العربية

soc2
gdpr

حراس الامتثال: تحليل التحقق من الهوية في ظل معايير SOC 2 و GDPR

تعرف كيف تفرض معايير SOC 2 و GDPR قانونياً التحقق من الهوية، المصادقة متعددة العوامل (MFA)، ضوابط الوصول، وسجلات التدقيق، مع إشارات مباشرة إلى المعايير الرسمية.

Guamian

Product & Design

12/12/2025

توقف عن إضاعة أسابيع في مصادقة المستخدم

أطلق تطبيقات آمنة بشكل أسرع مع Logto. قم بدمج مصادقة المستخدم في دقائق وركز على منتجك الأساسي.

ابدأ الآن

في المشهد التنظيمي الحديث، أصبحت إدارة الهوية والوصول (IAM) ليست مجرد مهمة تشغيلية في تكنولوجيا المعلومات، بل ضرورة قانونية وامتثالية. من بين أهم الأطر التي تحكم هذا المجال هما SOC 2 (الضوابط النظامية والمؤسسية 2) و GDPR (اللائحة العامة لحماية البيانات).

بينما تركز SOC 2 على الثقة في تقديم الخدمات، وتركز GDPR على حقوق خصوصية الأفراد، إلا أن كليهما يتفقان على حقيقة واحدة: لا يمكنك تأمين البيانات إذا لم تتمكن من التحقق من هوية الشخص الذي يصل إليها.

فيما يلي تحليل صارم للبنود والمعايير المحددة في كلا الإطارين التي تفرض مصادقة قوية للهوية، بما في ذلك روابط مباشرة إلى المعايير الرسمية.

الجزء الأول: متطلبات SOC 2 (معايير خدمات الثقة)

تعتمد تدقيقات SOC 2 على معايير خدمات الثقة من AICPA لعام 2017 (TSC). بالنسبة للتحقق من الهوية، تعتبر معايير المشتركة (CC) سلسلة 6.0 (ضوابط الوصول المنطقي والفعلي) هي السلطة النهائية.

المصدر الرسمي: معايير خدمات الثقة 2017 من AICPA (PDF)

1. أساس الوصول المنطقي (CC6.1)

المعيار:

"تطبق الجهة برامج أمان الوصول المنطقي والبنية التحتية والهياكل فوق أصول المعلومات المحمية لحمايتها من أحداث الأمن من أجل تحقيق أهداف الجهة."

التحليل:

هذا هو التفويض الواسع لنظام إدارة الهوية والوصول. للامتثال لـ CC6.1، يجب أن تثبت المؤسسة وجود آلية مركزية (مثل مزود الهوية - IdP) لإدارة الهويات. غالباً ما تؤدي الحسابات المؤقتة أو المشتركة إلى الفشل هنا لأنها تجعل "أمن الوصول المنطقي" مستحيلاً تدقيقه.

2. التحقق من الهوية ودورة الحياة (CC6.2)

المعيار:

"قبل إصدار بيانات اعتماد النظام ومنح الوصول إلى النظام، تقوم الجهة بتسجيل وترخيص المستخدمين الداخليين والخارجيين الجدد الذين تتم إدارة وصولهم من قبل الجهة."

التحليل:

هذا يتطلب عملية صارمة للإنضمام/النقل/المغادرة (JML).

متطلب المصادقة: يجب التحقق من هوية المستخدم قبل منحه اسم مستخدم/كلمة مرور.
الإلغاء: عند مغادرة الموظف، يجب إلغاء الوصول فوراً (غالباً خلال 24 ساعة).
الأدلة المطلوبة: سيطلب المدققون "قائمة المسجلين" للموظفين المنتهية خدماتهم ويطابقونها مع سجلات النظام للتحقق من أن رموز المصادقة تم تعطيلها في الوقت المناسب.

3. تفويض المصادقة متعددة العوامل (CC6.3)

المعيار:

"تقوم الجهة بتفويض وتعديل أو إزالة الوصول إلى البيانات والبرمجيات والوظائف وغيرها من أصول المعلومات المحمية بناءً على الأدوار والمسؤوليات أو تصميم النظام..."

التحليل:

بينما يذكر النص صراحةً "الأدوار" (RBAC)، إلا أن "نقاط التركيز" الصادرة عن AICPA لمعيار CC6.3 تبرز على وجه الخصوص الحاجة للمصادقة متعددة العوامل (MFA).

تفسير صارم: بالنسبة لتقارير SOC 2 Type II الحديثة، الاعتماد فقط على عامل مصادقة واحد (كلمات المرور) للوصول الإداري أو مستودعات التعليمات البرمجية أو بيانات الإنتاج يعد بشكل شبه عالمي "نقصاً كبيراً" أو استثناءً.
المتطلب: يجب حماية الوصول إلى بيئة الإنتاج أو بيانات العملاء بواسطة المصادقة متعددة العوامل (MFA).

4. إعادة التحقق (CC6.4)

المعيار:

"تقوم الجهة بتقييد الوصول الفعلي إلى المرافق وأصول المعلومات المحمية للأشخاص المخولين فقط من أجل تحقيق أهداف الجهة."

التحليل:

عند تطبيقه سياقياً على الوصول المنطقي، فهذا يفرض مراجعات وصول المستخدمين (UAR). لا يمكنك الاكتفاء بمصادقة المستخدم مرة واحدة؛ بل يجب إعادة التحقق دورياً (عادة كل ثلاثة أشهر) من أن الهوية لا تزال صالحة وتملك الصلاحيات المناسبة.

على عكس SOC 2، تعتبر GDPR قانوناً أوروبياً. لا تدرج تقنيات محددة (مثل "استخدام تطبيقات OTP")، لكنها توجب نتائج تجعل المصادقة القوية ضرورة قانونية.

1. النزاهة والسرية (المادة 5)

الرابط الرسمي: المادة 5 من GDPR (المبادئ المتعلقة بمعالجة البيانات الشخصية)

البند: المادة 5(1)(و)

"يجب معالجة البيانات الشخصية بطريقة تضمن الأمان المناسب للبيانات الشخصية، بما في ذلك الحماية من المعالجة غير المخولة أو غير القانونية..."

التحليل:

"المعالجة غير المخولة" هي العبارة الأساسية. إذا تمكن مهاجم من تخمين كلمة مرور ضعيفة والوصول إلى البيانات الشخصية، فقد أخفقت المنظمة في الامتثال للمادة 5.

متطلب المصادقة: يجب أن تكون وسيلة المصادقة قوية بما يكفي لمنع الهجمات الشائعة (مثل الهجوم بالقوة الغاشمة أو هجمات تعبئة بيانات الاعتماد). وهذا يفرض وجود سياسات صارمة لتعقيد كلمات المرور وإجراءات تحديد المعدل.

2. أمان المعالجة (المادة 32)

الرابط الرسمي: المادة 32 من GDPR (أمان المعالجة)

البند: المادة 32(1)

"مع مراعاة أحدث ما توصلت إليه التقنية وتكاليف التنفيذ وطبيعة ونطاق وسياق وأغراض المعالجة... يتعين على المتحكم والمعالج تنفيذ تدابير تقنية وتنظيمية مناسبة..."

التحليل:

هذه هي فقرة "أحدث ما توصلت إليه التقنية".

تفسير صارم: في عامي 2024/2025، تعتبر المصادقة متعددة العوامل (MFA) "أحدث ما توصلت إليه التقنية" للوصول إلى البيانات الحساسة. إذا حدث اختراق واتضح أن المنظمة استخدمت فقط كلمات المرور (موقف أمني قديم للبيانات عالية المخاطر)، فإن الجهات التنظيمية (مثل ICO أو CNIL) على الأرجح ستعتبر التدابير "غير مناسبة" وفقاً للمادة 32.1
التشفير: تذكر المادة 32 أيضًا التشفير بشكل صريح. يجب على أنظمة الهوية تشفير بيانات الاعتماد أثناء النقل وفي حالة السكون (التجزئة/إضافة الملح).

3. حماية البيانات عن طريق التصميم (المادة 25)

الرابط الرسمي: المادة 25 من GDPR (حماية البيانات عن طريق التصميم وافتراضياً)

البند: المادة 25(2)

"يجب على المتحكم تنفيذ تدابير تقنية وتنظيمية مناسبة لضمان أنه، وبشكل افتراضي، لا تتم معالجة سوى البيانات الشخصية اللازمة لكل غرض محدد من أغراض المعالجة."

التحليل:

هذا يفرض مبدأ أقل امتياز ممكن.

متطلب المصادقة: لا يكفي التحقق من أن "المستخدم أ هو المستخدم أ". يجب على النظام التأكد من أن المستخدم أ يمكنه فقط رؤية ما هو ضروري.
تأثير الهوية: هذا يفرض الحاجة إلى التحكم في الوصول القائم على الدور (RBAC) بشكل دقيق مرتبط مباشرة بالهوية التي تم التحقق منها.

الجزء الثالث: التحليل المقارن والخلاصة

الجدول التالي يلخص كيفية الامتثال لكلا المعيارين معاً:

الميزة	متطلب SOC 2 (المعيار)	متطلب GDPR (المادة)	معيار التطبيق الصارم
أمان تسجيل الدخول	CC6.3 (ضبط الوصول)	المادة 32 (أمان المعالجة)	MFA إلزامية لجميع الموظفين الذين لديهم وصول إلى بيانات العملاء أو بيئات الإنتاج.
نطاق الوصول	CC6.2 (التفويض)	المادة 25 (الخصوصية حسب التصميم)	RBAC (التحكم في الوصول القائم على الدور). الرفض الافتراضي؛ السماح الصريح بناءً على الوظيفة.
الإنهاء	CC6.2 (إزالة الوصول)	المادة 5 (النزاهة)	إلغاء التفويض الآلي. يجب إلغاء الوصول فوراً عند إنهاء العقد.
التدقيق	CC6.1 (هيكلية الأمان)	المادة 30 (سجلات المعالجة)	تسجيل مركزي. من قام بتسجيل الدخول، ومتى، ومن أين (عنوان IP)؟

الحكم

لتلبية التحليل الصارم لكلا المعيارين:

SOC 2 يتعامل مع الهوية على أنها عملية موثقة. يجب عليك إثبات وجود عملية لإنشاء والتحقق من وإزالة الهويات.
GDPR تتعامل مع الهوية على أنها درع وقائي. يجب عليك إثبات أن تدابير الهوية الخاصة بك قوية بما يكفي لمنع اختراق استناداً إلى معايير التقنية الحالية.

يتطلب الامتثال لـ SOC 2 و GDPR تجاوز إدارة كلمات المرور البسيطة. يجب على المؤسسات تنفيذ مزود هوية مركزي (IdP) يفرض المصادقة متعددة العوامل (MFA)، تحكم دور صارم بالوصول (RBAC)، وسجلات تفعيل آلية. عدم القيام بذلك يؤدي إلى فشل في تدقيق SOC 2 (استثناء في CC6.x) وغرامات محتملة من GDPR بسبب عدم تنفيذ "التدابير التقنية المناسبة" بموجب المادة 32.

الجزء الأول: متطلبات SOC 2 (معايير خدمات الثقة)#

1. أساس الوصول المنطقي (CC6.1)#

2. التحقق من الهوية ودورة الحياة (CC6.2)#

3. تفويض المصادقة متعددة العوامل (CC6.3)#

4. إعادة التحقق (CC6.4)#

الجزء الثاني: متطلبات GDPR (النهج القائم على المخاطر)#

1. النزاهة والسرية (المادة 5)#

2. أمان المعالجة (المادة 32)#

3. حماية البيانات عن طريق التصميم (المادة 25)#

الجزء الثالث: التحليل المقارن والخلاصة#

الحكم#

الجزء الأول: متطلبات SOC 2 (معايير خدمات الثقة)

1. أساس الوصول المنطقي (CC6.1)

2. التحقق من الهوية ودورة الحياة (CC6.2)

3. تفويض المصادقة متعددة العوامل (CC6.3)

4. إعادة التحقق (CC6.4)

الجزء الثاني: متطلبات GDPR (النهج القائم على المخاطر)

1. النزاهة والسرية (المادة 5)

2. أمان المعالجة (المادة 32)

3. حماية البيانات عن طريق التصميم (المادة 25)

الجزء الثالث: التحليل المقارن والخلاصة

الحكم