CST وأمن الحوسبة السحابية: متطلبات الامتثال

هيئة الاتصالات والفضاء والتقنية CST تشرف على سياسات الحوسبة السحابية في المملكة. بالتوازي مع NCA — التي تصدر ضوابط أمن السحابة CCC — تملك CST ولاية سياسية وتراخيصية. المنظمات التي تستخدم سحابة لتخزين بيانات حساسة أو حكومية تحتاج فهم كلا الإطارين.

استضافة البيانات (data residency): البيانات الحكومية والبيانات المصنفة حساسة غالبًا يُشترط بقاؤها داخل حدود المملكة. المناطق السحابية المحلية — مثل AWS الرياض وOracle جدة — تلبي هذا الشرط. استضافة في مناطق الإمارات أو أوروبا قد لا تكون كافية للجهات الحكومية.

استضافة البيانات الحكومية والحرجة داخل المملكة أصبحت متطلبًا تنظيميًا — الاختيار بين السحابة المحلية والإقليمية يؤثر على الامتثال والجاذبية للعمل الحكومي.

تصنيف مزودي السحابة: CST وقدامها الجهات السابقة تعتمد تصنيفات لمزودي السحابة حسب الأمان والامتثال. المزودون المعتمدون محليًا يخضعون لتقييم. اختيار مزود غير مصنف أو غير معتمد قد يُغلق الباب أمام عقود حكومية.

نموذج المسؤولية المشتركة: مزود السحابة مسؤول عن أمن البنية التحتية المادية — المؤسسة مسؤولة عن تكوينات الأمان وإدارة الهويات وتشفير البيانات وأمن التطبيقات. NCA CCC تُفصّل مسؤوليات الطرفين. الخطأ الشائع: افتراض أن «السحابة آمنة بالكامل» دون مراجعة التكوين.

متطلبات السحابة الحكومية: الجهات الحكومية ملزمة بضوابط مشددة — استضافة محلية عند التعامل مع بيانات حساسة، وبنود عقود تغطي الامتثال والأمان، وتقييم دوري للمزود. العقود مع مزودي سحابة دوليين تحتاج استثناءات أو ضمانات إضافية.

استضافة البيانات عبر الحدود: نقل البيانات الشخصية خارج المملكة يخضع لـ PDPL — سواء السحابة أو المعالجة. اتفاقيات المعالجة ونقل البنود القياسية وتقييمات تأثير النقل مطلوبة. CST وNCA وSDAIA تتقاطع عند الحوسبة السحابية — برنامج امتثال موحد يغطي الثلاثة.