إجراءات خرق البيانات

1) الغرض والنطاق

الهدف: التقليل إلى أدنى حد من الضرر والامتثال للمتطلبات القانونية وسرعة استعادة التشغيل العادي مع تسرب مؤكد أو محتمل للبيانات الشخصية/المدفوعة/التشغيلية.
التغطية: اللاعبون والموظفون في PII، قطع أثرية للدفع، سجلات/رموز الوصول، وثائق KYC/AML، بيانات الشركات التابعة/الشركاء، المنتجات السرية والقطع الأثرية للبنية التحتية.

2) تعاريف ومعايير «التسريب»

خرق البيانات - انتهاك سرية أو سلامة أو توافر البيانات الشخصية (أو غيرها من المعلومات المحمية) بسبب حادث أمني أو خطأ في العملية.
تم تأكيد مقابل المشتبه به: أي مؤشرات (شذوذ SIEM، رسائل من البائعين/المستخدمين، مواقع Paste) تبدأ الإجراء قبل الدحض.

3) تصنيف الشدة (مثال)

المستوى	الوصف	أمثلة	الإجراءات الإلزامية
منخفض	حجم صغير، حاسة منخفضة، لا وصول خارجي	المراسلات المحلية، سجل بالبريد الإلكتروني الجزئي	التذكرة، الإصلاح المحلي، دخول السجل
متوسطة	بيانات محدودة عن مؤشر الأداء المستقل/التشغيل	CSV مع أسماء عملاء كبار الشخصيات/أرقام الهواتف	التصعيد ≤4 ح، الاحتواء، إخطار DPO
عالية	النطاق الكبير/الفئات الحساسة	فحوصات KYC والقياسات الحيوية ورموز الدفع	غرفة الحرب ≤1 ح، إعداد الإخطارات
حرج	تسرب جماعي/عابر للحدود/مخاطر قانونية	قاعدة المستخدمين، المفاتيح/الأسرار	≤15 دقيقة لغرفة الحرب وإخطارات قانونية وخطة العلاقات العامة

4) جيش تحرير السودان و «جسر الحوادث»

البدء: مع Medium +، يتم إنشاء غرفة حرب (دردشة/مكالمة)، يتم تعيين قائد حادث (IC).

SLA: منخفض - 24 ساعة - متوسط - 4 ح· مرتفع - 1 ح· حرج - 15 دقيقة

إيقاع التحديثات: كل 30-60 دقيقة (داخلية)، كل 2-4 ساعة (أصحاب المصلحة الخارجيون).

5) RACI (موسع)

دور	المسؤولية
IC (Ops/Sec)	التنسيق، الجدول الزمني، حلول التوقف/البدء
الأمن/الطب الشرعي	هؤلاء. التحليل، جمع القطع الأثرية، الاحتواء/الاستئصال
إدارة شؤون الموظفين/الامتثال	المؤهلات القانونية، إخطارات إدارة الشؤون السياسية/المستخدم
قانوني	اللغة القانونية والالتزامات التعاقدية والجهات التنظيمية
SRE/الهندسة	عزل الخدمة، تناوب المفتاح، التراجع/الإصلاح
البيانات/البيانات الشخصية	تقدير النطاق/الفئة، وإغفال الهوية/التصدير لأغراض الإخطارات
المدفوعات/إدارة الموارد المالية	مخاطر الدفع والتفاعل مع PSP/البنوك
العلاقات العامة/الاتصالات	رسائل خارجية، دعم الأسئلة الشائعة
الدعم/كبار الشخصيات	الاتصالات مع المستخدمين/العملاء المهمين
مدير شؤون البائعين	التنسيق مع البائعين/المعالجين الفرعيين

6) إجراء الرد (خطوة بخطوة)

1. تحديد الهوية والتصديق الأولي

إشارة من SIEM/EDR/مكافحة الغش/البائع/المستخدم → إدخال في سجل الحوادث.
جمع الحد الأدنى من الحقائق: ما/متى/أين/كم، أنواع البيانات والولايات القضائية المتأثرة.

2. احتواء

تعطيل نقاط النهاية/الميزات الضعيفة، والقطاعات الجغرافية، والحدود الزمنية، وإطلاقات التجميد.
تناوب المفتاح/الرمز، وإلغاء عمليات الوصول، وحجب الحسابات المخترقة.

3. الاستئصال

إصلاح التصحيح/التهيئة، تنظيف القطع الأثرية الضارة، إعادة بناء الصور، فحص المعالجات الفرعية.

4. استرداد (استرداد)

دخول مرور الكناري، مراقبة الانحدار، اجتياز فحوصات السلامة.

5. تقييم الأدلة الجنائية والأثر

حساب الحجم والحساسية والمناطق الجغرافية والمخاطر بالنسبة للموضوعات ؛ تأكيد السجلات المتأثرة.

6. الإخطارات والاتصالات

ويحدد المكتب/الهيئة القانونية واجب الإشعارات وتوقيتها ؛ وإعداد النصوص ؛ التوزيع على الجهات المرسل إليها.

7. تشريح الجثة و CAPA

تحليل السبب الجذري (5 Whys)، خطة العمل التصحيحية/الوقائية مع المالكين والجداول الزمنية.

7) 72 ساعة نافذة ومخاطب قانوني (معالم)

مراقبة البيانات (DPA) - الإخطار في موعد لا يتجاوز 72 ساعة بعد اكتشاف تسرب كبير، إذا لم يتم استبعاد الخطر على حقوق/حريات الأشخاص.
المستخدمون - «دون تأخير لا داعي له» معرضون لخطر كبير (مع توصيات واضحة).
منظم المقامرة - عند التأثير على اللاعبين/الاستدامة/الإبلاغ.
البنوك/PSP - معرضة لخطر المدفوعات/التنازل عن الرموز/المعاملات المشبوهة.
الشركاء/البائعون - إذا تأثرت التدفقات/البيانات المشتركة أو كانت هناك حاجة لاتخاذ إجراءات.

8) الطب الشرعي و «سلسلة حراسة الأدلة»

لقطات لأحجام/جذوع الأشجار، وتصدير القطع الأثرية مع التجزئة (SHA-256).
العمل فقط بالنسخ/اللقطات ؛ نظم المصدر - القراءة فقط.
بروتوكول العمل: من/متى/ماذا فعل، الأوامر/الأدوات المستخدمة.
التخزين في تخزين الدودة/الأجسام ؛ تقييد الوصول، مراجعة الحسابات.

9) الاتصالات (الداخلية/الخارجية)

المبادئ: حقائق → تدابير → توصيات → التحديث التالي:

من المستحيل: نشر PII، وبناء فرضيات غير مختبرة، والوعد بمواعيد نهائية دون سيطرة.

نموذج التحديث الداخلي (بإيجاز):

ما الذي تم العثور عليه ؟ مقياس/فئات: المقاييس الحالية· المخاطر· الخطوات التالية· التحديث التالي في HH: MM.

10) التفاعل مع البائعين/المعالجين الفرعيين

تحقق من سجلات الحوادث، وسجلات الوصول، وإخطار SLAs، وقائمة المعالجات الفرعية.
تقارير الطلب (pentest/rate)، تسجيل تأكيد حذف/إرجاع البيانات.
في حالة عدم تطابق إدارة الشؤون السياسية - التصعيد والعزل المؤقت/تعليق الإدماج.

11) نماذج (شظايا) الإخطار

11. 1 السلطة الإشرافية (DPA)

وصف موجز للحدث ووقت الكشف، والفئات/الحجم التقريبي للبيانات، ومجموعات المواضيع، والجغرافيا، والعواقب والمخاطر، والتدابير المتخذة/المخطط لها، والاتصال بالمكتب المعني بالسياسات، والتطبيقات (الجدول الزمني، وموجز التجزئة).

11. 2 مستخدم

ماذا حدث؟ وما هي البيانات التي يمكن أن تكون قد تأثرت ؛ وما فعلناه ؛ ما يمكنك فعله (تغيير كلمة المرور، والتحكم في المعاملات، ونصائح التصيد) ؛ وكيفية الاتصال ؛ وصلة إلى الأسئلة الشائعة/مركز الدعم.

11. 3 شركاء/PSP/منظم

الحقائق والوصلات البينية المتأثرة ؛ المواعيد النهائية المتوقعة لإجراءات الشركاء ؛ الأشخاص المتصلين.

12) سجل الحوادث (الحد الأدنى من المجالات)

ID· Discovery/Signmation Time· Source Systems/Data Scope/Categories· Geographies· البائعون المعنيون بالإجراءات المتخذة (في الوقت المناسب)· الإخطارات (إلى/متى)· الأشخاص المسؤولون (RACI)· الإشارات إلى القطع الأثرية/المواعيد.

13) المقاييس والأهداف

MTTD/MTTC/MTTR (الكشف/الاحتواء/الاستعادة).
النسبة المئوية للإخطارات في 72 ساعة - 100 في المائة.
النسبة المئوية للحوادث ذات السبب الجذري المحدد ≥ 90٪.
تم إغلاق CAPAs ≥ 95٪.
الحوادث المتكررة لسبب واحد ≤ 5٪.
النسبة المئوية للحوادث التي أغلقت في جيش تحرير السودان (متوسطة/عالية/حرجة): 90/95/99 في المائة.

14) القوائم المرجعية

14. 1 ابدأ (أول 60 دقيقة)

IC مخصصة وغرفة حرب مفتوحة
تدابير تثبيت (قطع الاتصال/الحدود/تناوب المفاتيح)
جمع الحد الأدنى من الحقائق ولقطات الشاشة/السجلات
إخطار DPO/Legal، الفئة الأولية محددة
تجميد الإطلاقات وبروتوكولات تنظيف السجلات

14. 2 حتى 24 ساعة

الطب الشرعي: النطاق/الفئات/الجغرافيا (مشروع)
قرار الإخطار وإعداد النصوص
خطة التعافي/النزاهة
حزمة أدلة WORM، الجدول الزمني للحدث

14. 3 حتى 72 ساعة

إخطارات DPA/Regulator/PSP (إذا لزم الأمر)
الاتصال بالمستخدمين (مخاطر عالية)
خطة CAPA المحدثة والمالكين والجدول الزمني

15) السيناريوهات والتدابير النموذجية

أ) قاعدة بيانات الدردشة لدعم الصادرات لفتح قطاع التخزين

التدابير: الوصول عن كثب، تنزيل المخزون، الإخطار المتأثر، تعزيز السياسات S3/ACL، قواعد التصدير DLP.

B) حل وسط لرموز الوصول إلى API

التدابير: التناوب الفوري، واستدعاء رموز التحديث، والتحقق من سجل المكالمات، وإعادة توقيع الخطاف، وتقسيم حركة المرور.

C) تسرب مسح KYC من خلال البائع

التدابير: عزل الإدماج، تأكيد الحذف، إعادة التحقق يدويا من العملاء المعرضين لمخاطر عالية، تنقيح إدارة الشؤون السياسية/الخصومات.

D) Public Dump Publication

التدابير: إصلاح القطع الأثرية (التجزئة)، والإزالة القانونية للوصلات (الإزالة)، والإخطارات، ورصد المزيد من المنشورات.

16) التكامل مع الامتثال والخصوصية

حزمة مع عمليات اللائحة العامة لحماية البيانات: DSAR، RoPA، DPIA/DTIA ؛ تحديث السياسة العامة وملفات تعريف الارتباط/اللجنة في حالة حدوث تغييرات في الموردين/الأهداف.
إدراج الحوادث في مصفوفة المخاطر وتنقيح العتبات/الضوابط.

17) CAPA وتشريح الجثة (≤ 72 ساعة بعد الاستقرار)

هيكل التقرير: الحقائق/الجدول الزمني· التأثير: السبب الجذري· ما الذي نجح/لم ينجح قائمة CAPA (المالك، المصطلح، معيار النجاح)· تاريخ التحقق من الفعالية (في 30-60 يومًا).

18) خارطة طريق عملية النضج

الشهر 1: دليل التحديث، جهات الاتصال، القوالب، أرشيف WORM، اختبار الإخطار.
2 الشهر: تمارين الطاولة (تسرب PII/البائع/الرموز)، كتب اللعب SOAR.
الشهر 3 +: الاسترجاع الفصلي، وتدقيق البائعين، واختبارات التحيز لنماذج مكافحة الاحتيال/الكشف، والمراجعة المنتظمة للعتبات.

TL; د

في حالة حدوث تسرب: نقوم بسرعة بتثبيت (الاحتواء)، والتأكيد بدقة (الطب الشرعي)، والإخطار في الوقت المحدد (DPA/المستخدمين/الشركاء)، والتوثيق بشفافية (التسجيل، والجدول الزمني، والأدلة) وتصحيح السبب الجذري (CAPA). والنتيجة هي تقليل الضرر والامتثال واستعادة ثقة اللاعبين والشركاء.

إجراءات خرق البيانات

B) حل وسط لرموز الوصول إلى API

C) تسرب مسح KYC من خلال البائع

D) Public Dump Publication

TL; د

اتصل بنا

اتصال سريع

سيتم تحديث الفيديو قريبًا

نحن مشغولون جدًا بالمشاريع في الوقت الحالي