قناة المبلغين عن المخالفات وحماية البيانات

1) الغرض والمنطقة

توفير طريقة آمنة ويمكن الوصول إليها وموثوق بها للموظفين والمتعاقدين والشركات التابعة وأصحاب المصلحة الآخرين للإبلاغ عن الانتهاكات (الفساد، والاحتيال، ومكافحة غسل الأموال/الجزاءات، والفريق المقيم، والقانون العام لحماية البيانات/المبادرة الدولية لحماية البيئة البحرية، وأمن المعلومات، والإعلان/الشركات التابعة، وتضارب المصالح، والتمييز والمضايقة، وانتهاك الترخيص/القانون). تنظم الوثيقة القنوات وإخفاء الهوية ومعالجة البيانات وإجراءات التحقيق والحماية من القمع.

2) المبادئ

عدم التسامح مطلقا مع القمع. أي انتقام محظور.
خصوصية البيانات وتقليلها. الجمع ضروري فقط، وفقًا لمبدأ الحاجة إلى المعرفة.
إخفاء الهوية باختيار المخبر. القدرة على التواصل دون الكشف عن الهوية.
التوقيت والإنصاف. وقبول/استعراض جيش تحرير السودان ؛ منهجية موثقة وغير متحيزة.
الاستقلال. الفصل بين الأدوار: تلقي الرسائل والتحقيق والجزاءات.
شفافية العملية. تتبع الحالة والتعليقات والإحصاءات العامة بدون شخصيات.

3) الأدوار و RACI

ضابط الإبلاغ عن المخالفات (WBO) - مالك العملية، الفرز، تنسيق التحقيق، الإبلاغ. (A/R)

الامتثال/القانون/DPO - التقييم القانوني، حماية البيانات، سياسة الخصوصية. (R/C)

InfoSec/CISO - أمن القناة، والتشفير، والتحكم في الوصول، والتسجيل. (ص)

HR/ER (علاقات الموظفين) - قضايا الأخلاق/السلوك، تدابير الدعم. (ص)

المراجعة الداخلية للحسابات - مراقبة مستقلة لنوعية التحقيقات ومراجعة الحسابات. (جيم)

الأمن/الثقة والسلامة - قضايا تقنية/احتيال، جمع القطع الأثرية الرقمية. (ص)

الراعي التنفيذي (الرئيس التنفيذي/مدير العمليات) - «نغمة من الأعلى»، الموارد، التصعيد S1. (طاء/ألف)

4) قنوات استقبال الرسائل

1. النموذج الشبكي (الموصى به الرئيسي): دعم عدم الكشف عن الهوية ؛ مراسلات رمزية/دبوس آمنة.
2. البريد الإلكتروني: صندوق مخصص للتشفير التلقائي والتهوية التلقائية دون الكشف عن المحتوى.
3. الخط الساخن/الهاتف: اكتب إلى النظام مع إخفاء البيانات.
4. Chatbot in Corporate messenger: ليس لمجهول (أو بآلية بالوكالة).
5. العنوان البريدي/صندوق البريد المادي: للرسائل غير المتصلة بالإنترنت (المسح الضوئي والتحميل في النظام).
6. الاتصال المباشر بالمنظمة العالمية للملكية الفكرية/المنظمة الدولية للمعلومات: الاجتماع الشخصي - بناء على طلب المخبر.

متطلبات القناة: TLS من طرف إلى طرف، التخزين في التخزين المشفر، RBAC، سجلات الوصول غير قابلة للتغيير، لا تتبع IP/الأجهزة في شكل مجهول، سياسة ملفات تعريف الارتباط/سجل شفافة.

5) حماية البيانات والأسس القانونية

الأساس القانوني: أداء الواجبات القانونية، المصالح المشروعة للشركة، المصلحة العامة (حسب الولاية القضائية).
إدارة شؤون الإعلام: قبل الإطلاق - تقييم أثر الخصوصية ؛ تحديد المخاطر وتدابير التخفيف.
تصنيف البيانات: الشخصية، الحساسة (الصحة، الإثنية، إلخ)، الأسرار التجارية، القطع الأثرية للتحقيقات.
التقليل إلى أدنى حد: لا تجمع غير ضروري ؛ تحذف الوثائق غير المطابقة.
عمليات النقل عبر الحدود: فقط إذا كانت هناك أسباب قانونية وضمانات تعاقدية.
حقوق مواضيع البيانات: تتولى المنظمات المعنية بالأشخاص ذوي الإعاقة تجهيز هذه التقارير ؛ :: عدم الكشف عن هوية المبلغين عن المخالفات والبيانات التي تعرض التحقيق/الأطراف الثالثة للخطر.
الاحتفاظ: الرسائل والقطع الأثرية - عادة 5 سنوات أو بموجب سياسة/قانون/ترخيص ؛ ثم تأمين الحذف (مسح التشفير/المنطقي مع السجل).

6) تدابير السلامة والتدابير التقنية

التشفير: في الاستراحة (KMS/HSM)، أثناء العبور (TLS)، المفاتيح - مع التناوب وترسيم الحدود.
الوصول: RBAC/ABAC، مبدأ أقل الامتيازات، مجالات منفصلة للحالات المجهولة الهوية.
الجذوع: ثابتة (WORM)، مراقبة عمليات الوصول غير العادية، التنبيهات.
التجزئة: نظام الرسائل معزول عن نظم الإنتاج ؛ نسخ احتياطية فردية مع فحص الاسترداد.
البيانات الوصفية: الإخفاء، وإزالة EXIF من المرفقات، وتحذير المخبر من إلغاء التعريف التلقائي.
قنوات الاتصال السرية: صندوق بريد/بريد ويب آمن للمراسلات المجهولة الاتجاه.

7) تصنيف الحالات والأولويات

S1 (حرج): الفساد/الرشوة، والاحتيال الكبير، وتسريب PII/PCI، والتهديدات على الحياة/الأمن، والانتهاكات الخطيرة للترخيص/القانون.
S2 (High): الانتهاكات المنهجية للسياسات (AML/RG/GDPR/IS)، تضارب خطير في المصالح، تمييز/مضايقة.
S3 (متوسط): انتهاكات محلية للإجراءات، وأخطاء في الإعلانات/الشركات التابعة، وانتهاكات لمرة واحدة للسلوك.
S4 (منخفض): اقتراحات للتحسينات، حوادث منخفضة المخاطر.

• الاستلام: S1/S2 - ≤ 24 ساعة ؛ S3/S4 - ≤ 3 أيام عمل
• التقييم الأولي (الفرز): S1- ≤ 48 h ؛ S2 - ≤ 5 أيام عمل ؛ S3/S4 - ≤ 10 أيام عمل
• خطة التحقيق: دإ-1 - ≤ 3 أيام عمل ؛ دال 2 - ≤ 10 أيام عمل

8) العملية من الرسالة إلى الإغلاق

الخطوة 1 - الاستلام والاستلام. تعيين الهوية، إصلاح القناة، حفظ الأدلة «كما هي».
الخطوة 2 - الفرز والاستقلال. التحقق من تضارب المصالح مع الأشخاص المعينين ؛ في حالة النزاع - إعادة التوزيع.
الخطوة 3 - تقييم المخاطر والخطة. النطاق، الفرضيات، شرعية الأساليب، قائمة القطع الأثرية، خارطة الطريق.
الخطوة 4 - جمع الأدلة. الوثائق والسجلات والمقابلات واختيار المعاملات ؛ الامتثال لسلسلة الاحتجاز.
الخطوة 5 - التحليل والاستنتاجات. معيار → الحقائق (السياسة/القانون/الترخيص) → المخاطر → الأثر.
الخطوة 6 - التوصيات وخطط العمل القطرية. الإجراءات التصحيحية/الوقائية، المالكين، التوقيت، مقاييس النجاح.
الخطوة 7 - الاتصالات والتغذية المرتدة. دون الكشف عن هوية المخبر ؛ لغة أنيقة (لا توجد اتهامات حتى النهاية).
الخطوة 8 - الإغلاق والاحتفاظ. التقرير النهائي، الحالة، تخزين القطع الأثرية، إصدار إحصاءات غير شخصية.

9) الاتصالات وحماية المبلغين عن المخالفات

لا بلاغ. لا تكشف عن حقيقة الإبلاغ/التحقيق للمنتهكين المزعومين.
الحماية من القمع. يحظر التخفيض والفصل والحرمان من المكافآت والتنمر وما إلى ذلك. وتعتبر التدابير الانتقامية انتهاكا S1/S2 منفصلا.
الدعم: إذا لزم الأمر - النقل إلى فريق آخر، الإجازة، الموارد البشرية/المشورة القانونية/الدعم النفسي.
الاتصال المجهول ثنائي الاتجاه: يمكن للمخبر طرح الأسئلة والحصول على الحالة من خلال صندوق الوارد/الرمز المميز على الويب.

10) العلاقة مع السياسات الأخرى

مدونة الأخلاقيات والسلوك - المعايير والقنوات.
سياسة مكافحة الفساد - الحرص الواجب، الهدايا، الوسطاء.
GDPR/PII - شرعية المعالجة، DSAR، الاحتفاظ.
AML/RG/PCI/IS - إجراءات متخصصة وفرز.
المراجعة الداخلية للحسابات - مراقبة مستقلة لنوعية التحقيقات.

11) القوائم المرجعية

11. 1 قبل بدء القناة

• DPIA وسياسة الخصوصية المعتمدة من قبل DPO/Legal.
• البنية التقنية: التشفير، RBAC، سجلات WORM.
• تم تكوين نموذج ويب مجهول واتصال رمزي ثنائي الاتجاه.
• تدريب فريق الفرز التابع للمنظمة العالمية للملكية الفكرية على منهجية التحقيق.
• أعدت نماذج (الاستلام، خطة التحقيق، التقرير، رسالة الإغلاق).
• حملة اتصال: «نغمة من الأعلى»، ملصقات، إنترانت، الأسئلة الشائعة.

11. 2 استقبال الرسالة

• تم تحديد الهوية، وسجل التاريخ/القناة/المستوى S.
• التأكيد المرسل إلى المخبر دون الكشف عن التفاصيل.
• تم إجراء اختبار تضارب المصالح لفناني الأداء.
• جميع المرفقات/البيانات الوصفية الملتزم بها وغير الموثقة.

11. 3 تحقيق

• تمت الموافقة على الخطة والفرضيات (Legal/DPO/InfoSec - حسب الاقتضاء).
• يتم الاحتفاظ بسلسلة الحجز لكل قطعة أثرية.
• يتم تسجيل المقابلات ؛ تحذير الخصوصية.
• الاستنتاجات المستندة إلى حقائق يمكن التحقق منها، استعراض النظراء.

11. 4 الإغلاق

• تُحدَّد معايير الكابلات، وتُحدَّد التواريخ والمقاييس.
• تلقى المبلغون (الفرصة) تعليقات غير شخصية.
• تحديد الاحتفاظ/التصنيف ؛ تم أرشفة القطع الأثرية.
• إحصاءات مستكملة على لوحة المتابعة.

12) نماذج المستندات (إدخالات سريعة)

أ) استلام المخبر

مفتاح> شكرا لك على رسالتك. هويتك هي WB-XXXX. سنقوم بمراجعة المعلومات والاتصال بك إذا لزم الأمر من خلال هذه القناة الآمنة. يمكنك البقاء مجهول الهوية. يرجى عدم الإفصاح علنا حتى اكتمال التحقق.

B) خطة تحقيق (جهاز استدعاء واحد)

القضية: WB-XXXX الأولوية: S1/S2/S3/S4 المالك:... الجدول الزمني:...
الفرضيات/المعايير:...
البيانات/القطع الأثرية:...

المقابلة: القائمة/الجدول

مخاطر الخصوصية/القيود القانونية:...
نقاط الاتصال والتحكم:...

C) التقرير النهائي (الهيكل)

Summary Facts Standards (policy/law) Analysis Conclusions CAPA Recommendations (articles).

D) رسالة ختامية

13) المقاييس ولوحة القيادة

حجم المدخول - عدد الرسائل حسب الفئة والقناة.
وقت الاعتراف/وقت الفرز/وقت اتخاذ القرار.
الامتثال لجيش تحرير السودان من جانب المستويات العليا.
تم الانتهاء من تقدم CAPA/قيد التقدم/منتهي الصلاحية، متوسط الإغلاق.
مؤشر الانتقام: شكاوى الاستجابة المبلغ عنها (الهدف 0).
معدل إخفاء الهوية: نسبة الرسائل المجهولة وتحويلها إلى حالات مؤكدة.
تكرار النتائج: تكرار الموضوعات في 12 شهرًا.
أثر التوعية: نمو نداءات ما بعد الحملات ؛ قناة الثقة NPS.

14) المخاطر والضوابط

عدم الكشف عن هويته عن طريق البيانات الوصفية → إلغاء هويته، حذف EXIF، تحذيرات صريحة.
تسريبات الوصول إلى الحالة - → RBAC، التجزئة، سجلات WORM، عمليات تدقيق الوصول المنتظمة.
رسائل/إساءة استخدام خيالية → تصفية مهذبة والتحقق من الحقائق ؛ على التصريحات الكاذبة عن علم (دون تأثير التخويف).
تضارب المصالح في التحقيق - التناوب → لفناني الأداء، ومشاركة الرابطة/الشؤون القانونية.
القمع - → سلسلة منفصلة من الشكاوى ؛ الاستجابة السريعة للموارد البشرية/الامتثال.

15) التدريب والتوعية

التشغيل: وحدة على القناة، وإخفاء الهوية وحماية البيانات (اختبار ≥ 85٪).
إعادة التصديق السنوية للجميع ؛ تدريب إضافي للمنظمات/المحققين.
حملات فصلية (ملصقات/مسابقات/مقاطع فيديو): كيفية تقديم ما هو متوقع، أمثلة.

16) خطة تنفيذ مدتها 30 يومًا

الأسبوع 1

1. تعيين المنظمة العالمية للملكية الفكرية وفريق العمل (Compliance/Legal/DPO/InfoSec/HR/IA).
2. إجراء DPIA، والموافقة على سياسة الخصوصية والاحتفاظ.
3. تحديد القنوات (استمارة الويب/البريد/الخط)، ومتطلبات إخفاء الهوية والسجلات.

الأسبوع 2

4. نفذ منصة تقنية: التشفير، RBAC، سجلات WORM، صندوق بريد ويب مجهول.
5. إعداد النماذج وإجراءات التشغيل الموحدة: الاستلام، التخطيط، التقرير، الرسالة الختامية، CAPA.
6. تدريب فريق الفرز التابع للمنظمة العالمية للملكية الفكرية ؛ سجل RACI و SLA.

الأسبوع 3

7. رائدة: 1-2 حالة اختبار (أعلى الجدول)، التحقق من سلسلة الأدلة والاحتفاظ بها.
8. وضع مقاييس لوحة المتابعة وتقديم التقارير للإدارة/اللجنة.
9. الاتصالات: خطاب الرئيس التنفيذي، صفحة الإنترنت، الأسئلة الشائعة، الملصقات.

الأسبوع 4

10. بدء تشغيل القناة ؛ وجيش تحرير السودان/رصد الأحمال ؛ دعم ساخن.
11. استعراضات أسبوعية لحالات S1/S2 وحالات قانون مكافحة الفساد.
12. تعديلات Retro و v1. 1 (السياسات والأشكال والتدريب).

17) الأقسام ذات الصلة

مدونة الأخلاقيات والسلوك

سياسة مكافحة الفساد

AML وتدريب الموظفين/التوعية بالامتثال

كتب اللعب والنصوص الخاصة بالحوادث

لوحة متابعة الامتثال والرصد

المراجعة الداخلية للحسابات والمراجعة الخارجية للحسابات

الإخطارات بالانتهاكات والمواعيد النهائية للإبلاغ

التقارير التنظيمية وأشكال البيانات