Secur-SA — آلية تطبيق الامتثال (NCA / PDPL)

1 المبدأ وحلقة الامتثال المستمرة

المبدأ: تحويل كل ضابطٍ تقني إلى إشارةٍ قابلة للقياس تُفحص آلياً وبشكلٍ متواصل، ثم جمع الأدلّة وربطها برقم الضابط، وإصدار التقارير. وتعمل عبر حلقةٍ مستمرة:

الربط

ضابط ← فحص

←

الجمع

الوكلاء والوحدات

←

التقييم

مقارنة بالمعايير

←

القياس

نسبة التغطية

←

الأدلّة

جاهزة للتدقيق

←

المعالجة

تنبيه + خطوات

←

التقرير

دوري لكل إطار

النتيجة: لوحة تعرض «وضع الامتثال» (نسبة تغطية كل مجال) محدّثةً باستمرار، بدل التقييم اليدوي الدوري — مع أدلّةٍ يمكن تقديمها للمدقّق مباشرة.

2 تطبيق ضوابط NCA التقنية

ربطٌ مباشر بين المجالات التقنية في إطار الهيئة (الضوابط الأساسية ECC وما يتصل بها) وآلية تطبيقها في المنصّة:

المجال / الضابط	آلية التطبيق في المنصّة	الأداة / الوحدة	الدليل المُنتَج
إدارة الأصول	جرد الأجهزة والبرمجيات تلقائياً عبر الوكيل	جرد الوكيل	قائمة أصولٍ محدّثة
التهيئة الآمنة والتحصين	فحص الأجهزة مقابل معايير التحصين والإبلاغ بالانحرافات	SCA (تقييم التهيئة)	تقرير مطابقة لكل جهاز
الحماية من البرمجيات الضارة	كشفٌ سلوكي للفدية وعزلٌ تلقائي للجهاز المصاب	قواعد الكشف + الاستجابة الآلية	سجلّ حوادث ومعالجة
إدارة السجلات والمراقبة	جمع السجلات وتوليد التنبيهات والاحتفاظ بها	محرّك Wazuh (SIEM)	سجلّات وتنبيهات مفهرسة
إدارة الثغرات	مطابقة البرمجيات المثبّتة مع قواعد الثغرات	وحدة كشف الثغرات (CVE)	تقرير ثغرات مرتّب بالخطورة
سلامة الأنظمة والملفّات	رصد تغيّر الملفّات والإعدادات الحرجة	FIM (مراقبة السلامة)	سجلّ تغييرات موثّق
الهويات والصلاحيات	مصادقة ثنائية وتحكّم دقيق بالأدوار	MFA + RBAC	سجلّ وصولٍ وصلاحيات
التشفير	تشفير البيانات تخزيناً ونقلاً	AES‑256 / TLS 1.3	إعدادات تشفير موثّقة
إدارة الحوادث والتهديدات	كشفٌ ← احتواءٌ ← معالجةٌ ← توثيق	سير عمل الاستجابة	تذاكر حوادث وجداول زمنية
النسخ الاحتياطي والصمود	نسخٌ دورية مشفّرة قابلة للاستعادة	سياسات النسخ	سجلّ نسخٍ واستعادة

المجالات الحوكمية في إطار NCA (السياسات، التوعية، إدارة المخاطر، الأطراف الثالثة) تبقى تطبيقاً تنظيمياً — وتوفّر المنصّة الأدلّة التقنية الداعمة لا السياسات نفسها.

3 تطبيق متطلبات PDPL (الجانب التقني)

يركّز نظام حماية البيانات الشخصية على حماية بيانات الأفراد. تغطّي المنصّة التدابير التقنية والأمنية وكشف الاختراق وإقامة البيانات:

المتطلّب	آلية التطبيق في المنصّة	الدليل المُنتَج
أمن المعالجة (تدابير مناسبة)	التشفير + التحكّم بالوصول + المراقبة المستمرة	إعدادات أمنية وسجلّات مراقبة
إقامة البيانات داخل المملكة	استضافة البيانات في مناطق داخل المملكة	إثبات المنطقة وبنود العقد
اكتشاف خرق البيانات والإبلاغ	كشف الحادثة + تنبيه + جدول زمني لدعم الإبلاغ لـ SDAIA والمتأثرين	سجلّ حادثة بتوقيتاتٍ دقيقة
المساءلة وإمكانية التتبّع	تسجيل من وصل إلى ماذا ومتى	سجلّات تدقيق الوصول
تقليل البيانات والاحتفاظ	سياسات احتفاظٍ وحذفٍ تلقائي	إعدادات الاحتفاظ المطبّقة

4 نطاق المسؤولية: المنصّة مقابل المنشأة

الامتثال مسؤوليةٌ مشتركة. التوضيح التالي يفصل بدقّة بين ما تؤتمته المنصّة وما يبقى عملاً تنظيمياً على المنشأة:

✅ تؤتمته المنصّة وتوفّره

الكشف والعزل التلقائي والمراقبة المستمرة
فحص التهيئة والثغرات وسلامة الملفّات
التشفير والمصادقة والتحكّم بالصلاحيات
استضافة البيانات داخل المملكة
كشف الاختراق وتوثيق الحوادث
الأدلّة والتقارير ولوحة وضع الامتثال

⚖️ يبقى على المنشأة (حوكمي/قانوني)

السياسات والإجراءات والحوكمة
تعيين مسؤول حماية البيانات (عند اللزوم)
إشعارات الخصوصية وإدارة الموافقات
سجلّ أنشطة المعالجة (RoPA)
معالجة طلبات أصحاب البيانات (DSR)
تقييم الأثر (DPIA) وعقود المعالجين
التوعية والتدريب، والتدقيق المستقل

تساعد المنصّة في الجانب التنظيمي أيضاً عبر قوالب وقوائم تحقّق (سياسات، RoPA، إشعار خرق) — لكن اعتمادها وتطبيقها يبقى قرار المنشأة.

5 مخرجات الامتثال

لوحة وضع الامتثال: نسبة التغطية لكل مجالٍ ضابط، محدّثة باستمرار.
سجلّ الأدلّة: نتائج الفحوصات والسجلّات مرتبطة بأرقام الضوابط، جاهزة للتدقيق.
تنبيهات الفجوات: كل بندٍ غير مطابق مع خطوات المعالجة المقترحة.
التقارير الدورية: تقارير امتثالٍ (شهرية/ربع سنوية) لكل إطارٍ تنظيمي.

ملاحظة بصدق: المنصّة تؤتمت الطبقة التقنية وتُقصّر مسار الامتثال بشكلٍ كبير وتُنتج الأدلّة — لكنها ليست شهادة امتثالٍ كامل؛ فالامتثال النهائي يتطلّب حوكمةً تنظيمية وتدقيقاً مستقلاً. كما أن الأطر التنظيمية تتطوّر، لذا يُتحقّق دائماً من المتطلبات السارية لدى الهيئة الوطنية للأمن السيبراني والهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا).