شهادات السلامة والامتثال

لماذا تحتاجه ؟

تؤكد الشهادات والشهادات ممارسات السلامة الناضجة وتقصر دورة العناية الواجبة، وتفتح الوصول إلى الأسواق والشركاء الخاضعين للتنظيم. المفتاح ليس «اجتياز التدقيق مرة واحدة»، ولكن لبناء نظام مراقبة مستمر بنقاط تحكم قابلة للقياس.

خريطة المناظر الطبيعية (ماذا تختار ومتى)

ISO/IEC 27001 - نظام إدارة أمن المعلومات. «الهيكل العظمي» العالمي للعمليات.

الإضافات: ISO 27017 (سحابة)، 27018 (الخصوصية في السحابة)، 27701 (PIMS، الخصوصية)، 22301 (BCMS، الاستدامة).
SOC 2 (AICPA): النوع الأول (التصميم للتاريخ) والنوع الثاني (التصميم + الكفاءة التشغيلية للفترة، عادة 3-12 أشهر). معايير خدمات الثقة: الأمن والتوافر ونزاهة المعالجة والسرية والخصوصية.
PCI DSS (لمعالجة البطاقات): المستويات حسب حجم المعاملات، ROC/AOC التي تنطوي على QSA، والمسح الفصلي ASV، والخماسي، وتجزئة منطقة CHD.
CSA STAR (المستوى 1-3): إعلان/تدقيق لمقدمي وخدمات السحابة.
بالإضافة إلى ذلك حسب المجالات: ISO 20000 (ITSM)، ISO 31000 (إدارة المخاطر)، ISO 37001 (مكافحة الرشوة)، TISAX/ISAE 3402 (الصناعة/التمويل).
اللائحة العامة لحماية البيانات/الخصوصية: لا توجد «شهادة اللائحة العامة لحماية البيانات» في حد ذاتها ؛ وتطبق ISO 27701 والتقييمات/مدونات السلوك المستقلة.

💡 قاعدة الاختيار: B2B SaaS/fintech → ISO 27001 + SOC 2 Type II ؛ تدفقات/بطاقات الدفع → PCI DSS العمل عن كثب مع PII → 27701 التركيز السحابي → 27017/27018/CSA STAR.

شهادة مقابل شهادة

شهادة (ISO): تصدر هيئة معتمدة شهادة مدتها 3 سنوات مع مراجعة حسابات إشرافية سنوية.
التقييم (SOC 2): يصدر مراجع الحسابات المستقل تقريراً (رأي) عن الفترة ؛ أنت تقدم المستند للعملاء بموجب اتفاقية عدم الإفشاء.
PCI DSS: أكده تقرير الامتثال (ROC) و AOC (شهادة الامتثال)، أو SAQ لأحجام أصغر.

النطاق: كيفية تحديد الحدود

1. الأصول والعمليات: المنتجات، والبيئات (المرحلة/المرحلة)، والمناطق، وفئات البيانات (مؤشر الأداء الموحد/التمويل/الخرائط).
2. البنية التقنية: السحابة، VPC/VNet، Kubernetes، CI/CD، الإدارة السرية، DWH/التحليلات.
3. المناطق التنظيمية: المكاتب/المناطق النائية، المتعاقدون، دعم الاستعانة بمصادر خارجية.
4. الأطراف الثالثة: PSP، مزودي المحتوى، KYC/AML، السحب - نموذج المسؤولية المشتركة.
5. الاستثناءات: تحديد السبب خارج النطاق، والتدابير التعويضية.

خارطة الطريق إلى «الشارة الأولى»

1. تحليل الثغرات مقابل الأهداف (27001/SOC 2/PCI).
2. إدارة المخاطر: المنهجية، وسجل المخاطر، وخطة التجهيز، وبيان قابلية التطبيق.
3. السياسات والأدوار: أمن المعلومات/سياسة الخصوصية، تصنيف البيانات، الوصول (IAM)، قطع الأشجار، الاستجابة، استمرارية تصريف الأعمال/إدارة الكوارث.
4. الضوابط التقنية: التشفير، الشبكات (WAF/WAAP، DDoS)، نقاط الضعف/التصحيحات، SDLC الآمن، النسخ الاحتياطية، الرصد.
5. قاعدة الأدلة: اللوائح والمجلات ولقطات الشاشة والتحميلات والتذاكر - نقوم بتخزينها.
6. المراجعة الداخلية للحسابات/تقييم مدى الاستعداد.
7. المراجعة الخارجية للحسابات: المرحلة 1 (استعراض الالتحام) → المرحلة 2 (الكفاءة/العينات). بالنسبة إلى SOC 2 النوع الثاني - «فترة المراقبة».
8. الرقابة/الصيانة: استعراضات الرقابة الفصلية، عمليات مراجعة الرقابة السنوية (ISOs)، التحديث السنوي لـ SOC 2.

مصفوفة مطابقة التحكم (قطعة مثال)

المجالات	ISO 27001	SOC 2 TSC	PCI DSS	نوع/قطعة أثرية للتفتيش
إدارة الدخول	A.5، A.9	CC6. x	7, 8	RBAC/ABAC, JML, SCIM logs, revue rights
التشجيع	A.8	CC6. 1، CC6. 7	3	KMS/HSM, TLS 1. 2 +/mTLS، السياسات الرئيسية
نقاط الضعف/التصحيحات	A.12، A.14	CC7. x	6, 11. 3	المسح، MTTP، تقارير الخمسة، ASV
جذوع الأشجار/الرصد	A.5، A.8، A.12	CC7. x	10	SIEM/SOC، الاحتفاظ والتنبيهات و RCA
BCM/DR	A.5، A.17	A1. x	12	22301 خطة، نتائج اختبار DR

ما سيظهره مراجع الحسابات (استفسارات نموذجية)

الوصول: تقارير من IdP/IAM، سجلات JML، مراجعة الامتيازات.
الأسرار: سياسات KMS/Vault، تاريخ التناوب.
مسح الثغرات: أحدث التقارير، تذاكر الإصلاح، المواعيد النهائية لـ MTTP.
السجلات/التنبيهات: حالات الحوادث، MTTD/MTTR، بعد الوفاة.
الموردون: التسجيل، إدارة شؤون الإعلام/إدارة المعلومات والاتصالات (إذا كان مؤشر الاستثمار الاستثماري)، التدابير التعاقدية، تقييمات المخاطر.
التدريب والاختبارات: عمليات محاكاة التصيد الاحتيالي، والتدريب على أمن المعلومات، والتأكيدات.
BC/DR: نتائج أحدث تمرين، حقائق RTO/RPO.

الامتثال المستمر

السياسة كرمز: OPA/Gatekeeper/Kyverno for Depleys; «تطبيق» على القواعد الحرجة.
المراقبة المستمرة (CCM): فحص كل دقيقة/ساعة N (تشفير الدلاء، المنافذ المفتوحة، تغطية MFA).
نظام GRC: سجل الضوابط والمالكين والمهام والمواعيد النهائية والمقاييس الملزمة.
محور قطعة أثرية واحدة: «دليل» تم تحريره وتمييزه بنقطة تفتيش.
التوليد التلقائي للتقارير: SoA، سجل المخاطر، فعالية التحكم، KPI/SLO بواسطة الضوابط.

مقاييس الامتثال و SLOs

التغطية: النسبة المئوية للضوابط مع التحقق التلقائي، النسبة المئوية للأصول في النطاق.
وقت الرد: إغلاق باب النظر في طلبات مراجعة الحسابات ≤ 5 أيام عمل.
الموثوقية: «التحكم ليس في المنطقة الخضراء» ≤ 1٪ من الوقت في الشهر.

نقاط الضعف: MTTP P1 ≤ 48 ساعة، P2 ≤ 7 أيام ؛ علاج الخمسة ≤ 30 يوماً

التدريب على أمن المعلومات: تغطية الموظفين ≥ 98 في المائة، وتواتر 12 شهرا

خاص بالسحابة وكوبرنيت

السحابة: مخزون الموارد (IaC)، وتشفير القرص/القناة، والتسجيل (CloudTrail/Activity Logs)، والحد الأدنى من الأدوار. استخدم تقارير شهادة المزود (SOC 2، ISO، PCI) كجزء من الحماية «القديمة».
Kubernetes: RBAC حسب مساحة الاسم، وسياسات القبول (توقيعات الصور/SBOM، والحظر ': الأحدث')، وسياسات الشبكة، والأسرار خارج etcd (KMS)، وتدقيق خادم API، وملفات تعريف المسح للصور/المجموعات.
الشبكات والمحيط: WAF/WAAP، DDoS، التجزئة، ZTNA بدلاً من VPN «الواسعة».

PCI DSS (تحسينات وسائط الدفع)

:: تجزئة منطقة التنمية البشرية المستدامة: النظم الدنيا في مجموعة ؛ MTLS إلى PSP ؛ خطوط الويب - مع HMAC.
مسح ASV ربع سنوي وخماسي سنوي (بما في ذلك التجزئة).
السجلات والنزاهة: FIM، جذوع الأشجار غير القابلة للتغيير، الوقت تحت الختم (NTP).
الوثائق: السياسات، مخططات تدفق الرسوم البيانية، AOC/ROC، إجراءات الحوادث.

الخصوصية (نهج ISO 27701 + GDPR)

الأدوار: المراقب/المعالج، سجل المعالجة، الأسس القانونية.
DPIA/DTIA: الخصوصية وتقييم مخاطر النقل عبر الحدود.
حقوق المواضيع: جيش تحرير السودان للحصول على إجابات، والوسائل التقنية للبحث/الحذف.
التقليل/التسمية المستعارة: الأنماط المعمارية و DLP.

القطع الأثرية (قوالب جاهزة - ما يجب الاحتفاظ به في متناول اليد)

بيان قابلية التطبيق (SoA) مع دوافع الإدراج/الاستبعاد في المرفق ألف.
مصفوفة التحكم (ISO↔SOC2↔PCI) مع المالكين والأدلة.
سجل المخاطر مع منهجية (الأثر/الاحتمال) وخطة التجهيز.
خطط BC/DR + بروتوكولات التمارين الأخيرة.
حزمة SDLC الآمنة: قوائم مراجعة، تقارير SAST/DAST، سياسة النشر.
العناية الواجبة بالموردين: الاستبيانات (SIG Lite/CAIQ)، تقييمات المخاطر، التدابير التعاقدية.

أخطاء شائعة

التدقيق من أجل Audit: لا توجد عمليات حية، فقط مجلدات السياسات.
نطاق واسع للغاية: يصبح أكثر تكلفة ويعقد الصيانة ؛ تبدأ بـ «جوهر القيمة».
جمع الأدلة اليدوية: ارتفاع الديون التشغيلية ؛ أتمتة CCM والتحميلات.
الضوابط بدون مقاييس: لا يمكن إدارتها (لا يوجد المالكون/المالكون).
نظام ما بعد التصديق المنسي: لا توجد فحوصات ربع سنوية → مفاجآت عند الإشراف.
المقاولون خارج الحلقة: تصبح الأطراف الثالثة مصدر الحوادث و «البطاقة الحمراء» في التدقيق.

قائمة الجاهزية المرجعية (مختصرة)

النطاق والموجودات والمالكين المعرّفين ؛ البيانات وخريطة التدفق.
سجل المخاطر، SoA (بالنسبة للمنظمة الدولية لتوحيد المقاييس)، معايير خدمات الثقة (بالنسبة لـ SOC 2) متحللة إلى ضوابط.
تنفيذ السياسات والإجراءات وتدريب الموظفين وتحديثها.
الضوابط آلية (CCM)، ولوحات القيادة والتنبيهات متصلة.
يتم جمع/تحرير الأدلة الخاصة بكل رقابة.
إجراء مراجعة داخلية للحسابات/الاستعداد ؛ يتم القضاء على فترات الراحة الحرجة.
تم تعيين مراجع الحسابات/السلطة، أو الموافقة على فترة المراقبة (SOC 2) أو خطة المرحلة 1/2 (ISO).
pentest/ASV في الموقع (PCI)، خطة الإصلاح وتأكيد الإصلاحات.

قوالب صغيرة

سياسة المقاييس للضوابط (مثال)

التحكم: «جميع دلاء PII مشفرة KMS».
SLI:% من الدلاء مع تمكين التشفير.
الغرض: ≥ 99. 9%.
تنبيه: عند السقوط <99. 9٪ أكثر من 15 دقيقة → P2، المالك - رئيس المنصة.

سجل الأدلة (جزء)

التحكم	إثبات	التردد	تخزين	مسؤول
دال - الوصول إلى مؤشر الاستثمار الدولي	تصدير SIEM في 90 يومًا	شهريا	GRC/مركز الأدلة	قيادة SOC
تناوب الأسرار	سجل التدقيق + تذكرة التغيير	أسبوعيا	GRC	قيادة DevOps

iGaming/fintech specific

المجالات عالية المخاطر: المدفوعات/المدفوعات، مكافحة الاحتيال، الضربات الخلفية، اندماج الشركاء - الأولوية في المواجهة والضوابط.
مقاييس الأعمال: Time-to-Wallet، تحويل reg→depozit - ضع في اعتبارك تأثير الضمانات وعمليات التدقيق.
الإقليمية: متطلبات الاتحاد الأوروبي/LATAM/آسيا - حساب عمليات النقل عبر الحدود، والهيئات التنظيمية المحلية.
مقدمو المحتوى/PSPs: العناية الواجبة الإلزامية، mTLS/HMAC، الإضافات القانونية للبيانات.

المجموع

الشهادات هي نتيجة للانضباط والأتمتة: إدارة المخاطر، وسياسات المعيشة، والضوابط القابلة للقياس والاستعداد المستمر. اختر المجموعة الصحيحة (ISO 27001/27701/22301، SOC 2 Type II، PCI DSS، CSA STAR)، حدد نطاقًا، وأتمتة الفحوصات (CCM/Policy-as-Code)، واحتفظ بالقطع الأثرية وقياس SLO - بهذه الطريقة سيصبح الامتثال متوقابل للتنبأ ودعم نمو المنتج وليس فرامل.