لا تزال معظم المقالات عن التوقيع الإلكتروني في قطر تستشهد بالمرسوم بقانون رقم ١٦ لسنة ٢٠١٠ كما لو كان القصة كاملة. لم يعد كذلك — ليس منذ فبراير ٢٠٢٥. أصدرت هيئة تنظيم الاتصالات (CRA) القرار رقم ٣ لسنة ٢٠٢٥ الذي أنشأ نظاماً كاملاً لمزوّدي خدمة الثقة، صنّف رسمياً التوقيعات إلى ثلاث فئات (بسيط، متقدم، مؤهَّل)، ونشر المواصفات الفنية لإطار خدمات الثقة القطري (QA-TSF) التي تعكس المعايير الأوروبية eIDAS سطراً بسطر تقريباً، وأطلق قائمة الثقة القطرية كسجل البلاد الرسمي للمزوّدين المرخّصين. يبقى قانون ٢٠١٠ هو الأساس؛ ولكن لائحة ٢٠٢٥ هي ما تحتاج الشركات قراءته فعلاً. هذه هي الصورة الكاملة، مُسقَطة على أنواع المستندات التي توقّعها كل أسبوع والقرارات التشغيلية التي تترتب عليها.
المرسوم بقانون رقم ١٦ لسنة ٢٠١٠ بإصدار قانون التجارة والمعاملات الإلكترونية — الأساس القانوني للتوقيع الإلكتروني في قطر. المواد ٢٣-٣٠ تُؤسّس إطار مزوّدي خدمات التصديق؛ والمادة ٢٨ تحدّد شروط الموثوقية التي يجب أن يستوفيها التوقيع الإلكتروني المتقدم
الجريدة الرسمية لدولة قطر
قرار رئيس هيئة تنظيم الاتصالات رقم ٣ لسنة ٢٠٢٥ المنشور في ٢٤ فبراير ٢٠٢٥ في الجريدة الرسمية (الإصدار الرابع). استبدل لائحة ٢٠١٢ التي لم تُنفَّذ. أرسى نظام ترخيص TSP/QTSP، التصنيف ثلاثي الفئات للتوقيع، متطلبات تقييم المطابقة، وقائمة الثقة القطرية
هيئة تنظيم الاتصالات، دولة قطر
إطار خدمات الثقة القطري — المواصفات الفنية التي تفرض الامتثال لـ ETSI EN 319 401 وETSI EN 319 411-1/2 وETSI EN 319 412-1/2/3/5 وCEN TS 419 261 وISO/IEC 27001:2022 ومتطلبات أمن شبكات CA/Browser Forum وآليات SOG-IS التشفيرية. فعلياً، تبنٍّ قطري للنظام التقني eIDAS
المواصفات الفنية QA-TSF، فبراير ٢٠٢٤
الأساس القانوني: كيف يتكامل قانون ١٦/٢٠١٠ والقرار ٣/٢٠٢٥
المرسوم بقانون رقم ١٦ لسنة ٢٠١٠ هو القانون الأم — العمل التشريعي الذي يمنح التوقيعات الإلكترونية أثرها القانوني في قطر. القرار ٣/٢٠٢٥ هو لائحة أصدرها رئيس هيئة تنظيم الاتصالات بموجب ذلك القانون، توفّر الآلية التشغيلية التي تركها القانون مجرّدة.
يُؤسّس قانون ١٦/٢٠١٠ شيئين لا يزالان ساريين مباشرة:
- المادة ٢٨ تضع الشروط التي بموجبها يحمل التوقيع الإلكتروني وزناً إثباتياً معادلاً للتوقيع المكتوب: يجب أن تكون معلومات إنشاء التوقيع مرتبطة بشكل فريد بالموقّع، وتحت السيطرة الحصرية للموقّع لحظة التوقيع، وقادرة على اكتشاف أي تعديل لاحق على التوقيع، وقادرة على اكتشاف أي تعديل لاحق على البيانات الموقَّعة عندما يكون ضمان السلامة هو الغرض.
- المواد ٢٣-٣٠ تُرخّص مزوّدي خدمات التصديق وتُحدّد التزاماتهم العامة.
القرار رقم ٣ لسنة ٢٠٢٥ يُضيف بقية الصورة:
- تصنيف رسمي ثلاثي الفئات للتوقيع (بسيط، متقدم، مؤهَّل) مأخوذ من لائحة eIDAS (الاتحاد الأوروبي رقم ٩١٠/٢٠١٤) بتعريفات متوافقة معها
- نظام ترخيص يُميّز مزوّدي خدمات الثقة (TSPs) عن مزوّدي خدمات الثقة المؤهَّلة (QTSPs)، مع متطلبات رأس المال وتقييم المطابقة والالتزامات التشغيلية
- قائمة الثقة القطرية كسجل عام للمزوّدين المرخّصين
- أحكام عابرة للحدود للتوقيعات والشهادات الأجنبية التي تستوفي معايير موثوقية مكافئة
- المادة ٣٩-١ من اللائحة: يحتفظ التوقيع الإلكتروني بأثره القانوني وقابليته كدليل حتى لو لم يستوفِ متطلبات التوقيع المتقدم أو المؤهَّل — بند عدم تمييز مماثل مباشرةً للمادة ٢٥(١) من eIDAS
الصورة المجتمعة: قطر لديها الآن إطار منظَّم متوافق مع eIDAS حيث تعتمد فئة التوقيع التي تحتاجها على الوزن القانوني المطلوب للمعاملة، وليس على غياب الخيارات.
الفئات الثلاث، مُسقطة على أنواع المستندات القطرية
السؤال الرئيسي لأي شركة توقّع مستندات في قطر: أي فئة أحتاج؟ يتّبع القرار ٣/٢٠٢٥ تصنيف eIDAS تقريباً، فتنطبق الإجابة بوضوح على فئات مألوفة.
فئة التوقيع المطلوبة في قطر بحسب نوع المستند بموجب قانون ١٦/٢٠١٠ والقرار رقم ٣ لسنة ٢٠٢٥. التوقيع الإلكتروني البسيط (SES) مع أدلة تشفيرية قوية يكفي للغالبية العظمى من التوقيع التجاري B2B بموجب المادة ٣٩-١؛ ويُحتفظ بـ QES للأعمال الموجّهة للدولة وأدوات منظَّمة محدّدة.
| Jurisdiction | Law | Cross-border transfer rule | Intensity |
|---|---|---|---|
| عقود العمل | قانون العمل (قانون ١٤/٢٠٠٤) / نظام حماية الأجور | SES مع أدلة قوية كافٍ. قانون العمل لا يفرض الشكل المكتوب لاتفاقيات التوظيف؛ AES يُعزّز السجل الإثباتي دون أن يكون لازماً قانوناً. | Moderate |
| اتفاقيات السرية وعدم الإفصاح | القانون المدني (قانون ٢٢/٢٠٠٤) / قانون الشركات التجارية | SES كافٍ. المادة ٣٩-١ من القرار ٣/٢٠٢٥ توفّر عدم تمييز صريحاً — لا يجوز لأي محكمة رفض الدليل لمجرد كونه إلكترونياً. | Moderate |
| اتفاقيات الموردين والخدمات | قانون الشركات التجارية (قانون ١١/٢٠١٥) / القانون المدني | SES كافٍ لاتفاقيات B2B الروتينية. فئة AES مناسبة للعقود عالية القيمة أو مع أطراف خلافية. | Moderate |
| عقود الإيجار التجاري | القانون المدني / قانون تأجير العقارات (قانون ٤/٢٠٠٨) | SES كافٍ للأداة التعاقدية. التسجيل لدى وزارة البلدية حيث يستلزمه قانون ٤/٢٠٠٨ يتّبع إجراء السجل المعني. | Moderate |
| المستندات المالية الخاضعة لـ QCB | إطار مصرف قطر المركزي / أنظمة هيئة قطر للأسواق المالية | متدرج حسب لوائح QCB ونوع المنتج. معظم الأعمال المصرفية للأفراد والشركات — SES/AES كافٍ. أدوات أسواق رأس المال وبعض الترتيبات العابرة للحدود قد تستلزم QES. | Restricted |
| المناقصات الحكومية | قانون المناقصات الحكومية (قانون ٢٤/٢٠١٥) | تقبل بشكل متزايد التقديمات الإلكترونية لكن مناقصات بعينها قد تستلزم QES مرتكزاً على الهوية القطرية الذكية عبر NAS، أو إجراءات توقيع محدّدة منصوصاً عليها في وثائق المناقصة. | Restricted |
| الأعمال التوثيقية (الوكالات للاستخدام الحكومي) | قانون كاتب العدل / القانون المدني | عادةً ما يُستلزم QES، مرتكزاً على شهادة مؤهَّلة من QTSP قطري مرخّص أو QTSP أجنبي معترف به. عملية التوقيع لدى كاتب العدل تجري عبر قنوات الوزارة. | Strict |
| نقل العقارات / سجل الأراضي | قانون تسجيل العقارات (قانون ١٤/١٩٦٤ وتعديلاته) | التسجيل لدى إدارة تسجيل العقارات يتّبع إجراءها الخاص؛ QES مطلوب لأي تقديم إلكتروني يتجاوز الحضور الشخصي. | Strict |
| قانون الأسرة، الوصايا، الإرث | قانون الأسرة (قانون ٢٢/٢٠٠٦) | استُثني التنفيذ الإلكتروني بموجب المادة ٣ من قانون ١٦/٢٠١٠. تظل عمليات مكتوبة وحضورية عبر المحاكم الشرعية وقنوات التوثيق. | Strict |
| الأدوات القابلة للتداول (الشيكات، الكمبيالات) | القانون التجاري (قانون ٢٧/٢٠٠٦) | مستثناة من التنفيذ الإلكتروني بموجب المادة ٣ من قانون ١٦/٢٠١٠. يلزم الشكل المكتوب للأداة القابلة للتداول نفسها. | Strict |
ما الذي تغيّر: لائحة ٢٠٢٥ مقابل أداة ٢٠١٢ التي حلّت محلها
قبل القرار ٣/٢٠٢٥، كانت لدى قطر لائحة عام ٢٠١٢ لمزوّدي خدمات التصديق صادرة عن المجلس الأعلى للاتصالات وتقنية المعلومات السابق. لم تُنفَّذ تشغيلياً قط — لم يُسجَّل أي مزوّد خدمات تصديق مرخّص بموجبها. القرار ٣/٢٠٢٥ هو قطيعة نظيفة تستبدل إطار ٢٠١٢ الخامل بإطار متوافق مع المعايير الدولية ويجري طرحه فعلياً.
ما أضافه القرار رقم ٣ لسنة ٢٠٢٥ إلى نظام التوقيع الإلكتروني في قطر
- تصنيف رسمي ثلاثي الفئات للتوقيع
البسيط (SES)، المتقدم (AES)، والمؤهَّل (QES) — مأخوذة من المادة ٣ من eIDAS بتعريفات متوافقة. استخدمت أداة ٢٠١٢ اختبار صلاحية أحادي الفئة؛ بينما تمنح لائحة ٢٠٢٥ الشركات أدوات متدرّجة لمخاطر متدرّجة.
- نظام ترخيص TSP وQTSP
فئتا ترخيص مميَّزتان. مزوّدو خدمات الثقة TSPs (الحد الأدنى لرأس المال ٥٠٠,٠٠٠ ريال قطري) يجوز لهم تقديم خدمات ثقة غير مؤهَّلة. مزوّدو خدمات الثقة المؤهَّلة QTSPs (الحد الأدنى ٥,٠٠٠,٠٠٠ ريال قطري، بالإضافة إلى "حالة مؤهَّلة" تمنحها الهيئة) يجوز لهم تقديم الخدمات المؤهَّلة بما فيها إصدار الشهادات المؤهَّلة للتوقيعات الإلكترونية.
- المواصفات الفنية لإطار خدمات الثقة القطري (QA-TSF)
تفرض الامتثال لـ ETSI EN 319 401 (السياسة العامة)، و 319 411-1/2 (إصدار الشهادات)، و 319 412-1/2/3/5 (ملفات الشهادات)، وCEN TS 419 261 (الأنظمة الموثوقة)، وISO/IEC 27001:2022 (إدارة أمن المعلومات)، وأساس CA/Browser Forum، وآليات SOG-IS التشفيرية. فعلياً، نظام eIDAS التقني مُتبنّى في قطر مع تعديلات محلية.
- أربع سياسات رسمية للشهادات
QA-QCP-n (شهادات مؤهَّلة للأشخاص الطبيعيين)، QA-QCP-l (الأشخاص الاعتباريين)، QA-QCP-n-qscd (الأشخاص الطبيعيين مع جهاز إنشاء توقيع مؤهَّل)، QA-QCP-l-qscd (الأشخاص الاعتباريين مع جهاز إنشاء ختم مؤهَّل). الفئة المتوسطة (مؤهَّل بدون QSCD) هي فارق دقيق ملحوظ — الشهادة مؤهَّلة، ولكن التوقيع الناتج ليس QES بالمعنى الدقيق.
- قائمة الثقة القطرية
سجل XML عام موقَّع تحتفظ به الهيئة، مُصمَّم على نموذج قوائم الثقة في الاتحاد الأوروبي. يُدرج كل TSP وQTSP مرخّص، وحالته المؤهَّلة، والمراسي الفنية لسلاسل شهاداته. مُستضاف على cra.gov.qa تحت قسم خدمات الثقة.
سياسات الشهادات القطرية الأربع (QA-QCP)
يُحدّد ملحق IV من QA-TSF بدقة أربع سياسات لإصدار الشهادات المؤهَّلة. معرفة أي منها تنطبق على توقيع معيّن يغيّر الوزن القانوني بشكل جوهري.
شهادة مؤهَّلة، بدون QSCD (QA-QCP-n / QA-QCP-l)
تُصدر بواسطة QTSP بعد التحقق من الهوية بمستوى عالٍ من الثقة (IDV-1). تنتج توقيعاً إلكترونياً متقدماً مدعوماً بشهادة مؤهَّلة — وزن إثباتي قوي، لكنه ليس QES بالمعنى الدقيق وفق eIDAS لأنه لم يُستخدم جهاز إنشاء توقيع مؤهَّل.
- الموقّع مُعرَّف وفق معيار "المستوى العالي من الثقة" عبر أدوات التعريف الإلكتروني المُدرَجة لدى الهيئة، أو الاعتماد المتبادل مع شهادة مؤهَّلة قائمة، أو إجراء مخصّص مُقيَّم من جهة تقييم مطابقة
- تحمل الشهادة بيان QcStatement القطري (QcType 1 للتوقيعات، QcType 2 للأختام)
- مناسبة للتوقيع التجاري عالي القيمة عندما يكون احتكاك QSCD غير متناسب
- أرخص وأسرع وأكثر مرونة من التدفقات المدعومة بـ QSCD — لكن لا يمكن تسمية المخرج QES
شهادة مؤهَّلة + QSCD (QA-QCP-n-qscd / QA-QCP-l-qscd)
المسار الكامل المعادل لـ eIDAS QES. شهادة مؤهَّلة بالإضافة إلى QSCD مادي (شريحة الهوية القطرية الذكية، رمز مادي، أو QSCD للتوقيع عن بُعد يشغّله QTSP). تنتج توقيعاً إلكترونياً قطرياً مؤهَّلاً حقيقياً.
- مطلوب للمعاملات التي يستلزم فيها القانون QES صراحةً — أعمال توثيقية معيّنة، مشتريات حكومية، أدوات مالية منظَّمة
- الـ QSCD يُنفذ "السيطرة الحصرية" تشفيرياً وليس إجرائياً
- الهوية القطرية الذكية هي QSCD المتاح محلياً للأشخاص الطبيعيين؛ شريحة QSCD + رمز PIN يفتحان مفتاح التوقيع المؤهَّل
- للأختام المؤسّسية، QSCD مادي يشغّله QTSP أو المؤسّسة المشتركة
الفئة المتوسطة (شهادة مؤهَّلة بدون QSCD) هي الفارق الدقيق الذي تُغفله معظم المدونات القانونية. هي مختلفة جوهرياً عن التوقيع المتقدم غير المؤهَّل: تم التحقق من هوية المشترك بنفس معيار الثقة العالية الذي يطبّقه QTSP لـ QES، وتحمل الشهادة نفس بيان QcStatement القطري، ويحمل التوقيع وزناً إثباتياً قوياً. لكنه ببساطة ليس QES قانوناً — وهذا مهم للمستندات التي ينصّ القانون فيها صراحةً على "التوقيع الإلكتروني المؤهَّل" (تلك تحتاج النوع المُلحق بـ -qscd)، لكن أداة مفيدة لكل ما عدا ذلك.
خدمة التوثيق الوطنية (NAS) والهوية القطرية الذكية — قناة التوقيع للمستهلكين
بمعزل عن نظام ترخيص TSP، لدى قطر بالفعل طبقة توقيع رقمي وطنية فعّالة: خدمة التوثيق الوطنية (NAS)، التي تُشغَّل تحت إشراف وزارة الاتصالات وتكنولوجيا المعلومات (MCIT)، ومُرتكزة على شريحة بطاقة الهوية القطرية الذكية. NAS هي ما يُشغّل التوقيع الرقمي للمستثمرين عبر بوابة قطر الموحَّدة لتأسيس الشركات والاندماجات والمعاملات الحكومية.
كيف تقع NAS بالنسبة للقرار ٣/٢٠٢٥:
- NAS بنية تحتية للمستخدم النهائي، وليست بنية تحتية للمنصات. يستطيع شخص طبيعي حائز على هوية قطرية ذكية التوقيع على المستندات عبر الخدمات المتكاملة مع NAS باستخدام شريحة بطاقته ورمز PIN. هذا QES من حيث المفهوم — الـ QSCD هو الشريحة، والشهادة المؤهَّلة هي تلك المُزوَّدة على بطاقة الهوية عند إصدارها.
- NAS ليست حالياً TSP بموجب تصنيف الترخيص في القرار ٣/٢٠٢٥. هي خدمة توثيق وطنية تشغّلها الدولة؛ والشهادات التي تُزوّدها على الهويات الذكية مُصدَرة بموجب البنية التحتية الوطنية للمفاتيح العامة التي تديرها MCIT ومُعترَف بها لدى المحاكم القطرية والجهات الحكومية بموجب قانون ١٦/٢٠١٠ مباشرة.
- NAS غالباً ما تنطبق على خيار IDV-1 (أ) من QA-TSF. يُدرج بند التحقق من الهوية في QA-TSF لإصدار الشهادات المؤهَّلة أدوات التعريف الإلكتروني المُدرَجة لدى الهيئة كإحدى الطرق الثلاث المعتمدة. NAS هي المرشّح الواضح لتلك القائمة بمجرّد أن تنشر الهيئة سجل أدوات التعريف الإلكتروني المعتمدة.
- حاملو الهوية القطرية غير الذكية لا يمكنهم التوقيع عبر NAS عن بُعد. يجب عليهم زيارة مقر بوابة قطر الموحَّدة أو سفارة قطرية في الخارج لإتمام التوقيع شخصياً. هذه ثغرة تجربة مستخدم ذات معنى لبعض شرائح الموقّعين وقيد يجب التخطيط حوله.
لمنصات B2B التي تستهدف قطر، تُعدّ NAS أنظف مسار للتوقيع بفئة QES للمواطنين القطريين وحاملي الهوية الذكية. لغير حاملي الهوية الذكية (الأطراف الأجنبية، بعض المقيمين)، يستلزم QES تكاملاً مع QTSP — واعتباراً من ٢٠٢٦، يعني ذلك QTSP أجنبي بموجب الاعتراف العابر للحدود حتى تظهر QTSPs قطرية مرخّصة.
قائمة الثقة القطرية في ٢٠٢٦ — الواقع التشغيلي
أنشأت الهيئة البنية التحتية لقائمة الثقة القطرية: الصفحة العامة على cra.gov.qa/en/Services/Trust-Services/Qatar-Trusted-List، نقطة نهاية XML موقَّعة مشار إليها بـ qtsl.xml، وشهادة موقِّع منشورة (tlsigner1.crt) يمكن لأي طرف ثالث استخدامها للتحقق من صحة القائمة. تفرض المواصفات الفنية تنسيق قائمة الثقة الخاص بـ eIDAS.
اعتباراً من منتصف ٢٠٢٦، القائمة فارغة. لم يكمل أي QTSP بعد عملية الترخيص. هذا متّسق مع الجدول الزمني: دخل القرار حيز التنفيذ في فبراير ٢٠٢٥ بفترة سماح مدتها سنة للامتثال (انتهت في فبراير ٢٠٢٦)، ويستغرق طلب QTSP واقعي — إيداع رأس المال، تقييم المطابقة من قِبل جهة تقييم مطابقة معتمدة من الهيئة، شهادة ISO 27001:2022، تدقيق ETSI EN 319 401، خطط استمرارية الأعمال وإنهاء الخدمة — من ٩ إلى ١٨ شهراً من البداية إلى النهاية.
الأثر العملي: لا يوجد QTSP قطري محلي للشراكة معه اليوم. تبقى ثلاثة خيارات متاحة لمنصات B2B التي تحتاج توقيعاً بفئة QES في قطر:
QTSP أجنبي بموجب الاعتراف العابر للحدود
يحتوي القرار ٣/٢٠٢٥ على أحكام عابرة للحدود للتوقيعات والشهادات الأجنبية التي تستوفي معايير موثوقية مكافئة. QTSPs الأوروبية eIDAS هي الملاءمة الواضحة — بياناتها QcStatements وملفات شهاداتها ونظام تقييم مطابقتها هي المعايير التي تبنّاها QA-TSF. ما إذا كانت محكمة قطرية معيّنة ستمنح QES أجنبياً محدّداً القوة الكاملة لـ QES محلي هو سؤال قانوني يجب تأكيده مع المستشار القانوني؛ المعادلة الفنية واضحة.
NAS + الهوية القطرية الذكية للموقّعين حاملي الهوية الذكية
حيث يكون الموقّع مواطناً قطرياً أو مقيماً يحمل هوية قطرية ذكية، ينتج التوقيع المرتكز على NAS توقيعاً معترفاً به بموجب قانون ١٦/٢٠١٠ مباشرة. هذا أنظف مسار للتدفقات الداخلية القطرية.
الانتظار والاكتفاء بـ SES بأدلة قوية في الأثناء
ينصّ القرار ٣/٢٠٢٥ في المادة ٣٩-١ صراحةً على أن التوقيعات التي لا تستوفي متطلبات AES/QES تحتفظ بأثرها القانوني. للتوقيع التجاري B2B حيث لا يطلب الطرف المتلقّي QES، فإن SES مع ربط تشفيري قوي (PAdES-B-T، طوابع زمنية RFC 3161 من TSA موثوق بشكل عام، سلسلة تدقيق هاش) كافٍ اليوم ويظل كذلك عندما تنزل QTSPs قطرية أخيراً على قائمة الثقة.
ما الذي يصحّ قانونياً لتوقيع من فئة SahlSign اليوم
جمع القطع للسؤال الذي يطرحه كل مشغّل B2B فعلاً — ما الذي أستطيع فعله اليوم وسيصمد في محكمة قطرية؟
للاتفاقيات التجارية — اتفاقيات السرية، عقود العمل، عقود الموردين، عقود الإيجار، اتفاقيات الخدمات، عقود التوريد، تراخيص البرمجيات — يكفي توقيع إلكتروني بسيط مع أدلة تشفيرية قوية (ختم PAdES-B-T من سلطة تصديق موثوقة بشكل عام، طابع زمني RFC 3161 من سلطة طوابع زمنية مُدرَجة في قوائم EUTL، تجزئة SHA-256 للمستند، سجل تدقيق متسلسل بالهاش) بموجب المادة ٣٩-١ من القرار ٣/٢٠٢٥ والمادة ٢٨ من قانون ١٦/٢٠١٠. لا حاجة لشراكة QTSP. يُصبح QES ضرورياً فقط للمجموعة الضيقة من المعاملات التي تطلبها الجهة المتلقية — محكمة، أو سجل، أو منظِّم — صراحةً.
— التوجيه العملي لفرق B2B القطرية في ٢٠٢٦
شروط الموثوقية في المادة ٢٨ من قانون ١٦/٢٠١٠ — الربط الفريد، السيطرة الحصرية، اكتشاف العبث — متطلبات تقنية تستوفيها منصة توقيع مُنفَّذة بشكل صحيح عبر آليات تشفيرية قياسية. تستوفيها SahlSign اليوم عبر مصادقة الموقّع المرتكزة على OTP (السيطرة الحصرية)، والختم التشفيري PAdES-B-T (اكتشاف العبث)، وسلسلة الشهادات الموثوقة بشكل عام (الربط الفريد للمنصة المُصدِرة)، وسجل التدقيق المتسلسل بالهاش (اكتشاف العبث عبر المظروف الكامل). معيار المادة ٢٨ محايد تقنياً؛ لا يستلزم QTSP.
ما يتغيّر عند الوصول إلى QES هو من يتحكّم في المفتاح التشفيري. في SES مع أدلة قوية، تطبّق SahlSign كمنصة الختم التشفيري بالنيابة عن الموقّع المتحقق منه. في QES، تُربط الشهادة المؤهَّلة بالموقّع نفسه، ويُنفّذ الـ QSCD السيطرة الحصرية تشفيرياً. الوزن القانوني أعلى، الاحتكاك التشغيلي أعلى، حالات الاستخدام أضيق. الفئة الصحيحة هي الأدنى التي ترضي الجهة المتلقّية — وليست الأعلى المتاحة.
قطر مقابل الخليج الأوسع
إطار قطر ٢٠٢٥ قريب هيكلياً من المرسوم بقانون اتحادي إماراتي ٤٦/٢٠٢١ والمرسوم السلطاني العماني ٣٩/٢٠٢٥ — الثلاثة تحديثات حديثة متوافقة مع eIDAS. الفروقات مهمّة للعمليات متعدّدة الدول في الخليج.
إطار التوقيع الإلكتروني في قطر مقارنةً بالولايات القضائية الخليجية المجاورة. التوافق مع eIDAS هو الآن القاعدة الإقليمية؛ والفجوات التشغيلية بين الدول معظمها في نضج البنية التحتية للهوية، وليس في الإطار القانوني الأساسي.
| Jurisdiction | Law | Cross-border transfer rule | Intensity |
|---|---|---|---|
| قطر | قانون ١٦/٢٠١٠ + القرار ٣/٢٠٢٥ + QA-TSF | ثلاثي الفئات (SES/AES/QES). نظام ترخيص TSP/QTSP فعّال. البنية التحتية لقائمة الثقة مبنية لكن فارغة في ٢٠٢٦. NAS + الهوية القطرية الذكية للـ QES للمستخدم النهائي. | Moderate |
| الإمارات | مرسوم بقانون اتحادي ٤٦/٢٠٢١ | إطار ثلاثي الفئات، كتالوج رسمي لخدمات الثقة. هوية الإمارات كمرتكز الهوية الفعلي لـ QES بأكثر من ٥ مليون مستخدم نشط. DIFC وADGM يديرون أُطراً قانونية مستقلة وفق القانون العام لولاياتهم. | Moderate |
| السعودية | مرسوم ملكي م/١٨ لسنة ٢٠٠٧ + قطاعات محدّدة (ساما، الهيئة الوطنية للأمن السيبراني، المركز الوطني للتصديق الرقمي) | إطار سابق لـ eIDAS، أكثر مركزية. NCDC تشغّل جذر البنية التحتية الوطنية للمفاتيح العامة. مزوّدو خدمات تصديق تجاريون مثل SPL eSign التابع لبريد السعودية. نفاذ لمرتكز الهوية. | Moderate |
| عُمان | مرسوم سلطاني ٣٩/٢٠٢٥ | تحديث ٢٠٢٥ يستبدل قانون ٢٠٠٨. تصنيف ثلاثي الفئات رسميّ. طرح البنية التحتية للهوية قيد التقدم. | Moderate |
| البحرين | مرسوم بقانون ٥٤ لسنة ٢٠١٨ | تصنيف ثلاثي الفئات، مزوّدو خدمات تصديق تحت إشراف TRA. الهوية البحرينية كمرتكز هوية وطني. | Moderate |
| الكويت | قانون ٢٠ لسنة ٢٠١٤ | إطار سابق لـ eIDAS، سلطات تصديق تحت إشراف سيترا (CITRA). بطاقة PACI المدنية كمرتكز هوية. | Moderate |
خمسة أشياء يجب التحقق منها قبل نشر التوقيع الإلكتروني في قطر
قائمة تحقق نشر القرار ٣/٢٠٢٥ القطري
- تأكيد أن نوع المستند لا يتطلب QES قانوناً
تقع غالبية الاتفاقيات التجارية ضمن المادة ٣٩-١ مع كفاية توقيع SES تماماً. QES مطلوب لأعمال توثيقية محدّدة، ومناقصات حكومية معيّنة تذكره في وثائق المناقصة، ومجموعة ضيقة من الأدوات المالية المنظَّمة. عند الشك، تحكم متطلبات الجهة المتلقّية.
- التحقق من أن منصة التوقيع تستوفي شروط الموثوقية في المادة ٢٨
الربط الفريد بالموقّع (ربط الهوية التشفيري عبر OTP بالبريد المُتحقق منه أو الهاتف)، السيطرة الحصرية لحظة التوقيع (إرسال مُحدَّد بـ OTP مع تنفيذ من جانب الخادم)، الربط المقاوم للعبث بالبيانات الموقَّعة (PAdES-B-T أو ما يعادله)، والتعديل اللاحق القابل للاكتشاف (تجزئة SHA-256 للمستند بالإضافة إلى سجل تدقيق متسلسل بالهاش).
- تأكيد أن المراسي التشفيرية من سلطات موثوقة بشكل عام
يجب أن يستمد ختم PAdES من سلطة تصديق على قائمة ثقة معترف بها (EUTL هي المعيار الأقوى المتاح حتى تمتلئ قائمة الثقة القطرية). يجب أن يأتي الطابع الزمني RFC 3161 من TSA موثوق، يُفضَّل مُدرَج في EUTL. هذه هي المراسي التقنية التي تُترجم إلى وزن إثباتي في المحكمة.
- عرض شهادات إكمال ثنائية اللغة بالعربية والإنجليزية
يوقّع الأطراف القطريون بالعربية؛ والموقّعون عبر الحدود بالإنجليزية. يجب أن تستشهد شهادة الإكمال بمواد قانون ١٦/٢٠١٠ والمادة ٣٩-١ من القرار ٣/٢٠٢٥، وتُدرج شروط الموثوقية المستوفاة، وتُعرض بشكل صحيح بكل من RTL العربية وLTR الإنجليزية. هذا ما يقرؤه الأطراف والمحاكم أولاً.
- التخطيط لمسار الترقية إلى QES
حتى لو كانت مستندات اليوم SES، ابنِ معمارية التكامل لقبول ترقية QES لاحقاً — إما عبر NAS للموقّعين حاملي الهوية الذكية، أو عبر QTSP أجنبي بموجب الاعتراف العابر للحدود (أو QTSP قطري مرخّص مستقبلاً). حاوية PAdES هي نفسها؛ يتغيّر فقط استدعاء التوقيع.
كيف تنطبق SahlSign على الإطار القطري
تُصدر SahlSign توقيعات إلكترونية بسيطة بأدلة تشفيرية قوية — الفئة المُعترف بها صراحةً بموجب المادة ٣٩-١ من القرار ٣/٢٠٢٥ والمستوفية لشروط الموثوقية في المادة ٢٨ من قانون ١٦/٢٠١٠ للتوقيع التجاري. تحديداً:
- الختم التشفيري: PAdES-B-T (ETSI EN 319 142) مدمج في كل PDF موقَّع، مرتكز على سلطة تصديق موثوقة بشكل عام
- الطوابع الزمنية الموثوقة: طوابع زمنية RFC 3161 من TSA مُدرَجة في EUTL
- سلامة التدقيق: سجل أحداث متسلسل بهاش SHA-256 — أي تعديل لاحق يكسر السلسلة ويصبح قابلاً للاكتشاف من قِبل أي طرف ثالث
- مصادقة الموقّع: التحقق من الهوية المرتكز على OTP مع تنفيذ السيطرة الحصرية من جانب الخادم
- شهادات إكمال ثنائية اللغة: تستشهد بقانون ١٦/٢٠١٠ والمادة ٣٩-١ من القرار ٣/٢٠٢٥، مُقدَّمة بـ RTL عربية حقيقية وLTR إنجليزية
- إقامة البيانات داخل المنطقة: بيانات الموقّعين الشخصية والمستندات الموقَّعة مُستضافة في منطقة الخليج للمؤسسات ذات متطلبات توطين البيانات
البنية متوافقة هيكلياً مع ترقية QES — عندما تظهر QTSPs قطرية مرخّصة أو عندما يصبح التكامل مع NAS متاحاً لمنصات B2B، تقبل حاوية PAdES توقيعاً مؤهَّلاً خارجياً دون تغييرات في طبقة التطبيق.
هو الأداة العاملة لتنظيم التوقيع الإلكتروني في قطر اليوم. يظل قانون ١٦/٢٠١٠ هو الأساس التشريعي؛ بينما يوفّر القرار ٣/٢٠٢٥ النظام التشغيلي — التصنيف ثلاثي الفئات، ترخيص TSP/QTSP، المواصفات الفنية QA-TSF، وقائمة الثقة القطرية. المادة ٣٩-١ من اللائحة تمنح أثراً قانونياً صريحاً للتوقيعات الإلكترونية البسيطة، مما يجعل SES مع أدلة تشفيرية قوية هو الافتراض الصحيح للتوقيع التجاري في قطر. يصبح QES ضرورياً فقط للمجموعة الضيقة من المعاملات التي تطلبها الجهة المتلقّية صراحةً.
قرار رئيس هيئة تنظيم الاتصالات رقم ٣ لسنة ٢٠٢٥، الجريدة الرسمية الإصدار الرابع، دولة قطر
قراءة ذات صلة
- هل التوقيع الإلكتروني قانوني في قطر؟ — الجولة الأصلية المرتكزة على ٢٠١٠؛ مفيدة للسياق التاريخي لكن متجاوَزة في هذه المقالة للتوجيه الحالي.
- AES مقابل QES مع نفاذ: لماذا لا يحتاج معظم التوقيع التجاري السعودي إلى مؤهَّل — حجة اختيار الفئة الموازية للإطار السعودي المجاور.
- قانون المعاملات الإلكترونية الإماراتي (مرسوم بقانون اتحادي ٤٦/٢٠٢١) — أقرب نظير إقليمي؛ تلعب هوية الإمارات دوراً مكافئاً لـ NAS.
- لماذا تهمّ الاستضافة الإقليمية للمستندات الحسّاسة — بُعد إقامة البيانات الذي يسير جنباً إلى جنب مع امتثال التوقيع الإلكتروني.
- الامتثال لـ PDPL وPDPPL في التوقيع الإلكتروني — نظام حماية البيانات الشخصية في قطر ينطبق على كل سير عمل توقيع يتعامل مع بيانات الموقّعين الشخصية.
المصادر
- المرسوم بقانون رقم ١٦ لسنة ٢٠١٠ بإصدار قانون التجارة والمعاملات الإلكترونية — الميزان، البوابة القانونية القطرية
- قرار رئيس هيئة تنظيم الاتصالات رقم ٣ لسنة ٢٠٢٥ — هيئة تنظيم الاتصالات، دولة قطر
- المواصفات الفنية QA-TSF بشأن المتطلبات العامة — فبراير ٢٠٢٤
- المواصفات الفنية QA-TSF بشأن إصدار شهادات التوقيعات الإلكترونية أو الأختام الإلكترونية — فبراير ٢٠٢٤
- قائمة الثقة القطرية — الهيئة، السجل العام للمزوّدين المرخّصين
- خدمة التوثيق الوطنية (NAS) — وزارة الاتصالات وتكنولوجيا المعلومات، بوابة قطر الموحَّدة
- ETSI EN 319 401، 319 411-1/2، 319 412-1/2/3/5 — المعهد الأوروبي لمعايير الاتصالات
- لائحة الاتحاد الأوروبي ٩١٠/٢٠١٤ (eIDAS) — الإطار الذي يعكسه QA-TSF القطري موضوعياً
- قانون UNCITRAL النموذجي بشأن التوقيعات الإلكترونية (٢٠٠١)