What services does SKYLINE provide?

We provide specialized divisions including: Data Centre Design & Build (Tier III/IV), Cybersecurity SOC/NOC Operations, SCADA & Automation, Fire Safety, Construction, HVAC, AI Solutions, Server Infrastructure with HPE & Dell, and Software Development.

Does SKYLINE design and build data centres?

Yes, we specialize in Tier III and Tier IV data centre design and construction including electrical infrastructure, precision cooling, raised flooring, fire suppression, and Schneider Electric UPS systems. All our projects are SACS-002 compliant and trusted by major clients like Saudi Aramco and SABIC.

Where is SKYLINE located?

Our headquarters is in Dammam, Eastern Province, Saudi Arabia. We serve all regions of Saudi Arabia and GCC countries including Riyadh, Jeddah, Khobar, Dhahran, and Jubail.

What compliance certifications does SKYLINE hold?

We comply with NCA-ECC (Essential Cybersecurity Controls), SACS-002 (Saudi Communications Standards for Data Centres), ISO 27001 (Information Security Management), and SAMA Cybersecurity Framework.

What experience does SKYLINE have in the Saudi market?

SKYLINE was founded in 2019 with 6+ years of experience, has completed 15+ mega projects including the FIFA Club World Cup, and serves 200+ clients including Saudi Aramco, SABIC, Maaden, and STC.

SKYLINE Industrial & IT Solutions

دليل عملي لـ إطار الأمن السيبراني لساما — خارطة طريق الامتثال الكاملة للبنوك. يغطي النطاق والضوابط ومراحل التنفيذ والأدلة المطلوبة للتدقيق، مع أمثلة سياسات وتكوينات قابلة للتطبيق.

SKYLINE Engineering @skyline

Published: Jan 29, 2026
Last updated: May 28, 2026
Reading time: 4 min

Compliance Cybersecurity Saudi Arabia Ksa Banking Sama Csf

نظرة عامة

إطار الأمن السيبراني لساما (CSF v1.0) هو المعيار الإلزامي للبنك المركزي السعودي على كل عضو — البنوك المرخّصة وشركات التمويل والتأمين ومزوّدي خدمات الدفع. يُنفَّذ عبر تقييم ذاتي سنوي وتقييم مستقل كل سنتين. على البنك بلوغ المستوى 3 خلال 18 شهرًا والمستوى 4 خلال 3 سنوات.

على من يطبَّق

البنوك المحلية وفروع البنوك الأجنبية.
شركات التمويل والتأمين المرخّصة.
مزوّدو خدمات الدفع وشركات التقنية المالية.

النطاقات الرئيسية

أربعة نطاقات و11 نطاقًا فرعيًا و118 ضابطًا: القيادة والحوكمة، إدارة المخاطر والامتثال، العمليات والتقنية، الأطراف الثالثة.

خطّة سنوية للتنفيذ

الشهر 1-2: تحليل فجوة + جلسة مجلس الإدارة
الشهر 3-4: مكتبة سياسات + تعيين CISO
الشهر 5-6: IAM + PAM
الشهر 7-8: SOC + SIEM
الشهر 9-10: SDLC آمن
الشهر 11: تدقيق داخلي
الشهر 12: تقييم مستقل وتقديم إلى ساما

الخطوة 1: الحوكمة

لجنة مخاطر سيبرانية على مستوى المجلس تجتمع ربعيًا.
CISO يرفع للرئيس التنفيذي وللجنة المخاطر.
استراتيجية ثلاثية معتمدة بمراجعة سنوية.

الخطوة 2: منهجية المخاطر

موائمة ISO 31000 / 27005؛ سجل مخاطر يُحدَّث ربعيًا؛ مقياس مرتفع/متوسط/منخفض معتمد من المجلس.

الخطوة 3: الخطوط الأساسية التقنية

| النطاق | الحد الأدنى | |---|---| | IAM | SSO + MFA تكيُّفي + PAM | | أمن التطبيقات | SDLC آمن + SAST + DAST + نمذجة تهديد | | البنية | صور ذهبية + SLA ترقيع P1=7d / P2=30d | | التشفير | HSM بمستوى FIPS 140-2 | | المدفوعات | PCI DSS + عزل منطقة الدفع | | الخدمات الإلكترونية | مصادقة قوية للعملاء |

المفتاح: card_issuance_dek
الخوارزمية: AES-256
التخزين: Thales Luna 7 HSM (الرياض + الدمام)
الدوران: سنوي
الحراس: 3 (2 من 3)
التصدير: ممنوع نهائيًا

الخطوة 4: أمن التطبيقات للقنوات الرقمية

نمذجة تهديد STRIDE لكل إصدار، SAST و DAST في CI، اختبار اختراق مستقل سنوي، WAF لكل قناة، إدارة بوتات ضد حشو بيانات الاعتماد.

الخطوة 5: مصادقة العميل

SCA عبر OTP + إشعار + TOTP.
توقيع المعاملة لمبالغ كبيرة.
خطوة إضافية عند جهاز جديد.
بيانات حيوية سلوكية وتعريف جهاز.

الخطوة 6: الأطراف الثالثة

تصنيف كل مورد: حساس/مهم/عادي.
تقييم سنوي على الموقع للحساس.
خطة خروج لكل تعهيد حساس.

أخطاء شائعة

"نعهد الأمن لـ MSSP" — المسؤولية تبقى على البنك.
اعتبار PCI DSS بديلًا — CSF أوسع.
مفاتيح HSM قابلة للتصدير — ملاحظة حرجة فورًا.

الأدلة الجاهزة

استراتيجية معتمدة من المجلس.
سجل مخاطر ربعي.
لوحة SLA الترقيع.
اختبار اختراق سنوي.
جرد PAM بنسبة 100%.

الخلاصة

CSF يحوّل الأمن السيبراني إلى مخاطرة عمل بملكية المجلس؛ CISO هو المسؤول التنفيذي، والمجلس هو المساءَل.

أدلة ذات صلة

SKYLINE Engineering

@skyline

The engineering team at SKYLINE Industrial Solutions. We publish field-tested guides drawn from real KSA and GCC deployments.

See author profile

SKYLINE engineering services

Need this implemented for you?

Reading is free — building it right takes a team. SKYLINE engineers ship SAMA Banking Compliance for Aramco vendors, banks, hospitals and government agencies across Saudi Arabia. Talk to us before you start.

Cybersecurity & Data Centre SACS-210, NCA ECC, SOC, 24/7 ops ZATCA & Financial Centre Phase-2 e-invoicing, FATOORA integration, GL controls

Talk to a SKYLINE engineer WhatsApp · +966 50 993 9334 Call +966 50 993 9334

Aramco Approved Contractor ISO 9001 · ISO 27001 SAMA CSF aligned NCA ECC ready 247+ KSA clients

Comments

0 total · 0 threads

Be the first to leave a comment.