سياسة الخصوصية والأمن

الغرض والنطاق

تهدف هذه السياسة إلى الحفاظ على سرية وسلامة وتوافر أصول المعلومات الخاصة ببنك قطر للتنمية، وحماية حقوق الأفراد المتعلقة بالخصوصية، مع ضمان الامتثال للأطر الوطنية، بما في ذلك إرشادات السياسة الوطنية لضمان المعلومات (NIAP) والوكالة الوطنية للأمن السيبراني (NCSA) ومكتب خصوصية البيانات الوطني (NDPO) ومصرف قطر المركزي (QCB). وتسري هذه السياسة على جميع موظفي بنك قطر للتنمية والمتعاقدين ومقدمي الخدمات من الأطراف الثالثة والأنظمة والبيانات. ويتولّى CISO مسؤولية تنفيذ السياسة ومراجعتها السنوية.

 

الامتثال التنظيمي ومواءمة الأُطُر

يلتزم بنك قطر للتنمية بما يلي:

  • السياسة الوطنية لضمان المعلومات (NIAP) ومعايير والوكالة الوطنية للأمن السيبراني (NCSA).
  • السياسة الوطنية لتصنيف البيانات.
  • لوائح مصرف قطر المركزي (QCB) لأمن المعلومات والأمن السيبراني الخاصة بـ PSPs.
  • متطلبات مكتب خصوصية البيانات الوطني (NDPO) ومتطلبات قانون حماية خصوصية البيانات الشخصية PDPL.
  • الاستراتيجية الوطنية للأمن السيبراني 2024–2030.

 

الحوكمة والمسؤوليات

الأدوار والمسؤوليات:

  • مجلس الإدارة: الإشراف على حوكمة الأمن السيبراني والخصوصية والمخاطر.
  • الإدارة التنفيذية: تخصيص الموارد واعتماد السياسات.
  • CISO: التنفيذ والتدقيق وإعداد تقارير الامتثال.
  • DPO: الامتثال لمتطلبات قانون حماية خصوصية البيانات الشخصية وحقوق أصحاب البيانات.
  • جميع الموظفين: الوعي والإبلاغ عن الحوادث.

 

إدارة المخاطر وتصنيف الأصول

يجري بنك قطر للتنمية تقييمات دورية للمخاطر بهدف تحديد التهديدات ونقاط الضعف والآثار المحتملة. ويتم تصنيف جميع الأصول وفقًا للسياسة الوطنية لتصنيف البيانات التابعة لـ "الوكالة الوطنية للأمن السيبراني" إلى مستويات: عامة، داخلية، سرية، أو حرجة. ويتحمل مالكو الأصول مسؤولية المحافظة على الضوابط المعتمدة.

 

التحكّم في الوصول وإدارة الهوية

تمنح صلاحيات الوصول وفقاً لمبدأ الحد الأدنى من الامتيازات. ويُعد MFA إلزامياً للأنظمة الحرجة وعمليات الوصول عن بُعد. كما تتم مراجعة صلاحيات المستخدمين على أساس ربع سنوي، مع تطبيق ضوابط الوصول المعتمدة على الأدوار والفصل بين المهام.

 

الضوابط التقنيّة والمادية

تشمل الضوابط جدران الحماية الشبكية، وأنظمة IDS/IPS، وإدارة التحديثات الأمنية، والتشفير، وحماية نقاط النهاية، والإعدادات الآمنة. كما يجب تأمين غرف الخوادم ماديًا باستخدام أنظمة CCTV، وضوابط الدخول المقيّد، ووسائل الحماية البيئية.

 

إدارة الحوادث واستمرارية الأعمال

يحافظ بنك قطر للتنمية على خطة للاستجابة للحوادث (IRP) تشمل التحديد والاحتواء والمعالجة والاستعادة واستخلاص الدروس المستفادة. ويتم الإبلاغ عن اختراقات البيانات إلى مكتب خصوصية البيانات الوطني (NDPO) والجهات التنظيمية ذات الصلة. كما تُعد تدريبات BCP وDR السنوية إلزامية.

 

إدارة الموردين والأطراف الثالثة

يتم تقييم مقدمي الخدمات من الأطراف الثالثة للتحقق من الامتثال، كما تُفرض بنود تعاقدية متعلقة بالأمن. ويخضع الموردون ذوو المخاطر العالية لمراجعات وتدقيقات سنوية، بالإضافة إلى تأكيدات إتلاف البيانات بعد انتهاء التعاقد.

 

الخصوصية وحماية البيانات الشخصية

تتم معالجة البيانات الشخصية بما يتوافق مع PDPL ومكتب خصوصية البيانات الوطني (NDPO). وتُطبق ضوابط تقليل البيانات، والموافقة، والدقة، والاحتفاظ بالبيانات. كما تتطلب عمليات نقل البيانات خارج دولة قطر اتخاذ الضمانات المناسبة. ويجب إبلاغ مكتب خصوصية البيانات الوطني (NDPO) عن أي اختراقات بشكل فوري.

 

المراقبة والتسجيل والامتثال

يطبق بنك قطر للتنمية أنظمة تسجيل مركزية، وآليات لاكتشاف الأنشطة غير الاعتيادية، ومؤشرات لقياس الأمن. كما تضمن عمليات التدقيق الداخلية والخارجية الامتثال لمتطلبات NIAP وNCSA وQCB وNDPO.

 

الإنفاذ والمراجعة

قد يؤدي عدم الامتثال إلى اتخاذ إجراءات تأديبية. وتتم مراجعة هذه السياسة سنوياً أو عند حدوث تغييرات تنظيمية أو تقنية جوهرية، ويتم تعميم التحديثات على جميع الموظفين.