logo-img
Arabic

سياسة الأمان

توضح سياسة الأمان هذه التدابير والبروتوكولات التي تعتمدها SOUQERP لضمان سرية وسلامة وتوافر بيانات المستخدمين والخدمات الرقمية. تُكمل هذه السياسة سياسة الخصوصية وشروط الخدمة الخاصة بنا، وتم تصميمها لتتوافق مع الأطر التنظيمية ذات الصلة في المملكة العربية السعودية، بما في ذلك معايير الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا)، والهيئة الوطنية للأمن السيبراني (NCA)، والهيئة العامة لتنظيم الاتصالات (CITC).

1 الغرض والنطاق

تنطبق هذه السياسة على:

  • جميع خدمات برمجيات SOUQERP، وتطبيقات الويب، وواجهات برمجة التطبيقات (APIs)،
  • والمنصات المستضافة سحابيًا
  • الأنظمة الداخلية المستخدمة لتشغيل ومراقبة ودعم بيئات العملاء
  • البيانات والاتصالات المتبادلة بين SOUQERP وعملائها وشركائها أو الجهات التنظيمية

2 تصنيف البيانات ومعالجتها

تقوم SOUQERP بتصنيف البيانات ومعالجتها بناءً على مستويات الحساسية، لضمان حماية مناسبة تتناسب مع نوع وحساسية كل فئة من البيانات.

التصنيف الوصف الضوابط المطبقة
عام (Public) الوصف بيانات غير حساسة ومتاحة للجمهور ضوابط وصول أساسية
للاستخدام الداخلي (Internal Use) بيانات تشغيلية أو تجارية غير متاحة للجمهور التحكم في الوصول بناءً على الدور، وسجلات التدقيق
سري (Confidential) بيانات شخصية، مالية، أو استراتيجية التشفير، وتقييد الوصول
مُنظم/مقيّد (Regulated/Restricted) بيانات قانونية أو خاضعة للامتثال (مثل بيانات زكاتا أو الهوية) استضافة محلية، مراقبة متقدمة

جميع بيانات المستخدم التي تُقدّم عبر منصاتنا تُشفّر أثناء النقل وعند التخزين باستخدام طرق رقمية معتمدة وآمنة.

3 إدارة الوصول

نطبق بروتوكولات صارمة لإدارة الوصول لتقليل المخاطر، وتشمل:

  • التحكم في الوصول بناءً على الأدوار (RBAC)
  • مراجعات دورية لبيانات الاعتماد وتعطيل الحسابات الخاملة
  • تسجيل ومراقبة النشاطات الخاصة بتسجيل الدخول وسلوك الجلسات بشكل فوري

يقتصر الوصول الإداري على الأفراد المخولين فقط، بناءً على الحاجة التشغيلية وبموافقة رسمية مسبقة.

4 أمن البنية التحتية والاستضافة

تُستضاف منصات SOUQERP في مراكز بيانات متوافقة تتمتع بـ:

  • ضوابط أمنية مادية صارمةبيئات معتمدة حسب معيار ISO 27001
  • تقسيم الشبكات باستخدام جدران الحماية وأنظمة كشف التسلل (IDS)
  • الامتثال لمتطلبات توطين البيانات وفقًا للأنظمة في المملكة العربية السعودية ودول مجلس التعاون الخليجي

يتم تعزيز الأنظمة وتحديثها بانتظام للتقليل من الثغرات الأمنية.

5 أمن التطبيقات وواجهات برمجة التطبيقات (API)

تخضع جميع التطبيقات لممارسات تطوير آمنة تشمل:

  • مراجعات الكود وفحص الثغرات الأمنية
  • اختبار الاختراق في بيئات التجربة (Staging)
  • إدارة آمنة لمفاتيح API وتحديد معدلات الاستخدام (Throttling)

نحافظ على طرق تكامل آمنة مع منصات الأطراف الثالثة الموثوقة مثل أنظمة إدارة علاقات العملاء (CRM)، وأنظمة تخطيط موارد المؤسسات (ERP)، وبوابات الدفع الإلكتروني.

6 الاستجابة للحوادث والإخطار

في حال حدوث اختراق أمني:

  • يتم اتخاذ إجراءات احتواء فورية
  • تُجرى تحليلات لتقييم التأثير والتحقيق في السبب الجذري
  • يتم إخطار الأطراف المتأثرة وفقًا لإرشادات الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا) والهيئة الوطنية للأمن السيبراني (NCA)
  • تُحفظ سجلات الحوادث للمراجعة والتدقيق التنظيمي

يعمل فريق الاستجابة في SOUQERP وفق دليل موثق تم اعتماده من مسؤول الامتثال للأمن السيبراني لدينا.

7 استمرارية الأعمال والتعافي من الكوارث

نضمن القدرة على الاستمرارية والتعافي من خلال:

  • جداول نسخ احتياطي منتظمة تُخزن في مناطق جغرافية متنوعة
  • آليات انتقال فوري (Failover) وعناقيد توفر عالي (High-Availability Clusters)
  • بروتوكولات تعافي من الكوارث تُختبر مرتين سنويًا
  • مؤشرات استمرارية الخدمة مثل وقت الاسترداد (RTO) ونقطة الاسترداد (RPO) متوافقة مع اتفاقيات مستوى الخدمة (SLAs) الخاصة بالعملاء

8 إدارة مخاطر الأطراف الثالثة

يجب على أي مزود أو خدمة طرف ثالث تشارك في تقديم حلول SOUQERP:

  • توقيع اتفاقية عدم إفشاء (NDA) واتفاقية معالجة البيانات (DPA) ملزمة
  • إثبات الالتزام بمعايير الأمن السيبراني وحماية البيانات ذات الصلة
  • الخضوع لتقييمات دورية للمخاطر ومراجعات تكامل المنصات

9 توعية الموظفين والأمن الداخلي

يخضع جميع موظفي SOUQERP لـ:

  • فحوصات خلفية وفقًا لمستوى المخاطر التنظيمية
  • تدريب إلزامي في الأمن السيبراني ومحاكاة الهجمات الاحتيالية (Phishing)
  • تقديم إقرارات امتثال سنوية وتجديدات توعية دورية

يُقيّد الوصول إلى بيئات العملاء أو بيئات الإنتاج بشكل صارم ويتم مراقبته باستمرار.

10 مراجعة السياسة وتحديثاتها

تُراجع سياسة الأمان هذه مرة واحدة على الأقل سنويًا، وقد يتم تعديلها بهدف:

  • مواكبة التغييرات في الممارسات القانونية أو التشغيلية أو التقنية
  • دمج الملاحظات الواردة من الجهات التنظيمية أو نتائج التدقيق
  • التعامل مع التهديدات أو الثغرات الجديدة المكتشفة

سيتم إبلاغ أصحاب المصلحة بأي تغييرات جوهرية من خلال تحديثات رسمية.

11 الاتصال والإبلاغ

للإبلاغ عن أي مخاوف أمنية أو طلب توضيحات، يرجى التواصل عبر البريد الإلكتروني التالي:info@souqerp.com