ProBase الرئيسية

خارطة طريق SOC 2

آخر تحديث: يونيو 2026

تلتزم ProBase ببناء منصة جديرة بثقة عملائها من المؤسسات، وتنظر إلى الضبط والأمان باعتبارهما أساسًا لكل قرار هندسي وتشغيلي وليس إجراءً لاحقًا. توضّح هذه الصفحة موقفنا الحالي من إطار SOC 2، وما الذي طبّقناه فعلًا من ضوابط، والمسار الذي نتبعه نحو الحصول على تقرير SOC 2 Type II. نحرص على الشفافية المطلقة: نحن اليوم نتبع ممارسات متوائمة مع معايير SOC 2 ونعمل نحو الاعتماد، ولا ندّعي حصولنا على الشهادة قبل صدور تقرير مدقّق رسمي من جهة مستقلة.

التزام ProBase بمعايير الضبط والأمان

نعتبر حماية بيانات العملاء مسؤولية مؤسسية تمتد عبر كل فريق. وقد رسّخنا ثقافة أمنية تقوم على مبدأ الأقل امتيازًا و الدفاع المتعدّد الطبقات، مدعومة بسياسات مكتوبة ومراجَعة دوريًا. نوائم ضوابطنا مع معايير الثقة (Trust Services Criteria) الصادرة عن المعهد الأمريكي للمحاسبين القانونيين (AICPA)، باعتبارها المرجعية التي يستند إليها تدقيق SOC 2، إلى جانب أفضل ممارسات أطر مثل ISO 27001 و متطلبات حماية البيانات المحلية.

ما هو SOC 2 ولماذا يهمّ عملاءنا

SOC 2 إطار رقابي يقيّم مدى التزام مزوّد الخدمة بضوابط محدّدة لحماية بيانات العملاء. يصدر تقرير SOC 2 عن مدقّق مستقل، ويأتي في نوعين: Type I الذي يقيّم تصميم الضوابط في لحظة زمنية محدّدة، وType II الذي يقيّم فاعلية تشغيل هذه الضوابط على مدى فترة ممتدة (عادةً من ٣ إلى ١٢ شهرًا). نستهدف تقرير Type II لأنه يثبت أن ضوابطنا ليست موجودة على الورق فحسب، بل تعمل بفاعلية مستمرة عبر الزمن، وهو ما يحتاجه عملاؤنا من المؤسسات في عمليات التقييم والمشتريات.

المبادئ الخمسة لمعايير الثقة

يرتكز إطار SOC 2 على خمسة مبادئ لمعايير الثقة، نصمّم ضوابطنا لتغطيتها:

  • الأمان (Security): حماية الأنظمة والبيانات من الوصول غير المصرّح به عبر التحكم في الهوية والتشفير والرصد المستمر؛ وهو المبدأ الإلزامي الأساس في كل تقييم SOC 2.
  • التوافرية (Availability): ضمان توافر الخدمة وفق مستويات الخدمة المتفق عليها، عبر البنية المرنة والنسخ الاحتياطي وخطط الاستمرارية.
  • السرية (Confidentiality): حماية المعلومات المصنّفة سرّية وفق تصنيف البيانات وضوابط الوصول وسياسات الاحتفاظ والإتلاف.
  • سلامة المعالجة (Processing Integrity): ضمان أن معالجة البيانات تتم بدقة واكتمال وفي الوقت المناسب ووفق التفويض الصحيح.
  • الخصوصية (Privacy): جمع البيانات الشخصية واستخدامها والاحتفاظ بها والإفصاح عنها وإتلافها بما يتوافق مع التزاماتنا المعلنة وأنظمة حماية البيانات السارية.

الضوابط الحالية المطبّقة

لسنا في نقطة الصفر؛ فقد طبّقنا فعليًا مجموعة من الضوابط المتوائمة مع SOC 2، نشغّلها يوميًا، من أبرزها:

  • إدارة الهوية والوصول: مصادقة متعددة العوامل إلزامية، وصول قائم على الأدوار (RBAC)، ومراجعة دورية لصلاحيات المستخدمين.
  • التشفير: تشفير البيانات أثناء النقل (TLS) وأثناء التخزين (AES-256)، مع إدارة منضبطة لمفاتيح التشفير.
  • الرصد والتسجيل: سجلات تدقيق مركزية، ومراقبة مستمرة للأحداث الأمنية، وتنبيهات للأنشطة غير الاعتيادية.
  • تأمين دورة تطوير البرمجيات: مراجعة الشيفرة، وفصل بيئات التطوير والاختبار والإنتاج، وفحص الثغرات في خطوط التكامل المستمر.
  • إدارة الثغرات والترقيع: فحص دوري للثغرات وإجراءات معالجة محدّدة المدة الزمنية.
  • الاستجابة للحوادث: سياسة موثّقة للاستجابة للحوادث مع أدوار محدّدة ومسارات تصعيد وإخطار للعملاء عند الاقتضاء.

المراجعات الداخلية

نُجري مراجعات داخلية دورية لقياس مدى نضج ضوابطنا ومطابقتها لمعايير الثقة، تشمل تقييمات ذاتية، واختبارات لفاعلية الضوابط، ومراجعة لسجلات الوصول والتغييرات. نوثّق نتائج كل مراجعة، ونتتبّع الفجوات حتى إغلاقها ضمن خطة معالجة معتمدة. تمهّد هذه المراجعات الطريق لتدقيق خارجي أكثر سلاسة، وتضمن أن ضوابطنا قابلة للإثبات بالأدلة وليست مجرد سياسات معلنة.

تقييم الجاهزية وفجوات الامتثال

نعمل ضمن مرحلة تقييم الجاهزية (Readiness Assessment)، وهي خطوة تسبق التدقيق الرسمي ونحدّد فيها الفجوات بين وضعنا الحالي ومتطلبات SOC 2 Type II. نصنّف الفجوات حسب الأولوية والمخاطر، ونعالجها بخطة واضحة ذات مالكين ومواعيد نهائية. هذا النهج التدريجي يضمن أننا نبني ضوابط حقيقية مستدامة قبل الدخول في فترة الرصد التي يقيّمها المدقّق.

اختيار المدقّق المستقل

يتطلّب تقرير SOC 2 تدقيقًا من جهة مستقلة مؤهَّلة. نحن في طور تقييم واختيار شركة تدقيق معتمدة لإجراء التقييم الرسمي. حتى صدور تقرير مدقّق موقّع، نلتزم بعدم وصف أنفسنا بأننا «حاصلون على شهادة SOC 2»، ونستخدم بدلًا من ذلك صياغة دقيقة: «متوائمون مع معايير SOC 2 ونعمل نحو الحصول على تقرير Type II».

الجدول الزمني المتوقع

نشارك جدولنا الزمني التقديري بشفافية، مع التنويه إلى أنه تقديري وقابل للتعديل بحسب نتائج المراجعات ومتطلبات المدقّق:

  • المرحلة الحالية: ترسيخ الضوابط وتقييم الجاهزية وإغلاق الفجوات ذات الأولوية.
  • المرحلة التالية: اختيار المدقّق المستقل وبدء فترة الرصد الخاصة بـ Type II.
  • فترة الرصد: تشغيل الضوابط ورصد فاعليتها عبر فترة ممتدة يقيّمها المدقّق.
  • إصدار التقرير: استلام تقرير SOC 2 Type II الرسمي، وعند صدوره سنحدّث هذه الصفحة لنعكس الحالة الجديدة فورًا.

لا نلتزم بتاريخ نهائي صارم نخشى عدم الوفاء به؛ نفضّل بناء ضوابط جديرة بالتقييم على الإعلان عن مواعيد لا تخدم جودة العمل.

الشفافية مع العملاء

نؤمن بأن الثقة تُبنى بالوضوح لا بالادعاء. لذلك نلتزم بإطلاع عملائنا على وضعنا الحقيقي في أي لحظة، وتزويد العملاء المؤسسيين عند الطلب بالوثائق الداعمة مثل استبيانات الأمان، ونظرة عامة على ضوابطنا، ومواد تقييم الجاهزية، وذلك بموجب اتفاقيات سرية عند الاقتضاء. وعند صدور تقرير SOC 2 الرسمي، سنتيح مشاركته مع العملاء المؤهَّلين ضمن الإجراءات المتبعة.

كيف يدعم هذا التزامنا الأوسع

تكمّل خارطة الطريق هذه التزاماتنا التعاقدية الأخرى المتعلقة بمعالجة البيانات وإقامتها وحمايتها. تعمل ضوابط SOC 2 جنبًا إلى جنب مع سياساتنا في الخصوصية والاستمرارية والاستجابة للحوادث، لتشكّل منظومة ضبط متكاملة تخدم المؤسسات في القطاعات الحسّاسة.

الإفصاح والصدق في الادعاءات

نؤكد بوضوح: لم نُصدر بعد تقرير SOC 2 Type II رسميًا، وكل ما ورد أعلاه يصف ممارسات قائمة ومسارًا نعمل عليه بجدّية. لن نستخدم شعارات أو عبارات توحي بحصولنا على شهادة لم تصدر. ونلتزم بتحديث هذه الصفحة عند أي تغيّر جوهري في حالتنا.

تواصل معنا

لطلب وثائق الأمان أو الاستفسار عن خارطة الطريق نحو SOC 2 أو تنسيق تقييم أمني لمؤسستك، يرجى التواصل عبر البريد: info@probasesolutions.com. يسعد فريق الأمان والامتثال لدينا بالإجابة عن أسئلتكم وتزويدكم بالمعلومات المتاحة بشفافية.

Pro Base Solutions · probasesolutions.com · الخصوصية · الشروط · الأمان · حماية البيانات