ضوابط الحوسبة السحابية (Cloud Cybersecurity Controls - CCC) هي مجموعة ضوابط أصدرتها الهيئة الوطنية للأمن السيبراني السعودية تنظّم أمن بيئات السحابة واستهلاك الخدمات السحابية. تنطبق على المنشآت التي تستضيف أنظمة في السحابة أو تستهلك خدمات سحابية، وتتكامل مع ضوابط ECC الأساسية وضوابط DCC.
الخلاصة السريعة
ضوابط الحوسبة السحابية (CCC) تكمّل ضوابط NCA الأساسية عندما تنتقل المنشأة إلى بيئة سحابية. هي لا تحل محل ECC، بل تضيف متطلبات خاصة بسيادة البيانات وتقسيم المسؤولية (Shared Responsibility) وحماية الواجهات والهويات السحابية. بما أن معظم أنظمة الذكاء الاصطناعي اليوم مستضافة في السحابة، فإن CCC تصبح واجبة فعلياً على أي جهة سحابية تستخدم AI، وتتقاطع مع PDPL في شرط بقاء البيانات الشخصية ضمن حدود المملكة.
ما هي ضوابط الحوسبة السحابية (CCC) ولماذا أصدرتها NCA؟
ضوابط الحوسبة السحابية (Cloud Cybersecurity Controls — CCC) هي إطار ضوابط أصدرته الهيئة الوطنية للأمن السيبراني لتنظيم أمن بيئات الحوسبة السحابية داخل الجهات الخاضعة لها. جاءت هذه الضوابط استجابة لتحول المؤسسات السعودية نحو السحابة، حيث تبيّن أن ضوابط ECC الأساسية، رغم شموليتها، تحتاج تفصيلاً إضافياً يناسب طبيعة البنية السحابية (تعدد المستأجرين، واجهات برمجة مفتوحة، وهجرات مستمرة).
الفلسفة وراء CCC بسيطة: في البيئة التقليدية، المنشأة تملك الخادم والشبكة والصلاحيات. في السحابة، المسؤولية مقسّمة بين مزوّد السحابة والعميل. CCC تضع إطاراً يضمن أن المنشأة السعودية تفهم حصتها من هذه المسؤولية ولا تفترض خطأً أن المزوّد يغطي كل شيء.
مع الذكاء الاصطناعي، تبرز أهمية CCC لأن نماذج الذكاء الاصطناعي — خصوصاً النماذج اللغوية الكبيرة — تُستضاف غالباً في بيئات سحابية (سواء سحابة عامة أو خاصة أو حكومية). كل طبقة من طبقات النموذج (التدريب، الاستدلال، التخزين، الواجهات) تقع تحت مسؤولية سحابية يجب أن تخضع لـ CCC.
متى تنطبق ضوابط CCC على منشأتك؟
ضوابط CCC لا تنطبق على كل منشأة، بل على منشأة تستخدم السحابة بأي صورة من الصور. المؤشرات العملية:
أولاً — استضافة أي نظام في السحابة. إن كانت منشأتك تشغّل خوادم أو قواعد بيانات أو تطبيقات على سحابة عامة (مثل Azure أو AWS أو Google Cloud) أو سحابة حكومية أو سحابة خاصة، فأنت ضمن النطاق.
ثانياً — استهلاك خدمات سحابية. حتى لو لم تستضف شيئاً، استخدامك لخدمات مُدارة (Managed Services) مثل قواعد البيانات المُدارة أو نماذج الذكاء الاصطناعي كخدمة (AIaaS) يُدخلك في نطاق CCC من زاوية حماية البيانات والواجهات.
ثالثاً — الهجرات السحابية. أي خطة لنقل أنظمة قائمة إلى السحابة تستوجب تطبيق CCC كجزء من خطة الهجرة، وليس بعدها.
رابعاً — الجهات الخاضعة لـ NCA. الجهات الحكومية والقطاعات الحيوية الـ16 ملزمة بضوابط NCA كاملة، وCCC جزء منها عند استخدام السحابة. الشركات الخاصة المورّدة لهذه الجهات تتبعها عملياً للفوز بالعقود.
العلاقة بين CCC وECC وDCC
نظام ضوابط NCA متعدد الطبقات، وفهم التقاطع ضروري لتجنب الازدواجية أو الثغرات:
ECC (الضوابط الأساسية): تنطبق على كل جهة خاضعة بغض النظر عن البيئة. هي “الحد الأدنى” الذي يغطي الهوية، والوصول، والحماية الأساسية. CCC تفترض وجود ECC وتبني فوقه.
CCC (ضوابط السحابة): تضيف متطلبات خاصة بالسحابة: تقسيم المسؤولية، حماية واجهات الإدارة السحابية، تشفير البيانات الراقد والمتنقلة، وعزل العملاء. لا تُطبَّق بديلاً عن ECC بل معها.
DCC (ضوابط البيانات): تركز على حوكمة البيانات وحمايتها عبر دورة حياتها، وتتقاطع مع CCC عند تخزين البيانات في السحابة. للمقارنة المفصلة راجع دليل ECC مقابل DCC.
القاعدة العملية: منشأة سحابية تطبّق ECC + CCC + DCC معاً. كل ضابط يعالج زاوية مختلفة، والامتثال الشامل يتطلب تغطيتها جميعاً.
CCC وأنظمة الذكاء الاصطناعي السحابية
معظم أنظمة الذكاء الاصطناعي في السعودية تعمل على بنية سحابية، ما يجعل CCC واجبة فعلياً. التحديات المحددة:
حماية الواجهات (APIs). نماذج الذكاء الاصطناعي تُستدعى عبر واجهات برمجة. CCC تشترط حماية هذه الواجهات بالمصادقة القوية وتقييد الوصول. أي تسريب لمفتاح API يعني وصولاً غير مصرّح به للنموذج وربما للبيانات.
سيادة البيانات. تدريب أو استدلال نموذج على بيانات شخصية سعودية داخل سحابة خارجية قد يخالف المادة 29 من PDPL حول نقل البيانات خارج المملكة. CCC تتقاطع هنا مع PDPL بوضوح.
عزل العملاء والنماذج. في بيئات السحابة المشتركة، يجب عزل بيانات كل عميل ونماذجه عن غيره، وهو مطلب CCC لتجنب التسريب العرضي بين المستأجرين.
الأدلة التقنية. جدار حماية AI يفحص مدخلات النموذج قبل إرسالها للواجهة السحابية ويمنع تسرب البيانات الحساسة، بينما سجل التدقيق يوثق كل استدلال بما يثبت الامتثال لـ CCC وPDPL معاً.
خطوات عملية للامتثال لـ CCC
1. خرّط بيئتك السحابية. ابدأ بجرد كل حساب سحابي، كل خدمة مستخدمة، وكل بيانات شخصية مخزّنة أو معالَجة سحابياً. بدون الخريطة، لا يمكنك تطبيق الضوابط.
2. حدد نموذج تقسيم المسؤولية. لكل خدمة سحابية، وثّق ما يغطيه المزوّد وما تقع مسؤوليته على منشأتك. لا تفترض أن المزوّد يشفّر أو يحمي واجهات الإدارة نيابة عنك.
3. طبّق الحماية على الهويات والواجهات. فعّل المصادقة متعددة العوامل على كل حساب سحابي، وقيّد وصول واجهات الإدارة، ودوّر المفاتيح (Keys) بانتظام.
4. شفّر البيانات وارفع سيادتها. استخدم التشفير للبيانات الراقدة والمتنقلة، ويفضّل أن تبقى المفاتيح تحت إدارتك (Bring Your Own Key). للمعالجة السحابية لبيانات شخصية سعودية، تأكد من توافق الموقع مع PDPL.
5. راقب وأوثّق باستمرار. اربط أدوات الذكاء الاصطناعي بسجل تدقيق غير قابل للتعديل، واجعل تصنيف المخاطر جزءاً من عملية النشر السحابي.
CCC في المناقصات والعقود الحكومية
الجهات الحكومية السعودية والمؤسسات الكبرى باتت تشترط في طلباتها إثبات الامتثال لضوابط NCA بما فيها CCC. المنشأة التي تستضيف خدماتها سحابياً وتفتقر إلى وثيقة امتثال CCC تفقد فرصاً تنافسية كبيرة. الاستثمار المبكر في الامتثال يفتح أبواب العقود ولا يقلل المخاطر التقنية فحسب.
ملخص تنفيذي للمديرين
ضوابط الحوسبة السحابية (CCC) لم تعد “ترفاً تقنياً” لأي منشأة سعودية تستخدم السحابة — أي أنها اليوم تغطي أغلب المنشآت التي تعتمد الذكاء الاصطناعي. هي تكمّل ECC ولا تحل محلها، وتتقاطع حتمياً مع ضوابط حماية البيانات وPDPL عند معالجة بيانات شخصية في السحابة.
النهج الصحيح: ابدأ بخريطة بيئتك السحابية، وثّق تقسيم المسؤولية، طبّق الحماية على الهويات والواجهات، واربط أنظمة الذكاء الاصطناعي بأدوات تدقيق تقنية. منصة BrightAI لحوكمة الذكاء الاصطناعي تجمع الجدار والسجل والتصنيف في منظومة واحدة تسهّل إثبات الامتثال لـ NCA وPDPL معاً.
نموذج تقسيم المسؤولية: مثال عملي
لفهم CCC تطبيقياً، لنفترض منشأة سعودية تستضيف نموذج ذكاء اصطناعي على سحابة عامة لتقديم خدمة للعملاء:
مسؤولية مزوّد السحابة: تأمين البنية التحتية المادية، وعزل المستأجرين على مستوى الشبكة، وتوفير أدوات التشفير وإدارة الهويات الأساسية، وضمان توفر الخدمة.
مسؤولية المنشأة (أنت): تشفير بيانات العملاء بمفاتيحها الخاصة، ضبط صلاحيات الوصول لواجهات الإدارة، تدوير المفاتيح، مراقبة الوصول غير المصرّح به، والتأكد من موقع تخزين البيانات الشخصية (داخل المملكة لتجنب مخالفة PDPL).
الخطأ الشائع: المنشأة تفترض أن “السحابة آمنة تلقائياً” وتهمل طبقتها. CCC تجبر المنشأة على توثيق حصتها بدقة، وهذا التوثيق هو ما يُطلب عند التدقيق.
CCC والامتثال المشترك مع PDPL وNCA ECC
الواقع التشغيلي يفرض تطبيق الأطر الثلاثة معاً، وكل إطار يغطي زاوية:
- ECC يحمي الأساس (هوية، وصول، حماية أولية).
- CCC يحمي البيئة السحابية (واجهات، عزل، تقسيم مسؤولية).
- PDPL يحمي البيانات الشخصية (أساس نظامي، حقوق، نقل عابر للحدود).
عند تدقيق منشأة سحابية تستخدم الذكاء الاصطناعي، تفحص سدايا امتثال PDPL، وتفحص NCA امتثال ECC وCCC. غياب أي إطار يكفي لإسقاط الملف بالكامل. منصة BrightAI مصممة لربط هذه الأطر في منظومة واحدة قابلة للتدقيق.
قائمة مراجعة سريعة للامتثال السحابي
- خريطة كاملة لكل حسابات وخدمات السحابة المستخدمة.
- وثيقة تقسيم مسؤولية (Shared Responsibility) لكل خدمة.
- مصادقة متعددة العوامل على كل حساب سحابي وواجهة إدارة.
- تشفير البيانات الراقدة والمتنقلة بمفاتيح تديرها المنشأة.
- تأكيد موقع تخزين البيانات الشخصية (داخل المملكة عند الاقتضاء).
- سجل تدقيق غير قابل للتعديل لكل استدلال عبر الواجهة السحابية.
- جدار حماية AI يمنع تسرب البيانات الحساسة قبل إرسالها للنموذج.
- خطة إخطار اختراق جاهزة ضمن المدة النظامية.
CCC وتكلفة عدم الامتثال
الامتثال السحابي ليس مجرد تدقيق تقني، بل تحوط ضد مخاطر مالية وتشغيلية حقيقية. المنشأة التي تُهمل ضوابط السحابة تتعرض لثلاثة أنواع من التكلفة:
التكلفة التنظيمية. مخالفات NCA قد تصل إلى تعليق التراخيص أو إحالة للقضاء في الحالات الجسيمة، كما أن الإخلال بضوابط الهيئة الوطنية للأمن السيبراني يُسقط أهلية التوريد للجهات الحكومية.
التكلفة التشغيلية. تسريب مفتاح واجهة سحابية واحد قد يفتح الباب أمام وصول غير مصرّح به لبيانات ملايين العملاء، واسترداد الثقة يكلف أضعاف تكلفة الامتثال الأصلي.
التكلفة التعاقدية. العقود الكبرى باتت تشترط شهادة امتثال سحابي. غيابها يُخرج المنشأة من المنافسة على مشاريع استراتيجية دون أن تخالف نصاً صريحاً.
الاستثمار في CCC اليوم أرخص بكثير من تسعير انقطاع الخدمة أو التسريب غداً. والربط بين الضوابط والأدوات التقنية — كما في منصة BrightAI — هو ما يحوّل المتطلبات من أعباء ورقية إلى ضوابط تشغيلية تعمل تلقائياً.
مستويات نضج الامتثال السحابي
يمكن للمنشأة تقييم وضعها عبر أربعة مستويات نضج:
المستوى الأول — تفاعلي. امتثال قائم على ردود الفعل: تطبيق الضوابط فقط بعد حادثة أو طلب تدقيق. خريطة السحابة غير مكتملة، وتقسيم المسؤولية غير موثّق.
المستوى الثاني — مُدار. ضوابط أساسية مطبّقة (مصادقة متعددة، تشفير، رصد)، لكنها منفصلة وغير مترابطة. الخريطة موجودة لكن التحديث دوري لا مستمر.
المستوى الثالث — مُحدَّد (Defined). عمليات موثّقة ومعايير واضحة لكل خدمة سحابية، مع ربط الأدوات التقنية (جدار، سجل، تصنيف) بعضها ببعض. هذا هو المستوى الذي تطلبه المناقصات الحكومية الكبرى.
المستوى الرابع — مُحسَّن (Optimized). امتثال مستمر ومؤتمت بالكامل، يقيس مؤشراته ذاتياً، ويتعلّم من حوادث سابقة. المنشأة هنا تتجاوز “الامتثال للامتثال” إلى ميزة تنافسية تفتح لها أبواب العقود.
معظم المنشآت السعودية اليوم بين المستويين الأول والثاني. الهدف الواقعي هو بلوغ المستوى الثالث خلال 6 إلى 12 شهراً عبر ربط الضوابط بمنصة حوكمة موحّدة.
CCC في السحابة الحكومية والبيئات الهجينة
السياق السعودي يضيف طبقة خاصة: الحكومة تشغّل بيئات سحابية حكومية خاصة بها، وتشترط على مورديها استضافة أحمال معينة داخل حدود المملكة. في البيئة الهجينة (جزء سحابة عامة وجزء خاص أو حكومي)، تتضاعف تعقيدات تقسيم المسؤولية:
تأكيد الموقع. عند مزج سحابة أجنبية بسحابة حكومية، يجب توثيق أين تُعالَج البيانات الشخصية فعلياً، لأن ذلك يحدد انطباق المادة 29 من PDPL.
نقل البيانات بين السحابات. تنقّل البيانات من سحابة لأخرى (Cloud Migration) يخضع لضوابط النقل والترحيل في CCC، ويجب ألا يكسر شروط السيادة المفروضة على البيانات الحكومية.
واجهات التكامل. ربط السحابة الحكومية بالأنظمة الداخلية عبر واجهات يتطلب حماية مضاعفة عند نقاط الالتقاء، وهي نقطة ضعف شائعة تتجاهلها المنشآت.
المنشآت التي تخدم القطاع الحكومي تجد أن الامتثال لـ CCC على السحابة الحكومية هو شرط دخول فعلي للسوق، لا مجرد متطلب فني.
وتعمل الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا) بالتنسيق مع NCA على توحيد مرجعيات السحابة الحكومية، ما يجعل متابعة تحديثات الجهتين إلزاماً تشغيلياً لكل منشأة سحابية سعودية تسعى للبقاء متوافقة مع المتغير المستمر في الضوابط.
أسئلة شائعة حول ضوابط الحوسبة السحابية CCC
هل ضوابط CCC بديل عن ضوابط ECC؟
لا، CCC لا تحل محل ECC بل تكمّلها. ECC هي الضوابط الأساسية التي تنطبق على كل جهة خاضعة، وCCC تضيف متطلبات خاصة بالبيئة السحابية. المنشأة السحابية تطبّقهما معاً.
هل تطبق CCC على الشركات الخاصة أم فقط الحكومية؟
تطبق على أي جهة تستخدم السحابة من الجهات الخاضعة لـ NCA. الشركات الخاصة خارج القطاعات الحيوية تطبقها طوعاً، لكنها تصبح فعلياً واجبة عند التوريد لجهة حكومية أو حيوية أو معالجة بياناتها.
كيف تؤثر CCC على استخدام نماذج الذكاء الاصطناعي السحابية؟
تفرض حماية واجهات الاستدلال (APIs)، وتشفير البيانات، وعزل العملاء، وتتقاطع مع PDPL في شرط بقاء البيانات الشخصية ضمن حدود المملكة عند التدريب أو الاستدلال السحابي.
هل استخدام سحابة أجنبية لمعالجة بيانات سعودية مسموح؟
مشروط بموافقة الجهة المختصة وضمانات كافية وفق المادة 29 من PDPL. CCC تضيف متطلبات الحماية السحابية، لكن القرار النهائي بالنقل العابر للحدود يعود لـ PDPL وإشراف سدايا.
هل CCC نفسها ضوابط DCC؟
لا، CCC تركز على أمن بيئة السحابة وتقسيم المسؤولية، بينما DCC تركز على حوكمة البيانات وحمايتها عبر دورة حياتها. تتقاطعان عند تخزين البيانات سحابياً، وكلاهما مطلوب للامتثال الشامل.
كيف أثبت لجهة حكومية امتثالي لـ CCC؟
عبر ملف امتثال موثّق يشمل خريطة السحابة، نموذج تقسيم المسؤولية، إجراءات حماية الهويات والواجهات، ودليل تدقيق مستمر. منصة BrightAI تجمع هذه الأدلة في ملف جاهز للمراجعة.
روابط ذات صلة:
- الضوابط الأساسية للأمن السيبراني ECC — القائمة الكاملة — أساس الضوابط السعودية
- ECC مقابل DCC — أي الضوابط تنطبق على منشأتك؟ — المقارنة المفصلة
- نقل البيانات الشخصية خارج السعودية — تقاطع السحابة مع PDPL
- منصة BrightAI لحوكمة الذكاء الاصطناعي — الجدار + السجل + التصنيف
- جدار حماية الذكاء الاصطناعي — حماية واجهات النموذج السحابي