المدونة
لماذا تستبدل الشركات متعددة الجنسيات المنتقلة إلى السعودية والإمارات منظومة Microsoft 365
تدفع قوانين سيادة البيانات واشتراطات الإقامة الخاصة بالقطاع ومتطلبات الأمن ما بعد الكمي المنشآتِ الخليجية إلى إعادة النظر في الاعتماد على Microsoft بصفتها الافتراضية.
أصبح الخليج من أشد الولايات القضائية تنافساً في العالم لاستقطاب المقارّ الدولية للأعمال. استقطبت رؤية السعودية 2030 مئات الشركات متعددة الجنسيات إلى الرياض. اجتذب مركز دبي المالي العالمي وسوق أبوظبي العالمي شركات الخدمات المالية من لندن وسنغافورة ونيويورك. وكل واحدة من هذه الشركات عند إنشاء عملياتها اتخذت القرار الافتراضي ذاته: Microsoft 365.
هذا القرار يُعاد النظر فيه الآن.
ليس لأن Microsoft 365 منتج رديء — فهو مجموعة إنتاجية قديرة يستخدمها مئات الملايين. لكن “مجموعة إنتاجية قديرة” و”منصة جاهزة للامتثال للعمليات المنظَّمة في الخليج” مفهومان مختلفان. والفجوة بينهما هي ما تصطدم به المنشآت.
كيف يبدو التوظيف الافتراضي لـ Microsoft
حين تُنشئ شركة متعددة الجنسيات مستأجراً Microsoft 365 في سوق جديد، تكون التهيئة الافتراضية مبنية للقدرة على التوسع العالمي، لا للامتثال التنظيمي المحلي. قد تُخزَّن البيانات في منطقة Azure الأقرب، لكن “الأقرب” و”الملتزم” مفهومان مختلفان.
منطقتا UAE North وUAE Central موجودتان ويمكن تحديدهما في تهيئة مستأجر جديد. لكن أغلب المنشآت ترث مستأجِرين مُهيَّئين في مناطق أخرى، أو تنقل البيانات دون إعادة تخصيص إقليمي، أو تُتيح أدوات التعاون كـ Teams وSharePoint للعمل عبر مناطق دون ضوابط إقامة بيانات.
والأهم: Microsoft 365 منصة إنتاجية. لم تُصمَّم لتكون منصة تحكم في الامتثال. لا تُولّد بصفة افتراضية أدلة جاهزة للتدقيق حول قرارات التعامل مع البيانات وسجلات مراجعة هيئة الرقابة الشرعية ومخرجات قضايا مكافحة غسل الأموال ووثائق إخطار الاختراق بالصيغ المنظمة التي تتوقع رؤيتها جهات الرقابة الخليجية.
الفجوات الخمس الأكثر شيوعاً التي تكتشفها مستخدمو Microsoft في الخليج
الفجوة الأولى: توثيق آلية النقل عبر الحدود: تشترط كل من اللائحة السعودية لحماية البيانات والقانون الإماراتي الاتحادي وجود آليات قانونية موثقة للبيانات الشخصية التي تغادر الولاية القضائية. لا يُغني اتفاق معالجة بيانات Microsoft تلقائياً عن متطلبات النقل السعودية والإماراتية عبر الحدود. المنشأة مسؤولة عن الآلية؛ لا يُعوِّض اتفاق المزود عنها.
الفجوة الثانية: اشتراطات الإقامة الخاصة بالقطاع: لدى ساما السعودية ومصرف الإمارات المركزي ومركز دبي المالي العالمي اشتراطات تحديد موقع بيانات خاصة بالقطاع لشركات الخدمات المالية. التوظيف العام لـ Microsoft 365 لا يضمن أن البيانات الحساسة في هذه الفئات لن تمس مركز بيانات خارج الإمارات أبداً.
الفجوة الثالثة: صيغة أدلة التدقيق: حين يطلب مفتش مركز دبي أو فريق تفتيش ساما أدلة على كيفية التعامل مع بيانات عميل محدد على مدار فترة بعينها، يريدون سجلاً منظماً قابلاً للتصدير. سجلات تدقيق Microsoft 365 موجودة — لكن الوصول إليها وتنسيقها وإنتاجها بصيغة جاهزة للمنظِّم يستلزم جهداً تقنياً لا تستطيع أغلب المنشآت إنجازه في الأُطر الزمنية القصيرة للتحقيق التنظيمي.
الفجوة الرابعة: الاستعداد لما بعد الكم: أصدر كل من المجلس الإماراتي للأمن السيبراني وهيئة الاتصالات وتقنية المعلومات في السعودية إرشادات تُشير إلى التشفير ما بعد الكمي كمتطلب على المدى المتوسط. لم تنشر Microsoft التشفير ما بعد الكمي بشكل افتراضي عبر مستأجِري Microsoft 365. المنشآت التي تتعامل مع بيانات حساسة طويلة الأمد تواجه مخاطرة مستقبلية.
الفجوة الخامسة: توثيق حوكمة الذكاء الاصطناعي: يُطرح Microsoft Copilot عبر مستأجِري 365 على نطاق واسع. لكن وثائق حوكمة الذكاء الاصطناعي التي تشترطها جهات الرقابة الخليجية الآن — سلسلة القرار وسجلات إصدار النموذج ومسارات تدقيق الإنسان في الحلقة — لا يُنتجها Copilot كمخرج امتثال. إنها مسؤولية المنشأة.
ما تبنيه المنشآت الخليجية المنظَّمة بدلاً من ذلك
هبطت المنشآت التي عملت بهذا على بنية معمارية ذات طبقتين:
الطبقة الأولى: الإنتاجية: البريد الإلكتروني العام والتقويم والتعاون الداخلي. هذا الاستخدام لا يُفرز مخاطرة تنظيمية كبيرة ويؤديه Microsoft 365 بشكل جيد.
الطبقة الثانية: العمليات المنظَّمة: بيانات العملاء وملفات العناية الواجبة وسجلات مكافحة غسل الأموال والاتفاقيات التمويلية ومواد مجلس الإدارة ومخرجات القرارات المُعانة بالذكاء الاصطناعي تعيش في منصة مستقلة ذات إقامة بيانات صريحة وضوابط نقل موثقة وتشفير ما بعد الكمي وتوليد أدلة مدمج.
المقارنة الصريحة
سيظل Microsoft 365 الخيار الصحيح لحجم كبير من العمل داخل المنشآت الخليجية. السؤال ليس هل تستخدمه — بل هل تستخدمه منصةً للتحكم في الامتثال للعمليات المنظَّمة.
للمنشآت الخاضعة للائحة السعودية أو القانون الإماراتي أو أطر مركز دبي وسوق أبوظبي أو اشتراطات الأمن السيبراني لساما أو متطلبات المرونة التشغيلية لمصرف الإمارات المركزي، الفجوة في توظيف Microsoft 365 الافتراضي ليست إشكالية تهيئة. إنها إشكالية نطاق منتج. لم يُصمَّم Microsoft لحلها.
المنشآت التي أدركت هذا الفارق لا تتخلى عن أدوات الإنتاجية. إنها تُدقِّق في أي أداة تؤدي أي مهمة — وتضمن أن طبقة العمليات المنظَّمة تستطيع إثبات الامتثال في القاعة، لا فقط من حيث المبدأ.