** تشترط SAMA اتباع منهجيات معترف بها دولياً مثل OWASP وPTES وNIST SP 800-115، مع تصنيف جميع النتائج وفق مستوى المخاطر وتتبعها ضمن خطط معالجة رسمية. **المختبرون:** يُوصى بالاستعانة بمختبرين مستقلين مؤهلين يحملون شهادات معتمدة كـ OSCP أو CREST أو CEH. **التقارير والمعالجة:** يجب معالجة الثغرات الحرجة خلال 30 يوماً كحد أقصى، مع رفع النتائج إلى كبير مسؤولي أمن المعلومات (CISO) ولجنة المخاطر في مجلس الإدارة. **الإبلاغ التنظيمي:** قد تستوجب الثغرات الكبيرة المكتشفة إبلاغ الجهات التنظيمية، لا سيما إذا تأثرت بيانات العملاء، مما قد يتداخل مع متطلبات الإشعار بالاختراق وفق نظام حماية البيانات الشخصية (PDPL). يُنصح بالاحتفاظ بسجل موحد لاختبارات الاختراق وربط نتائجها بسجل المخاطر المؤسسي لإثبات الامتثال المستمر خلال الفحوصات الرقابية لـ SAMA.

يُعدّ اختبار الاختراق ركيزةً أساسية في برامج ضمان الأمن السيبراني للمؤسسات المالية السعودية. فبموجب متطلب SAMA CSF رقم 3.3.5، يتعين على المؤسسات إجراء اختبارات اختراق دورية تشمل البنية التحتية للشبكات والتطبيقات والأنظمة الحيوية، وذلك مرةً على الأقل سنويًا أو عقب أي تغيير جوهري في البيئة التقنية. كما يُلزم المعيار ECC-2-14 الصادر عن هيئة الأمن السيبراني (NCA) بإجراء تمارين القرصنة الأخلاقية للتحقق من فاعلية الضوابط المطبّقة. أبرز المتطلبات: **تحديد النطاق:** يجب أن يشمل الاختبار المحيط الخارجي، وشرائح الشبكة الداخلية، وتطبيقات الخدمات المصرفية الإلكترونية والجوالة، والواجهات البرمجية (APIs)، وبنية SWIFT حيثما انطبق ذلك. **الكفاءة المهنية:** يُوصى بأن ينفّذ الاختبارات متخصصون معتمدون بشهادات مثل OSCP أو CEH أو GPEN، مع توثيق نطاق العمل وقواعد التشغيل قبل البدء. **المنهجية:** يُستحسن اتباع منهجيات معتمدة كـ PTES أو دليل اختبار OWASP، مع تضمين محاكاة الهندسة الاجتماعية والتصيد الاحتيالي لاختبار الوعي البشري. **التقارير والمعالجة:** تُصنَّف النتائج وفق درجة المخاطر وتُرفع إلى الإدارة العليا، مع الالتزام بمعالجة الثغرات الحرجة والعالية ضمن الإطار الزمني المحدد. **تمارين الفريق الأحمر:** يُنصح البنوك من الفئة الأولى بإجراء تمارين Red Team شاملة تحاكي التهديدات المتقدمة المستمرة (APT) كل عامين على الأقل. ينبغي الاحتفاظ بجميع تقارير الاختبار وسجلات المعالجة لأغراض الرقابة التنظيمية، مع ربط النتائج بسجل المخاطر في منصة GRC لضمان التتبع الكامل.

بموجب إطار الأمن السيبراني لساما (SAMA CSF)، ولا سيما الضوابط المتعلقة بإدارة الثغرات (3.3.5) واختبار الاختراق (3.3.6)، يُلزَم كل بنك ومؤسسة مالية سعودية بإجراء اختبارات اختراق دورية ومنهجية، بحد أدنى مرة سنوياً، مع إجراء اختبارات إضافية عند أي تغيير جوهري في البنية التحتية أو إطلاق منتج جديد أو ترقية حساسة للأنظمة. أبرز المتطلبات العملية: **النطاق:** يجب أن يشمل الاختبار الأصول المواجهة للإنترنت، والشبكات الداخلية، وتطبيقات الويب والجوال، وواجهات API، والأنظمة الحيوية كالبنية المصرفية الأساسية وأنظمة الدفع. **المنهجية:** يُستحسن اتباع منهجيات معترف بها مثل OWASP وPTES، مع تضمين سيناريوهات الصندوق الأسود والرمادي. **الكفاءة المهنية:** تشترط ساما أن يُنفَّذ الاختبار من قِبل جهة خارجية مؤهلة أو فريق داخلي مستقل، ويُفضَّل أن يحمل المختبرون شهادات معتمدة كـ OSCP أو CREST. **التقارير والمعالجة:** يجب توثيق النتائج مع تصنيف الخطورة وفق معيار CVSS، وتحديد السبب الجذري، ووضع خطة معالجة خاضعة للمتابعة. الثغرات الحرجة تستوجب المعالجة خلال 30 إلى 90 يوماً. **حفظ الأدلة:** تُحتفظ بالتقارير وأدلة المعالجة لتقديمها عند الفحص الرقابي. من الناحية التطبيقية، يُنصح بربط نتائج اختبارات الاختراق بسجل المخاطر المؤسسي، وتتبع حالة المعالجة بصورة مستمرة، وإعداد حزم أدلة جاهزة للمدققين.

تُعدّ اختبارات الاختراق من المتطلبات الجوهرية التي تفرضها كلٌّ من هيئة ساما ومعايير NCA ECC على المؤسسات المالية العاملة في المملكة. فبموجب الضابط 3.3.6 من إطار SAMA CSF، يتعين على المؤسسات إجراء هذه الاختبارات مرةً على الأقل سنوياً، وكلما طرأت تغييرات جوهرية على البنية التحتية. ويُكمل ذلك المادة 3-7 من معايير NCA ECC التي تشترط إجراء تقييمات للثغرات واختبارات الاختراق الأخلاقي على الأنظمة الحيوية. **أبرز المتطلبات العملية:** - **النطاق والمنهجية:** يجب أن تشمل الاختبارات الشبكات الخارجية والداخلية وتطبيقات الويب وواجهات API وتطبيقات الخدمات المصرفية عبر الجوال، وفق منهجيات معتمدة كـ OWASP وPTES. - **الكفاءات المطلوبة:** ينبغي أن ينفّذ الاختبارات متخصصون معتمدون (OSCP أو CEH) من جهات خارجية مستقلة ذات خبرة في القطاع المالي. - **المعالجة والإبلاغ:** تُعالَج الثغرات الحرجة والعالية خلال 30 يوماً كحد أقصى، وترفع نتائج الاختبارات إلى لجنة الأمن السيبراني على مستوى مجلس الإدارة. - **اختبارات الفرق الحمراء:** تتوقع ساما من البنوك الكبرى إجراء اختبارات اختراق مبنية على التهديدات الحقيقية (TLPT)، مستوحاةً من إطار TIBER-EU لمحاكاة هجمات التهديدات المتقدمة. - **إعادة الاختبار:** يُعدّ إعادة الاختبار بعد المعالجة إلزامياً للتحقق من إغلاق الثغرات فعلياً. **نصيحة عملية:** احرص على الاحتفاظ بسجل اختبارات اختراق موثّق يتضمن النطاق والنتائج وحالة المعالجة ونتائج إعادة الاختبار، إذ يُشكّل هذا السجل دليلاً محورياً خلال الفحوصات الرقابية لدى ساما وNCA.

بموجب إطار SAMA CSF، تحديداً في مجال متطلبات العمليات الأمنية (3.3)، يتعين على البنوك والمؤسسات المالية السعودية إجراء اختبارات اختراق دورية ومنتظمة ضمن برامج إدارة الثغرات وتقييم التهديدات. وفيما يلي أبرز ما يجب معرفته: **دورية الاختبارات:** - اختبارات الاختراق الخارجية: مرة واحدة على الأقل سنوياً، أو عقب أي تغيير جوهري في البنية التحتية - اختبارات الشبكة الداخلية: مرة واحدة سنوياً على الأقل - اختبارات التطبيقات (الويب، الجوال، واجهات API): قبل الإصدارات الكبرى وبصفة دورية سنوية - تمارين الفريق الأحمر: يُنصح بإجرائها كل 18 إلى 24 شهراً للمؤسسات من الفئة الأولى **نطاق الاختبارات:** يجب أن تشمل الاختبارات الأنظمة المكشوفة على الإنترنت، ومنصات الصيرفة الأساسية، والبنية التحتية للمدفوعات، وبيئات SWIFT. ووفقاً للضابط 3.3.5 من SAMA CSF، يجب معالجة الثغرات المكتشفة ضمن فترات زمنية محددة: 15 يوماً للثغرات الحرجة، و30 يوماً للعالية، و90 يوماً للمتوسطة. **كفاءة المختبرين:** تشترط SAMA أن يتمتع المختبرون بالكفاءة والاستقلالية. ويمكن للفرق الداخلية إجراء التقييمات الروتينية، غير أن الاختبارات السنوية الرسمية تستلزم جهات خارجية مستقلة، ويُفضل أن يحملوا شهادات معتمدة كـ OSCP أو CEH أو CREST. **التقارير والحوكمة:** يجب توثيق نتائج الاختبارات رسمياً ومراجعتها من قِبل CISO، ورفعها إلى لجنة المخاطر في مجلس الإدارة عند وجود نتائج جوهرية، مع إجراء اختبارات إعادة للتحقق من فاعلية المعالجة. **التوافق مع NCA ECC:** تُلزم المادة 2-12 من NCA ECC أيضاً بإجراء تقييمات تقنية للثغرات، مما يعني أن برنامجاً موحداً لاختبار الاختراق يمكنه استيفاء متطلبات الإطارين في آنٍ واحد، مما يُقلل من الأعباء التشغيلية للامتثال.

يُلزم إطار SAMA CSF تحت ضابط 3.3.7 الخاص بإدارة الثغرات، البنوكَ والمؤسساتِ المالية السعودية بإجراء اختبارات اختراق دورية ضمن برنامج شامل لإدارة الثغرات. والحد الأدنى المطلوب هو اختبار اختراق خارجي سنوي، مع توصية بإجراء تقييمات داخلية كل ستة أشهر. أما الأنظمة الحساسة المكشوفة على الإنترنت وأنظمة الخدمات المصرفية الأساسية، فتستلزم اختبارات أكثر تكراراً. **أبرز المتطلبات:** **النطاق**: يجب أن تشمل الاختبارات الحدود الخارجية، الشبكات الداخلية، تطبيقات الويب والجوال، واجهات برمجة التطبيقات (APIs)، وأجهزة الصراف الآلي، ومنظومات الدفع. **المنهجية**: يُفضَّل اتباع أُطر معتمدة مثل PTES وOWASP WSTG أو TIBER-SA الذي يعتمد على استخبارات التهديدات. **مؤهلات المختبِر**: يجب أن يحمل المختبرون شهادات معترفاً بها كـ OSCP أو CREST أو CEH، ويُستحسن أن يكونوا معتمدين من هيئة الاتصالات وتقنية المعلومات أو جهات يقبلها SAMA. ولا يُنصح بإجراء التقييمات الخارجية بفريق داخلي حفاظاً على الحيادية. **التقارير والمعالجة**: يجب معالجة الثغرات الحرجة والعالية الخطورة خلال 30 يوماً، مع الاحتفاظ بسجل متابعة رسمي يراجعه الرئيس التنفيذي للأمن المعلوماتي (CISO). **الإفصاح للمجلس**: تُرفع النتائج إلى لجنة المخاطر على مستوى مجلس الإدارة وفق ضابط الحوكمة 3.1.4 في SAMA CSF. فضلاً عن ذلك، تشترط المادة 2-5 من الضوابط الأساسية للأمن السيبراني (NCA ECC) إجراء تقييمات للثغرات وتمارين الفريق الأحمر للجهات ذات الأهمية الوطنية. ودمج متطلبات الإطارين في جدول اختبار موحد يقلل التكرار ويُظهر نضجاً حقيقياً في الحوكمة الأمنية أمام الجهات التنظيمية.

تُعدّ اختبارات الاختراق ركيزةً أساسية في برامج ضمان الأمن السيبراني للمؤسسات المالية في المملكة العربية السعودية. فبموجب الضابط 3.3.5 من إطار SAMA CSF، يُلزَم الأعضاء بإجراء اختبارات اختراق دورية مرةً على الأقل سنوياً، وكذلك عقب أي تغييرات جوهرية على البنية التحتية أو التطبيقات. وفي السياق ذاته، تشترط المادة 2-7 من معايير ECC الصادرة عن هيئة الأمن السيبراني إجراء تقييمات للثغرات واختبارات الاختراق ضمن منظومة التقييم الأمني التقني المستمر. **أبرز المتطلبات:** **تحديد النطاق:** يجب أن تشمل الاختبارات الأنظمة المكشوفة للإنترنت، والشبكات الداخلية، والتطبيقات الحيوية كتطبيقات الخدمات المصرفية والمدفوعات، فضلاً عن واجهات برمجة التطبيقات (APIs). **كفاءة المختبِرين:** ينبغي أن تُنفَّذ الاختبارات من قِبل متخصصين معتمدين (مثل OSCP وCREST وCEH)، أو شركات أمن متخصصة موثوقة، مع التحقق من مؤهلاتهم مسبقاً وفق متطلبات ساما. **المنهجية:** يُوصى باتباع أطر معترف بها كـ PTES وOWASP، مع توثيق النتائج وفق معيار CVSS وإرفاق أدلة إثبات المفهوم وخطط المعالجة. **متابعة المعالجة:** تستلزم الثغرات الحرجة والعالية المعالجةَ ضمن مهل زمنية محددة، لا تتجاوز 30 يوماً للثغرات الحرجة، مع الاحتفاظ بالأدلة لأغراض المراجعة. **الإفصاح للإدارة العليا:** تُرفع ملخصات النتائج إلى مسؤول أمن المعلومات (CISO) ولجان المخاطر على مستوى مجلس الإدارة. **إعادة الاختبار:** يجب التحقق رسمياً من فاعلية معالجة الثغرات قبل إغلاق ملف الاختبار. كما يُنصح بالنظر في تبني إطار TLPT المتوائم مع مبادرة TIBER-SA للمؤسسات المتقدمة، والحرص على الاحتفاظ بسجل شامل لاختبارات الاختراق يتضمن النطاق والنتائج وحالة المعالجة، إذ يُعدّ ذلك من أبرز ما تفحصه جهات الرقابة خلال عمليات التفتيش.

تخضع اختبارات الاختراق في شركات الفنتك السعودية لمتطلبات مزدوجة؛ الضابط 3.4.5 من SAMA CSF الخاص بإدارة الثغرات واختبارات الاختراق، والضابط 2-8 من NCA ECC المتعلق بإدارة الثغرات التقنية. وفيما يلي المنهجية العملية المتوافقة مع هذه المتطلبات: أولاً من حيث التكرار، يشترط SAMA CSF إجراء اختبارات اختراق خارجية مرة سنوياً على الأقل وبعد أي تغييرات جوهرية في البنية التحتية، فيما يُنصح بإجراء اختبارات داخلية كل ستة أشهر. ثانياً من حيث النطاق، يجب أن يشمل الاختبار التطبيقات المكشوفة للإنترنت وواجهات API وتطبيقات الجوال والشبكات الداخلية وسيناريوهات الهندسة الاجتماعية. ثالثاً من حيث الكفاءة، تشترط SAMA أن ينفذ الاختبار مختصون مستقلون يحملون شهادات معتمدة كـ OSCP أو CEH أو GPEN، مع إلمام بالمتطلبات التنظيمية السعودية. رابعاً من حيث التقارير، يجب أن تتضمن ملخصاً تنفيذياً وتصنيف الثغرات وفق معيار CVSS وأدلة موثقة وخطة معالجة بمواعيد محددة. خامساً من حيث المعالجة، تستوجب متطلبات SAMA CSF معالجة الثغرات الحرجة والعالية خلال 30 يوماً مع توثيق الإغلاق. وأخيراً، يُستحسن الاحتفاظ بسجل تاريخي لنتائج الاختبارات لإثبات نضج البرنامج أمام الجهات الرقابية.

بموجب ضابط 3.3.5 من إطار SAMA CSF الخاص بتقييم الثغرات واختبار الاختراق، تُلزَم البنوك والمؤسسات المالية السعودية بإجراء اختبارات اختراق منهجية ضمن برنامج ضمان الأمن السيبراني الشامل. وفيما يلي أبرز المتطلبات والتوجيهات العملية: **دورية الاختبارات:** - اختبارات الاختراق الخارجية: مرة واحدة على الأقل سنوياً، وبعد أي تغيير جوهري في البنية التحتية أو التطبيقات - اختبارات الاختراق الداخلية: مرة واحدة سنوياً على الأقل - تمارين الفريق الأحمر (Red Team): يُوصى بها كل 18 إلى 24 شهراً للمؤسسات ذات البرامج الأمنية الناضجة **نطاق الاختبارات:** يجب أن تشمل الاختبارات الأنظمة المكشوفة على الإنترنت، وتطبيقات الخدمات المصرفية الأساسية، وبيئات SWIFT، وتطبيقات الخدمات المصرفية عبر الهاتف المحمول، والشبكات الداخلية. كما يُعدّ اختبار أمان واجهات برمجة التطبيقات (API) أمراً بالغ الأهمية للشركات المالية التقنية. **مؤهلات مزودي الخدمة:** تشترط هيئة ساما أن تُجرى الاختبارات من قِبَل جهات خارجية مؤهلة تحمل شهادات معترفاً بها مثل OSCP أو CREST أو CEH، أو من خلال فريق داخلي مستقل بما يكفي. ولا يُقبل التقييم الذاتي دون تحقق مستقل. **التوثيق والمعالجة:** يجب توثيق النتائج رسمياً وتصنيفها حسب درجة الخطورة (حرجة/عالية/متوسطة/منخفضة)، مع معالجة الثغرات الحرجة في غضون 15 إلى 30 يوماً. ويجب الاحتفاظ بأدلة المعالجة لأغراض التدقيق. **التوافق مع NCA ECC:** تعزز المادة 2-10 من ضوابط NCA ECC الخاصة باختبار الأمن السيبراني هذه المتطلبات للجهات الخاضعة لإشراف كل من ساما والهيئة الوطنية للأمن السيبراني. **نصيحة عملية:** ادمج نتائج اختبارات الاختراق في سجل المخاطر، وتابعها عبر منصة GRC لإثبات الامتثال المستمر أمام مفتشي ساما خلال المراجعات التنظيمية.

يُعدّ اختبار الاختراق من المتطلبات الأساسية في برامج ضمان الأمن السيبراني للبنوك السعودية، وذلك استناداً إلى ضابط 3.3.7 من إطار SAMA CSF والمجال 2-7 من معيار NCA ECC. **أولاً: التكرار والنطاق** - يُلزم إطار SAMA CSF بإجراء اختبارات اختراق للأنظمة الحرجة مرة واحدة على الأقل سنوياً، مع إجراء اختبارات إضافية عند حدوث تغييرات جوهرية في البنية التحتية. - يشترط معيار NCA ECC تغطية الشبكات الداخلية والتطبيقات المكشوفة للإنترنت والأصول الحرجة. **ثانياً: منهجية الاختبار** - ينبغي اعتماد منهجيات معترف بها كـ PTES وOWASP وTIBER-EU للتمارين المبنية على سيناريوهات تهديد واقعية. - يُوصى بدمج أسلوبَي الصندوق الأسود والصندوق الرمادي وفق درجة حساسية كل أصل. **ثالثاً: مؤهلات المختبِرين** - يجب أن يكون المختبِرون مستقلين، سواء أكانوا فريقاً داخلياً متخصصاً أم جهة خارجية معتمدة. - تشمل الشهادات المعتمدة: OSCP وCEH وCREST، ويُفضَّل أن تكون الجهة المنفِّذة مدرجة ضمن مزودي الخدمة المعتمدين لدى هيئة الاتصالات وتقنية المعلومات. **رابعاً: التقارير والمعالجة** - يجب أن يوثّق التقرير النهائي النتائج وفق مستويات الخطورة، مع تحديد مهل زمنية واضحة للمعالجة؛ إذ تُلزم هيئة ساما بمعالجة الثغرات الحرجة خلال 30 يوماً في الغالب. - يُحتفظ بأدلة المعالجة لأغراض المراجعة والتدقيق. **خامساً: التقارير الرقابية** - قد تطلب هيئة ساما ملخصاً بنتائج الاختبارات خلال جولات الفحص الرقابي. - كما قد تستلزم تقييمات هيئة الاتصالات وتقنية المعلومات تقديم تقارير الاختراق دليلاً على الامتثال لمعيار ECC. **نصيحة عملية:** احرص على ضبط سجل متكامل لاختبارات الاختراق يتضمن النطاق والنتائج ومواعيد المعالجة وأدلة الإغلاق، مما يُيسّر بشكل ملحوظ الاستعداد لدورات الفحص الرقابي.

يحدد تقييم الثغرات ويصنّف نقاط الضعف الأمنية في الأنظمة دون استغلالها فعلياً — يُخبرك بالثغرات الموجودة. أما اختبار الاختراق فيذهب أبعد من ذلك بمحاولة استغلال الثغرات المكتشفة فعلياً لتحديد الأثر الواقعي — يُخبرك بما يمكن للمهاجم تحقيقه فعلاً. لأغراض الامتثال التنظيمي، كلاهما مطلوب في الغالب.

بالنسبة للمؤسسات الخاضعة لرقابة ساما، مرة واحدة كحد أدنى سنوياً لجميع الأنظمة الحيوية. لجهات NCA ECC، مرة سنوياً على الأقل. تُوصي الممارسات المثلى بـ: اختبار اختراق خارجي سنوياً، داخلي سنوياً، لتطبيقات الويب عند كل إصدار رئيسي، تمارين الفريق الأحمر كل 1-2 سنوات، وفحص الثغرات المستمر.

بموجب متطلبات إطار الأمن السيبراني لمؤسسة النقد العربي السعودي (ساما)، تحديداً في محور إدارة الثغرات الأمنية، يتعين على البنوك والمؤسسات المالية إجراء اختبارات الاختراق بصفة منتظمة كجزء من برنامج شامل لإدارة الثغرات. والحد الأدنى المطلوب هو إجراء اختبار اختراق خارجي مرة واحدة سنوياً على الأقل، فيما يُوصى بإجراء الاختبارات الداخلية وتقييمات التطبيقات بنفس الوتيرة أو عند إجراء أي تغيير جوهري على البنية التحتية أو الأنظمة. **أبرز المتطلبات:** **النطاق:** يجب أن يشمل الاختبار الأنظمة المكشوفة للإنترنت، والشبكات الداخلية، والتطبيقات الحيوية بما فيها تطبيقات الجوال والواجهات البرمجية (APIs)، فضلاً عن البنية التحتية السحابية. **المنهجية:** يُوصى باتباع منهجيات معتمدة مثل OWASP وPTES وNIST SP 800-115، ويُستحسن لكبرى البنوك إجراء تمارين الفريق الأحمر لمحاكاة التهديدات المتقدمة. **الكفاءة والاستقلالية:** يجب أن يُنفذ الاختبار متخصصون مؤهلون ومستقلون، سواء من داخل المؤسسة بضمانات الفصل الوظيفي، أو من مزودي خدمات خارجيين مرخصين من الهيئة الوطنية للأمن السيبراني. **التقارير والمعالجة:** يستلزم الاختبار إعداد خطة معالجة رسمية، مع ضرورة معالجة الثغرات الحرجة والعالية الخطورة خلال 30 يوماً، وتوثيق الإجراءات المتخذة لأغراض المراجعة التنظيمية. **التوافق مع متطلبات الهيئة الوطنية للأمن السيبراني:** تشترط المادة 2-7 من الضوابط الأساسية للأمن السيبراني (ECC) إجراء تقييمات تقنية تشمل اختبارات الاختراق، مع تتبع نتائجها في سجل المخاطر الرسمي. **التوصية العملية:** ادمج نتائج اختبارات الاختراق في منصة حوكمة الأمن السيبراني لتحديث تقييمات المخاطر تلقائياً وتوليد تقارير جاهزة للتدقيق التنظيمي.

بموجب متطلبات إطار عمل SAMA CSF، تحديداً في المجال المتعلق بإدارة الثغرات الأمنية (Control 3.3.6)، يُلزَم كل بنك ومؤسسة مالية في المملكة بإجراء اختبارات اختراق دورية ومنهجية ضمن برنامج متكامل لإدارة الثغرات. والحد الأدنى المطلوب هو اختبار سنوي شامل يغطي البيئات الداخلية والخارجية، مع إمكانية طلب اختبارات إضافية عند إجراء تغييرات جوهرية على البنية التحتية أو إطلاق أنظمة جديدة أو في أعقاب الحوادث الأمنية. **أبرز المتطلبات:** **النطاق:** يجب أن تشمل الاختبارات الأصول المكشوفة على الإنترنت، وشبكات الاتصال الداخلية، وتطبيقات الويب، وواجهات API، والأنظمة المصرفية الحيوية كأنظمة الكور بنكينج وبوابات الدفع. **المنهجية:** يُنصح بالاعتماد على منهجيات معترف بها دولياً مثل PTES وOWASP Testing Guide وNIST SP 800-115 لضمان الشمولية والاتساق. **الكفاءة والاستقلالية:** تشترط SAMA أن ينفذ الاختبارات فريق مؤهل ومستقل — سواء كان فريقاً داخلياً يحمل شهادات معتمدة كـ OSCP أو CREST، أو جهة خارجية متخصصة — على أن لا يكون لهم أي دور سابق في بناء الأنظمة المختبرة. **التقارير والمعالجة:** يجب توثيق النتائج بتفصيل كافٍ مع تصنيف المخاطر، وتحليل الأسباب الجذرية، وخطط العلاج. وتُحدد SAMA مهلاً زمنية للمعالجة؛ إذ يجب معالجة الثغرات الحرجة خلال 30 يوماً كحد أقصى. **حفظ الأدلة:** تحتفظ المؤسسات بتقارير الاختبار وأدلة المعالجة لإتاحتها للمراجعين عند الطلب. نصيحة عملية: احرص على مزامنة جدول اختبارات الاختراق مع دورة التقييم الذاتي السنوية لإطار SAMA CSF، حتى تُغذّي نتائج الاختبار مباشرةً سجل المخاطر وتحسين وضع الامتثال.

يُلزم إطار عمل SAMA للأمن السيبراني المؤسسات المالية السعودية بتنفيذ برنامج منظّم لاختبار الاختراق ضمن منظومة ضمان الأمن السيبراني المستمر. إليك أبرز المتطلبات: **الدورية الزمنية:** يجب إجراء اختبارات الاختراق الخارجية مرة واحدة على الأقل سنويًا، مع إلزامية إجراء الاختبار بعد أي تغيير جوهري على الأنظمة الحيوية أو التطبيقات المكشوفة على الإنترنت. كما يُطلب إجراء اختبارات داخلية للشبكة بشكل دوري. **النطاق:** يشمل الاختبار المحيط الخارجي، وشرائح الشبكة الداخلية، وتطبيقات الويب والخدمات المصرفية عبر الجوال، وواجهات برمجة التطبيقات (APIs)، ويمكن تضمين اختبارات الهندسة الاجتماعية. **المنهجية:** يتوقع SAMA اتباع منهجيات معتمدة مثل OWASP أو PTES أو NIST SP 800-115، مع تصنيف الثغرات وفق مستوى المخاطر وتتبع معالجتها. **الجهة المنفِّذة:** يُوصى بالاستعانة بجهات خارجية مستقلة ومؤهلة لضمان الموضوعية، ويمكن أن تُكمل فرق الاختراق الداخلية هذا الجهد دون أن تحل محله. **المعالجة والإبلاغ:** يجب معالجة الثغرات الحرجة والعالية خلال مدد زمنية محددة — عادةً 30 يومًا للثغرات الحرجة — مع رفع التقارير إلى الإدارة العليا ولجنة المخاطر أو التدقيق. **التوافق مع NCA ECC:** تُوجب المادة 2-7 من ضوابط NCA ECC أيضًا إجراء تقييمات الثغرات واختبارات الاختراق للبنية التحتية الحيوية. نصيحة عملية: ضع تقويمًا لاختبارات الاختراق مرتبطًا بدورة إدارة التغيير، بحيث تُستدعى الاختبارات تلقائيًا عند إجراء تغييرات عالية المخاطر.

بموجب إطار SAMA CSF، تحديداً ضمن مجال الضمان الأمني (3.3)، يتعين على البنوك والمؤسسات المالية السعودية إجراء اختبارات اختراق دورية وشاملة. إليك أبرز المتطلبات العملية: **الدورية**: يُجرى اختبار الاختراق الخارجي مرة واحدة على الأقل سنوياً، فيما تستوجب الأنظمة الحساسة المطلّة على الإنترنت إجراء الاختبار كل ستة أشهر أو عقب أي تغيير جوهري في البنية التحتية. **النطاق**: يجب أن يشمل الاختبار البنية التحتية للشبكة، وتطبيقات الويب والموبايل، والأنظمة الداخلية، إضافةً إلى اختبارات الهندسة الاجتماعية التي تحاكي أساليب المهاجمين الفعليين. **المنهجية**: يُستحسن الاستناد إلى منهجيات معتمدة كـ OWASP وPTES وNIST SP 800-115، مع تفضيل أسلوب الصندوق الرمادي لعمقه التحليلي. **الكفاءة المهنية**: يُشترط أن ينفذ الاختبار جهة خارجية مؤهلة أو فريق أحمر داخلي يحمل شهادات معترفاً بها مثل OSCP وCREST وCEH. **المعالجة والتوثيق**: تُعالَج الثغرات الحرجة والعالية خلال 30 إلى 60 يوماً، مع توثيق إجراءات المعالجة لتكون جاهزة للفحص الرقابي. **الإبلاغ للإدارة العليا**: وفق المتطلب 3.1 من SAMA CSF، ترفع النتائج الجوهرية إلى الإدارة العليا أو لجنة مخاطر مجلس الإدارة. احرص كذلك على التوافق مع متطلبات تقييم الثغرات الواردة في المادة 2-4 من NCA ECC لضمان تغطية تنظيمية متكاملة.

تُعدّ اختبارات الاختراق من المتطلبات الجوهرية التي تفرضها كل من هيئة ساما وهيئة الأمن السيبراني الوطني على المؤسسات المالية السعودية. فبموجب الضابط 3.3.7 من إطار SAMA CSF، يجب إجراء هذه الاختبارات بصورة دورية لا تقل عن مرة سنوياً، لتشمل جميع نقاط الدخول الخارجية والداخلية، كتطبيقات الويب، وواجهات API، والبنية التحتية للشبكات، والأنظمة الحساسة. وتُضاف إلى ذلك اشتراطات المادة 3-5 من معيار NCA ECC-1:2018 المتعلقة بتقييم الثغرات ضمن دورة تقييم أمنية مستمرة. على الصعيد العملي، ينبغي أن يشمل برنامج اختبار الاختراق لديكم: • **تحديد النطاق**: يجب تغطية الأصول المرتبطة بالإنترنت، والشبكات الداخلية، وبيئات SWIFT، وتطبيقات الهاتف المتحرك. • **المنهجية**: الاستناد إلى معايير معتمدة كـ PTES وOWASP، مع الأخذ بأسلوب TIBER-EU للاختبارات المبنية على استخبارات التهديد. • **الكوادر المؤهلة**: الاستعانة بمختصين معتمدين من جهات خارجية مستقلة، حاملين لشهادات مثل OSCP أو CREST. • **متابعة المعالجة**: توثيق خطط علاج الثغرات الحرجة والعالية مع تحديد جداول زمنية واضحة، لا تتجاوز 30 يوماً للمشكلات الحرجة وفق توقعات ساما. • **الإفصاح لجهات الحوكمة**: رفع نتائج الاختبارات وحالة المعالجة إلى كبير مسؤولي أمن المعلومات ولجنة مخاطر مجلس الإدارة. تجدر الإشارة إلى أن ضعف برامج اختبار الاختراق من أبرز الثغرات التي تكشفها تقييمات نضج SAMA CSF. ولضمان الاستمرارية والجاهزية للتدقيق، يُنصح بدمج نتائج الاختبارات في سجل المخاطر وبرنامج إدارة الثغرات.

يُلزم إطار الأمن السيبراني لساما (الضابط 3.3.6 المتعلق بإدارة الثغرات، والضابط 3.4.3 المتعلق باختبار الاختراق) المؤسسات المالية السعودية بإجراء اختبارات اختراق منتظمة ومنهجية ضمن برنامج ضمان الأمن السيبراني. **أبرز المتطلبات:** - **الدورية:** يجب إجراء اختبار شامل مرة واحدة على الأقل سنوياً، مع إجراء اختبارات إضافية عند إجراء تغييرات جوهرية على البنية التحتية، أو إطلاق تطبيقات جديدة، أو في أعقاب الحوادث الأمنية. - **النطاق:** يشمل الاختبار الشبكة الخارجية، والشبكة الداخلية، وتطبيقات الخدمات المصرفية الإلكترونية والجوالة، وواجهات برمجة التطبيقات (APIs)، وأنظمة الدفع الحساسة بما فيها بيئات SWIFT. - **المنهجية:** يُنصح باتباع منهجيات معتمدة مثل PTES أو دليل اختبار OWASP أو إطار TIBER-EU الذي بدأت ساما بتبنيه للبنوك ذات الأهمية النظامية. - **المؤهلات:** يجب أن يُنفَّذ الاختبار من قِبل جهات متخصصة مستقلة أو فريق داخلي يتمتع باستقلالية كافية، إذ لا تعتبر ساما أن قيام فريق تقنية المعلومات الداخلي باختبار أنظمته بنفسه يُعدّ امتثالاً كافياً. - **متابعة المعالجة:** يجب تصنيف جميع النتائج حسب درجة الخطورة وتحديد أصحابها وإصلاحها ضمن مهل زمنية محددة، على أن تُعالج النتائج الحرجة خلال 30 يوماً كحد أقصى. - **الإبلاغ:** تُرفع ملخصات النتائج وحالة المعالجة إلى لجنة الأمن السيبراني ولجنة مخاطر مجلس الإدارة سنوياً وفق متطلبات حوكمة إطار ساما. **نصيحة عملية:** احرص على مزامنة جدول اختبارات الاختراق مع دورة التقييم الذاتي لإطار ساما، كما أن المادة 2-9 من ضوابط الأمن السيبراني للهيئة الوطنية للأمن السيبراني (ECC) تُوجب هي الأخرى إجراء تقييمات تقنية دورية، مما يتيح لك تصميم اختبار واحد شامل يُحقق متطلبات الإطارين معاً.

يُلزم إطار عمل الأمن السيبراني لمؤسسة النقد العربي السعودي (ساما) البنوكَ والمؤسسات المالية بإجراء اختبارات اختراق شاملة ودورية، وذلك ضمن برنامج متكامل لإدارة المخاطر السيبرانية. وبحسب الضوابط 3.3.6 و3.3.7 من الإطار، يجب إجراء هذه الاختبارات مرة واحدة على الأقل سنوياً، فضلاً عن إجرائها في كل مرة تطرأ فيها تغييرات جوهرية على الأنظمة أو البنية التحتية الحيوية. يجب أن تشمل نطاق الاختبار: الأصول المكشوفة على الإنترنت، والشبكات الداخلية، وتطبيقات الخدمات المصرفية عبر الويب والجوال، وواجهات برمجة التطبيقات (APIs)، والأنظمة الخلفية الحيوية. ويُشترط أن تُنفَّذ هذه الاختبارات من قِبَل جهات خارجية متخصصة تحمل شهادات معتمدة كـ OSCP أو CREST أو ما يعادلها. بعد كل اختبار، تلتزم المؤسسة بإعداد تقرير تفصيلي بالنتائج وخطة معالجة واضحة المعالم، إذ تُتوقع معالجة الثغرات الحرجة خلال 15 يوماً، والعالية خلال 30 يوماً. كما يُنصح بإعادة الاختبار للتحقق من فاعلية الإصلاحات. على الصعيد العملي، ينبغي لمسؤولي أمن المعلومات (CISOs) دمج اختبارات الاختراق ضمن التقويم الأمني السنوي، وتخصيص ميزانية كافية لها، ورفع نتائجها إلى لجنة المخاطر على مستوى مجلس الإدارة. كما تُعزز مشاركة مؤشرات التهديدات مع ساما ومنصة FINCYBER من مستوى النضج الأمني للمؤسسة.

تُلزم المؤسسات المالية السعودية بإجراء اختبارات اختراق دورية ضمن برنامج إدارة الوضع الأمني الشامل. فبموجب الضابط 3.3.4 من إطار SAMA CSF، يتعين على المؤسسات تنفيذ تقييمات الثغرات التقنية واختبارات الاختراق مرة واحدة على الأقل سنوياً، وكذلك عقب أي تغيير جوهري يطرأ على الأنظمة أو البنية التحتية الحيوية. ويُعزز هذا التوجه المادة 2-14 من معايير NCA ECC التي تُوجب إجراء تمارين الاختراق الأخلاقي للجهات المصنّفة ضمن البنى التحتية الحيوية الوطنية. أبرز المتطلبات العملية: **تحديد النطاق:** يجب أن يشمل الاختبار الأصول الرقمية الخارجية، والشبكات الداخلية، وتطبيقات الصيرفة الإلكترونية والمحمولة، والواجهات البرمجية (APIs)، والأنظمة المرتبطة بشبكة SWIFT، فضلاً عن محاكاة الهندسة الاجتماعية والتصيد الاحتيالي. **المنهجية المعتمدة:** يُستحسن اعتماد أطر عمل معترف بها كـ OWASP وPTES وTIBER-EU مع مراعاة السياق المحلي، بحيث تحاكي الاختبارات التهديدات الحقيقية المستهدفة للقطاع المالي. **مؤهلات مزودي الخدمة:** يُفضّل الاستعانة بجهات اختبار خارجية مستقلة تحمل اعتمادات معترفاً بها مثل CREST أو OSCP، بدلاً من الاعتماد على الفرق الداخلية لضمان موضوعية التقييم. **متابعة الإصلاح:** تُصنَّف النتائج وفق درجة المخاطر، وتُعالج ضمن جداول زمنية محددة—لا تتجاوز 30 يوماً للثغرات الحرجة—مع إجراء اختبارات إعادة تحقق للتأكد من سد الثغرات. **الإفصاح للحوكمة:** تُرفع نتائج الاختبارات إلى مسؤول أمن المعلومات (CISO) ولجنة المخاطر في مجلس الإدارة، مع تتبع الاتجاهات بمرور الوقت. تجدر الإشارة إلى أن شركات التقنية المالية (Fintech) العاملة في البيئة التجريبية لمؤسسة النقد يُنصح بتطبيق هذه الضوابط منذ المراحل الأولى تفادياً لأي فجوات عند الحصول على الترخيص الكامل.

يُلزم إطار SAMA CSF ضمن مجال التشغيل الأمني (Domain 3.3) المؤسساتِ الماليةَ بإجراء اختبارات اختراق دورية كجزء من برنامج شامل لإدارة الثغرات. والحد الأدنى المطلوب هو إجراء هذه الاختبارات مرة واحدة سنوياً على الأقل، مع ضرورة إعادتها عند إجراء أي تغييرات جوهرية على البنية التحتية أو إطلاق تطبيقات جديدة أو في أعقاب الحوادث الأمنية. أبرز المتطلبات: **النطاق:** يجب أن تشمل الاختبارات الأنظمة المكشوفة على الإنترنت، والشبكات الداخلية، وتطبيقات الخدمات المصرفية على الويب والجوال، وواجهات برمجة التطبيقات (APIs). كما يُوصى بشدة بإجراء تمارين الهندسة الاجتماعية. **الكفاءة المهنية:** يجب أن يُنفِّذ الاختبارات متخصصون مؤهلون يحملون شهادات معترفاً بها مثل OSCP أو CEH أو CREST، ويُشترط في المختبرين الخارجيين التحقق من هوياتهم والتوقيع على اتفاقيات سرية صارمة. **المنهجية:** ينبغي أن تتوافق الاختبارات مع أطر OWASP للتطبيقات، وPTES أو NIST SP 800-115 للبنية التحتية. كما تستوجب المادة 2-14 من NCA ECC تصنيف النتائج وفق درجة الخطورة ومعالجتها ضمن مهل زمنية محددة. **المعالجة والتوثيق:** يجب معالجة النتائج الحرجة والعالية خلال 30 يوماً، مع تقديم أدلة موثقة للجنة مخاطر مجلس الإدارة، وتتبع حالة المعالجة في سجل رسمي. **فرق الاختراق المتقدمة (Red Team):** يُشجَّع على تبني تمارين Red Team الموجهة بالتهديدات وفق أطر TIBER-SA أو CBEST للمؤسسات الناضجة أمنياً. منصتنا تُمكّنك من جدولة اختبارات الاختراق وتتبعها وتوثيقها بالكامل ضمن لوحة تحكم GRC موحدة.

بموجب متطلبات إطار SAMA CSF، لا سيما الضابطين 3.3.7 (إدارة الثغرات) و3.3.8 (اختبار الاختراق)، يتعين على البنوك والمؤسسات المالية السعودية تنفيذ برنامج منظم لاختبار الاختراق. وفيما يلي أبرز ما يجب معرفته: **الدورية:** يجب إجراء اختبارات الاختراق الخارجية مرة واحدة على الأقل سنوياً، فيما تُربط الاختبارات الداخلية بأي تغييرات جوهرية في البنية التحتية أو إطلاق تطبيقات حساسة أو عقب وقوع حوادث أمنية. أما الأنظمة عالية المخاطر كمنصات الخدمات المصرفية الإلكترونية وبوابات الدفع، فتستلزم اختبارات أكثر تكراراً. **النطاق:** يشمل الاختبار البنية التحتية للشبكة، والتطبيقات الإلكترونية والجوال، ونقاط نهاية API، والأنظمة الداخلية. كما يُوصى بإجراء تمارين الهندسة الاجتماعية ومحاكاة التصيد الاحتيالي. **المنهجية:** يتوقع SAMA اتباع منهجيات معتمدة مثل OWASP وPTES وNIST SP 800-115، مع إمكانية استخدام نهج الصندوق الأسود أو الرمادي حسب طبيعة النظام. **المختبرون المؤهلون:** يجب أن يُنفّذ الاختبار متخصصون مؤهلون إما من فريق داخلي أو جهة خارجية معتمدة ومدققة، ويُفضل أن يحملوا شهادات مثل OSCP أو CEH أو ما يعادلها. **التقارير والمعالجة:** يُشترط توثيق النتائج في تقرير رسمي مصنّف حسب درجة الخطر، مع الالتزام بجداول زمنية واضحة للمعالجة — عادةً 30 يوماً للثغرات الحرجة. يجب الاحتفاظ بأدلة المعالجة لأغراض المراجعة والتدقيق الرقابي.

اختبار الاختراق ليس مجرد متطلب تقني، بل هو ركيزة أساسية في برامج الضمان الأمني للبنوك السعودية. بموجب الضابط 3.3.6 من إطار SAMA CSF، يُلزَم كل بنك بإجراء اختبارات اختراق منتظمة تشمل البنية التحتية للشبكة، والتطبيقات المتاحة عبر الإنترنت، وواجهات برمجة التطبيقات. ويُضيف معيار NCA ECC في المادة 2-14 اشتراط إجراء هذه الاختبارات مرة على الأقل سنوياً، وكذلك بعد أي تغيير جوهري على الأنظمة الحيوية. من الناحية العملية، يجب أن يشمل برنامج اختبار الاختراق ما يلي: 1. **تغطية شاملة**: تشمل الأنظمة الخارجية والداخلية وأنظمة الوصول المميّز وبنية SWIFT إن وُجدت. 2. **كفاءة المختبرين**: الاستعانة بخبراء معتمدين (OSCP أو CREST) أو شركات متخصصة موثوقة، مع الاحتفاظ بوثائق إثبات الكفاءة للمراجعين. 3. **منهجية موثقة**: الالتزام بمعايير مثل OWASP أو NIST SP 800-115 لضمان نتائج موثوقة وقابلة للمقارنة. 4. **الدورية**: اختبار شامل مرة سنوياً على الأقل، مع تقييمات ربع سنوية للثغرات في الأنظمة عالية الخطورة. 5. **المعالجة وإعادة الاختبار**: يشترط SAMA CSF خطة معالجة موثقة؛ والثغرات الحرجة (CVSS ≥ 9.0) يجب معالجتها خلال 30 يوماً. 6. **رفع التقارير للحوكمة**: تُقدَّم ملخصات النتائج إلى CISO ولجنة مخاطر مجلس الإدارة ضمن دورة الرقابة الأمنية. تجدر الإشارة إلى أن مفتشي SAMA باتوا يتوقعون إجراء تمارين الفريق الأحمر (Red Team) كمؤشر نضج متقدم يتجاوز اختبار الاختراق التقليدي.

يُلزم إطار SAMA للأمن السيبراني البنوكَ والمؤسسات المالية السعودية بإجراء اختبارات اختراق دورية ومنتظمة ضمن برنامج شامل لإدارة الثغرات، وذلك بموجب نطاق المتطلبات 3.3 المتعلق بعمليات الأمن السيبراني. ويُشترط تنفيذ هذه الاختبارات مرة واحدة على الأقل سنوياً، فضلاً عن إجرائها في أعقاب أي تغييرات جوهرية على البنية التحتية أو إطلاق تطبيقات رئيسية أو تعديلات مادية على هيكل الشبكة. يجب أن تشمل الاختبارات الأصول المكشوفة خارجياً، وشرائح الشبكة الداخلية، وتطبيقات الخدمات المصرفية الإلكترونية والجوّالة، والأنظمة الخلفية الحيوية. وبالنسبة للمؤسسات ذات الأهمية النظامية، ينبغي أن تتوافق الاختبارات مع إرشادات TIBER-SA لمحاكاة أساليب التهديدات المتقدمة المستمرة (APT). من الناحية العملية، ينبغي أن يتضمن برنامج اختبار الاختراق لديك: 1. الاستعانة بمختبرين معتمدين من CREST أو ما يعادلها. 2. إعداد تقرير رسمي يُرفع إلى الإدارة العليا ولجنة مخاطر مجلس الإدارة. 3. متابعة خطط المعالجة عبر منصة GRC مع توثيق إغلاق الثغرات. 4. إدراج النتائج في سجل المخاطر ودورة الاستخبارات التهديدية. كما يؤكد إطار NCA ECC-1:2018 في المادة 2-13 على ضرورة إجراء تقييمات تقنية دورية. ويُعدّ الاحتفاظ بالأدلة الموثقة لدورات الاختبار وإجراءات المعالجة أمراً بالغ الأهمية لتجنب التبعات الرقابية من ساما.

بموجب الضابط 3.3.7 من إطار الأمن السيبراني لساما الخاص بتقييم الثغرات واختبار الاختراق، يُلزَم البنوك والمؤسسات المالية السعودية بتنفيذ برنامج منظم لاختبار الاختراق ضمن منظومة ضمان الأمن السيبراني. أبرز المتطلبات: **الدورية**: يجب إجراء اختبارات الاختراق الخارجية مرة على الأقل سنوياً، فيما ينبغي أن تتزامن الاختبارات الداخلية مع أي تغييرات جوهرية في البنية التحتية أو إطلاق أنظمة جديدة. **النطاق**: يشمل الاختبار الأنظمة المكشوفة للإنترنت، والشبكات الداخلية، وتطبيقات الويب، والواجهات البرمجية (APIs)، وتطبيقات الخدمات المصرفية عبر الهاتف المحمول، إضافةً إلى تقييمات الهندسة الاجتماعية. **المنهجية**: ينبغي الاستناد إلى أطر معتمدة كـ PTES وOWASP وNIST SP 800-115، مع تصاعد توقعات ساما بإجراء تمارين الفريق الأحمر للبنوك الكبرى. **الاستقلالية**: تشترط ساما أن يُنفَّذ الاختبار من قِبَل جهة خارجية مؤهلة ومستقلة، تحمل شهادات معترفاً بها كـ OSCP أو CREST أو ما يعادلها. **التقارير والمعالجة**: يجب توثيق النتائج وتصنيفها حسب مستوى الخطر، وعرضها على الإدارة العليا، مع التزام بجداول زمنية للمعالجة لا تتجاوز 30 يوماً للثغرات الحرجة و90 يوماً للعالية. كذلك يجب مراعاة متطلبات المادة 2-14 من ضوابط الأمن السيبراني للهيئة الوطنية للأمن السيبراني المتعلقة بإدارة الثغرات التقنية.

تُلزم كل من متطلبات SAMA CSF (الضابط 3.3.3) ومتطلبات NCA ECC (النطاق 2-7) المؤسساتِ المالية السعوديةَ بتطبيق برنامج منظم لاختبار الاختراق. إليك أبرز ما يجب مراعاته: **التكرار والنطاق:** يجب إجراء اختبارات الاختراق الداخلية والخارجية مرة واحدة على الأقل سنوياً، وعقب أي تغيير جوهري في البنية التحتية. ويشمل النطاق الأنظمة المكشوفة للإنترنت والشبكات الداخلية وأنظمة الحوسبة المركزية والتطبيقات وواجهات برمجة التطبيقات (APIs). **المنهجية المعتمدة:** يُستلزم اتباع منهجيات معترف بها كـ OWASP أو PTES أو NIST SP 800-115، وتُوصى البنوك الكبرى بإجراء تمارين الفريق الأحمر لمحاكاة التهديدات المتقدمة المستمرة (APT). **متطلبات مزود الخدمة:** يجب أن يحمل المختبرون شهادات معتمدة (OSCP أو CEH أو CREST)، وأن يكونوا مستقلين عن فريق تقنية المعلومات الداخلي، مع إخضاعهم لعملية إدارة مخاطر الأطراف الثالثة. **التقارير والمعالجة:** تُصنَّف نتائج الاختبارات وفق مستويات المخاطر، وتُعالَج الثغرات الحرجة والعالية خلال 30 و90 يوماً على التوالي، مع توثيق الإجراءات التصحيحية وإثباتها. **التوثيق للجهات الرقابية:** يُحتفظ بتقارير الاختبارات وسجلات المعالجة لمدة لا تقل عن خمس سنوات، إذ تطلبها هيئة ساما بانتظام خلال عمليات التفتيش. وللارتقاء ببرنامج الاختبار، يُنصح بدمج النتائج في سجل المخاطر المؤسسي وتوظيفها في تحسين برامج التوعية الأمنية ومراجعات بنية الأنظمة.

يُلزم إطار SAMA CSF — تحديداً الضابطة 3.3.5 الخاصة بإدارة الثغرات، والضابطة 3.4 المتعلقة باختبارات الاختراق — البنوكَ والمؤسساتِ المالية السعودية بإجراء اختبارات اختراق منهجية ودورية، وكذلك عند إجراء تغييرات جوهرية على البنية التقنية. **الحد الأدنى لتكرار الاختبارات:** - اختبار الاختراق الخارجي: مرة واحدة على الأقل سنوياً - اختبار الشبكة الداخلية: مرة واحدة سنوياً على الأقل - اختبار طبقة التطبيقات (ويب، موبايل، API): بعد كل إصدار رئيسي أو تغيير جوهري في الكود - تمارين الفريق الأحمر (Red Team): يُوصى بها كل 18 إلى 24 شهراً للمؤسسات من الفئة الأولى **نطاق الاختبار:** يجب أن تشمل الاختبارات جميع الأنظمة الحيوية، من بينها: منصات الخدمات المصرفية الأساسية، وبوابات الخدمات الإلكترونية، والتطبيقات المحمولة، وواجهات شبكة SWIFT، وبوابات الدفع. ويعزز ذلك نظام NCA ECC في المادة 2-4-1، الذي يشترط إجراء تقييمات الثغرات وتمارين الاختراق الأخلاقي بوصفها جزءاً من منظومة الأمن السيبراني المستمرة. **توجيهات عملية:** 1. الاستعانة بشركات اختبار معتمدة من CREST أو ما يعادلها 2. الحصول على موافقة رسمية من CISO على النطاق قبل بدء الاختبار 3. توثيق جميع النتائج في سجل معالجة مُصنَّف حسب درجة المخاطرة 4. معالجة الثغرات الحرجة خلال 30 يوماً، والعالية خلال 90 يوماً وفق توقعات SAMA 5. الاحتفاظ بتقارير الاختبار لمدة لا تقل عن 5 سنوات لأغراض التدقيق **إعادة الاختبار:** تشترط SAMA التحقق الفعلي من المعالجة، إذ لا يكفي مجرد إغلاق التذاكر، بل يُطلب إجراء اختبار إعادة رسمي أو توثيق ضوابط تعويضية. ويجب دمج نتائج الاختبارات في سجل المخاطر ورفع النتائج الجوهرية إلى لجنة المخاطر على مستوى مجلس الإدارة.

بموجب ضابط SAMA CSF رقم 3.3.7، تُلزَم البنوك والمؤسسات المالية السعودية بإجراء اختبارات اختراق دورية ضمن برنامج إدارة الثغرات الأمنية. ويشترط الإطار كحدٍّ أدنى إجراء اختبار اختراق خارجي وداخلي سنوياً، مع إجراء اختبارات إضافية عند حدوث تغييرات جوهرية في البنية التحتية أو إطلاق تطبيقات جديدة أو في أعقاب الحوادث الأمنية. عملياً، تُجري معظم المؤسسات المالية الناضجة ما يلي: - **اختبارات اختراق الشبكة الخارجية**: مرة على الأقل سنوياً، وتستهدف الأصول المكشوفة على الإنترنت وواجهات API والخدمات المصرفية المفتوحة. - **اختبارات الشبكة الداخلية**: سنوياً أو عند إجراء تغييرات كبيرة على بنية الشبكة. - **اختبار تطبيقات الويب والهاتف المحمول**: وفق SAMA CSF 3.3.6، يجب اختبار التطبيقات الحيوية كأنظمة الصيرفة الأساسية والتطبيقات المصرفية سنوياً على الأقل أو قبيل الإصدارات الكبرى. - **تمارين الفريق الأحمر**: يُوصى بها كل عامين للبنوك من الفئة الأولى لمحاكاة التهديدات المتقدمة المستمرة. يجب أن تُجرى الاختبارات من قِبل جهات خارجية مؤهلة ومستقلة، ويُفضَّل أن تكون معتمدة من CREST أو تحمل شهادات معادلة معترفاً بها لدى ساما. وينبغي توثيق النتائج رسمياً وتصنيفها حسب المخاطر ومعالجتها ضمن جداول زمنية محددة. من أبرز الثغرات التي تُكشف خلال التدقيق: غياب إعادة الاختبار بعد المعالجة. لذا احرص على أن يتضمن برنامجك دورة تحقق رسمية، ودمج نتائج اختبارات الاختراق في سجل المخاطر وتقارير مجلس الإدارة لإظهار نضج الحوكمة.

تُعدّ اختبارات الاختراق ركيزةً أساسية في برامج ضمان الأمن السيبراني للمؤسسات المالية السعودية. فبموجب المتطلب 3.3.5 من إطار SAMA CSF، يُلزَم الأعضاء بإجراء اختبارات اختراق دورية تشمل الأنظمة الحيوية والتطبيقات والبنية التحتية للشبكات، وذلك للكشف عن الثغرات القابلة للاستغلال قبل أن تُستهدف من قِبل المهاجمين. كذلك تُعزّز المادة 2-13 من معايير NCA ECC هذا التوجه، إذ تُوجب إجراء تقييمات تقنية دورية تشمل تمارين الفريق الأحمر وتقييمات الثغرات للجهات المصنّفة ضمن البنى التحتية الحيوية الوطنية. ومن أبرز المتطلبات العملية: - **الدورية الزمنية**: إجراء اختبار شامل مرة على الأقل سنوياً، مع إجراء اختبارات إضافية عند إجراء تغييرات جوهرية على الأنظمة. - **نطاق الاختبار**: يجب أن يشمل تطبيقات الويب، وواجهات برمجة التطبيقات (APIs)، والشبكات الداخلية، وبيئات Active Directory، وواجهات SWIFT عند الاقتضاء. - **كفاءة المختبِرين**: يُفضَّل الاستعانة بمحترفين معتمدين أو شركات متخصصة حاصلة على اعتمادات معترف بها. - **متابعة المعالجة**: يجب توثيق خطط معالجة الثغرات الحرجة والعالية الخطورة ضمن جداول زمنية محددة. - **إعداد التقارير للإدارة العليا**: يُلزم SAMA CSF بتقديم نتائج الاختبارات وحالة المعالجة إلى الإدارة العليا ولجنة المخاطر في مجلس الإدارة. يُنصح أيضاً بتضمين اختبارات الهندسة الاجتماعية وسيناريوهات التصيد الاحتيالي لتقييم مستوى الوعي البشري، مع الحرص على توثيق سجل شامل لنتائج الاختبارات لتسهيل عمليات الرقابة التنظيمية.

يُعدّ اختبار الاختراق ركيزةً أساسية في برامج ضمان الأمن السيبراني بالمؤسسات المالية السعودية. فبموجب المتطلب 3.3.9 من إطار SAMA CSF، يتعين على المؤسسات إجراء اختبارات اختراق دورية تشمل الشبكات الداخلية، والأنظمة الخارجية، وتطبيقات الويب، والبنية التحتية الحيوية، وذلك بحد أدنى مرة سنوياً، أو عقب أي تغيير جوهري في الأنظمة. على صعيد NCA ECC، تُلزم المادة 3.3 المؤسسات المصنّفة ضمن البنية التحتية الوطنية الحيوية بإجراء هذه الاختبارات بصفة منتظمة، مع تتبع نتائجها حتى المعالجة الكاملة — وكثيراً ما تُجرى بشكل نصف سنوي للبنوك الكبرى. إليك أبرز التوجيهات العملية لفرق الامتثال: 1. **توسيع نطاق الاختبار**: ليشمل أنظمة الخدمات المصرفية الأساسية، وبوابات الدفع، وواجهات برمجة التطبيقات (APIs)، والتطبيقات المصرفية، والبيئات السحابية. 2. **الاستعانة بجهات معتمدة**: يُفضّل التعاقد مع مختبرين يحملون شهادات معترفاً بها مثل OSCP أو CREST، أو من تعتمدهم الهيئة الوطنية للأمن السيبراني. 3. **توثيق قواعد التعامل**: يجب تحديد النطاق والجداول الزمنية وجهات الاتصال الطارئة قبل بدء الاختبار. 4. **متابعة المعالجة**: يشترط SAMA CSF إثبات أن الثغرات الحرجة تُعالج ضمن مهل محددة، عادةً خلال 30 يوماً. 5. **الإفصاح لمستوى الحوكمة**: تُرفع ملخصات النتائج إلى لجنة المخاطر بمجلس الإدارة أو المسؤول الأول عن أمن المعلومات. كما تتزايد توقعات المنظمين من البنوك الكبرى في إجراء تمارين الفرق الحمراء (Red Team) لمحاكاة التهديدات المتقدمة المستمرة (APT)، مما يُعزز ثقة الجهات الرقابية في مستوى نضج برنامج الأمن السيبراني.

يُعدّ اختبار الاختراق أحد المتطلبات الإلزامية في كلٍّ من SAMA CSF وNCA ECC، وعلى المؤسسات المالية السعودية الالتزام بمعايير محددة تتعلق بالنطاق والتكرار وإعداد التقارير. **متطلبات SAMA CSF (الضابط 3.3.5 – إدارة الثغرات)** تشترط هيئة ساما إجراء اختبارات اختراق داخلية وخارجية مرة واحدة على الأقل سنوياً، وكذلك بعد أي تغييرات جوهرية على البنية التحتية. ويجب أن تشمل الاختبارات: البنية التحتية للشبكة، وتطبيقات الويب، وتطبيقات الهاتف المحمول، وواجهات برمجة التطبيقات (APIs)، والأنظمة الداخلية الحيوية. **متطلبات NCA ECC (ECC-1: 2-5)** يُلزم إطار NCA ECC بإجراء تقييمات منتظمة للثغرات واختبارات اختراق ضمن برنامج ضمان الأمن. وقد تخضع المؤسسات المرتبطة بالجهات الحكومية لإرشادات الإطار الوطني لاختبار الاختراق (NPTF). **النطاق الموصى به للبنوك والشركات المالية:** - اختبار الاختراق الخارجي للأصول المكشوفة على الإنترنت - اختبار تجزئة الشبكة الداخلية - اختبار تطبيقات الويب والجوال وفق معايير OWASP - اختبار أمان واجهات API للخدمات المصرفية المفتوحة - محاكاة الهندسة الاجتماعية والتصيد الاحتيالي - تقييم أمان أجهزة الصراف الآلي ونقاط البيع **الجدول الزمني الموصى به:** - اختبار اختراق شامل: سنوياً كحد أدنى - اختبار التطبيقات الحيوية: بعد كل إصدار رئيسي - فحص الثغرات: شهرياً أو ربع سنوياً - تمارين الفريق الأحمر: كل 18-24 شهراً للمؤسسات الكبرى **التقارير والمعالجة:** يجب الاحتفاظ بتقارير الاختبارات وإتاحتها للمراجعين. وتُعالَج الثغرات الحرجة خلال 30 يوماً، والثغرات عالية الخطورة خلال 90 يوماً مع توثيق الإغلاق. **نصيحة عملية:** تأكد من اعتماد الجهة المنفذة للاختبار (مثل اعتماد CREST) وإبرام وثيقة قواعد التعامل قبل بدء الاختبار لحماية جميع الأطراف قانونياً.

يُلزم إطار SAMA CSF تحت نطاق العمليات الأمنية (3.3) البنوكَ السعودية بإجراء اختبارات اختراق دورية ضمن برنامج شامل لإدارة الثغرات. وفيما يلي أبرز المتطلبات: **الدورية الزمنية:** - اختبار الاختراق الخارجي: مرة واحدة على الأقل سنوياً، وعقب أي تغيير جوهري في البنية التحتية - اختبار الاختراق الداخلي: مرة واحدة على الأقل سنوياً - الأنظمة الحيوية كالأنظمة المصرفية الأساسية وبوابات الدفع: يُوصى بالاختبار كل ستة أشهر - اختبار تطبيقات الويب: قبل أي إصدار رئيسي وسنوياً بعد ذلك **نطاق الاختبارات:** يجب أن تشمل الاختبارات البنية التحتية للشبكات، والتطبيقات، وواجهات برمجة التطبيقات (APIs)، فضلاً عن سيناريوهات الهندسة الاجتماعية. كما يُشجَّع على إجراء تمارين الفريق الأحمر للمؤسسات الكبرى. **المعايير المعتمدة:** تتوقع هيئة SAMA أن تتبع الاختبارات منهجيات معترفاً بها مثل OWASP وPTES وNIST SP 800-115، وأن يحمل المختبرون شهادات معتمدة كـ OSCP أو CREST. **متطلبات المعالجة:** يجب معالجة الثغرات الحرجة والعالية الخطورة ضمن جداول زمنية محددة، لا تتجاوز 15 يوماً للثغرات الحرجة، مع توثيق جميع النتائج وتقديمها عند الطلب. **التقارير:** يجب مراجعة تقرير الاختراق من قِبل الإدارة العليا والـ CISO، وتوثيق قبول المخاطر المتبقية رسمياً. تجدر الإشارة إلى أن المادة 2-7 من إطار NCA ECC تفرض متطلبات مماثلة، ويُنصح بمواءمة كلا الإطارين في جدول اختبار موحد لتقليل التكرار وضمان التغطية الشاملة.

يُلزم إطار الأمن السيبراني لساما (SAMA CSF) المؤسسات المالية بإجراء اختبارات اختراق دورية ومنهجية بوصفها ركيزة أساسية في برنامج إدارة الثغرات الأمنية. **الدورية والنطاق:** - يجب إجراء اختبارات الاختراق الخارجية والداخلية مرة واحدة على الأقل سنوياً - كما يُستوجب إجراؤها بعد أي تغييرات جوهرية في البنية التحتية أو إطلاق تطبيقات رئيسية أو في أعقاب أي حادثة أمنية - يجب أن يشمل النطاق الأنظمة المتصلة بالإنترنت والشبكات الداخلية وتطبيقات الصيرفة الأساسية والقنوات الرقمية **المنهجية والمعايير:** - ينبغي الاستناد إلى منهجيات معتمدة مثل OWASP وPTES وOSSTMM - يُشجع على إجراء تمارين الفريق الأحمر للمؤسسات ذات النضج الأمني العالي لمحاكاة التهديدات المتقدمة المستمرة - يُعزز ضابط NCA ECC 2-5-3 هذه المتطلبات من خلال التأكيد على أهمية التقييمات التقنية الدورية **متطلبات مزود الخدمة:** - تشترط ساما أن يُنفَّذ الاختبار من قِبل جهات مستقلة ومؤهلة، إذ لا يكفي الاعتماد على الفريق الداخلي وحده كدليل امتثال - يُفضَّل أن يحمل المختبرون شهادات معتمدة كـ OSCP أو CREST أو CEH **المعالجة وإعداد التقارير:** - يجب معالجة الثغرات الحرجة والعالية الخطورة ضمن مهل زمنية محددة، وعادةً لا تتجاوز 30 يوماً للثغرات الحرجة - يجب توثيق عملية المتابعة والاحتفاظ بالأدلة لأغراض الفحص الرقابي - يُعدّ إعادة الاختبار للتحقق من فاعلية الإصلاحات متطلباً إلزامياً **نصيحة عملية:** ادمج نتائج اختبارات الاختراق في سجل المخاطر وقدّمها للجنة المخاطر على مستوى مجلس الإدارة لإثبات التوافق مع متطلبات الحوكمة في النطاق الثالث من إطار SAMA CSF.

بموجب ضوابط إطار الأمن السيبراني لمؤسسة النقد العربي السعودي (SAMA CSF)، لا سيما الضابط 3.3.4 المتعلق بإدارة الثغرات والضابط 3.3.5 الخاص باختبار الاختراق، يتعين على البنوك والمؤسسات المالية في المملكة إجراء اختبارات اختراق منتظمة وشاملة ضمن برنامج تقييم أمني رسمي قائم على المخاطر. من أبرز المتطلبات التي يجب مراعاتها: **التكرار:** يشترط SAMA إجراء اختبار اختراق خارجي وداخلي مرة واحدة على الأقل سنوياً، مع ضرورة إعادة الاختبار عند إجراء تغييرات جوهرية على البنية التحتية أو إطلاق منتجات جديدة. **النطاق:** يجب أن يشمل الاختبار البنية التحتية للشبكة، وتطبيقات الويب، ومنصات الخدمات المصرفية عبر الجوال، وواجهات برمجة التطبيقات (APIs)، فضلاً عن بيئات SWIFT التي تستوجب اختبارات مستقلة وفق ضوابط SWIFT CSCF. **المنهجية:** يُنصح باتباع أطر معترف بها دولياً مثل PTES وOWASP وOSSTMM، مع تغطية سيناريوهات الصندوق الأسود والرمادي. **الكفاءة والاستقلالية:** يجب أن يُنفَّذ الاختبار من قِبل جهات خارجية مستقلة أو فريق داخلي متخصص يحمل شهادات معتمدة كـ OSCP أو CREST، على أن يكون مستقلاً تماماً عن فرق تطوير الأنظمة المُختبَرة. **التقارير والمعالجة:** تُصنَّف النتائج وفق مستويات الخطورة، وتُعالج الثغرات الحرجة خلال 30 يوماً والعالية خلال 90 يوماً، مع الاحتفاظ بسجلات المعالجة لأغراض التدقيق. **الإفصاح للإدارة:** تُرفع نتائج اختبارات الاختراق وحالة المعالجة إلى الإدارة العليا ولجنة مخاطر مجلس الإدارة بصفة دورية. كما يتوافق هذا البرنامج مع متطلبات المادة 2-11 من ضوابط الأمن السيبراني للجهات الحكومية (NCA ECC). المؤسسة الناضجة لا تعتبر اختبار الاختراق مجرد التزام شكلي، بل أداة استخباراتية دفاعية مستمرة.

يُلزم إطار SAMA CSF في المتطلب 3.3.7 جميع البنوك والمؤسسات المالية بإجراء اختبارات اختراق دورية ضمن برنامج إدارة الثغرات والمرونة السيبرانية. وتشمل المتطلبات الأساسية ثلاثة محاور: أولاً، إجراء اختبار سنوي شامل يغطي الشبكات الخارجية والداخلية والتطبيقات والواجهات البرمجية؛ وثانياً، إجراء اختبارات مستهدفة عقب أي تغيير جوهري في البنية التحتية أو إطلاق تطبيق جديد؛ وثالثاً، تنفيذ تمارين الفريق الأحمر مرة كل سنتين على الأقل للمؤسسات من الفئة الأولى. يجب أن يتولى الاختبار مزودون خارجيون مؤهلون أو فرق داخلية معتمدة بشهادات مثل OSCP أو CREST. كما يجب أن تتوافق المنهجية المُتبعة مع معايير OWASP وPTES. أما الثغرات عالية الخطورة فيجب معالجتها خلال 30 إلى 90 يوماً بحسب درجة المخاطرة، مع توثيق الإجراءات التصحيحية. ويُعزز المادة 2-14 من NCA ECC هذه المتطلبات بإلزام المؤسسات بالتقييمات التقنية الدورية. وتدعم منصتنا هذه العملية من خلال تتبع النتائج آلياً وإصدار تقارير متوافقة مع متطلبات SAMA، مع الحفاظ على سجل تدقيق كامل جاهز للمراجعة التنظيمية.

تتطلب ضوابط الأمن السيبراني السحابية (CCC) من الجهات الحكومية السعودية: الحصول على موافقة الهيئة الوطنية قبل اعتماد الخدمات السحابية؛ استخدام مزودي خدمات سحابية معتمدين من الهيئة الوطنية فحسب؛ تطبيق نموذج المسؤولية المشتركة؛ الحفاظ على سيادة البيانات للبيانات المصنفة؛ تطبيق التشفير للبيانات في حالة الراحة والنقل؛ تطبيق أمن الوصول السحابي والمراقبة.

تُشكّل الحوسبة السحابية في المؤسسات المالية السعودية تحدياً تنظيمياً مزدوجاً، إذ تتقاطع فيها متطلبات إطار SAMA للأمن السيبراني مع ضوابط NCA ECC. فبموجب المادة 2-10 من NCA ECC الخاصة بأمن الحوسبة السحابية، يُلزَم كل كيان بإجراء تقييم رسمي للمخاطر قبل أي هجرة سحابية، وتصنيف البيانات وفق درجة حساسيتها، والتأكد من أن البيانات الحرجة والحساسة تُستضاف داخل المملكة العربية السعودية ما لم تُمنح موافقة تنظيمية صريحة على نقلها عبر الحدود. ويُعزز SAMA هذا التوجه من خلال إطار الحوسبة السحابية الخاص به الذي يشترط الحصول على موافقة مسبقة قبل نقل أي أعباء عمل بنكية جوهرية إلى السحابة العامة. من الناحية التقنية، تشمل الضوابط المطلوبة: التشفير الكامل للبيانات في حالة السكون والنقل، وتفعيل المصادقة متعددة العوامل، ومراقبة الوضع الأمني السحابي باستمرار، وتوثيق نموذج المسؤولية المشتركة بوضوح. أما على صعيد PDPL، فإن نقل البيانات الشخصية خارج المملكة يستلزم توافر ضمانات كافية. تُوفر منصتنا لوحة تحكم موحدة تربط ضوابط السحابة لديك بمتطلبات SAMA وNCA ECC وتكشف الثغرات الامتثالية بشكل فوري.

يخضع اعتماد الحوسبة السحابية في المؤسسات المالية السعودية لمنظومة تنظيمية متعددة الطبقات تجمع بين متطلبات هيئة الاتصالات وتقنية المعلومات (NCA) والبنك المركزي السعودي (SAMA). على صعيد **متطلبات NCA ECC**، لا سيما المادتين 2 و3 والضوابط الخاصة بالسحابة، يُشترط أن تُخزَّن البيانات المصنّفة بمستوى 'وطني' أو 'حساس' داخل المملكة العربية السعودية أو في بيئات سحابية سيادية معتمدة، مع إجراء تقييم رسمي للمخاطر قبل أي ترحيل وصون سجل شامل بأصول السحابة. أما **متطلبات SAMA CSF السحابية**، فتستوجب التحقق من امتثال مزود الخدمة السحابية لمعايير ISO 27001 وSOC 2 Type II وCSA STAR، مع ضمان حق التدقيق في العقود. **الضوابط التقنية الإلزامية** تشمل: (1) تشفير البيانات أثناء التخزين والنقل بمعيار AES-256 وبروتوكول TLS 1.2 كحد أدنى؛ (2) إدارة الهويات والصلاحيات مع تطبيق المصادقة متعددة العوامل على جميع الحسابات ذات الصلاحيات العالية؛ (3) أدوات إدارة وضعية الأمن السحابي (CSPM) لاكتشاف الإعدادات الخاطئة لحظياً؛ (4) تقسيم الشبكة وعزل البيئات داخل السحابة؛ (5) تسجيل الأحداث ودمجها مع منصة SIEM مع الاحتفاظ بالسجلات لمدة 12 شهراً كحد أدنى؛ (6) ضوابط منع تسرب البيانات (DLP)؛ (7) إدارة منتظمة لثغرات أعباء العمل السحابية. **ملاحظة عملية:** معظم البنوك والشركات التقنية المالية تعتمد على منصات AWS وAzure وGoogle Cloud عبر مناطقها داخل المملكة، وهذا يلبّي متطلب الإقامة الجغرافية للبيانات، لكنك تبقى مسؤولاً عن سد الثغرات في نموذج المسؤولية المشتركة.

نعم، لكن بشروط. يسمح ساما للمؤسسات المالية باستخدام السحابة العامة بشرط: إجراء تقييم مخاطر السحابة؛ ضمان متطلبات إقامة البيانات للبيانات الحساسة للعملاء؛ تطبيق ضوابط وصول وتشفير مناسبة؛ الحفاظ على قدرات الإبلاغ التنظيمي؛ امتلاك استراتيجية خروج واضحة؛ واستخدام مزودي سحابة معتمدين من ساما أو معترف بهم دولياً مع مراكز بيانات محلية في المملكة.

تخضع المؤسسات المالية السعودية التي تعتمد الحوسبة السحابية لمتطلبات تنظيمية متشابكة من ثلاث جهات رئيسية: **أولاً – NCA ECC (ضوابط أمن السحابة، المجال الرابع):** تُلزم المادة 4-2 من الإطار المؤسساتِ المصنفة ضمن البنية التحتية الحيوية — بما فيها المؤسسات المالية — بتصنيف بيئات السحابة وتطبيق ضوابط تشمل سيادة البيانات وإدارة الهوية والتشفير والاستجابة للحوادث، مع ضمان امتثال مزودي الخدمة السحابية أنفسهم لهذه الضوابط. **ثانياً – إرشادات ساما للحوسبة السحابية:** تشترط ساما الحصول على موافقة خطية مسبقة قبل نقل الأنظمة الحيوية أو بيانات العملاء إلى السحابة، وتخزين البيانات المالية داخل المملكة أو في دول توفر مستوى حماية مكافئاً، مع الحفاظ على قدرات الاستمرارية والتعافي من الكوارث. **قائمة المتطلبات التطبيقية:** - تصنيف البيانات وفق مستويات الحساسية المنصوص عليها في PDPL قبل الترحيل - استخدام تشفير معتمد بمعيار FIPS 140-2 للبيانات المخزنة والمنقولة - تطبيق إدارة الهوية والوصول المتميز (IAM/PAM) - اعتماد أدوات إدارة وضع أمن السحابة (CSPM) للكشف المستمر عن الثغرات - تضمين عقود مزودي الخدمة بنوداً واضحة للخروج وقابلية نقل البيانات - ربط ضوابط السحابة بمستويات نضج SAMA CSF لأغراض التقييم الذاتي مع تسارع تبني الحوسبة السحابية في القطاع المالي السعودي — لا سيما مع إنشاء كبرى الشركات كـ AWS وAzure وGoogle Cloud لمناطق محلية — يبقى الحصول على الموافقة التنظيمية المسبقة شرطاً غير قابل للتجاوز. ويُسهم الاستعانة بمنصة GRC أو vCISO متخصص في تضمين متطلبات الامتثال في صميم استراتيجية السحابة منذ البداية.

يتطلب الإطار السيبراني لساما من المؤسسات المالية تنفيذ برامج شاملة لإدارة مخاطر الأطراف الثالثة، بما في ذلك العناية الواجبة للموردين والمراقبة المستمرة والمتطلبات الأمنية التعاقدية. تفرض معايير الهيئة الوطنية للأمن السيبراني على المنظمات الاحتفاظ بسجل للأطراف الثالثة التي لديها وصول إلى الأنظمة الحرجة والتأكد من استيفائها للحد الأدنى من معايير الأمن السيبراني. تساعدك خدماتنا على إنشاء أطر متوافقة لمخاطر الأطراف الثالثة تلبي متطلبات كلا الجهتين التنظيميتين، بما في ذلك تقييمات الموردين والاستبيانات الأمنية والمراقبة المستمرة للمخاطر بما يتماشى مع الأنظمة السعودية.

نقدم تقييمات شاملة لمخاطر الأطراف الثالثة تضمن امتثال الموردين الذين يعالجون البيانات الشخصية لمتطلبات نظام حماية البيانات الشخصية، بما في ذلك اتفاقيات معالجة البيانات وضوابط النقل عبر الحدود وإجراءات الإخطار بالاختراقات. تشمل خدماتنا تقييمات أمن الموردين وتحليل تأثير الخصوصية ومراجعة العقود لضمان بنود الامتثال لنظام حماية البيانات الشخصية والمراقبة المستمرة لممارسات التعامل مع البيانات من قبل الأطراف الثالثة. نساعدك على إنشاء نهج قائم على المخاطر لإدارة الموردين يحمي البيانات الشخصية عبر سلسلة التوريد مع الوفاء بالتزامات حماية البيانات السعودية.

مع تبني المنظمات السعودية للتحول الرقمي في إطار رؤية 2030، فإنها تعتمد بشكل متزايد على الخدمات السحابية وشركاء التقنية المالية وموردي التكنولوجيا، مما يجعل إدارة مخاطر الأطراف الثالثة أمراً بالغ الأهمية للابتكار الآمن. يتيح لك برنامج قوي لمخاطر الأطراف الثالثة تبني التقنيات والشراكات الجديدة بثقة مع الحفاظ على معايير الأمن والامتثال. نساعدك على بناء أطر قابلة للتوسع لمخاطر الموردين تسرّع المبادرات الرقمية وتضمن مرونة سلسلة التوريد وتحمي سمعة منظمتك بينما تساهم في نمو الاقتصاد الرقمي للمملكة العربية السعودية.

بموجب الضوابط الأساسية للأمن السيبراني للهيئة الوطنية للأمن السيبراني وإطار الأمن السيبراني لمؤسسة النقد العربي السعودي، يجب على المؤسسات الإبلاغ عن حوادث الأمن السيبراني ضمن أطر زمنية محددة. يجب الإبلاغ عن الحوادث الحرجة التي تؤثر على البنية التحتية الحيوية أو الخدمات المالية إلى الهيئة الوطنية للأمن السيبراني في غضون ساعة واحدة من اكتشافها، مع تقديم تقارير مفصلة خلال 72 ساعة. كما يجب على الجهات الخاضعة لتنظيم ساما إخطار المؤسسة بأي حوادث تؤثر على الأنظمة المالية أو بيانات العملاء أو استمرارية العمل فوراً عند اكتشافها.

نقدم حلول شاملة للإبلاغ عن الحوادث مصممة خصيصاً لتلبية المتطلبات التنظيمية السعودية بما في ذلك أطر الهيئة الوطنية للأمن السيبراني وساما. تشمل خدماتنا تطوير مصفوفات تصنيف الحوادث، وإنشاء سير عمل آلي للإبلاغ، وإعداد قوالب الاتصال للإخطارات التنظيمية، وتنفيذ تنسيق الاستجابة للحوادث على مدار الساعة. كما نوفر التدريب لفرق الأمن لديكم على إجراءات التصعيد الصحيحة ونجري تدريبات منتظمة لضمان الامتثال للأطر الزمنية الإلزامية للإبلاغ بموجب الأنظمة السعودية.

يجب أن تتضمن تقارير الحوادث المقدمة للهيئة الوطنية للأمن السيبراني وساما تفاصيل محددة مثل تصنيف الحادثة ومستوى خطورتها، وتاريخ ووقت الاكتشاف، والأنظمة المتأثرة وفئات البيانات، وعدد المستخدمين أو العملاء المتأثرين، وإجراءات الاحتواء الفورية المتخذة. تشمل المتطلبات الإضافية تحليل السبب الجذري، والانتهاكات التنظيمية المحتملة (مثل خروقات نظام حماية البيانات الشخصية)، والجدول الزمني المقدر للتعافي، والتدابير الوقائية التي يتم تنفيذها. تضمن منصة إدارة الحوادث لدينا التقاط جميع الحقول الإلزامية وتنسيق التقارير وفقاً للقوالب التنظيمية لتقديمها بسلاسة.

مركز العمليات الأمنية (SOC) هو منشأة مركزية تراقب وتكتشف وتحلل وتستجيب للتهديدات السيبرانية في الوقت الفعلي عبر البنية التحتية لتقنية المعلومات في مؤسستك. في المملكة العربية السعودية، يعد وجود مركز عمليات أمنية ضرورياً للامتثال لمتطلبات الإطار السيبراني لساما والضوابط الأساسية للأمن السيبراني للهيئة الوطنية للأمن السيبراني، والتي تفرض قدرات المراقبة المستمرة والاستجابة للحوادث. يوفر مركز العمليات الأمنية حماية على مدار الساعة طوال أيام الأسبوع ضد التهديدات السيبرانية المتطورة، ويقلل من وقت الاستجابة للحوادث الأمنية، ويساعد في حماية البيانات الحساسة وفقاً لأنظمة حماية البيانات الشخصية. من خلال تطبيق مركز العمليات الأمنية، تتماشى المؤسسات مع أهداف التحول الرقمي لرؤية 2030 مع الحفاظ على وضع أمني سيبراني قوي.

نقدم خدمات شاملة لمركز العمليات الأمنية تشمل المراقبة الأمنية على مدار الساعة، واكتشاف وتحليل التهديدات، والاستجابة للحوادث، وإدارة الثغرات، وربط الأحداث الأمنية باستخدام منصات SIEM المتقدمة. تم تصميم خدماتنا خصيصاً لتلبية متطلبات الإطار السيبراني لساما للمؤسسات المالية، والضوابط الأساسية للأمن السيبراني للهيئة الوطنية، وتفويضات حماية البيانات الشخصية. نوفر تقارير باللغتين العربية والإنجليزية، وفرق استجابة محلية للحوادث على دراية بالمتطلبات التنظيمية السعودية، وتقييمات امتثال منتظمة. محللو مركز العمليات الأمنية لدينا مدربون على المشهد التهديدي الخاص بالمملكة والأطر التنظيمية، مما يضمن حفاظ مؤسستك على الامتثال المستمر مع الدفاع ضد التهديدات السيبرانية المحلية والعالمية.

يعمل مركز العمليات الأمنية لدينا على مدار الساعة طوال أيام الأسبوع مع قدرات متقدمة لاكتشاف التهديدات التي تحدد الحوادث الأمنية في غضون دقائق من حدوثها. نحافظ على اتفاقيات مستوى الخدمة لوقت الاستجابة متوافقة مع متطلبات الضوابط الأساسية للأمن السيبراني، ونحقق عادةً فرز الحوادث الأولي في غضون 15 دقيقة للتنبيهات الحرجة وبدء الاستجابة الكاملة للحوادث في غضون ساعة واحدة. يستخدم فريقنا معلومات التهديدات الآلية، واكتشاف الشذوذ القائم على التعلم الآلي، والمراقبة المستمرة لتقليل وقت بقاء التهديدات في بيئتك. بالنسبة للمؤسسات الخاضعة لإشراف ساما، نضمن أن الجداول الزمنية للإبلاغ عن الحوادث تلبي المتطلبات التنظيمية، مع بروتوكولات تصعيد فورية للحوادث الحرجة التي تؤثر على الأنظمة المالية أو البيانات الشخصية المحمية بموجب نظام حماية البيانات الشخصية.

يحمل فريقنا شهادات معترف بها دولياً بما في ذلك CISSP وCISM وCEH ومدقق/منفذ رئيسي لـ ISO 27001. كما نحتفظ بشهادات متخصصة ذات صلة بالسوق السعودي مثل مقيمي إطار الأمن السيبراني لمؤسسة النقد العربي السعودي ومتخصصي الامتثال للضوابط الأساسية للأمن السيبراني للهيئة الوطنية للأمن السيبراني. يقوم استشاريونا بتحديث بيانات اعتمادهم باستمرار لمواكبة معايير ولوائح الأمن السيبراني المتطورة. وهذا يضمن تقديم إرشادات خبيرة متوافقة مع أفضل الممارسات العالمية والمتطلبات التنظيمية المحلية.

نعم، نقدم برامج تدريبية شاملة لإعداد فريقك للحصول على شهادات الأمن السيبراني الرائدة بما في ذلك CISSP وCISA وCEH وISO 27001. يتم تخصيص تدريبنا لمعالجة المشهد التنظيمي في المملكة العربية السعودية، مع دمج متطلبات إطار الأمن السيبراني لساما والضوابط الأساسية للأمن السيبراني ونظام حماية البيانات الشخصية في المنهج الدراسي. نوفر خيارات تدريب في الفصول الدراسية والتدريب الافتراضي مع التعليم باللغتين العربية والإنجليزية. تتضمن برامجنا مواد إعداد الامتحانات ومختبرات عملية ودعم ما بعد التدريب لزيادة معدلات نجاح الشهادات إلى أقصى حد.

للامتثال التنظيمي السعودي، نوصي بشهادة المنفذ/المدقق الرئيسي لـ ISO 27001 لأنها تتماشى بشكل وثيق مع إطار الأمن السيبراني لساما والضوابط الأساسية للأمن السيبراني. تحظى شهادات CISM وCISSP بتقدير كبير لأدوار الحوكمة وإدارة المخاطر المطلوبة من قبل المؤسسات المالية تحت إشراف ساما. بالنسبة للتنفيذ التقني، تدعم شهادات CEH وشهادات أمن السحابة المتخصصة ضوابط الهيئة الوطنية للأمن السيبراني. بالإضافة إلى ذلك، فإن الحصول على تدريب خاص بنظام حماية البيانات الشخصية يضمن فهم فريقك لمتطلبات حماية البيانات بموجب نظام حماية البيانات الشخصية في المملكة العربية السعودية، مما يدعم أهداف التحول الرقمي لرؤية 2030.

بموجب نظام حماية البيانات الشخصية، يتمتع الأفراد بحقوق شاملة تشمل الحق في الوصول إلى بياناتهم الشخصية، وطلب التصحيح أو الحذف، والاعتراض على المعالجة، وسحب الموافقة في أي وقت. كما لديك الحق في نقل البيانات، مما يتيح لك استلام بياناتك بصيغة منظمة ونقلها إلى جهة أخرى. بالإضافة إلى ذلك، يمكنك تقديم شكاوى إلى الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا) إذا كنت تعتقد أن حقوقك قد انتهكت. تتماشى هذه الحقوق مع التزام رؤية السعودية 2030 بحماية الخصوصية الرقمية وبناء الثقة في الاقتصاد الرقمي.

لطلب حذف البيانات بموجب نظام حماية البيانات الشخصية، يجب عليك تقديم طلب كتابي إلى مسؤول حماية البيانات المعين في المنظمة أو من خلال قنوات الاتصال الرسمية للخصوصية. يجب على المنظمة الرد على طلبك خلال 30 يومًا إما بالامتثال للحذف أو تقديم أسباب قانونية صحيحة للاحتفاظ بالبيانات، مثل الالتزامات التنظيمية بموجب متطلبات الإطار السيبراني للبنك المركزي السعودي أو الضوابط الأساسية للأمن السيبراني. إذا تم رفض طلبك دون مبرر مناسب، يحق لك تصعيد الأمر إلى سدايا. يجب على المنظمات الاحتفاظ بسجلات تدقيق لهذه الطلبات لإثبات الامتثال لنظام حماية البيانات الشخصية أثناء التقييمات التنظيمية.

بموجب نظام حماية البيانات الشخصية، لا يمكن للشركات عمومًا مشاركة بياناتك الشخصية مع أطراف ثالثة دون الحصول على موافقتك الصريحة، باستثناء ظروف محددة ينص عليها القانون. تشمل هذه الاستثناءات مشاركة البيانات للامتثال للالتزامات القانونية، أو حماية المصالح الحيوية، أو الوفاء بالالتزامات التعاقدية، أو عندما تطلبها الجهات التنظيمية مثل البنك المركزي السعودي أو الهيئة الوطنية للأمن السيبراني. عندما يُسمح بمشاركة البيانات، يجب على المنظمات التأكد من أن الأطراف الثالثة تحافظ على معايير أمان مكافئة وتوقيع اتفاقيات معالجة البيانات. يجب على المؤسسات المالية أيضًا الامتثال لمتطلبات الإطار السيبراني للبنك المركزي السعودي لإدارة مخاطر الأطراف الثالثة، مما يضمن بقاء بياناتك محمية طوال عملية المشاركة.

الضوابط الأساسية للأمن السيبراني (ECC) الصادرة عن الهيئة الوطنية للأمن السيبراني هي إطار إلزامي لجميع الجهات الحكومية ومشغلي البنى التحتية الحيوية في المملكة العربية السعودية. يحدد الإطار متطلبات أمنية أساسية عبر 114 ضابطاً منظمة في 5 نطاقات لحماية الأصول السيبرانية الوطنية. الامتثال مطلوب قانونياً ويساعد المؤسسات على التوافق مع أهداف التحول الرقمي لرؤية 2030 مع الحماية من التهديدات السيبرانية المتطورة. عدم الامتثال قد يؤدي إلى عقوبات كبيرة وقيود تشغيلية.

يتراوح الإطار الزمني للامتثال للضوابط الأساسية للأمن السيبراني عادةً من 6 إلى 18 شهراً حسب مستوى النضج الأمني الحالي للمؤسسة وحجمها وتعقيدها. تشمل العملية تقييم الفجوات وتخطيط المعالجة وتنفيذ الضوابط والتوثيق ومراحل التحقق. المؤسسات التي لديها برامج أمن سيبراني قائمة قد تحقق الامتثال بشكل أسرع، بينما قد تتطلب المؤسسات التي تبدأ من الصفر أطراً زمنية ممتدة. نوفر نهج تنفيذ على مراحل يعطي الأولوية للضوابط الحرجة لإظهار التقدم أثناء العمل نحو الامتثال الكامل.

بينما يهدف كلا الإطارين إلى تعزيز الأمن السيبراني في المملكة، تنطبق الضوابط الأساسية للأمن السيبراني على الجهات الحكومية والبنى التحتية الحيوية عبر جميع القطاعات، بينما إطار الأمن السيبراني لمؤسسة النقد خاص بالمؤسسات المالية الخاضعة للبنك المركزي السعودي. تحتوي الضوابط الأساسية على 114 ضابطاً عبر 5 نطاقات مع تركيز أوسع على الأمن الوطني، بينما لدى إطار مؤسسة النقد نهج أكثر تفصيلاً قائم على المخاطر ومصمم لتهديدات القطاع المالي. المؤسسات في القطاع المالي يجب أن تمتثل لكلا الإطارين، ونحن نساعد في تحديد الضوابط المتداخلة لتحسين جهود الامتثال وتجنب الازدواجية.