تبدأ معظم نقاشات قانونية التوقيع الإلكتروني في المملكة العربية السعودية وتنتهي عند نظام المعاملات الإلكترونية (المرسوم الملكي م/18 لسنة 2007). هذه نقطة الانطلاق الصحيحة — تُقرّر المادتان 9 و14 أن التوقيع الإلكتروني يتمتع بالأثر القانوني ذاته للتوقيع بخط اليد متى استُوفيت شروط الموثوقية. غير أن أي قرار مؤسسي للشراء في المملكة اليوم لا يمكن تجاهل الهيئة الوطنية للأمن السيبراني (NCA) بوصفها منظومة القانون الثانية. تحكم ضوابط الهيئة كيفية بناء البنية التحتية للتوقيع الخاصة بك، لا مجرد ما إذا كان المخرج صحيحًا قانونيًا.
نظام المعاملات الإلكترونية السعودي (المرسوم الملكي م/18، 2007) — الأساس القانوني لصحة التوقيع الإلكتروني في المملكة؛ تُقرّر المادتان 9 و14 التعادل الإثباتي مع التوقيع الخطي
حكومة المملكة العربية السعودية
الضوابط الأساسية للأمن السيبراني الصادرة عن الهيئة الوطنية — 114 ضابطًا عبر 5 مجالات تنطبق على جميع الجهات الحكومية والقطاعات الحرجة؛ يجب أن تستوفي منصة التوقيع الإلكتروني الخاصة بالبائع هذه الضوابط لتجتاز مراجعات المشتريات
الهيئة الوطنية للأمن السيبراني
عام تأسيس الهيئة الوطنية بالمرسوم الملكي — أصبحت منذ ذلك الحين الجهةَ التي تستشهد بها فرق مشتريات المؤسسات في البنوك وأنظمة الرعاية الصحية والوكالات الحكومية عند تقييم أي بائع برمجيات
المرسوم الملكي م/17 لسنة 2017
إطاران، سؤال مشتريات واحد
عندما تُقيّم فرق مشتريات المؤسسات السعودية منصةً للتوقيع الإلكتروني، تُجري سؤالين متوازيين:
- سؤال نظام المعاملات: هل تُنتج المنصة توقيعًا إلكترونيًا صحيحًا قانونًا بموجب المرسوم الملكي م/18؟
- سؤال الهيئة الوطنية: هل تستوفي بنية البائع التحتية الضوابط الأمنية السيبرانية السارية على قطاعنا؟
كلا السؤالين يستلزمان إجابةً مُرضيةً. قد تُنتج منصةٌ توقيعًا مختومًا بـ PAdES-B-T يستوفي المادة 14 من نظام المعاملات الإلكترونية، وتُخفق في الوقت ذاته في تدقيق مشتريات الهيئة الوطنية لأنها تستضيف البيانات خارج المملكة، أو لا تستوفي متطلبات تشفير ضوابط ECC، أو تفتقر إلى وثائق الاستجابة للحوادث التي تستلزمها ضوابط الهيئة.
أساس نظام المعاملات: ما الذي يجعل التوقيع الإلكتروني السعودي صحيحًا قانونًا
المادة 9 تُقرّر الصحة العامة: لا يجوز إنكار الأثر القانوني للتوقيع الإلكتروني بحجة كونه إلكترونيًا.
المادة 14 تُحدد شروط الموثوقية لتوقيع مكافئ للخطي: يجب أن يكون مرتبطًا بالموقّع ارتباطًا فريدًا، وكاشفًا لهويته، ومُنشَأً تحت سيطرته المنفردة، ومرتبطًا بالبيانات الموقَّعة بطريقة تُتيح الكشف عن التعديلات اللاحقة.
هذه الشروط الأربعة تُطابق مباشرةً ما يُسميه القطاع التوقيع الإلكتروني المتقدم (AES): ارتباط فريد، وسيطرة منفردة (OTP أو ما يعادله لحظة التوقيع)، وارتباط كاشف للتعديل (ختم PAdES-B-T)، وإمكانية التتبع في سجل التدقيق.
متطلبات أنواع الوثائق بموجب نظام المعاملات الإلكترونية السعودي. يستوفي AES شروط الموثوقية المنصوص عليها في المادة 14 لغالبية التوقيع بين الشركات في القطاع الخاص؛ مع اشتراط QES أو التوقيع الخطي لفئات منظَّمة محددة.
| Jurisdiction | Law | Cross-border transfer rule | Intensity |
|---|---|---|---|
| عقود العمل (إقامة، سعودة) | نظام العمل / برنامج نطاقات | التوقيع المتقدم كافٍ. لا يشترط نظام العمل السعودي الشكل الخطي لاتفاقيات التوظيف المُودَعة عبر أنظمة الموارد البشرية. | Moderate |
| تعهدات السرية والعقود التجارية | القانون المدني / نظام المحكمة التجارية | التوقيع المتقدم كافٍ. استيفاء شروط الموثوقية المنصوص عليها في المادة 14 بتوقيع مُتحقَّق منه بـ OTP مع ختم PAdES-B-T. | Moderate |
| اتفاقيات الموردين والخدمات | قانون التجارة | التوقيع المتقدم كافٍ. أثر إثباتي كامل مكافئ للتوقيع بخط اليد بموجب المادتين 9 و14. | Moderate |
| الفوترة الإلكترونية لزاتكا (عقود البيع) | هيئة زاتكا / نظام ضريبة القيمة المضافة | الختم الرقمي في المرحلة الثانية من زاتكا كيان تنظيمي منفصل. يمكن توقيع عقود البيع الداعمة للفواتير عبر AES؛ ختم الفاتورة متطلب إضافي. انظر دليل زاتكا. | Moderate |
| وثائق القطاع المالي (جهات مرخَّصة من ساما) | إطار ساما / نظام مراقبة البنوك | يُضيف إطار الأمن السيبراني لساما ضوابط إضافية على نظام المعاملات. AES كافٍ في الغالب لعقود المصارف التجارية والتجزئة؛ بعض الأدوات عالية القيمة تستلزم مصادقة إضافية. | Restricted |
| العقود الحكومية والمناقصات | نظام المنافسات والمشتريات الحكومية | تتباين المتطلبات حسب الجهة. تستلزم مشتريات المؤسسات في الغالب توثيق امتثال الهيئة الوطنية وإقامة البيانات وقدرات التدقيق. راجع متطلبات كل مناقصة. | Restricted |
| نقل الملكية، مراسلات المحاكم، الأعمال التوثيقية | نظام الأراضي / نظام الكاتب العدل | التوقيع الخطي أو المعتمد توثيقيًا مطلوب. لا تستوفي منصات التوقيع الإلكتروني هذه المتطلبات بصرف النظر عن المستوى. | Strict |
ضوابط الهيئة الوطنية التي تُدقَّق فعليًا في تقييمات المؤسسات
تغطي الضوابط الأساسية للأمن السيبراني (ECC-1:2018) 114 ضابطًا عبر خمسة مجالات. في تقييم بائعي التوقيع الإلكتروني، ينصبّ اهتمام مشتري المؤسسات في الغالب على:
إدارة البيانات والأصول (المجال الثاني): تشترط الضوابط الأساسية تصنيف البيانات ومعالجة البيانات الحساسة في بيئات معتمدة فقط وتوثيق إقامة البيانات. للمؤسسة السعودية، يعني ذلك السؤال عما إذا كانت بيانات الموقّع — الأسماء والبريد الإلكتروني وعناوين IP والمستندات الموقَّعة وسجلات التدقيق — تبقى داخل المملكة أو على الأقل ضمن ولاية قضائية تستوفي سياسة تصنيف بيانات المؤسسة. لا تستطيع البائعون الذين يُوجّهون البيانات عبر البنية التحتية الأمريكية أو الأوروبية استيفاء هذا المتطلب للجهات الخاضعة لصلاحية الهيئة الوطنية.
إدارة الهوية والوصول (المجال الثالث): تشترط ضوابط إدارة الهوية والوصول في الضوابط الأساسية أن يخضع الوصول إلى الأنظمة التي تعالج البيانات الحساسة للمصادقة متعددة العوامل ومبدأ أدنى الصلاحيات ومراجعات الوصول الموثَّقة. يجب أن تُثبت منصة التوقيع الإلكتروني حماية بيانات اعتماد التوقيع (المفتاح الخاص أو بذرة OTP أو رمز الجلسة) بضوابط بهذا المستوى.
أمن العمليات والتقنية (المجال الرابع): تندرج معايير التشفير وإدارة التحديثات والإفصاح عن الثغرات وإجراءات الاستجابة للحوادث ضمن المجال الرابع. تحدد الضوابط الأساسية معايير تشفير دنيا (TLS 1.2+ وAES-256 في حالة السكون) يجب أن تستوفيها بيانات منصة التوقيع.
أمن الأطراف الثالثة والسحابة (المجال الخامس): إذا استخدمت منصة التوقيع البنية التحتية السحابية (S3 وKMS وSES)، تشترط ضوابط الهيئة الوطنية توثيق وضع امتثال مزود الخدمة السحابية والتحقق من ضوابط أمنه. لأغراض مشتريات المؤسسات، يعني ذلك في الغالب تقديم مصفوفة المسؤولية المشتركة.
قائمة مراجعة الامتثال للهيئة الوطنية في تقييم بائعي التوقيع الإلكتروني (المؤسسات السعودية)
- إقامة البيانات — أين تُخزَّن بيانات الموقّع ومعالجتها؟
للجهات الخاضعة لصلاحية الهيئة الوطنية (الحكومة والمؤسسات المالية المنظَّمة والرعاية الصحية)، يجب أن تقيم بيانات الموقّع في المملكة العربية السعودية أو في ولاية قضائية معتمدة. تأكد من عدم خروج ملفات PDF الموقَّعة وسجلات التدقيق والبيانات الشخصية للموقّع خارج الحدود المعتمدة.
- معايير التشفير — الحد الأدنى المطلوب في المجال الرابع من الضوابط الأساسية
TLS 1.2+ لجميع البيانات أثناء النقل. AES-256 في حالة السكون لتخزين المستندات وسجلات التدقيق. حماية مفاتيح التوقيع الخاصة بـ HSM أو ما يعادله من بنية إدارة المفاتيح. اطلب وثيقة هندسة التشفير من البائع.
- سجل التدقيق — كاشف للتعديل وقابل للتصدير
تشترط الضوابط الأساسية تسجيل الأحداث الأمنية والاحتفاظ بها وتصديرها لأغراض التدقيق. يجب أن تكون سلسلة التدقيق في منصة التوقيع كاشفةً للتعديل (مرتبطة بسلسلة هاش) وقابلةً للتصدير بتنسيق قياسي ومحتفظًا بها للمدة التي تستلزمها سياسة تصنيف بياناتك.
- ضوابط الهوية والوصول — وثائق إدارة الهوية
اطلب هندسة إدارة الهوية والوصول من البائع: متطلبات المصادقة متعددة العوامل للوصول الإداري، وإجراءات مراجعة الوصول، وآلية حماية بيانات اعتماد التوقيع من التسريب.
- الاستجابة للحوادث — متطلب المجال الخامس في الضوابط الأساسية
تشترط ضوابط الهيئة الوطنية أن يمتلك البائعون إجراءات استجابة للحوادث موثَّقة ومُختبَرة. ستطلب مشتريات المؤسسات في الغالب سياسة الاستجابة للحوادث الخاصة بالبائع وتاريخ آخر تدريب على الاستجابة. ضع هذا السؤال في جدول زمن مشترياتك.
الطبقة الإضافية لساما: ضوابط إضافية لتوقيع القطاع المالي
يحتفظ البنك المركزي السعودي (ساما) بإطار أمن سيبراني منفصل للمؤسسات المالية المرخَّصة. للبنوك وشركات التأمين وشركات التمويل العاملة في المملكة، تُضيف ضوابط ساما متطلبات خاصة بالقطاع على قاعدة الضوابط الأساسية للهيئة الوطنية.
يتضمن إطار الأمن السيبراني لساما متطلبات:
- سيادة البيانات: يجب تخزين بيانات الموقّع وسجلات المعاملات الخاصة بالعملاء السعوديين داخل المملكة
- اختبار الاختراق: ينبغي أن يتوفر لدى بائعي التوقيع الإلكتروني المستخدمين من قِبل الجهات المرخَّصة من ساما تقارير اختبار اختراق سنوية تحت الطلب
- مخاطر الأطراف الثالثة: تشترط ساما على الجهات المرخَّصة الاحتفاظ بتقييمات مخاطر الأطراف الثالثة لبائعي البرمجيات الحرجة، بما فيها منصات التوقيع الإلكتروني
لفرق الموارد البشرية والمشتريات والقانون في الجهات المرخَّصة من ساما: السؤال الصحيح لأي بائع توقيع إلكتروني ليس "هل التوقيع صحيح قانونًا بموجب نظام المعاملات الإلكترونية؟" (نعم، لأي منصة مُطبَّقة بصورة صحيحة) بل "هل يستطيع هذا البائع تقديم وثائق الامتثال التي يتطلبها تدقيق ساما لديّ؟"
في المملكة العربية السعودية، الامتثال لنظام المعاملات الإلكترونية شرط أدنى — كل بائع توقيع إلكتروني موثوق يستوفي المادتين 9 و14. المميّز على مستوى المؤسسات هو وثائق الامتثال للهيئة الوطنية: إقامة البيانات داخل المملكة، وهندسة التشفير، وتصدير سجل التدقيق الكاشف للتعديل، وأدلة إدارة الهوية والوصول. بائع لا يستطيع تقديم هذه الوثائق لا يُكمل دورة المشتريات بصرف النظر عن جودة تجربة التوقيع لديه.
— واقع مشتريات المؤسسات في السعودية
مواد ذات صلة
- AES مقابل QES مع نفاذ: لماذا لا تحتاج معظم أعمال التوقيع السعودية إلى المستوى المؤهَّل — حجة اختيار المستوى في المملكة؛ متى يُشترط QES المرتكز على نفاذ فعليًا ومتى يكون AES الإجابة الصحيحة.
- الفوترة الإلكترونية في المرحلة الثانية لزاتكا والتوقيع الإلكتروني — أين يتقاطع الختم الرقمي لزاتكا وإطار التوقيع الإلكتروني لنظام المعاملات لفرق المالية السعودية.
- الامتثال لـ PDPL و PDPPL في التوقيع الإلكتروني — نظام حماية البيانات الشخصية السعودي (PDPL) ينطبق على كل سير عمل توقيع يجمع بيانات شخصية للموقّعين السعوديين.
- لماذا تهم إقامة البيانات الإقليمية للمستندات الحساسة — حجة إقامة البيانات لمشتريات المؤسسات السعودية، بما فيها أبعاد الهيئة الوطنية وساما.
المصادر
- نظام المعاملات الإلكترونية السعودي — المرسوم الملكي م/18 لسنة 2007
- الضوابط الأساسية للأمن السيبراني (ECC-1:2018) — nca.gov.sa
- إطار الأمن السيبراني لساما — sama.gov.sa
- الهيئة الوطنية للأمن السيبراني — أُسِّست بالمرسوم الملكي م/17 لسنة 2017
- المواصفات التقنية للمرحلة الثانية من زاتكا — zatca.gov.sa