سعودی عرب کے ذاتی ڈیٹا تحفظ قانون (PDPL)، SDAIA کے سرحد پار منتقلی کے قواعد، اور ذاتی ڈیٹا کو مملکت کے اندر رہائش پذیر رکھنے کے بارے میں ایک عملی رہنما — ہوسٹ کے انتخاب، ڈیٹا کے مقام کی تصدیق، اور تعمیل کے لیے بیک اپ اور DNS کی ترتیب کے ٹھوس اقدامات کے ساتھ۔
SKYLINE Engineering @skyline
شائع شدہ Jun 9, 2026 | مطالعے کا وقت: 6 منٹ
PDPL کا آپ کے ڈیٹا کے مقام کے لیے کیا مطلب ہے
سعودی عرب کا ذاتی ڈیٹا تحفظ قانون (PDPL) اور اس کے نفاذی ضوابط 14 ستمبر 2023 کو نافذ العمل ہوئے، جس میں ایک سال کی مہلت دی گئی۔ 14 ستمبر 2024 سے، ہر وہ ادارہ جو مملکت میں افراد کے ذاتی ڈیٹا کی پروسیسنگ کرتا ہے، اسے مکمل طور پر تعمیل پر مبنی ہونا لازمی ہے۔ PDPL کا نفاذ بنیادی طور پر سعودی ڈیٹا اور مصنوعی ذہانت اتھارٹی (SDAIA) کرتی ہے، اس کے ساتھ ساتھ قومی سائبر سیکیورٹی اتھارٹی (NCA) کی سائبر سیکیورٹی کنٹرولز بھی شامل ہیں۔
PDPL ڈیٹا کو بیرونِ ملک بھیجنے پر مکمل پابندی نہیں لگاتا، لیکن یہ مملکت کے اندر ہوسٹنگ کو تعمیل کا سب سے آسان راستہ بنا دیتا ہے۔ جس لمحے ذاتی ڈیٹا سعودی سرورز سے باہر نکلتا ہے، آپ سرحد پار منتقلی کے نظام کو متحرک کر دیتے ہیں — اضافی قانونی بنیادیں، کاغذی کارروائی، اور خطرے کے جائزے۔ ڈیٹا کو مملکت کے اندر رہائش پذیر رکھنا اس بوجھ کا بیشتر حصہ ختم کر دیتا ہے۔
یہ ٹیوٹوریل ان قواعد کو سادہ الفاظ میں بیان کرتا ہے اور آپ کو ڈیٹا کو اس طرح ہوسٹ کرنے کے ٹھوس اقدامات دیتا ہے کہ وہ سعودی عرب کے اندر ہی رہے۔
سرحد پار منتقلی کے قواعد مختصراً
اگست 2024 میں، SDAIA نے مملکت سے باہر ذاتی ڈیٹا کی منتقلی کا ضابطہ ("منتقلی ضوابط") جاری کیا۔ بیرونِ ملک منتقلی صرف اسی صورت میں قانونی ہے جب یہ درج ذیل تمام شرائط پوری کرے:
- ایک جائز مقصد — مثلاً، کسی ایسے معاہدے کی تکمیل جس میں مملکت فریق ہے، مملکت کے مفادات کی خدمت، ڈیٹا سبجیکٹ کے ساتھ کسی معاہدے کی تکمیل، مرکزی پروسیسنگ جو کنٹرولر کی سرگرمی کو ممکن بناتی ہے، ڈیٹا سبجیکٹ کو کوئی خدمت فراہم کرنا، یا سائنسی تحقیق۔
- منزل میں تحفظ کی مناسب سطح، جو یا تو اس ملک کے لیے SDAIA کے مناسب تحفظ کے فیصلے (adequacy decision) سے قائم ہو، یا تین مناسب حفاظتی اقدامات میں سے کسی ایک سے:
- معیاری معاہداتی شقیں (SCCs) — SDAIA نے اپنا پہلا سیٹ 2024 میں شائع کیا۔
- بائنڈنگ کارپوریٹ رولز (BCRs) گروپ کے اندرونی منتقلیوں کے لیے۔
- ایک منظور شدہ اعتماد نامہ (certificate of accreditation)۔
- ڈیٹا کی کم سے کم مقدار (data minimization) — صرف وہی ڈیٹا منتقل کریں جو بیان کردہ مقصد کے لیے ضروری ہو۔
- جہاں ضرورت ہو وہاں منتقلی کے خطرے کا جائزہ (TRA) — مثلاً، حساس ڈیٹا کی مسلسل یا بڑے پیمانے پر منتقلی، یا ایسے دائرہ اختیار/اداروں کو منتقلی جن کے پاس مناسب تحفظ کا فیصلہ یا سرٹیفکیشن نہ ہو۔ SDAIA نے اس کی ساخت بنانے کے لیے فروری 2025 میں خطرے کے جائزے کی رہنما ہدایات شائع کیں۔
2026 کے وسط تک، SDAIA نے ابھی تک مناسب تحفظ والے ممالک کی عوامی فہرست شائع نہیں کی۔ عملی طور پر اس کا مطلب یہ ہے کہ بیرونِ ملک منتقلیاں عام طور پر SCCs یا BCRs کے ساتھ ساتھ ایک دستاویزی خطرے کے جائزے پر منحصر ہوتی ہیں — یہ ایک حقیقی، بار بار آنے والا تعمیلی کام ہے۔ مملکت کے اندر ہوسٹنگ پورے اس سلسلے کو نظرانداز کر دیتی ہے۔
فیصلہ سازی کا بہاؤ: کیا آپ کو منتقلی کی ضرورت بھی ہے؟
Does the data identify or relate to a person in KSA?
│
├── No ──► PDPL transfer rules largely not engaged
│
└── Yes ─► Will any copy (primary, backup, logs, CDN cache,
email, analytics) leave Saudi servers?
│
├── No ──► In-Kingdom residency. Simplest path.
│
└── Yes ─► Cross-border regime: lawful purpose
+ adequacy/SCCs/BCRs + minimization
+ TRA where required.
اصل پھندا یہ ہے کہ "ہاں" والی شاخ غیر متوقع طور پر اندر داخل ہو جائے — ایک آف شور بیک اپ بکٹ، ایک CDN ایج کیش، ایک تیسرے فریق کا ای میل ریلے، یا ایک اینالیٹکس SDK، ان میں سے ہر ایک منتقلی شمار ہو سکتا ہے۔
مرحلہ 1: قابلِ تصدیق مملکت کے اندر انفراسٹرکچر والا ہوسٹ منتخب کریں
"سعودی کمپنی" اور "سعودی ڈیٹا سینٹر" ایک چیز نہیں ہیں۔ اپنے فراہم کنندہ سے تحریری طور پر پوچھیں کہ بنیادی اسٹوریج، بیک اپ، اور لاگز طبعی طور پر کہاں موجود ہیں۔ Skyline Cloud کے ساتھ ڈیٹا بطورِ ڈیفالٹ مملکت کے اندر کے انفراسٹرکچر پر ہی رہتا ہے، مقامی عربی سپورٹ اور PDPL/NCA سے ہم آہنگ آپریشنز کے ساتھ۔ شیئرڈ ہوسٹنگ، VPS/کلاؤڈ سرورز، اور ڈیڈیکیٹڈ سرورز پر مشتمل پروڈکٹ کے اختیارات کے لیے ہمارا کلاؤڈ ہوسٹنگ کا جائزہ دیکھیں۔
مرحلہ 2: ڈیٹا کے طبعی مقام کی تصدیق کریں
ریزیڈنسی کو محض اعتماد پر نہ لیں — اس کی تصدیق کریں۔ جب آپ کا سرور یا ہوسٹنگ تیار ہو جائے، تو اسے resolve اور trace کریں:
# Resolve your domain/host to an IP
dig +short app.example.sa
# Check the network owner / route of that IP
whois 203.0.113.10 | grep -iE 'country|netname|org'
# Confirm latency profile is consistent with in-Kingdom routing
mtr -rwc 20 app.example.sa
whois کو ایک سعودی نیٹ ورک آپریٹر اور country: SA دکھانا چاہیے۔ ریاض/جدہ/دمام کے کسی مقام سے بہت کم، مستحکم latency ایک اچھا تائیدی اشارہ ہے۔ یہی جانچ اپنے بیک اپ اینڈ پوائنٹ اور کسی بھی آبجیکٹ اسٹوریج بکٹ کے خلاف دہرائیں — یہی وہ حصے ہیں جو اکثر خاموشی سے آف شور بھیج دیے جاتے ہیں۔
مرحلہ 3: بیک اپ اور آبجیکٹ اسٹوریج کو مملکت کے اندر رکھیں
بیک اپ ذاتی ڈیٹا کی ایک کاپی ہوتا ہے، لہٰذا اس کا مقام بھی اتنا ہی اہم ہے جتنا پروڈکشن کا۔ بیک اپ کے اہداف کو مملکت کے اندر کے اینڈ پوائنٹ پر ترتیب دیں اور تصدیق کریں:
# Example: list a backup/object-storage bucket and inspect the endpoint host
aws s3 ls s3://my-backup-bucket/ --endpoint-url https://s3.your-ksa-region.alskyline.com
# Confirm the endpoint resolves to in-Kingdom infrastructure
dig +short s3.your-ksa-region.alskyline.com | xargs -n1 whois | grep -i country
اگر آپ ڈیٹابیس ڈمپ استعمال کرتے ہیں، تو انہیں کسی غیر ملکی ریجن کے بجائے مقامی اسٹوریج پر بھیجیں:
mysqldump --single-transaction --routines mydb \
| gzip | aws s3 cp - s3://my-backup-bucket/mydb-$(date +%F).sql.gz \
--endpoint-url https://s3.your-ksa-region.alskyline.com
مرحلہ 4: DNS، ای میل اور TLS کو محفوظ بنائیں
تین عام طور پر نظرانداز ہونے والے منتقلی کے راستے:
| راستہ | خطرہ | مملکت کے اندر کا حل |
|---|---|---|
| ای میل | میل باکسز/ریلے جو گاہک کی PII کو بیرونِ ملک پروسیس کرتے ہیں | مملکت کے اندر کاروباری ای میل ہوسٹنگ استعمال کریں |
| DNS | عالمی سطح پر آپریشنل طور پر ٹھیک ہے، لیکن اختیار کو کنٹرول میں رکھیں | آڈٹ شدہ رسائی کے ساتھ منظم DNS استعمال کریں |
| TLS / سرٹیفکیٹس | غلط ترتیب ڈیٹا کو ٹرانزٹ کے دوران بے نقاب کر دیتی ہے | TLS 1.2+ اور HSTS کو نافذ کریں |
اپنے شائع شدہ میل اور TLS کی حالت کی تصدیق کریں:
# Check MX records point to your in-Kingdom mail host
dig +short MX example.sa
# Confirm SPF is published (helps deliverability and anti-spoofing)
dig +short TXT example.sa | grep -i spf
# Verify the live certificate and TLS version
openssl s_client -connect example.sa:443 -servername example.sa < /dev/null 2>/dev/null \
| openssl x509 -noout -issuer -dates
مرحلہ 5: اپنے ریکارڈ کے لیے ریزیڈنسی کو دستاویزی بنائیں
PDPL ثبوت پر مبنی ہے۔ ایک مختصر، موجودہ ریکارڈ رکھیں جو ظاہر کرے: پروسیس کیے گئے ڈیٹا کی اقسام، ہر کاپی کہاں موجود ہے (پروڈکشن، بیک اپ، لاگز، ای میل)، پروسیسنگ کی قانونی بنیاد، اور اس بات کی تصدیق کہ کوئی کاپی مملکت سے باہر نہیں جاتی۔ اگر کبھی کوئی منتقلی ضروری ہو جائے، تو یہی ریکارڈ آپ کے TRA اور آپ کے حفاظتی اقدام کے انتخاب کی بنیاد ہے۔
ایک عملی ریزیڈنسی چیک لسٹ
- [ ] بنیادی ہوسٹنگ مملکت کے اندر تصدیق شدہ (
whois/digکے ذریعے توثیق شدہ)۔ - [ ] بیک اپ اور آبجیکٹ اسٹوریج مملکت کے اندر کے اینڈ پوائنٹس کی طرف اشارہ کرتے ہیں۔
- [ ] ای میل/PII پروسیسنگ کسی مملکت کے اندر کے میل ہوسٹ کے ذریعے سنبھالی جاتی ہے۔
- [ ] کوئی آف شور CDN کیش یا اینالیٹکس ذاتی ڈیٹا نہیں رکھتا۔
- [ ] TLS 1.2+ نافذ؛ سرٹیفکیٹس درست اور زیرِ نگرانی۔
- [ ] ایک ریزیڈنسی/پروسیسنگ ریکارڈ تحریری شکل میں موجود اور اپ ٹو ڈیٹ رکھا گیا ہے۔
Skyline کہاں فٹ ہوتا ہے
Skyline (alskyline.com) ایک سعودی، مملکت کے اندر کا فراہم کنندہ ہے جو کلاؤڈ ہوسٹنگ، VPS اور ڈیڈیکیٹڈ سرورز، cPanel/ویب اور منظم WordPress ہوسٹنگ، کاروباری ای میل، .sa ڈومینز، SSL، منظم DNS، کلاؤڈ بیک اپ اور آبجیکٹ اسٹوریج پیش کرتا ہے — یہ سب مملکت کے اندر ڈیٹا ریزیڈنسی اور مقامی عربی سپورٹ کے ساتھ۔ سعودی عرب میں خودمختار کلاؤڈ اور تعمیل کی وسیع تر تصویر کے لیے، ہمارا خودمختار کلاؤڈ KSA حب دیکھیں۔
ذاتی ڈیٹا کو مملکت کے اندر رکھنا PDPL کو پورا کرنے کا سب سے قابلِ اعتماد طریقہ ہے، اور وہ بھی ایک بار بار آنے والے سرحد پار تعمیلی پروگرام کو بنائے بغیر۔ Skyline Cloud کے لیے سائن اپ کریں اور چند منٹوں میں مملکت کے اندر ہوسٹنگ فراہم کریں۔
یہ مضمون عمومی رہنمائی ہے، قانونی مشورہ نہیں۔ اپنی مخصوص ذمہ داریوں کے لیے کسی مستند سعودی ڈیٹا تحفظ مشیر سے رجوع کریں۔
Comments
0 total · 0 threads