دليل امتثال الشركاء
1) الغرض والنطاق
يحدد هذا الدليل متطلبات الامتثال للشركاء/المقاولين/الشركات التابعة/مقدمي الخدمات (بما في ذلك منصات الدفع والاستضافة واستوديوهات المحتوى وخدمات مكافحة الاحتيال ومراكز الاتصال ووكالات التسويق).
الأهداف:- معايير موحدة للأمن والخصوصية والتنظيم والاتصال المسؤول.
- الحد من المخاطر التشغيلية/القانونية في سلسلة التوريد.
- قاعدة الأدلة «الجاهزة لمراجعة الحسابات» وإمكانية التحقق المتبادل.
2) الشروط
الشريك - أي طرف ثالث يعالج البيانات أو يقدم الخدمات.
الشريك الحاسم - له تأثير كبير على الأمن أو المدفوعات أو البيانات الشخصية أو العمليات التنظيمية.
المعالج الفرعي - الطرف المقابل للشريك المشارك في معالجة البيانات.
3) المبادئ («مبادئ التصميم»)
متطلبات الامتثال حسب التصميم مدمجة في العمليات والهندسة المعمارية.
تقليل البيانات إلى أدنى حد والمحاسبة القضائية (الإقامة في مجال البيانات).
قابلية التتبع والثبات: السجلات، أرشيف WORM، إيصالات التجزئة.
التناسب: يعتمد عمق الفحوصات على المخاطر.
«نسخة واحدة من الحقيقة»: القطع الأثرية المؤكدة التي يفهمها جيش تحرير السودان و RACI.
4) الأدوار و RACI
(ص - مسؤول ؛ ألف - المساءلة ؛ جيم - استشاري ؛ أولاً - معلومات)
5) تصنيف شركاء المخاطر
المعايير: نوع البيانات (PII/الدفع)، حجم المعاملات، الوصول إلى نظم الإنتاج، الولايات القضائية، الدور في السلسلة (المعالج/المراقب)، سجل الحوادث، الشهادات/عمليات المراجعة.
المستويات: تحدد → المنخفضة/المتوسطة/العالية/الحرجة عمق الحرص الواجب وتواتر التنقيحات.
6) البدء والعناية الواجبة (DD)
الخطوات:1. استبيان DD (المالكون، المعالجون الفرعيون، مواقع البيانات، الشهادات، الضوابط).
2. فرز الجزاءات/السمعة/المستفيدين.
3. تقييم الأمن/الخصوصية: SOC/ISO/PCI/اختبار الاختراق، سياسة الاحتفاظ، عمليات DSAR.
4. الفحص الفني: SSO/OAuth، التشفير، الإدارة السرية، تسجيل الأشجار.
5. جوانب الدفع/مكافحة غسل الأموال (عند الاقتضاء): عمليات استرداد التكاليف، ومكافحة الاحتيال، والحدود.
6. تقرير المخاطر وحلها: القبول/المشروط/الرفض + قانون منع الفساد/التدابير التعويضية.
7. العقود: MSA، SLA/OLA، DPA، حق التدقيق، الاحتفاظ بالمرآة، إخطارات الحوادث، خارج المنحدر.
7) متطلبات الشريك الإلزامية (الحد الأدنى)
7. 1 الأمن والخصوصية
التشفير أثناء العبور/الراحة، إدارة المفاتيح (KMS/HSM).
RBAC/ABAC, MFA, admin log, recurt accesses.
سجلات وأرشيف WORM مع توقيع التجزئة ؛ الوقت المتزامن.
سياسات الاستبقاء، الحيازة القانونية، إجراءات منطقة DSAR ؛ إخفاء/ترميز PI.
تقارير الضعف/اختبارات الاختراق ؛ سياسة التحديث المدارة.
7. 2 التنظيم والتسويق
حظر العروض غير الموثوقة/العدوانية، وإخلاء المسؤولية الإلزامي.
الامتثال لقواعد اللعب المسؤول والتحقق من السن (عند الاقتضاء).
الاستهداف الجغرافي وفقا للتراخيص والقيود المحلية.
موافقات موثقة/غير موثقة للاتصالات، وتخزين الأدلة.
7. 3 المدفوعات/AML/KYC (حسب الدور)
إجراءات KYC/KYB، وفحص العقوبات/PEP، ورصد المعاملات.
logs/3DS الترخيص، عمليات رد التكاليف، حدود المخاطر.
سيناريوهات متسقة للحظر/التحقيق والعودة.
8) التكامل التقني
SSO/SAML/OIDC، توفير SCIM (إن أمكن).
قطع الأشجار المنظم (JSON/OTel)، والتعقب (trace_id).
خطوط الويب - مع التوقيع والاسترجاع ؛ ضمان التسليم/الخصوصية.
حدود واجهة برمجة التطبيقات، اختبارات العقد، التوافق الخلفي، الإصدار.
البيئات المعزولة والمفاتيح والأسرار في مخازن سرية.
9) الالتزامات التعاقدية
SLA/OLA: وقت التشغيل، TTR/MTTR، زمن الانتظار، RPO/RTO للخدمات الحيوية.
الأدلة والتدقيق: حق التدقيق، تنسيقات PBC، وقت الاستجابة، الوصول إلى غرفة البيانات.
الحوادث: الإخطار ≤ X ساعة، التقرير وشكل الجدول الزمني، CAPA.
الاحتفاظ بها وإزالتها: TTL، تأكيد التدمير، الاحتفاظ بالمرآة في العمليات الفرعية.
قيود السرية/الذكاء الاصطناعي والعقود من الباطن.
10) إدارة الحوادث (مشتركة)
قناة إخطار واحدة وتحديثات إيقاع المعركة.
الاحتفاظ القانوني الفوري بالبيانات ذات الصلة.
الجدول الزمني المشترك (من/ماذا/متى)، القطع الأثرية مع إيصالات التجزئة.
إخطارات إلى المنظمين/العملاء - من خلال عملية متفق عليها.
بعد الوفاة، CAPA، إعادة التدقيق في 30-90 يومًا.
11) الإبلاغ والرصد
التقارير الفصلية: الشهادات، والحوادث، واتفاقات الأمن، والمعالجات الفرعية، وتغييرات مواقع البيانات.
مقاييس الخصوصية/DSAR، شكاوى العملاء، انتهاكات التسويق.
المالية/الدفع: نسبة استرداد التكاليف، كفاءة مكافحة الاحتيال، استئناف معدل الفوز.
12) حق المراقبة والتدقيق
عمليات مراجعة الحسابات المقررة حسب فئات المخاطر ؛ غير مخطط لها - للحوادث/التغييرات الحرجة.
غرفة البيانات، PBC- лист، ToD/ToE/Walkthrough/Reperform.
→ CAPA النتائج والجداول الزمنية والأدلة على الإغلاق (WORM).
13) إخراج الشريك من الطائرة
خطة الهجرة/الاستبدال، ونقل القطع الأثرية والمفاتيح.
تأكيد تدمير بيانات الشريك والمعالج الفرعي.
إلغاء الوصول/الأسرار، قنوات التكامل القريب.
المراجعة النهائية للحسابات/التقرير وحفظ الأدلة.
14) المقاييس و KRI
وقت الصعود (حسب فئة المخاطر).
نضارة شهادة البائع (الهدف: 100٪ شركاء مهمون).
امتثال جيش تحرير السودان ومعدل الحوادث حسب الشريك.
الخصوصية/DSAR SLA وشكاوى العملاء.
نسبة استرداد التكاليف/خسارة الاحتيال٪ (لأدوار الدفع).
CAPA في الوقت المناسب и تكرار النتائج.
التوطين/الانجراف القضائي (تغييرات غير متسقة في المواقع/المعالجات الفرعية).
15) لوحات القيادة
خريطة حرارة مخاطر البائعين: معدل المخاطر والشهادات والحوادث والبلدان.
تغطية الامتثال: توافر DPA/SLA، حق المراجعة، الاحتفاظ/عقد قانوني.
SLA & Incidences: uptime، TTR/MTTR، حوادث غير مغلقة.
الخصوصية و DSAR: المصطلحات والأحجام والشكاوى والاتجاهات.
المدفوعات/الاحتيال: نسبة استرداد التكاليف، والأسباب، واستئناف معدل الفوز.
CAPA & Re-Audit: الحالات والتأخيرات والتعليقات المتكررة.
16) SOP (إجراءات موحدة)
SOP-1: شريك على متن الطائرة
استبيان DD الفحوص تلك/الخصوصية/تقييم الأمن تقرير المخاطر العقود (MSA/DPA/SLA) إنشاء تجريبية للتكامل وقطع الأشجار.
SOP-2: تغييرات الشركاء
إخطار التغيير (المعالجات الفرعية/المواقع/البنية) → تقييم المخاطر → تحديث العقود/السياسات → الاختبارات → Prod.
SOP-3: حادث
قناة واحدة → Legal Hold → جدول زمني/قطع أثرية مشتركة → إخطار → CAPA → إعادة التدقيق.
SOP-4: تنقيح دوري
دورة المخاطر السنوية/الفصلية → لجنة بناء السلام → عينة من تقرير →/منشور مقاييس → لجنة بناء السلام.
SOP-5: الإقلاع عن الطائرة
خطة الهجرة → التصدير/النقل → تأكيد التدمير → إلغاء الوصول → التقرير النهائي.
17) أنماط القطع الأثرية
17. 1 قائمة مراجعة DD للبائع (مقتطف)
يور. والبيانات/المستفيدين ؛ فحص العقوبات
الشهادات/عمليات التدقيق، سياسة الأمن/الخصوصية
مواقع البيانات/المعالجات الفرعية/الاحتفاظ بها
الحوادث في 24 شهرًا، CAPA
هؤلاء. التكامل: SSO، قطع الأشجار، التشفير، خطوط الويب
17. 2 DPA/SLA - الأصناف الإلزامية
تجهيز البيانات والأهداف والأسس القانونية
توقيت الإخطار بالحوادث، وشكل التقارير
حق المراجعة، تنسيقات لجنة بناء السلام، غرفة البيانات
TTL/إزالة، تعليق قانوني، تأكيد التدمير
المعالجات الفرعية وأمر الموافقة
17. 3 حزمة الأدلة
سجلات الدخول/الإجراءات الإدارية (إيصالات مجزأة منظمة)
تقارير الضعف/الاختراق/المسح الضوئي
سجل DSAR/الحذف/الاحتفاظ
جيش تحرير السودان/جيش تحرير السودان/جيش تحرير السودان/جيش تحرير السودان
نسخ العقود/الإضافات الموقعة
18) أنتيباترن
معالجات فرعية/مواقع بيانات غير شفافة.
الوصول «من طرف إلى طرف» بدون إعادة الشهادة والسجلات.
تحميل يدوي بدون ثبات وتأكيدات التجزئة.
التسويق بوعود غير أصلية/محرمة.
لا يوجد دليل على تدمير البيانات عند الإقلاع.
التنازلات الأبدية دون مواعيد نهائية وتدابير تعويضية.
19) نموذج النضج (M0-M4)
M0 Hell-hoc: فحوصات لمرة واحدة، ولا يوجد سجل مخاطر حسب الشريك.
M1 الدليل: قائمة الشركاء، DD/العقود الأساسية.
إدارة: فئات المخاطر، جيش تحرير السودان/إدارة الشؤون السياسية، لوحات المتابعة، التنقيحات المقررة.
M3 متكامل: قطع الأشجار/حافلة الأدلة، إعادة مراجعة الحسابات، الربط بين نظام المحاسبة المركزية، «جاهز لمراجعة الحسابات».
M4 الضمان المستمر: الرصد في الوقت الحقيقي، والتحقق من التوصيات، والتوليد التلقائي لحزم PBC/الأدلة.
20) مقالات ويكي ذات الصلة
الحرص الواجب عند اختيار مقدمي الخدمات
مخاطر الاستعانة بمصادر خارجية وضوابط المقاولين
مراجعو الحسابات الخارجيون
تخزين الأدلة والوثائق
مسار قطع الأشجار ومراجعة الحسابات
خطط الإصلاح
إعادة مراجعة الحسابات والمتابعة
مستودع السياسات والامتثال
إيصال حلول الامتثال في الأفرقة
المجموع
يحول «دليل امتثال الشركاء» سلسلة التوريد إلى نظام بيئي مُدار: متطلبات موحدة، وفحوصات يمكن التنبؤ بها، وأدلة ثابتة وترتيبات شفافة. هذا يقلل من المخاطر ويسرع التكامل ويجعل التعاون قابلاً للتطوير والتحقق.