الثقة في راصد

التوافق مع PDPL (نظام حماية البيانات الشخصية السعودي)

راصد عملية مُقامة في المملكة العربية السعودية تعالج بيانات شخصية لشركات سعودية. PDPL هو القانون المعمول به، لا بديل غربي. التفاصيل:

الأساس القانوني

تستند المعالجة إلى (أ) الموافقة الصريحة لطلب العرض والتواصل التسويقي، و(ب) العقد لخدمة رصد الويب المظلم المستمرة. يتلقى العملاء اتفاقية معالجة بيانات (DPA) قبل تفعيل الخدمة.

إقامة البيانات

الاستضافة متوافقة مع PDPL مع إفصاح كامل لنقل البيانات عبر الحدود في اتفاقية معالجة البيانات (DPA) لكل عميل (تحت اتفاقية عدم إفصاح قبل توقيع العقد). إقامة البيانات في المملكة ضمن خارطة الطريق، تُفعّل عند توقيع عميل من قطاع منظم أو وصول عدد العملاء المدفوعين إلى ثلاثة.

الاحتفاظ

بيانات مستأجر العميل: تُحتفظ بها لمدة العقد + 90 يوماً لنافذة التصدير والنزاع، ثم تُحذف نهائياً. عملاء التسويق المحتملون (طلب العرض): تُحتفظ بهم 24 شهراً من آخر تواصل، ثم تُحذف. السجلات: 30 يوماً ما لم تكن مطلوبة لتحقيق أمني.

حقوق صاحب البيانات

أساسيات طلبات الوصول للبيانات (DSAR — التصدير والمحو) في المنتج منذ المرحلة 1. تُرسل الطلبات إلى [email protected] وتُحل خلال 30 يوماً، وهو الحد الأقصى لـ PDPL. النزاعات تُصعّد عبر الهيئة السعودية للبيانات والذكاء الاصطناعي (SDAIA).

وثيقة الإفصاح الكاملة

وثيقة إفصاح PDPL المُراجَعة من محامٍ سعودي قيد الإنجاز. متاحة عند الطلب عبر [email protected] بمجرد اكتمالها؛ تُتابع علنياً في الإصدار #295.

المعالجون الفرعيون

لا نتعاقد من الباطن على أي رصد أو كشف — كله داخلي. حيث نستخدم موردين خارجيين (حوسبة، تسليم بريد، شبكات حافة)، تُتاح القائمة الكاملة في اتفاقية معالجة البيانات (DPA).

نُفصح عن جميع المعالجين الفرعيين في اتفاقية معالجة البيانات (DPA) التي تُقدَّم للعملاء المحتملين تحت اتفاقية عدم إفصاح قبل توقيع العقد. للحصول عليها: [email protected]. تُعلن التغييرات للعملاء النشطين قبل 30 يوماً على الأقل من التفعيل عبر القناة نفسها.

خارطة طريق NCA ECC (ضوابط الأمن السيبراني الأساسية — السعودية)

ضوابط الأمن السيبراني الأساسية v2 (ECC-2) هي خط الأساس الإلزامي للأمن السيبراني الذي تفرضه الهيئة الوطنية للأمن السيبراني السعودية (NCA). خارطة طريق راصد للتقييم الذاتي الرسمي + الاعتماد:

المرحلة 1 (الآن)

الضوابط الفرعية لـ ECC-2 منفذة كخط أساس في المنتج: §1 الحوكمة (سجل قرارات معمارية + عملية الموافقة)، §2 إدارة الأصول (سجل إدارة مخاطر الأطراف الثالثة لكل مورد — #1493)، §3 القوى العاملة للأمن السيبراني (سجلات التدريب قيد المتابعة)، §4-1 أمن الأطراف الثالثة (إفصاح المعالجين الفرعيين عبر DPA).

المرحلة 2 (بعد المرحلة 1)

تقييم ذاتي رسمي مقابل مصفوفة ECC-2 الكاملة. معالجة الفجوات مُرتبة بحسب أهمية الضابط الفرعي. الهدف: إكمال التقييم الذاتي + سجل معالجة الفجوات قبل العميل المدفوع الثاني.

المرحلة 3 (بعد الترحيل إلى داخل المملكة)

اعتماد طرف ثالث مستقل مقابل ECC-2. الهدف: الإصدار متزامن مع معلَم إقامة البيانات في المملكة، ليتمكن العملاء من التحول إلى استضافة محلية واعتماد كامل في ربع واحد.

ملخص التقييم الذاتي لـ ECC-2 (حالة الضابط الفرعي، تاريخ آخر مراجعة) متاح للعملاء النشطين + العملاء المحتملين المؤهلين بموجب اتفاقية عدم إفصاح عبر [email protected].

جهة الاتصال الأمنية + إشعار الاختراق

البريد الإلكتروني

[email protected] للنتائج الأمنية، الإفصاح المسؤول، استبيانات أمن العميل، اعتراضات المعالجين الفرعيين، واستفسارات PDPL. مُراقَب خلال ساعات العمل السعودية؛ التواصل خارج ساعات العمل عبر مناوبة الاستدعاء داخل المنتج (المرحلة 2+). — [email protected]

PGP

مفتاح PGP لـ security@ قيد الإنشاء؛ سيُنشر في https://rasid.cc/.well-known/openpgp/security.asc بمجرد توليده. حتى ذلك الحين، استخدم آلية الاستشارة الأمنية في Forgejo للنتائج الحساسة.

مهلة إشعار الاختراق

في حال وقوع اختراق يشمل بيانات المستأجر، نُبلِّغ العملاء المتأثرين خلال 72 ساعة من التأكيد وفقاً للمادة 24 من PDPL. الإشعار يتضمن: فئات البيانات المتأثرة، تقييم الخطورة، الجدول الزمني للتخفيف، وجهة الاتصال للأسئلة الإضافية.

وتيرة الإفصاح

تُراجَع هذه الصفحة فصلياً + عند كل تغيير جوهري (معالج فرعي جديد، تغيير اختصاص، اختراق). تخرج تغييرات المعالجين الفرعيين بالبريد قبل 30 يوماً على الأقل من التفعيل. آخر تاريخ مراجعة معروض في تذييل الصفحة أدناه.

آخر مراجعة: 2026-05-18

هل تريد هذا على قالب مشتريات؟

إذا احتاج سير عمل مشترياتك أن تُعبّئ راصد استبيان أمن المورد أو توقّع قالب الـ DPA الخاص بك، أرسله إلى [email protected]. نرد خلال يوم عمل واحد، بساعات العمل السعودية.