الحرص الواجب عند اختيار مقدمي الخدمات
1) لماذا مقدمو العناية الواجبة
المزود هو استمرار لسلسلة ثقتك. خطأ الاختيار = العقوبات التنظيمية والتسريبات ووقت التوقف وخسائر السمعة. تسمح العناية الواجبة (DD) بما يلي:- تحديد المخاطر الكامنة حسب المنتج/البلد/البيانات.
- التحقق من الامتثال والسلامة قبل منح العقد.
- تسجيل الحقوق المتعلقة بجيش تحرير السودان/مكتب الشؤون الخارجية ومراجعة الحسابات في مرحلة العقد.
- قم بتهيئة المراقبة والخروج مع الحفاظ على سلامة البيانات.
2) متى وماذا يغطي
النقاط: الاختيار الأولي، قائمة قصيرة، قبل العقد، مع تغييرات كبيرة، الاستعراض السنوي.
التغطية: الوضع القانوني، والاستقرار المالي، والأمن، والخصوصية، والنضج التقني، والتشغيل/الدعم، والامتثال (GDPR/PCI/AML/SOC 2، وما إلى ذلك)، والجغرافيا ومخاطر الجزاءات، والأخلاق/الأخلاقيات، والمتعاقدين من الباطن.
3) الأدوار و RACI
(ص - مسؤول ؛ ألف - المساءلة ؛ جيم - استشاري ؛ أولاً - معلومات)
4) بطاقة الأداء (ما نتحقق منه)
4. 1 الملامح القانونية والمؤسسية
التسجيل، المستفيدون (KYB)، التقاضي، قوائم الجزاءات.
التراخيص/الشهادات للخدمات المنظمة.
4. التمويل 2 والاستدامة
البيانات المراجعة، عبء الديون، المستثمرين/البنوك الرئيسية.
خطة الاعتماد على العميل الواحد/المنطقة، والاستمرارية.
4. 3 الأمن والخصوصية
ISMS (السياسيون، RACI)، نتائج الاختبارات الخارجية، إدارة الضعف.
التشفير في Rest/In Transit، KMS/HSM، الإدارة السرية.
DLP/EDRM، يوميات، Legal Hold، الاحتفاظ والحذف.
إدارة الحوادث: إخطارات جيش تحرير السودان، وكتب اللعب، وتشريح الجثة.
4. 4 الامتثال والاعتماد
SOC 2/ISO 27001/PCI DSS/ISO 27701/CSA STAR (التوقيت والنطاق).
اللائحة العامة لحماية البيانات/المعايير المحلية: الأدوار (وحدة تحكم/معالج)، إدارة الشؤون السياسية، المجلس الأعلى للدفاع عن حقوق الإنسان/مكتب إدارة الشؤون السياسية، إدارة شؤون الإعلام.
حلقة مكافحة غسل الأموال/الجزاءات (عند الاقتضاء).
4. 5 النضج التقني والتكامل
الهندسة المعمارية (متعددة الإيجارات، العزلة، SLO، DR/HA، RTO/RPO).
API/SDK، إصدار، حدود الأسعار، إمكانية الملاحظة (السجلات/المقاييس/المسارات).
إدارة التغيير، الإصدارات (الأزرق والأخضر/الكناري)، التوافق الخلفي.
4. 6 عمليات ودعم
24 × 7/Follow-the-sun، وقت رد الفعل/التخفيض، الكرات.
إجراءات الصعود/الإقلاع، وتصدير البيانات دون عقوبات.
4. 7 معالجات فرعية وسلسلة إمداد
قائمة المتعاقدين من الباطن والولايات القضائية وضوابطهم وإشعارات التغيير.
4. 8 الأخلاقيات/الإدارة السليمة بيئياً
سياسات مكافحة الفساد، مدونة قواعد السلوك، ممارسات العمل، الإبلاغ.
5) عملية العناية الواجبة (SOP)
1. البدء: بطاقة الطلب (الأهداف، البيانات، الولايات القضائية، الأهمية الحيوية).
2. المؤهلات: استبيان قصير (قبل الشاشة) + فحص الجزاءات/الترخيص.
3. التقييم العميق: الاستبيان، القطع الأثرية (السياسات، التقارير، الشهادات)، المقابلات.
4. الفحص الفني: مراجعة الأمان، عرض البيئة، قراءة السجلات/المقاييس، PoC.
5. تحديد النقاط والمخاطر: بيان المخاطر المتأصلة → التحكم → المخاطر المتبقية.
6. الإصلاح: الشروط/التصويبات قبل العقد (قائمة الثغرات مع المواعيد النهائية).
7. Контракт: DPA/SLA/حقوق مراجعة الحسابات/المسؤولية/IP/خطة الإنهاء/الخروج.
8. التشغيل: عمليات الوصول/مكاتب الإحصاء الخاصة، كتالوجات البيانات، عمليات التكامل، خطة الرصد.
9. الرصد المستمر: الاستعراض/المحفزات السنوية (الحادث، تغيير المعالج الفرعي).
10. الإقلاع: التصدير، والحذف/إخفاء الهوية، وإلغاء إمكانية الوصول، وتأكيد التدمير.
6) استبيان مقدم الخدمة (جوهر الأسئلة)
يور. الشخص، المستفيدون، عمليات التحقق من الجزاءات، المنازعات لمدة 3 سنوات.
الشهادات (نوع/فترة SOC 2، ISO، PCI)، أحدث التقارير/النطاق.
السياسات الأمنية، جرد البيانات، التصنيف، DLP/EDRM.
العزلة التقنية: عزل المستأجر، سياسات الشبكة، التشفير، المفاتيح.
السجلات وعمليات التدقيق: التخزين، والوصول، و WORM/عدم قابلية التغيير، و SIEM/SOAR.
الحوادث خلال 24 شهرًا: الأنواع والتأثير والدروس.
الاحتفاظ/الحذف/عقد قانوني/تدفق DSAR.
المجهزون الفرعيون: القائمة، البلدان، المهام، الضمانات التعاقدية.
DR/BCP: RTO/RPO، نتائج الاختبار الأخيرة.
الدعم/جيش تحرير السودان: أوقات رد الفعل/القرار، التصعيد، مخطط الائتمان.
خطة الخروج: تصدير البيانات، الأشكال، التكلفة.
7) نموذج التسجيل (مثال)
المحاور: القانون/المالية/الأمن/الخصوصية/الهندسة/العمليات/الامتثال/السلسلة/ESG.
الدرجات 1-5 على كل محور ؛ الوزن حسب أهمية الخدمة ونوع البيانات.
- 'RR = Σ (الوزن _ i × النتيجة _ i)' فئة →: منخفضة/متوسطة/عالية/حرجة.
العالية/الحرجة: الإصلاح السابق للعقد، وتحسين شروط جيش تحرير السودان ورصده إلزامية.
منخفضة/متوسطة: المتطلبات القياسية + التنقيح السنوي.
8) الأحكام الإلزامية للعقد (ضرورية)
DPA: الأدوار (مراقب/معالج)، الغرض، فئات البيانات، الاحتفاظ والحذف، Legal Hold، مساعدة DSAR.
SCC/BCR للبث عبر الحدود (إذا انطبق).
ملحق الأمان: التشفير، السجلات، نقاط الضعف/التصحيح، اختبارات الاختراق، الكشف عن نقاط الضعف.
SLA/SLO: وقت التفاعل/الإلغاء (مستويات sev)، الائتمانات/العقوبات، التوافر، RTO/RPO.
حقوق مراجعة الحسابات: الحق في مراجعة الحسابات/الاستبيان/الأدلة ؛ الإشعارات بتغييرات الرقابة/المعالج الفرعي.
الإخطار بالإخلال: شروط الإخطار (على سبيل المثال، ≤ 24-72 ساعة)، والشكل، والتعاون في التحقيق.
شرط المعالجة الفرعية: القائمة، التغيير بالإشعار/الاتفاق، المسؤولية.
إعادة/حذف الخروج والبيانات: شكل التصدير، التواريخ، تأكيد التدمير، دعم الهجرة.
المسؤولية/التعويض: حدود/استثناءات (تسرب المؤشر العام، انتهاك الترخيص، الغرامات التنظيمية).
IP/License - development/configuration/data/metadata rights.
9) محفزات الرصد والاستعراض
انتهاء/تجديد الشهادات (SOC/ISO/PCI)، التغييرات في حالة الإبلاغ.
تغيير المعالجات الفرعية/مواقع التخزين/الولايات القضائية.
الحوادث الأمنية/الانقطاعات الكبيرة في جيش تحرير السودان.
عمليات الاندماج/الشراء، وتدهور الأداء المالي.
الإطلاقات التي تؤثر على العزل/التشفير/الوصول.
الاستفسارات التنظيمية، عمليات تدقيق النتائج.
10) مقاييس ولوحات معلومات مخاطر البائعين Mgmt
التغطية DD:٪ من مقدمي الخدمات المهمين الذين اجتازوا DD كاملة.
Time-to-Ondom: median from bit to contract (by risk gategory).
الثغرات المفتوحة: الإصلاح النشط حسب مقدم الخدمة (الجداول الزمنية/المالكون).
معدل خرق جيش تحرير السودان: نسبة انتهاكات جيش تحرير السودان حسب الوقت/التوافر.
معدل الحوادث: Incidents/12 أشهر حسب مقدم الخدمة والشدة.
الاستعداد لمراجعة الحسابات: توافر أحدث التقارير/الشهادات.
المعالج الفرعي Drift - تغييرات بدون إشعار (الهدف 0).
11) مستويات التصنيف والتحقق
12) القوائم المرجعية
بدء DD
- بطاقة المتطلبات وفئة مخاطر الخدمة.
- الفحص المسبق: الجزاءات والتراخيص والملف الأساسي.
- الاستبيان + القطع الأثرية (السياسات والتقارير والشهادات).
- مراجعة الأمان/الخصوصية + برنامج عمل للتكامل.
- قائمة الفجوات مع المواعيد النهائية والمالكين.
- العقد: DPA/SLA/حقوق مراجعة الحسابات/المسؤولية/الخروج.
- خطة التشغيل والرصد (المقاييس والإنذارات).
الاستعراض السنوي
- تحديث الشهادات والتقارير.
- فحص المعالجات الفرعية/المواقع/الولايات القضائية.
- حالة الإصلاح والمخاطر/الحوادث الجديدة.
- اختبارات ونتائج DR/BCP.
- التدقيق الجاف: جمع الأدلة «بالزر».
13) الأعلام الحمراء (الأعلام الحمراء)
) ب (رفض تقديم التقارير إلى لجنة الخدمة المدنية الدولية/المنظمة الدولية لتوحيد المقاييس/لجنة التنسيق الدولية أو فروعها المادية.
إجابات غامضة لتشفير البيانات/السجلات/الحذف.
لا توجد خطط DR/BCP أو لا يتم اختبارها.
حوادث مغلقة بدون تشريح الجثة والدروس.
نقل بيانات غير محدودة إلى المعالجين الفرعيين/في الخارج دون ضمانات.
قيود صارمة على المسؤولية عن تسريبات المؤسسات العامة.
14) أنتيباترن
«ورقة» DD بدون برنامج عمل والتحقق التقني.
قائمة مرجعية عالمية خالية من المخاطر/الولاية القضائية.
عقد بدون إدارة الشؤون السياسية/جيش تحرير السودان/خطة مراجعة الحسابات والخروج.
عدم وجود سجل لمقدمي الخدمات ورصد التغيير.
أصدرت «إلى الأبد» عمليات دخول/رموز بدون تناوب وإعادة شهادة.
15) مقالات ويكي ذات الصلة
التشغيل الآلي للامتثال والإبلاغ
الرصد المستمر للامتثال
الحجز القانوني وتجميد البيانات
دورة حياة السياسات والإجراءات
KYC/KYB وفحص العقوبات
جداول الاحتفاظ بالبيانات وحذفها
خطة الاستمرارية (BCP) و DRP
النتيجة
العناية الواجبة الموجهة نحو المخاطر ليست علامة، ولكنها عملية مُدارة: التصنيف الصحيح، والتحقق العميق على طول المحاور الرئيسية، والضمانات التعاقدية الواضحة والرصد المستمر. لذلك يصبح الموردون جزءًا موثوقًا من سلسلتك، ويمكن التنبؤ بتلبية المتطلبات دون إبطاء عملك.