الانتقال إلى المحتوى الرئيسي
HubSecure
القائمة

المدونة

قائمة التحقق من أمن الموردين: ما تسأل عنه كل مزود SaaS قبل التوقيع

كل أداة SaaS تعتمدها تعالج بيانات مؤسستك وربما بيانات عملائك. تمنحك هذه القائمة الأسئلة التي يجب طرحها — والإجابات التي ينبغي أن تجعلك تنسحب — قبل الالتزام بأي مزود برمجيات.

· بواسطة HubSecure Security

التسجيل في أداة SaaS جديدة يستغرق دقائق. أما العناية الواجبة التي ينبغي أن تسبق هذا القرار فغالبًا ما تستغرق وقتًا أقل من التسجيل نفسه. بالنسبة لمعظم الشركات الصغيرة والمتوسطة، يعني تقييم أمن الموردين الاطلاع على صفحة الأسعار وقراءة مراجعة واحدة — لا أكثر.

هذا يخلق مخاطر حقيقية. كل مزود SaaS تعتمده يعالج بيانات الأعمال. لأي أداة تلمس البيانات الشخصية لعملائك أو موظفيك، تتحمل المسؤولية القانونية عن طريقة تعامل ذلك المزود معها. في إطار اللائحة GDPR، أنت المتحكم في البيانات؛ المزود هو المعالج؛ وأنت مسؤول عن التأكد من أن المعالج يقدم ضمانات كافية.

«إنها شركة معروفة» ليست عملية عناية واجبة. هذه القائمة هي ما ينبغي اتباعه.

قبل التقييم: حدد البيانات التي ستلمسها الأداة

المستوى الأول — حساسية عالية: ستعالج الأداة بيانات شخصية للعملاء أو الموظفين أو أفراد آخرين. أمثلة: CRM، برامج الموارد البشرية، التسويق بالبريد الإلكتروني، مكتب المساعدة، إدارة المستندات، البرامج المالية، التخزين السحابي.

المستوى الثاني — حساسية متوسطة: ستعالج الأداة بيانات أعمال لكن ليس بيانات شخصية.

المستوى الثالث — حساسية منخفضة: لا تعالج الأداة بيانات سرية.

أدوات المستوى الأول تتطلب القائمة الكاملة. أدوات المستوى الثاني تتطلب الأقسام 1–3.

القسم الأول: المتطلبات القانونية والتعاقدية

هذه متطلبات غير قابلة للتفاوض لأي مزود من المستوى الأول.

اتفاقية معالجة البيانات

  • هل يقدم المزود اتفاقية معالجة بيانات؟
  • هل تتضمن الاتفاقية البنود الإلزامية وفق المادة 28 من اللائحة GDPR؟
  • هل يمكنك الوصول إلى الاتفاقية وتوقيعها قبل الاشتراك؟

إذا لم يقدم مزود اتفاقية معالجة بيانات لأداة تعالج بيانات شخصية، لا تتابع.

المعالجون الفرعيون

  • هل يفصح المزود عن المعالجين الفرعيين الذين يستخدمهم؟
  • هل يوجد إجراء للإخطار بالتغييرات في المعالجين الفرعيين؟
  • هل تشترط الاتفاقية على المزود فرض التزامات مكافئة على المعالجين الفرعيين؟

عمليات النقل الدولية

  • أين يوجد مقر المزود؟
  • أين تُخزَّن البيانات وتُعالَج؟
  • إذا جرى نقل البيانات خارج نطاق ولايتك القضائية، ما الآلية القانونية المطبقة؟
  • هل يتوفر تقييم أثر نقل البيانات؟

القسم الثاني: ضوابط الأمن

الشهادات

  • هل يمتلك المزود شهادة ISO 27001؟
  • هل يتوفر تقرير SOC 2 Type II؟ (اطلب التقرير، لا مجرد تأكيد بوجوده)
  • للبنية التحتية السحابية: هل يوجد شهادة CSA STAR؟

التشفير

  • هل البيانات مشفرة في حالة الراحة؟ بأي معيار؟ (AES-256 هو الحد الأدنى المقبول)
  • هل البيانات مشفرة أثناء النقل؟ (TLS 1.2 أو أعلى)
  • هل النسخ الاحتياطية مشفرة؟
  • من يحتفظ بمفاتيح التشفير؟

ضوابط الوصول

  • هل يُطبّق المزود المصادقة متعددة العوامل لوصول الموظفين إلى بيانات العملاء؟
  • هل الوصول إلى بيانات العملاء مقتصر على الموظفين المحتاجين إليه؟
  • هل تُسجَّل أنشطة الوصول المتميز وتُراقَب؟

البنية التحتية

  • أي مزودي السحابة يستضيفون الخدمة؟
  • ما هو اتفاقية مستوى الخدمة للتوفر والتوفر التاريخي؟
  • هل توجد خطط استمرارية الأعمال والتعافي من الكوارث موثقة؟

اختبار الاختراق

  • هل يُجري المزود اختبارات اختراق سنوية؟
  • هل يتوفر ملخص عن آخر اختبار؟
  • هل توجد سياسة للإفصاح عن الثغرات؟

القسم الثالث: الاستجابة للحوادث وإخطار الاختراقات

  • ما هي عملية المزود لاكتشاف الحوادث الأمنية؟
  • ما هو الالتزام التعاقدي لإخطارك بالاختراق؟
  • هل الإطار الزمني للإخطار في الاتفاقية متسق مع التزاماتك التنظيمية (72 ساعة وفق اللائحة GDPR)؟
  • هل يمتلك المزود تأمينًا ضد مخاطر الفضاء الإلكتروني؟

الالتزام بالإخطار أمر بالغ الأهمية. إذا تعرض مزود للاختراق يوم السبت وأخطرك يوم الأربعاء التالي، ربما فاتتك نافذة الـ72 ساعة الخاصة بك. ينبغي أن تلزم الاتفاقية بالإخطار في غضون 24–48 ساعة.

القسم الرابع: إدارة البيانات

  • ما هي سياسة الاحتفاظ بالبيانات لدى المزود؟
  • هل يمكنك حذف بياناتك في أي وقت، بما في ذلك أثناء العقد؟
  • ماذا يحدث لبياناتك عند انتهاء العقد؟ هل يُؤكَّد الحذف كتابيًا؟
  • هل يمكنك تصدير جميع بياناتك بتنسيق محمول وقابل للقراءة آليًا؟
  • كم من الوقت بعد إنهاء العقد يحتفظ المزود بالبيانات قبل حذفها؟
  • هل يوجد سجل تدقيق للوصول إلى بياناتك؟

القسم الخامس: الحمايات التعاقدية

  • هل يُقيّد العقد مسؤولية المزود بطريقة تخلق مخاطر كبيرة غير مؤمنة لك؟
  • هل توجد حقوق تدقيق للتحقق من ضوابط الأمن؟
  • هل يمكنك الإنهاء دون عقوبة إذا غيّر المزود ممارسات الخصوصية أو الأمان بشكل جوهري؟

الأسئلة التي تطرحها أثناء عملية البيع

«هل يمكنكم إرسال اتفاقية معالجة البيانات الحالية قبل جدولة العرض التوضيحي؟» المزود الذي يتردد يُشير إلى شيء عن ثقافة الامتثال لديه.

«ما المعالجون الفرعيون الذين تستخدمونهم وكيف ستُخطروننا بالتغييرات؟» المزود المستعد جيدًا لديه إجابة واضحة.

«متى أُجري آخر اختبار اختراق لديكم وهل يمكننا الاطلاع على ملخصه؟» توخَّ الحذر من المزود الذي لم يخضع لاختبارات اختراق أبدًا.

الإجابات التي ينبغي أن تجعلك تنسحب

  • «ليس لدينا اتفاقية معالجة بيانات» (لأي أداة من المستوى الأول)
  • «البيانات مخزنة في مركز بياناتنا الخاص» دون تفاصيل عن ضوابط الأمن
  • «لم نتعرض لاختراق قط» كبديل عن وثائق الأمان
  • «شروطنا تتيح لنا استخدام بياناتك لتحسين نماذجنا» لأي أداة تتعامل مع بيانات شخصية للعملاء

بعد التوقيع: إدارة الموردين المستمرة

كحد أدنى سنويًا: مراجعة قوائم المعالجين الفرعيين، طلب تقارير SOC 2 محدثة، التحقق من أن الاتفاقية لا تزال تعكس أنشطة المعالجة الحالية، تأكيد بيانات الاتصال لإخطار الاختراق.