الأمن السيبراني كان موضوعاً مستمراً في الشركات السعودية لسنوات. إنشاء الهيئة الوطنية للأمن السيبراني (NCA) في 2017 وإصدار الضوابط الأساسية في 2018، ومراجعتها في 2023، شدَّد التوقعات بشكل جوهري. لشراء مزودي البرمجيات الخارجيين، هذا يعني أن ما كان كافياً قبل خمس سنوات — «نحن نهتم بالأمن» — لم يعد إجابة تعاقدية.
هذا المقال يرتب المعايير ذات الصلة ويسمي المخرجات الملموسة التي يستحق تحديدها.
ضوابط NCA ECC تنظم خمسة محاور رئيسية:
الحوكمة: سياسة أمن سيبراني، مسؤول أمن معتمد، ميزانية مخصصة.
الدفاع السيبراني: حماية الشبكة، حماية الأجهزة، إدارة الوصول، التشفير، التشغيل الآمن.
المرونة السيبرانية: إدارة الحوادث، استمرارية العمل، التعافي من الكوارث.
الأمن السيبراني للأطراف الثالثة والحوسبة السحابية: تقييم المزودين، إدارة المخاطر، مراقبة الأداء.
الصناعة والتحكم (ICS): للمنشآت الصناعية الحرجة.
الأجهزة الحكومية والجهات ذات العلاقة بالبنية التحتية الوطنية الحرجة (الطاقة، المياه، الاتصالات، النقل) ملزمة بالتوافق الكامل. للمزودين الخاصين، الامتثال طوعي لكنه يصبح ملزماً حين يُورَّد إلى تلك الجهات.
إطار SAMA CSF (Cyber Security Framework) إلزامي لكل البنوك السعودية، شركات التأمين، مقدمي خدمات الدفع، وشركات الوساطة المالية. الإطار يشمل:
لمزودي البرمجيات العاملين مع البنوك، هذه المتطلبات تُمرَّر في العقود. الجهة المانحة للتعاقد مسؤولة عن إثبات أن المزود يلبي الاشتراطات — وهذا يعني توثيقاً صارماً وحقوق تدقيق مفصلة.
عملية تطوير قابلة للدفاع عنها تحتوي على الأقل على العناصر التالية:
النمذجة التهديدية عند بدء المشروع. تحليل منظم لمسارات الهجوم المحتملة على التطبيق المراد تطويره. STRIDE أو PASTA طرق شائعة. المخرجات قائمة متطلبات أمنية مرتبة الأولوية تدخل إلى backlog.
إرشادات الترميز الآمن. قواعد ملزمة للتطوير — خاصة باللغة والإطار. لتطبيقات الويب: التحقق من المدخلات، إدارة الجلسات الآمنة، الاستخدام الصحيح للتشفير، الحماية من OWASP Top Ten.
اختبار تحليل الشيفرة الثابتة (SAST) في خط الأنابيب. تحليل تلقائي للشيفرة المصدرية في كل commit. أدوات مثل Semgrep، SonarQube، أو linters متخصصة تتعرف على أنماط معروفة للبرمجة غير الآمنة.
اختبار تحليل التطبيق الديناميكي (DAST). اختبارات وقت التشغيل ضد بيئة اختبار. أدوات مثل OWASP ZAP أو Burp Suite تفحص التطبيق المشغل بحثاً عن ثغرات.
تحليل مكونات البرمجيات (SCA). تحليل مكتبات مفتوحة المصدر المضمنة بحثاً عن ثغرات معروفة. Dependabot، Snyk، أو Trivy تغطي الطلب القياسي.
اختبار اختراق قبل الإطلاق. مفحص مستقل (خارجي، ليس المطور) يختبر التطبيق ضد أنماط الهجوم الحالية. للتطبيقات الحرجة، يتكرر سنوياً.
لا يوجد عنصر من هذه مكلف في الإعداد الفردي. جميعها معاً هي الفرق بين «نهتم بالأمن» وهيكل أمني قابل للدفاع عنه.
البنود الأمنية العامة بلا قيمة. البنود المحددة تكلف قليلاً في التفاوض وكثيراً في حالة الضرر — في النسبة العكسية.
أمثلة على صيغ مؤثرة:
هذه البنود قابلة للفرض. «المتعاقد يضمن أمناً مناسباً» العامة ليست كذلك في حالة النزاع.
اختبار الاختراق ليس دليلاً شاملاً على الأمان. يختبر خصوصاً ضد مسار هجوم محدد في نافذة زمنية محددة. نطاق نموذجي لتطبيق ويب:
لمعظم تطبيقات ويب B2B، اختبار صندوق رمادي على خمسة إلى عشرة أيام عمل هو المدخل الأكثر اقتصاداً. التقرير يحتوي على الثغرات المكتشفة مع تصنيف الحرجية (غالباً بـ CVSS) وتوصيات العلاج.
مهم: اختبار الاختراق يجد الثغرات، لا يصلحها. الإصلاح جزء من ميزانية التطوير — احسبوا عشرة إلى عشرين بالمئة جهد إضافي للعلاج بعد أول اختبار اختراق إنتاجي.
إجراءاتنا القياسية: SAST وSCA في كل خط أنابيب. نمذجة تهديدات عند بدء المشروع كإلزام. إرشادات ترميز آمن مبنية على OWASP ASVS Level 2 للتطبيقات العادية، Level 3 للتطبيقات الحرجة أمنياً. اختبار اختراق خارجي قبل كل إصدار رئيسي — عبر شريك معتمد من CREST أو OSCP.
تعاقدياً: بنود أمنية محددة كملحق لعقد العمل، نافذة استجابة للحوادث أربع وعشرون ساعة، إلزام توثيق للهندسة المعمارية والقرارات التصميمية الحرجة. الاستخدامات الأمنية جزء من خدمات الأمن السيبراني وتعمل بتكامل وثيق مع DevOps والبنية التحتية السحابية.
إذا كانت مؤسستكم خاضعة لـ NCA ECC أو إطار SAMA، أو تستعد لشهادة، المراجعة المنظمة لعقودكم الحالية تختصر الوقت. أي مزودين يمتلكون أي بنود أمنية موثقة؟ احجزوا جلسة نطاق مجانية — نفحص الحالة الراهنة قبل أن يسأل المنظم. الاطلاع المتوازي على دليل PDPL لمطوري البرمجيات يغطي طبقة حماية البيانات.
ليس إلزامياً. المنظمات المقاولة المعتمدة تقلل بشكل جوهري جهد الامتثال لديكم. إذا كنتم تحملون ISO 27001 أو TISAX، المزودون الحرجون يجب أن يحملوا شهادة مكافئة أو يثبتوا ISMS مكافئاً.
مباشرة في حالات خاصة (مشغلو البنية التحتية الحرجة في النطاق بغض النظر عن الحجم). غير مباشرة غالباً نعم — كمورد لعميل ملزم بـ NCA ECC، قد يُطلب منكم إثبات الامتثال عبر سلسلة التوريد.
للتطبيقات الحرجة، سنوياً أو بعد تغييرات جوهرية. للتطبيقات الأقل حرجية، كل سنتين. بعد تغيير هندسي كبير، دائماً — حتى لو كان الاختبار السابق قريباً.
التسعير السوقي يتباين حسب النطاق ومؤهلات المفحص. عروض ملموسة تأتي بعد تنسيق النطاق (المكونات المتأثرة، عمق الاختبار، أيام الاختبار). دون خمسة أيام عمل اختبار، العمق غير كافٍ للتطبيقات الحرجة عادة.
نعم، ويجب. أدوات مثل Dependabot (مجاناً في GitHub)، Trivy، أو SonarCloud تغطي الحد الأدنى. الاستثمار الأهم أقل في الأداة وأكثر في عملية فرز الاكتشافات وعلاجها بسرعة.
© 2026 D'Cloud Software & Digital Agency. جميع الحقوق محفوظة.