شرح امتثال تقنية المعلومات: HIPAA وPCI وSOC 2

الامتثال يعني الالتزام بمجموعة من القواعد أو توقعات الأمن أو متطلبات التوثيق. وبالنسبة لكثير من الشركات الصغيرة، يبدأ الأمر عندما تتعامل مع أنواع معينة من البيانات، أو تقبل مدفوعات بطاقات، أو تعمل في قطاع الرعاية الصحية، أو تبيع لشركات أكبر تطلب أسئلة حول الأمن قبل توقيع العقد.

HIPAA وPCI وSOC 2 ليست الشيء نفسه. HIPAA هي قانون أمريكي يخص “المعلومات الصحية المحمية”. PCI هو معيار خاص بقطاع بطاقات الدفع للشركات التي تعالج أو تخزن أو تنقل بيانات حامل البطاقة. أما SOC 2 فهو إطار تقارير تستخدمه العديد من الشركات لإظهار العملاء أن لديها ضوابط أمنية مطبقة.

الجزء المهم هو هذا. الامتثال ليس مجرد شراء أداة. عادةً يشمل سياسات، وأمن الأجهزة، وضوابط الوصول، ونسخًا احتياطية، وتدريب الموظفين، وتسجيل المعلومات (حفظ السجلات)، ومراجعة مستمرة. كما أنه لا يعني “السلامة الكاملة”. لا يوجد مزود صادق يَعِد بعدم انقطاع الخدمة مطلقًا أو بشبكة لا يمكن اختراقها.

HIPAA اختصار لـ قانون قابلية نقل وتأمين التأمين الصحي (Health Insurance Portability and Accountability Act). إذا كانت شركتك تتعامل مع معلومات صحية محمية، فقد ينطبق HIPAA. قد يشمل ذلك بعض العيادات، وشركات الفوترة الطبية، وشركات الخدمات الطبية، والبائعين الذين يعملون مع مؤسسات الرعاية الصحية. يركز HIPAA على الخصوصية والأمن وكيفية استخدام معلومات الصحة وتخزينها ومشاركتها. قد تختلف المتطلبات حسب دورك ونوع البيانات التي تتعامل معها.

غالبًا ما تشير PCI إلى PCI DSS، وهو اختصار لمعيار أمن بيانات صناعة بطاقات الدفع (Payment Card Industry Data Security Standard). إذا كنت تقبل بطاقات ائتمان أو خصم، فقد تهمك PCI حتى لو كانت شركتك صغيرة جدًا. تعتمد المتطلبات الدقيقة على طريقة استقبال المدفوعات. قد تكون لدى شركة تستخدم جهاز دفع آمن أو صفحة دفع مستضافة مسار أبسط مقارنةً بشركة تخزن بيانات البطاقات أو تشغل نظام دفع مخصص.

SOC 2 ليس قانونًا. هو مراجعة مستقلة لكيفية تعامل الشركة مع ضوابط معينة، وغالبًا ما تكون حول الأمن والتوفر (Availability). التوفر يعني أن الأنظمة مصممة لتكون قابلة للاستخدام كما يُفترض/كما وُعد بها، وليس أن أحدًا يمكنه ضمان عدم حدوث أي انقطاع. يظهر SOC 2 كثيرًا عندما يطلب العملاء الأكبر من البائع/المورد أن يثبت أنهم يأخذون الأمن بجدية. وبالنسبة لكثير من الشركات الصغيرة، ليست المسألة عادةً: “هل نحتاج تقرير SOC 2 غدًا؟” بل: “ما الضوابط التي يتوقع العملاء منا توفرها قبل أن نتمكن من الفوز بهذا العقد؟”

إذا بدت هذه المصطلحات قريبة لكنها مربكة، فهذا طبيعي. يمكن لمزود خدمات تقنية مُدارة مستقل جيد (ويُسمى أيضًا MSP) مساعدتك على فهم ما قد ينطبق عليك وما مستوى العمل المناسب لحجمك ومخاطرك.

ابدأ بالبيانات. اسأل: ما المعلومات الحساسة التي تجمعها؟ وأين توجد؟ ومن يملك حق الوصول إليها؟ وكيف تنتقل داخل شركتك؟ يشمل ذلك أجهزة اللابتوب والهواتف والبريد الإلكتروني وتطبيقات السحابة وتخزين الملفات وأنظمة الدفع والبائعين. في مجال تقنية المعلومات، الطرف النهائي (endpoint) يعني أي جهاز فردي مثل لابتوب أو كمبيوتر مكتبي أو هاتف أو جهاز لوحي يتصل بأنظمتك.

بعد ذلك، راجع ضوابطك الأساسية. تبدأ كثير من جهود الامتثال بخطوات عملية متشابهة. تضيف المصادقة متعددة العوامل (MFA) خطوة ثانية إلى جانب كلمة المرور عند تسجيل الدخول. “التحديثات/الترقيع” (patching) تعني إبقاء البرامج والأجهزة محدثة بإصلاحات الأمان. النسخ الاحتياطي يعني الاحتفاظ بنُسخ قابلة للاسترجاع من البيانات المهمة. نهج النسخ الاحتياطي 3-2-1 يعني ثلاث نسخ من البيانات، على نوعين مختلفين من وسائط التخزين، مع الاحتفاظ بنسخة خارج الموقع.

قد تحتاج أيضًا إلى سياسات مكتوبة، ومراجعة البائعين، وتدريب الموظفين، وقواعد الوصول، وإثبات أن هذه الأمور تحدث فعلًا. قد تحتاج بعض الشركات إلى إجراء تقييم رسمي للمخاطر. وقد تحتاج إلى تسجيل الأحداث (logging)، ومراقبة الأجهزة، وخطوات استجابة موثقة إذا حدث خطأ. كشف التهديدات والاستجابة على الأجهزة (EDR) هو برنامج يساعد على اكتشاف النشاطات المشبوهة على الأجهزة. المراقبة والإدارة عن بُعد (RMM) هو برنامج تستخدمه العديد من الشركات/المزودين لمتابعة صحة الأجهزة وتطبيق التحديثات والتعامل مع الصيانة الروتينية.

بالنسبة لمالك شركة صغيرة، تكون المشكلة الحقيقية غالبًا متعلقة بالنطاق (scope). قد لا تحتاج إلى برنامج بمستوى مؤسسة (enterprise-grade). لكن ستحتاج أن تعرف ما الذي تتوقعه صناعتك وعملاؤك وشركة التأمين الخاصة بك، وأي قواعد على مستوى الولاية أو الحكومة الفيدرالية تنطبق عليك.

التكاليف تختلف كثيرًا. الرقم الحقيقي يعتمد على عدد الموظفين، وعدد الأجهزة، ومدى تعقيد أنظمتك، ونوع البيانات التي تتعامل معها، ومجالك، والمنطقة التي تعمل فيها. هذه النطاقات ليست عروض أسعار.

إذا كنت تبدأ بإعداد أساسي وتحتاج إلى إدارة أفضل للأجهزة، وإعدادات أمنية، ونسخ احتياطية، ودعم المستخدمين، فإن العديد من الشركات الصغيرة تنفق تقريبًا من 100 إلى 250 دولارًا لكل مستخدم في الشهر مقابل دعم تقنية مُدارة ودعم أمن مستمر. وإذا كان عمل الامتثال أثقل، فقد تكون الأرقام أعلى.

قد يكلف تقييم الفجوة لمرة واحدة أو مراجعة الجاهزية عدة آلاف من الدولارات بالنسبة لشركة صغيرة، وقد يزيد ذلك إذا كان بيئتك أكبر أو خاضعة لتنظيمات أكثر. كما يمكن أن تضيف المراجعات الرسمية (audits)، والاستشارات القانونية الخارجية، وأعمال السياسات، والمشاريع الخاصة تكاليف منفصلة. كما أن متطلبات التأمين السيبراني قد تزيد ما يتعين عليك القيام به.

الخبر الجيد هو أن ليس كل شركة تحتاج إلى نفس مستوى العمل. قد يكون لدى شركة تستخدم أدوات سحابية قياسية وبائعين للمدفوعات آمنين وعددًا محدودًا من الأجهزة مسار أبسط من شركة لديها أنظمة مخصصة أو عدة مواقع أو سجلات حساسة موزعة عبر أجهزة قديمة ومجلدات مشتركة.

لا تبدأ بشراء أدوات أمن عشوائية لمجرد أن العميل طرح سؤالًا صعبًا. ابدأ بتحديد المتطلب. اسأل من الذي يطلب ذلك، وما المعيار أو الاستبيان الذي يستخدمه، وما الموعد النهائي لديك، وهل يحتاج الأمر إلى متطلب قانوني، أو معيار صناعي، أو ببساطة حدًا أدنى منطقيًا للأمن.

اكتب قائمة قصيرة من الحقائق عن شركتك. كم عدد الموظفين؟ وكم عدد المواقع؟ وما الأجهزة التي يستخدمها الأشخاص؟ هل تتعاملون مع معلومات صحية أو مدفوعات بالبطاقات؟ ما تطبيقات السحابة التي تدير العمل؟ هل طلب العملاء استبيانًا للأمن أو تقييمًا للمخاطر أو تقرير SOC 2؟ يساعدك ذلك على إجراء محادثة أولى مفيدة.

إذا كنت تريد مساعدة في ترتيب ذلك، NodeBridge IT يمكنه مساعدتك في العثور على مزود خدمات تقنية مُدارة مستقل يعمل مع الشركات الصغيرة والمتوسطة. نحن خدمة مطابقة مجانية. لا ندير أنظمتك ولا نصل إلى حساباتك. نستخدم فقط تفاصيل عملك وبيانات التواصل لربطك بمزود يناسب احتياجاتك.

يمكنك أيضًا قراءة المزيد عن خدمات التقنية المُدارة والتصفح عبر حلول/إجابات أخرى بلغة مبسطة حول أسئلة تقنية المعلومات.