الانتقال إلى المحتوى
CRYSTAL ITحلول تقنية
الأمن السيبراني

الأمن السيبراني والقانون 09-08: مطابقة مؤسستك لمتطلبات CNDP في المغرب

5 يونيو 20268 دقيقة قراءة
الأمن السيبراني والقانون 09-08: مطابقة مؤسستك لمتطلبات CNDP في المغرب

في المغرب، تخضع كل مؤسسة تجمع أو تعالج معطيات ذات طابع شخصي — زبناء، أجراء، زبناء محتملون، موردون — لأحكام القانون رقم 09-08 المتعلق بحماية الأشخاص الذاتيين تجاه معالجة المعطيات ذات الطابع الشخصي. ويفرض هذا الإطار، الموضوع تحت رقابة CNDP (اللجنة الوطنية لمراقبة حماية المعطيات ذات الطابع الشخصي)، التزامات ملموسة لا تزال العديد من المنظمات تستهين بها. غير أن المطابقة القانونية والأمن السيبراني يسيران جنباً إلى جنب: فلا تُحمى البيانات بمجرد إجراءات إدارية، ولا تتحقق المطابقة دون تأمين أنظمة المعلومات تأميناً فعلياً. يقدم هذا المقال، بأسلوب تربوي، عرضاً واضحاً لما يترتب عن القانون 09-08 بالنسبة لمؤسستك، وللمنهجية الواجب اتباعها لتحقيق مطابقة مستدامة.

لماذا أصبح الأمن السيبراني رهاناً استراتيجياً للمؤسسات المغربية

لقد تسارع التحول الرقمي للمؤسسات المغربية: الفوترة الإلكترونية، إدارة علاقات الزبناء CRM، التطبيقات المهنية، مواقع التجارة الإلكترونية، والعمل عن بُعد. ويضاعف كل استعمال من هذه الاستعمالات حجم المعطيات الشخصية المجمَّعة ونقاط الولوج الممكنة أمام المهاجمين. فتسرب بيانات الزبناء، أو هجوم ببرمجية الفدية يشل الإنتاج، أو ولوج غير مرخص به إلى ملفات الموارد البشرية، لم تعد سيناريوهات نظرية: بل هي مخاطر تشغيلية تطال منظمات من جميع الأحجام، بما فيها المقاولات الصغرى والمتوسطة.

وإلى جانب المخاطر التقنية، يوجد خطر قانوني وآخر يمس السمعة. فمعالجة المعطيات الشخصية دون احترام الإطار القانوني تُعرّض المؤسسة لعقوبات، كما أن حادثاً أمنياً سيئ التدبير يقوّض ثقة الزبناء والشركاء على نحو دائم. لذا فالاستثمار في الأمن السيبراني بالمغرب لم يعد خياراً مقتصراً على المجموعات الكبرى: بل هو شرط للاستمرارية، والمطابقة للقانون 09-08 تشكل ركيزته التنظيمية.

القانون 09-08 وCNDP: الإطار المغربي لحماية المعطيات

يتوفر المغرب على إطاره القانوني الخاص في مجال المعطيات الشخصية: القانون رقم 09-08. وهو ينظم جمع المعطيات ذات الطابع الشخصي ومعالجتها والاحتفاظ بها ونقلها، أي كل معلومة تتيح التعرف بشكل مباشر أو غير مباشر على شخص ذاتي: الاسم، الهاتف، البريد الإلكتروني، البطاقة الوطنية للتعريف CIN، المعطيات البنكية، معطيات التموقع، صور المراقبة بالفيديو، وغيرها.

والسلطة المكلفة بالسهر على احترام هذا القانون هي CNDP، أي اللجنة الوطنية لمراقبة حماية المعطيات ذات الطابع الشخصي. فلديها تُنجز المؤسسات إجراءاتها القبلية، وهي التي يمكنها مراقبة عمليات المعالجة وتلقي شكايات الأشخاص المعنيين. ومن النقاط المهمة بالنسبة للمسيرين ومديري نظم المعلومات: أن الإطار المطبق في المغرب هو فعلاً القانون 09-08 تحت رقابة CNDP. والمؤسسات التي تتعامل مع شركاء أوروبيين قد تواجه متطلبات تعاقدية إضافية، لكن مطابقتها في المغرب تُبنى أولاً على القانون 09-08.

التزاماتك: الإجراءات القبلية لدى CNDP

المبدأ المحوري للقانون 09-08 هو أن معالجة المعطيات الشخصية لا يمكن أن تكون ارتجالية: فيجب التصريح بها لدى CNDP قبل تفعيلها، كما تخضع بعض عمليات المعالجة التي تُعد أكثر حساسية لنظام الترخيص القبلي بدل التصريح البسيط. وعملياً، يتعين على المؤسسة إحصاء عمليات المعالجة لديها — تدبير الزبناء، تدبير الموظفين، المراقبة بالفيديو، التنقيب التجاري على سبيل المثال — ثم إنجاز الإجراء الملائم لكل منها لدى اللجنة.

وإلى جانب الإجراءات، يضع القانون مبادئ موضوعية يجب أن تحترمها كل عملية معالجة. لذا فالمطابقة للقانون 09-08 ليست ملفاً يُودَع مرة واحدة وإلى الأبد: بل هي انضباط مستمر يجب مراجعته مع كل مشروع جديد يتضمن معطيات شخصية (تطبيق جديد، مزوّد خدمة جديد، قناة جديدة للجمع).

  • إحصاء جميع عمليات معالجة المعطيات الشخصية بالمؤسسة (الزبناء، الموارد البشرية، التسويق، المراقبة بالفيديو، إلخ)
  • إنجاز التصاريح القبلية لدى CNDP، أو طلب ترخيص بالنسبة لعمليات المعالجة التي تستوجب ذلك
  • جمع المعطيات لغايات محددة ومشروعة وصريحة، دون إعادة استعمالها لأغراض أخرى
  • حصر الجمع في المعطيات الضرورية فعلاً وتحديد مدد احتفاظ ملائمة
  • إخبار الأشخاص المعنيين والحصول على موافقتهم كلما اقتضى القانون ذلك
  • تأطير المتعاقدين من الباطن وعمليات نقل المعطيات المحتملة نحو الخارج تأطيراً قانونياً

حقوق الأشخاص: ما يمكن لزبنائك وأجرائك المطالبة به

يقرّ القانون 09-08 للأشخاص الذين تُعالَج معطياتهم حقوقاً يمكنهم ممارستها مباشرة لدى مؤسستك: الحق في الإخبار عن الاستعمال المخصص لمعطياتهم، والحق في الولوج، والحق في تصحيح المعطيات غير الدقيقة، والحق في التعرض، لا سيما تجاه التنقيب التجاري. وعند مواجهة صعوبة، يمكن لهؤلاء الأشخاص أيضاً اللجوء إلى CNDP.

وبالنسبة لمسيّر أو لمدير نظم المعلومات، فهذا يعني وجوب التنظيم من أجل الاستجابة: معرفة مكان وجود معطيات شخص معين، والقدرة على تصحيحها أو الكف عن استعمالها، وتتبع هذه الطلبات. فبيانات الإخبار في الاستمارات، والمسطرة الداخلية لمعالجة الطلبات، ونقطة اتصال محددة: هذه الآليات البسيطة هي الفارق بين مؤسسة تتحمل المطابقة كعبء، ومؤسسة تجعل منها حجة ثقة تجاه زبنائها.

تأمين المعطيات: الالتزام الذي يربط القانون 09-08 بالأمن السيبراني

يلزم القانون 09-08 المسؤول عن المعالجة بضمان أمن المعطيات الشخصية وسريتها، أي اتخاذ التدابير التقنية والتنظيمية الملائمة لحمايتها من الإتلاف أو الضياع أو التغيير أو الولوج غير المرخص به. وهنا تلتقي المطابقة التقاءً تاماً بالأمن السيبراني: فقد تكون المؤسسة قد أودعت جميع تصاريحها لدى CNDP وتظل مع ذلك مخلّة بالتزاماتها إذا كانت أنظمة معلوماتها مكشوفة.

لذا فحماية بيانات مؤسسة بالمغرب ترتكز على قاعدة من التدابير الملموسة، المتناسبة مع حساسية المعطيات وحجم المخاطر. والأمر لا يتعلق بتكديس الأدوات، بل ببناء دفاع متماسك، موثَّق ومصان عبر الزمن.

  • مراقبة الولوج: حسابات اسمية، كلمات سر متينة، تدبير الصلاحيات وفق مبدأ الحاجة إلى المعرفة
  • الحماية التقنية: تحديثات منتظمة، مضاد فيروسات/EDR، جدار حماية، تشفير المعطيات الحساسة
  • نسخ احتياطية مُختبَرة وخطة استئناف للصمود في وجه حادث أو برمجية فدية
  • توعية المتعاونين، خط الدفاع الأول ضد التصيد الاحتيالي والأخطاء البشرية
  • مساطر لتدبير الحوادث الأمنية وتسجيل عمليات الولوج إلى المعطيات

من أين نبدأ؟ تدقيق أمن أنظمة المعلومات كنقطة انطلاق

أمام هذه الالتزامات، فإن المقاربة السليمة ليست الذعر ولا الانتظارية، بل تشخيص منظَّم للوضع. إذ يتيح تدقيق أمن أنظمة المعلومات مقروناً بتشخيص للمطابقة للقانون 09-08 الإجابة عن الأسئلة الجوهرية: ما هي المعطيات الشخصية التي نعالجها، وأين تُخزَّن، ومن يلج إليها، وما هي إجراءات CNDP التي تم إنجازها، وما الثغرات التقنية التي تُعرّض المؤسسة فعلاً للخطر؟

وينبثق عن هذا التدقيق مخطط عمل مرتب حسب الأولويات: تسوية الإجراءات لدى CNDP، وتحديث بيانات الإخبار والعقود مع المتعاقدين من الباطن، ثم النشر التدريجي للتدابير الأمنية التقنية والتنظيمية. وهذه المقاربة المرحلية تجعل تحقيق المطابقة في المتناول، حتى بالنسبة لمقاولة صغرى أو متوسطة، وتحوّل إكراهاً تنظيمياً إلى رافعة حقيقية للثقة التجارية.

وهذه بالضبط هي مقاربة CRYSTAL IT: فبصفتنا شركة تطوير معلوماتي وناشراً للبرمجيات مقرها الرباط، نقترح خدمات أمن سيبراني مصممة على المقاس — تدقيق أمني، حماية المعطيات، ومواكبة المطابقة للقانون 09-08 — إضافة إلى الاستشارة لإدماج هذه المتطلبات منذ تصميم مشاريعكم الرقمية.

إن المطابقة للقانون 09-08 والأمن السيبراني ليسا ورشين منفصلين: بل هما وجهان لمسؤولية واحدة، هي حماية البيانات التي يأتمنك عليها زبناؤك وأجراؤك وشركاؤك. فالمؤسسات المغربية التي تتولى هذا الأمر منذ الآن تقلص تعرضها للعقوبات والحوادث، وتتميز بالثقة التي تبثها. هل ترغب في معرفة وضعية مؤسستك؟ تواكبك CRYSTAL IT بالرباط من خلال تدقيق لأمن أنظمة المعلومات وتشخيص للمطابقة للقانون 09-08 مكيّفين مع سياقك. اتصل بفرقنا لتقييم الوضع وبناء مخطط مطابقتك لمتطلبات CNDP.

هل لديك مشروع أو سؤال؟ لنتحدث عنه مع خبير من CRYSTAL IT.

اطلب عرضًا توضيحيًا
العودة إلى المدونة

اقرأ أيضًا