ProBase الرئيسية

سجلات التدقيق والمساءلة

آخر تحديث: يونيو 2026

تُعدّ سجلات التدقيق (Audit Logs) ركيزة أساسية في حوكمة منصة ProBase. فهي توفّر سجلاً موثوقاً وقابلاً للمراجعة لما يحدث داخل النظام: من يفعل ماذا، ومتى، ومن أي جهاز أو عنوان، وما هي النتيجة. تشرح هذه الوثيقة الأحداث التي نسجّلها، وكيف نحمي هذه السجلات من العبث، ومدد الاحتفاظ بها، وكيفية استخدامها في التحقيقات والامتثال، وعلاقتها بإطار حماية البيانات الشخصية (PDPL). نحن نعمل وفق ممارسات راسخة للمساءلة، ونصف هنا قدراتنا الفعلية دون ادعاء شهادات لا يمكننا إثباتها.

1. الغرض والنطاق

الهدف من تسجيل التدقيق هو تمكين المساءلة، ودعم اكتشاف الحوادث الأمنية والتحقيق فيها، وإثبات الامتثال للالتزامات التعاقدية والتنظيمية. يغطّي هذا التسجيل البيئة الإنتاجية للمنصة، وعمليات لوحة الإدارة، والوصول الإداري إلى البنية التحتية. لا يهدف التسجيل إلى مراقبة محتوى عمل المستخدم لأغراض غير مشروعة، بل إلى توثيق الأحداث الجوهرية ذات الأثر الأمني أو التشغيلي أو القانوني.

2. الأحداث الجوهرية التي نسجّلها

نسجّل بشكل منهجي الفئات التالية من الأحداث:

  • أحداث الدخول والهوية: محاولات تسجيل الدخول الناجحة والفاشلة، تسجيل الخروج، إعادة تعيين كلمة المرور، تفعيل أو تعطيل المصادقة متعددة العوامل، وإنشاء أو إبطال الجلسات والرموز (Tokens).
  • التغييرات على الإعدادات الحساسة: تعديل أدوار المستخدمين والصلاحيات، تغيير إعدادات الأمان، إدارة مفاتيح الواجهات البرمجية (API Keys)، وضبط سياسات الوصول.
  • عمليات البيانات: إنشاء وتعديل وحذف السجلات الجوهرية، إضافة أو إزالة المستخدمين، وتغيير ملكية البيانات.
  • التصدير والمشاركة: عمليات تصدير البيانات، التنزيلات المجمّعة، وإنشاء روابط المشاركة الخارجية.
  • الوصول الإداري: دخول فرق الدعم أو التشغيل إلى بيانات العملاء بموجب صلاحيات مبرَّرة وموثّقة.

3. محتوى كل سجل

يحتوي السجل النموذجي على عناصر تكفي لإعادة بناء الحدث دون كشف بيانات حساسة بلا داعٍ:

  • الفاعل: معرّف المستخدم أو الحساب الخدمي الذي نفّذ الإجراء.
  • الإجراء: نوع العملية (دخول، تعديل، حذف، تصدير… إلخ) ونتيجتها (نجاح/فشل).
  • الهدف: المورد أو السجل المتأثر بالعملية.
  • السياق التقني: الطابع الزمني الدقيق (UTC)، عنوان IP المصدر، ومعرّف الجلسة أو الطلب.

نتبع مبدأ تقليل البيانات: لا نخزّن في السجل محتوى الحقول الحساسة كاملاً، بل معرّفات ووصفاً للتغيير يكفي للتدقيق.

4. حماية السجلات من العبث

سجلات التدقيق عديمة القيمة إن أمكن تعديلها. لذلك نطبّق ضوابط لجعلها غير قابلة للتعديل عملياً (Append-only):

  • كتابة السجلات في مخزن للإلحاق فقط لا يسمح بالتعديل أو الحذف من خلال المسارات التشغيلية العادية.
  • فصل صلاحيات إدارة السجلات عن صلاحيات تشغيل المنصة، بحيث لا يستطيع مشغّل واحد إخفاء آثار نشاطه.
  • التحكم الصارم في الوصول إلى السجلات وفق مبدأ الحد الأدنى من الامتيازات، مع تسجيل أي اطّلاع على السجلات نفسه.
  • نُسخ احتياطية محمية لضمان التوافر وعدم الفقد العَرَضي.

نحن نعمل نحو تعزيزات إضافية لضمان السلامة مثل التحقق التشفيري للسلاسل، ونصف قدراتنا الحالية بصدق دون المبالغة.

5. مدد الاحتفاظ

تختلف مدد الاحتفاظ بحسب نوع السجل والمتطلبات التنظيمية والتعاقدية:

  • سجلات الأمان والدخول: يُحتفظ بها لمدة كافية لدعم اكتشاف الحوادث والتحقيق فيها، وعادةً لا تقل عن اثني عشر شهراً.
  • سجلات تغييرات الإعدادات وعمليات البيانات الحساسة: تُحتفظ لمدد أطول حسب الحاجة لإثبات الامتثال.
  • عند انقضاء المدة، تُحذف السجلات أو تُجهَّل (Anonymize) وفق سياسة محددة، ما لم يوجب الاحتفاظ بها أمر قانوني أو تحقيق جارٍ.

قد تتفق المؤسسات على مدد احتفاظ مخصّصة ضمن اتفاقيات مستوى الخدمة لتلائم متطلباتها الرقابية.

6. الاستخدام في التحقيق والاستجابة للحوادث

عند الاشتباه في حادث أمني أو سوء استخدام، تُشكّل سجلات التدقيق المصدر الأساسي لإعادة بناء التسلسل الزمني للأحداث. تتيح لنا تحديد الحسابات المتأثرة، ونطاق الوصول، وتوقيت بدء النشاط المشبوه، واتخاذ إجراءات الاحتواء. نتعامل مع السجلات بوصفها أدلة يجب الحفاظ على سلامتها وسلسلة عُهدتها أثناء أي تحقيق.

7. تقارير قابلة للتدقيق لمسؤولي الامتثال

نوفّر لمسؤولي الامتثال داخل المؤسسة العميلة قدرة على الاطّلاع على نشاط مؤسستهم واستخراج تقارير قابلة للتدقيق تشمل:

  • سجل بمحاولات الدخول الناجحة والفاشلة لمستخدمي المؤسسة.
  • سجل بتغييرات الصلاحيات والأدوار والإعدادات الحساسة.
  • سجل بعمليات التصدير والحذف للمساءلة عن البيانات.

تتيح هذه التقارير للمؤسسات إثبات الالتزام أمام مدققيها الداخليين والخارجيين، ومراجعة الوصول دورياً ضمن حوكمتها الخاصة.

8. الفصل بين مستأجري المنصة

تُعزل سجلات كل مؤسسة منطقياً عن غيرها ضمن البنية متعددة المستأجرين. لا يمكن لمؤسسة الاطّلاع على سجلات تدقيق مؤسسة أخرى، ويقتصر وصول كل مسؤول امتثال على نطاق مؤسسته فقط، بما يحافظ على سرّية البيانات والفصل بين العملاء.

9. الربط بنظام حماية البيانات الشخصية (PDPL)

قد تتضمن سجلات التدقيق بيانات شخصية مثل معرّفات المستخدمين وعناوين IP، ولذلك نعاملها بوصفها جزءاً من برنامج حماية البيانات لدينا ومتوافقة مع مبادئ نظام حماية البيانات الشخصية:

  • المشروعية والغرض: تُجمع السجلات لأغراض الأمان والمساءلة والامتثال حصراً، وهي مصلحة مشروعة موثّقة.
  • تقليل البيانات: لا نسجّل من البيانات الشخصية إلا ما يلزم لتحقيق هذه الأغراض.
  • الاحتفاظ المحدود: تخضع السجلات لمدد احتفاظ معرّفة ثم تُحذف أو تُجهَّل.
  • الحماية: تُؤمَّن السجلات بضوابط الوصول والتشفير ذاتها المطبّقة على بقية البيانات.

لمزيد من التفاصيل يُرجى مراجعة صفحة حماية البيانات الشخصية (PDPL) وصفحة الخصوصية المرتبطتين بهذه الوثيقة.

10. مسؤوليات المؤسسة العميلة

تقع على المؤسسة العميلة مسؤولية مكمّلة لضمان فعالية المساءلة، وتشمل:

  • مراجعة تقارير التدقيق دورياً واتخاذ الإجراء عند رصد نشاط غير معتاد.
  • إدارة صلاحيات مستخدميها وفق مبدأ الحد الأدنى من الامتيازات.
  • إبلاغنا فوراً عند الاشتباه في اختراق حساب لتمكين التحقيق المشترك.

11. التحديثات على هذه السياسة

قد نحدّث هذه الوثيقة لتعكس تطوّر قدراتنا أو المتطلبات التنظيمية. نعلن التحديثات الجوهرية عبر القنوات المعتادة، ويبقى تاريخ آخر تحديث ظاهراً أعلى الصفحة. استمرار استخدام المنصة بعد التحديث يُعدّ اطّلاعاً عليه.

12. التواصل

للاستفسارات المتعلقة بسجلات التدقيق، أو طلب تقرير تدقيق رسمي، أو الإبلاغ عن حادث أمني، يُرجى التواصل مع فريق الامتثال والأمان عبر البريد الإلكتروني info@probasesolutions.com. نلتزم بالرد على الطلبات الجوهرية خلال مدة معقولة وبما يتوافق مع التزاماتنا التعاقدية والتنظيمية.

Pro Base Solutions · probasesolutions.com · الخصوصية · الشروط · الأمان · حماية البيانات