Home Knowledge base Cloud ساما والسحابة والتعهيد: قائمة تحقق عملية للبنوك وشركات التقنية المالية السعودية عند نقل أحمال العمل إلى السحابة KNOWLEDGE BASE
ساما والسحابة والتعهيد: قائمة تحقق عملية للبنوك وشركات التقنية المالية السعودية عند نقل أحمال العمل إلى السحابة
CLOUD

ساما والسحابة والتعهيد: قائمة تحقق عملية للبنوك وشركات التقنية المالية السعودية عند نقل أحمال العمل إلى السحابة

SKYLINE Knowledge Base

يمكن للجهات الخاضعة لتنظيم ساما استخدام السحابة — لكن ضمن انضباط: تصنيف أحمال العمل، وتقييم الجوهرية، والعناية الواجبة، وعدم الممانعة حيث يُشترط، وحقوق التدقيق والخروج التعاقدية، والرقابة المستمرة. إليك المسار كاملاً في قائمة من 15 بنداً، مع ملاحظات صادقة حيث لا تزال القواعد تتطو

من القراءات الشائعة الخاطئة في القطاع المالي السعودي أن ساما «لا تسمح بالسحابة». الواقع الظاهر في وثائق ساما العامة نفسها أدق وأنفع: تُعامَل السحابة بوصفها شكلاً من التعهيد ومخاطر الأطراف الثالثة، مسموحاً بها بشروط، مع وقوع عبء الإثبات على الجهة الخاضعة للتنظيم. والبنوك وشركات التقنية المالية التي تتعثر في مراجعات السحابة نادراً ما تتعثر في التقنية — بل في الإجراءات: لا تصنيف لأحمال العمل، ولا تحليل جوهرية، ولا خطة خروج، ولا أدلة.

يحوّل هذا المقال التوقعات المتناثرة عبر إطار ساما للأمن السيبراني وقواعد التعهيد ومتطلبات الأطراف الثالثة إلى قائمة تحقق تسلسلية واحدة. تنبيهان قبل القائمة، وكلاهما مهم. الأول: القواعد تتطور — تُحدّث ساما التعاميم والقواعد، والمصدر الملزم دائماً هو النص الحالي في دليل ساما التنظيمي الرسمي، لا أي ملخص ثانوي، بما في ذلك هذا المقال. والثاني: هذا إرشاد عملي لا استشارة تنظيمية؛ إدارة الالتزام لديك تملك التفسير لفئة ترخيصك.

المشهد التنظيمي في أربع طبقات

  1. إطار ساما للأمن السيبراني (CSF). صدر أول مرة في مايو 2017، ويسري على «المنظمات الأعضاء» الخاضعة لساما (البنوك وشركات التأمين والتمويل وغيرها). وهو يتناول السحابة الهجينة والعامة صراحة: يُتوقع من المنظمات تحديد ضوابط الأمن السيبراني وتنفيذها ومراقبتها ضمن سياسة للحوسبة السحابية، وتضمين متطلبات الأمن قبل عقود التعهيد وخلالها وعند الخروج منها.
  2. قواعد ساما للتعهيد. تتطلب ترتيبات التعهيد عناية واجبة وموافقات مناسبة ورقابة مستمرة؛ وللترتيبات الجوهرية، عدم ممانعة ساما المسبق هو التوقع الراسخ. وما يُعد «جوهرياً» هو بالضبط نوع التفاصيل التي ينبغي تأكيدها من النص الحالي بحسب نوع جهتك.
  3. الأطر الوطنية المتراكبة فوقها. تطبّق الضوابط الأساسية وضوابط الحوسبة السحابية لدى الهيئة الوطنية للأمن السيبراني تقسيمها الخاص بين المزوّد والمستأجر — دليلنا لضوابط CCC يرسمه — ويخضع مزوّدو السحابة في المملكة لإطار CST التنظيمي الذي نفصّله في شرح الإطار التنظيمي للحوسبة السحابية.
  4. نظام حماية البيانات الشخصية. بيانات العملاء بيانات شخصية؛ وقواعد النقل تنطبق فوق كل ما هو قطاعي. راجع دليل الاستضافة وفق النظام.

تتفق الطبقات الأربع على فلسفة واحدة: يمكنك تفويض التشغيل، لكن لا يمكنك تفويض المساءلة.

قائمة التحقق من 15 بنداً

المرحلة الأولى — قبل وضع قائمة مختصرة بالمزوّدين

1. صنّف حمل العمل. الأنظمة المصرفية الأساسية ومعالجة المدفوعات والأنظمة الحاملة لبيانات العملاء المالية في طرف؛ والموقع المؤسسي وبوابة التوظيف وصفحات الحملات التسويقية في الطرف الآخر. معظم برامج السحابة المتعثرة بدأت من الطرف الخطأ.

2. أجرِ تقييم جوهرية. وثّق ما إذا كان الترتيب، لو فشل، سيؤثر جوهرياً في العمليات أو العملاء أو الامتثال. هذه الوثيقة الواحدة تحدد مسار الموافقات — وغيابها أكثر ملاحظات التدقيق شيوعاً.

3. تأكد من وجود سياستك السحابية. يتوقع الإطار سياسة حوسبة سحابية معتمدة ومحددة قبل التبني، تغطي السحابة الهجينة والعامة. إن كانت سياستك أقدم من طموحاتك السحابية، فحدّثها أولاً.

4. تحقق من الوضع التنظيمي للمزوّد. حالة التسجيل لدى CST وفئته، والشهادات ذات الصلة بمتطلبات الهيئة الوطنية حيث تنطبق، و— لموقع البيانات — أي منطقة تحديداً ستستضيفك، لا أي علامة تجارية.

5. حدد موقع البيانات وجغرافيا الوصول. أين تعيش البيانات الأساسية، وإلى أين تذهب النسخ الاحتياطية والمتماثلة، ومن أي دول يمكن لموظفي الدعم الوصول إلى الأنظمة؟ خيارات الاستضافة داخل المملكة تبسّط كل خطوة لاحقة؛ صفحة إقامة البيانات لدى سكايلاين كلاود تُري كيف ينبغي لمزوّد أن يجيب عن هذا بوضوح.

المرحلة الثانية — العناية الواجبة والعقد

6. نفّذ عناية واجبة موثقة. الملاءة المالية، والوضع الأمني، وسجل الحوادث، وسلسلة التعاقد من الباطن، وقابلية الخروج. احتفظ بملف الأدلة — الغاية ليست إجراء العناية بل القدرة على إظهارها.

7. احصل على عدم الممانعة حيث يُشترط. إن قال تقييم الجوهرية إن الترتيب جوهري، فخاطب ساما قبل الالتزام. وأدرج زمن المراجعة في خطة المشروع بدل اكتشافه عند التوقيع.

8. ثبّت حقوق التدقيق والفحص في العقد. حقك (وعملياً حق منظّمك) في التدقيق والفحص وتلقي التقارير يجب أن يكون مكتوباً لا مفترضاً. وثائق المزوّدين العالميين القياسية تحتاج غالباً ملاحق متفاوضاً عليها هنا.

9. ثبّت الإبلاغ عن الحوادث في العقد. حدد ما الذي يجب على المزوّد الإبلاغ عنه، وبأي سرعة، وعبر أي قناة — بما يتوافق مع التزامك أنت بإبلاغ ساما. عبارات «الجهود المعقولة تجارياً» الغامضة تسقط في هذا الاختبار.

10. ثبّت ضوابط التعهيد من الباطن. مقاولو مزوّدك من الباطن هم مخاطرتك أنت. اشترط الإفصاح عن السلسلة والإشعار (أو الموافقة) عند التغييرات.

11. ثبّت الخروج. إعادة البيانات بصيغ قابلة للاستخدام، والحذف بتأكيد كتابي، والمساعدة الانتقالية، وفترات إشعار تكفي فعلاً للهجرة. بند الخروج الذي لا تستطيع تنفيذه عملياً مجرد زينة.

المرحلة الثالثة — التشغيل والإثبات

12. ارسم المسؤولية المشتركة ضابطاً ضابطاً. لكل ضابط من ضوابط الإطار ذي صلة بحمل العمل، اكتب من ينفذه — المزوّد أم أنت — وأين تسكن الأدلة. هذه الخريطة هي الوثيقة الجوهرية التي تطلبها المراجعات.

13. راقب باستمرار لا سنوياً. أداء اتفاقيات مستوى الخدمة، وتقارير الحوادث، وتجديدات الشهادات، وتغيرات المقاولين من الباطن. ضعها في التقويم.

14. اختبر المرونة والخروج. تمارين استعادة النسخ الاحتياطية، واختبارات التحويل عند الفشل، وعلى الأقل تمرين مكتبي لخطة الخروج. الخطط غير المختبرة فرضيات.

15. أعد التقييم عند التغيير. خدمات جديدة أو مناطق جديدة أو فئات بيانات جديدة أو استحواذ على المزوّد، كلها تعيد فتح سؤال الجوهرية. اجعل إعادة التقييم إجراءً مبنياً على المحفزات لا على الذاكرة.

ملاحظة صادقة: ماذا يوضع أين

ليس كل حمل عمل في بنك أو شركة تقنية مالية نظاماً جوهرياً لدى ساما، ومعاملة الجميع كذلك هي الطريقة التي تنتهي بها مؤسسات إلى استضافة صفحة التوظيف بحوكمة دفتر الأستاذ الأساسي نفسها. نظرة محفظة عاقلة:

حمل العمل المعاملة النموذجية
المصرفية الأساسية والمدفوعات وبيانات العملاء المالية القائمة كاملة، جوهرية مرجحة، مسار عدم الممانعة، وأشد خيارات الاستضافة صرامة
أنظمة داخلية تلامس بيانات العملاء القائمة كاملة؛ والجوهرية بحسب الحجم وقابلية الاستبدال
الموقع المؤسسي والمواقع التسويقية وصفحات الحملات إدارة مورّدين قياسية؛ والاستضافة المُدارة داخل المملكة خيار نظيف قليل الاحتكاك
بيئات التطوير والاختبار ببيانات اصطناعية أخف مستوى — لكن أبقِ البيانات الحقيقية خارجها، وبشكل يمكن التحقق منه

للمستويين الثالث والرابع، المنصة السعودية المُدارة غالباً هي الجواب العملي: تعمل خطط استضافة سكايلاين كلاود على بنية مقيمة في السعودية مع نسخ احتياطي يومي وSSL مجاني ذاتي التجديد واتفاقية توافر 99.9%، بفوترة بالريال وفواتير متوافقة مع «زاتكا» — ويمكنك التحقق من الإعداد كاملاً عبر تجربة مجانية لمدة 14 يوماً دون بطاقة ائتمانية قبل أن يدخل سجل مورّديك أصلاً. وللمستويات الأثقل، ينطبق الانضباط نفسه على أي مزوّد يختاره تقييمك — وحيثما كانت البنية المادية أو الأمنية جزءاً من البرنامج، يعمل فريق الأمن السيبراني ومراكز البيانات في شركتنا الأم جنباً إلى جنب مع فرق تقنية المعلومات في القطاع المالي.

أين لا تزال القواعد تتحرك

كن شفافاً مع مجلس إدارتك حول ثلاث حواف مفتوحة. أولاً، تُهذَّب عتبات الجوهرية وتوقعات الموافقات دورياً — تحقق من نص قواعد التعهيد الحالي قبل الاعتماد على سابقة العام الماضي. ثانياً، التفاعل بين توقعات ساما وضوابط السحابة لدى الهيئة الوطنية وفئات CST للمزوّدين يتقارب لكنه ما زال يتطلب اجتهاداً على مستوى الجهة. ثالثاً، مناطق المزوّدين العالميين داخل المملكة حديثة إلى درجة أن الممارسة الإشرافية حولها ما زالت تتراكم. لا تعيق أي من هذه الحواف التبني؛ وكلها تكافئ النهج الموثق المرحلي أعلاه.

الأسئلة الشائعة

هل يمكن للبنوك السعودية استخدام السحابة العامة أصلاً؟

نعم — يتناول إطار ساما للأمن السيبراني السحابة الهجينة والعامة صراحة، رهناً بضوابط محددة، وتحكم قواعد التعهيد الترتيب. السؤال ليس أبداً «سحابة أم لا» بل «أي حمل عمل، وأي مزوّد، وأي ضوابط، وبأي موافقات».

هل يحتاج كل عقد سحابي إلى عدم ممانعة ساما؟

لا — يرتبط التوقع الراسخ بترتيبات التعهيد الجوهرية. ولهذا بالضبط يكون تقييم الجوهرية (البند 2) هو الوثيقة المحورية؛ وتحقق من تعريفات الدليل التنظيمي الحالية لنوع ترخيصك.

هل تواجه شركات التقنية المالية المتطلبات نفسها كالبنوك؟

الشركات المرخصة أو الملتحقة بالبيئة التجريبية لدى ساما تخضع لتوقعاتها الإشرافية، مطبقةً بتناسب مع نشاطها. والقائمة أعلاه تتدرج نزولاً بسلاسة — بل تستفيد الجهات الأصغر أكثر من مزوّدين يجيبون عن أسئلة الموقع والخروج كتابةً.

هل تُسقط الاستضافة داخل المملكة الحاجة إلى هذه القائمة؟

لا. تبسّط الإقامة أسئلة موقع البيانات ونظام حماية البيانات كثيراً، لكن العناية الواجبة والعقود والرقابة وتخطيط الخروج تنطبق أينما كان المزوّد. الاستضافة داخل المملكة تقصّر القائمة؛ لا تحذفها.

ابدأ حيث المخاطرة أدنى

أسرع طريقة لبناء كفاءة سحابية بانضباط ساما هي تنفيذ القائمة كاملة على حمل عمل منخفض الجوهرية فعلاً — الموقع المؤسسي أو صفحة حملة أو بيئة تجريبية — وتوليد ملف أدلتك على شيء متسامح. افتح تجربة سكايلاين كلاود المجانية لمدة 14 يوماً (دون بطاقة ائتمانية)، واستضف ذلك الحمل الأول على بنية مقيمة في السعودية، ودع قرارك السحابي الثاني يتخذه فريق سبق أن فعلها مرة.

SKYLINE Engineering

@skyline

The engineering team at SKYLINE Industrial Solutions. We publish field-tested guides drawn from real KSA and GCC deployments.

See author profile
SKYLINE engineering services

Need this implemented for you?

Reading is free — building it right takes a team. SKYLINE engineers ship Cloud for Aramco vendors, banks, hospitals and government agencies across Saudi Arabia. Talk to us before you start.

Aramco Approved Contractor ISO 9001 · ISO 27001 SAMA CSF aligned NCA ECC ready 247+ KSA clients

Comments

0 total · 0 threads
Be the first to leave a comment.