في كل عقد منصة سحابية خاضعة للتنظيم تقريباً بند وُجد ليُمارَس لكنه يكاد لا يُمارَس أبداً. إنه بند الحق في التدقيق، وفرق المشتريات في عام 2026 بدأت تلاحظ أن النسخة الموجودة في عقودها الموقّعة ليست النسخة التي كانت أي جهة تنظيمية تتوقع منها أن تتفاوض عليها.
يهم هذا البند لأن كل إطار كبير يتوقع الآن من المشتري الاحتفاظ بحقوق تدقيق حقيقية قابلة للممارسة على المورّد. فالمادة 28(3)(h) من GDPR تتطلب من المعالجين السماح بعمليات التدقيق التي يجريها المتحكم أو "مدقق آخر يفوّضه المتحكم" والإسهام فيها. وتتطلب المادة 30(3)(e)(i) من DORA، السارية منذ 17 يناير 2025، "حقوقاً غير مقيّدة في الوصول والتفتيش والتدقيق من جانب الكيان المالي أو طرف ثالث معيّن ومن جانب السلطة المختصة"، مع التوضيح الصريح بأن تلك الحقوق يجب ألا "تُعاق أو تُقيَّد بترتيبات تعاقدية أخرى أو سياسات تنفيذ". ويتطلب تعميم FINMA 2018/3 أن يكون للمؤسسة المُسنِدة، ومدققها التنظيمي، وFINMA نفسها، حق تعاقدي في التفتيش والتدقيق في أي وقت ودون قيد. وكل واحد من هذه النوع من البنود التي تطفو، إن غابت عن عقد مورّد، كملاحظة في اللحظة التي تنظر فيها الجهة التنظيمية إلى ما وقّعه المشتري فعلاً.
يغطي المقال المرافق عن امتثال المورّد الذي يصبح ملاحظة تدقيق على عاتقك الصورة الأوسع من جانب التدقيق. وهذا المقال يدور حول بند العقد المحدد. ولماذا تفشل أنماط التخفيف التي يعرضها المورّدون تحت التدقيق الحديث، وما الذي يتوقعه كل إطار كبير فعلاً أن يتضمنه البند، ولماذا الإجابة المعمارية هي جعل الوصول التدقيقي خاصية للمنصة لا بنداً يجب التفاوض عليه والدفاع عنه.
البند الذي وُجد ليُمارَس لكنه لا يُمارَس أبداً
يقرأ بند الحق في التدقيق المعياري في عقد منصة سحابية لعام 2026 عادةً شيئاً من هذا القبيل: "سيتيح المورّد أحدث تقرير SOC 2 من النوع الثاني الخاص به بموجب اتفاقية عدم إفشاء، عند الطلب، بما لا يزيد عن مرة واحدة سنوياً. ويشكّل هذا التقرير مخرَج التدقيق الوحيد بموجب هذه الاتفاقية. ويجوز للعميل، على نفقته وبإشعار مدته ستون يوماً، إجراء تدقيق إضافي رهناً بسياسات الأمن المعقولة للمورّد ويُجريه طرف ثالث مستقل متفق عليه بين الطرفين. ولا تمتد عمليات التدقيق إلى عملاء المورّد الآخرين أو البنية التحتية المشتركة."
عند قراءته مقابل متطلبات الأطر أعلاه، تؤدي كل عبارة دوراً. فعبارة "مخرَج التدقيق الوحيد" تستبدل تدقيق المورّد (المحدد النطاق، الموقوت، المكتوب بمدقق يدفع له المورّد) بتدقيق العميل. وعبارة "بما لا يزيد عن مرة واحدة سنوياً" تلغي عمليات التدقيق الظرفية التي تتوقعها NIS2 والقاعدة المقترحة لـHIPAA بعد الحوادث الجوهرية. وعبارة "إشعار مدته ستون يوماً" تمنح المورّد وقت التحضير، مما يقلّص التدقيق إلى بروفة. وعبارة "طرف ثالث مستقل متفق عليه بين الطرفين" تنقض اختيار العميل لمدققه؛ ويعالج رأي المجلس الأوروبي لحماية البيانات 22/2024 هذا مباشرة، إذ يقرّر أن القرار النهائي يجب أن يبقى لدى المتحكم. وعبارة "رهناً بسياسات الأمن المعقولة للمورّد" تتيح للمورّد تحديد النطاق تحت كلمة "معقولة" غير المُعرّفة. وعبارة "لا تمتد إلى العملاء الآخرين أو البنية التحتية المشتركة" تستثني حدود تعدد المستأجرين، وهي أعلى مناطق المخاطر في أي بنية منصة سحابية والمنطقة الأكثر اهتماماً لدى الجهات التنظيمية.
ومتراكمة معاً، تُنتج البنود حقاً موجوداً نظرياً وغير قابل للممارسة عملياً. وتجد المسوحات الصناعية باستمرار أن حقوق التدقيق المتفاوَض عليها لا تُمارَس تقريباً أبداً. وتطفو المخاطرة أثناء التحقيق التنظيمي، حيث يطلب المشرف "أرني أنك تحققت من ضوابط مورّدك" فلا يكون لدى المشتري سوى تقرير SOC 2 للمورّد، وهو التقرير نفسه الذي تلقّاه كل عميل آخر لذلك المورّد. حافظ العقد على البند؛ ولم يحافظ البند على شيء.
كانت صياغة المادة 30 من DORA رداً تشريعياً مباشراً على هذا النمط. وعبارة "لا تُعاق أو تُقيَّد بترتيبات تعاقدية أخرى" موجّهة بالضبط نحو بنود التخفيف أعلاه. ورأي الجهة التنظيمية صريح الآن: العقد الذي يتضمن اسمياً بند حق في التدقيق لكنه يضيف شروطاً تجعل الحق غير قابل للممارسة هو عقد غير ممتثل في ظاهره.
أنماط التخفيف الثمانية ولماذا تفشل
أنماط التخفيف التي يستخدمها المورّدون مفهرسة بما يكفي الآن بحيث ينبغي لفرق المشتريات أن تكون قادرة على رصدها بنظرة واحدة وتسعيرها في التفاوض. وتتكرر ثمانية أنماط.
أولاً، "يفي تقرير SOC 2 السنوي بهذا المتطلب". وهذا يستبدل تدقيقاً يتحكم فيه المورّد بتدقيق يتحكم فيه العميل. فقد حدّد المورّد نطاق SOC 2، وكتبه مدقق يدفع له المورّد، وأبلغ عمّا اختار المورّد تضمينه. وهو يخرق عبارة "مدقق يفوّضه المتحكم" في المادة 28(3)(h) من GDPR وعبارة "لا تُعاق" في المادة 30(3)(e)(i) من DORA.
ثانياً، "عند الطلب، قد يتلقى العميل تقريراً ملخّصاً". لا وصول خام. ويتحكم المورّد في ما يتضمنه الملخّص، أي يتحكم المورّد في ما يمكن للعميل التحقق منه. وهذا يخرق عبارة "كل المعلومات اللازمة لإثبات الامتثال" في المادة 28.
ثالثاً، "عمليات تدقيق بما لا يزيد عن مرة واحدة سنوياً". وهذا يلغي عمليات التدقيق الظرفية بعد الحوادث الجوهرية. فالمادة 21 من NIS2 تتوقع تحققاً ظرفياً بعد الحوادث الواجبة الإبلاغ. والقاعدة المقترحة لـHIPAA لعام 2024، التي أُغلق باب التعليق عليها في مارس 2025 ويُتوقع صدور قاعدة نهائية في 2026، تقترح تحققاً سنوياً مدعوماً بخبير مع حق إعادة التحقق عند الطلب.
رابعاً، "عمليات تدقيق على نفقة العميل". وهذا هو الرادع المالي. وهو معياري ومقبول عموماً كبند منفرد، لكنه عند جمعه مع الأخرى يصبح زاجراً.
خامساً، "رهناً بسياسات الأمن المعقولة للمورّد". ويتحكم المورّد في النطاق تحت مصطلح غير مُعرّف. وهذا يسمح بتقليصات نطاق في اللحظة الأخيرة وهو البند الذي يتردد معظم المورّدين في إسقاطه.
سادساً، "يُطلب إشعار مدته ستون أو تسعون يوماً". وهذا يمنح المورّد وقت التحضير، مما يقلّص التدقيق إلى بروفة. وبالنسبة لعمليات التدقيق المدفوعة بالحوادث، تكون فترة الإشعار نفسها عدم امتثال.
سابعاً، "طرف ثالث مستقل متفق عليه بين الطرفين". وهذا ينقض اختيار العميل لمدققه. وقد عالج رأي المجلس الأوروبي لحماية البيانات 22/2024، المعتمَد في أكتوبر 2024، المسألة صراحةً: قد يقترح المعالج مدققاً، لكن الاختيار النهائي يجب أن يُترَك للمتحكم.
ثامناً، "لا تمتد عمليات التدقيق إلى عملاء المورّد الآخرين أو البنية التحتية المشتركة". وهذا أكثر الاستثناءات أثراً، لأنه يزيل من النطاق بالضبط المنطقة التي يحتاج فيها المشتري الخاضع للتنظيم إلى ضمان: حدود تعدد المستأجرين، والخدمات المشتركة، والممارسات التشغيلية التي تضع بيانات عميل إلى جوار بيانات آخر. ويغطي المقال المرافق عن الامتثال متعدد الكيانات سبب أهمية هذه الحدود.
العقد الذي يتضمن أياً من هذه الأنماط منفرداً قد يظل ممتثلاً إن غابت الأخرى. أما العقد الذي يتراكم فيه ثلاثة أو أربعة منها فيُنتج بند حق في التدقيق موجوداً على الورق ولا مكان له في غيره.
ما الذي تتوقعه الأطر الكبرى اليوم
النمط متسق عبر الولايات القضائية. وتختلف المفردات. أما الاتجاه فلا يختلف.
GDPR المادة 28(3)(h) (الاتحاد الأوروبي). يُتيح المعالج "للمتحكم كل المعلومات اللازمة لإثبات الامتثال" و"يسمح بعمليات التدقيق، بما في ذلك عمليات التفتيش، التي يجريها المتحكم أو مدقق آخر يفوّضه المتحكم، ويُسهم فيها". وتفسّر إرشادات المجلس الأوروبي لحماية البيانات 07/2020 ورأيه 22/2024 عبارة "يُسهم فيها" بشكل فاعل: فعلى المعالج توفير الوصول إلى المباني، والمستندات، وموظفين للمقابلة، وتعاون معقول، لا مجرد تسليم تقرير SOC 2. وقد يقترح المعالج مدققاً، لكن الاختيار النهائي للمتحكم. وقد شدّد الرأي 22/2024 أيضاً التزام التحقق لدى المتحكم عبر سلسلة المعالجين الفرعيين بأكملها: فيجب أن تكون هوية كل المعالجين والمعالجين الفرعيين (الاسم، العنوان، جهة الاتصال) متاحة للمتحكم بسهولة في كل الأوقات، مع انسياب المادة 28 إلى كل معالج فرعي.
DORA المادة 30(3)(e)(i) (الاتحاد الأوروبي، المالي). سارية منذ 17 يناير 2025. تفرض "حقوقاً غير مقيّدة في الوصول والتفتيش والتدقيق من جانب الكيان المالي أو طرف ثالث معيّن ومن جانب السلطة المختصة، وحق أخذ نسخ من المستندات ذات الصلة في الموقع إن كانت حاسمة لعمليات مقدّم خدمة تقنية المعلومات والاتصالات الطرف الثالث، على ألا تُعاق ممارستها الفعلية أو تُقيَّد بترتيبات تعاقدية أخرى أو سياسات تنفيذ". والمؤهِّل "لا تُعاق أو تُقيَّد" موجّه نحو أنماط التخفيف التعاقدي أعلاه. وترتيبات التدقيق المجمّع (عدة كيانات مالية تعيّن مدققاً مستقلاً واحداً بتكلفة مشتركة) هي الحل الوسط العملي للجهة التنظيمية في علاقات مقدّمي الخدمات فائقي الحجم حيث لا تتسع عمليات تدقيق العملاء الفردية؛ غير أن الحق نفسه يجب أن يوجد تعاقدياً.
NIS2 المادة 21(2)(d) (الاتحاد الأوروبي). يجب على الكيانات الأساسية والمهمة اعتماد "أمن سلسلة التوريد، بما في ذلك الجوانب المتعلقة بالأمن في العلاقات بين كل كيان ومورّديه المباشرين أو مقدّمي الخدمات له". ويتوقع التوجيه من الكيان التحقق لا الثقة. ويمكن لشهادات ISO 27001 وSOC 2 من النوع الثاني وCSA STAR من المستوى الثاني أن تحلّ محل عمليات التدقيق الموقعي المباشرة للمورّدين غير الحرجين، لكن حق التدقيق نفسه يجب أن يوجد تعاقدياً، وعمليات التدقيق الظرفية بعد الحوادث الجوهرية ضمن النطاق. وتحافظ تحويلات الدول الأعضاء (قانون NIS2UmsuCG الألماني، والمرسوم التشريعي الإيطالي 138/2024، والقانون البلجيكي الصادر في 26 أبريل 2024) على المادة 21 حرفياً وتضيف قوالب ضمان مورّدين وطنية تتضمن بنود تدقيق موقعي صريحة.
ISO 27001:2022 (دولي). يتطلب الملحق A.5.19 سياسة موضوعية بشأن علاقات المورّدين. ويتطلب A.5.20 أن تكون الالتزامات الأمنية ملزمة قانوناً وغير ملتبسة، ويذكر صراحةً إما الحق القانوني في التدقيق أو متطلباً تعاقدياً بتقديم تقارير تدقيق مستقلة. ويمد A.5.21 كليهما إلى أسفل سلسلة توريد تقنية المعلومات والاتصالات إلى المورّدين الفرعيين؛ وهذا الضابط جديد في 2022 بلا ما يكافئه في نسخة 2013. ويحدد A.5.22 مراقبة خدمات المورّدين ومراجعتها وإدارة تغييرها، بما في ذلك الأدلة التي ينبغي أن يتطلبها العقد. وموعد التحول النهائي في أكتوبر 2025 يعني أن على المؤسسات المعتمَدة الآن أن تُظهر أدلة تشغيلية على رسم خرائط سلسلة المورّدين بموجب A.5.21، لا مجرد سياسة موضوعية.
SOC 2 CC9.2 (الولايات المتحدة، AICPA). "يقيّم الكيان المخاطر المرتبطة بالمورّدين وشركاء العمل ويديرها". وقد صاغت نقاط التركيز المنقّحة لعام 2022 تحديد مخاطر علاقات المورّدين وتقييمها المستمر رسمياً بدلاً من المراجعة السنوية لوضع علامة في خانة. ويبحث المدققون عن شروط عقدية تتضمن حق تلقّي تقارير SOC 2 أو SOC 3 بإيقاع محدد، وحق طلب معلومات إضافية أو إجراء تدقيق إضافي عند تحديد مخاطرة، والتزامات إخطار بالاختراق بجداول زمنية محددة (عادة من 24 إلى 72 ساعة)، وحق الإنهاء عند إخفاق أمني جوهري، والتزام المورّد بالحفاظ على برنامج إدارة مخاطر المورّدين الخاص به وانسيابه. وإعادة تقييم المورّدين بعد تغيّر نطاق تقارير SOC 2 أو إصدار تحفظات هي توقعات صريحة في دورتي التدقيق لعامي 2024 و2026.
PCI DSS 4.0.1 (دولي، المدفوعات). يتطلب المتطلب 12.8.2 اتفاقيات مكتوبة تتضمن إقرار مقدّم خدمة الطرف الثالث بمسؤوليته عن أمن بيانات الحساب. ويتطلب المتطلب 12.8.5 من الكيان الاحتفاظ بمعلومات عن أي من متطلبات PCI DSS يديرها كل مقدّم خدمة طرف ثالث، وأيها يديرها الكيان، وأيها مشترك، في مصفوفة مسؤوليات موثّقة. ويُلزم المتطلب 12.9 (من جانب مقدّم الخدمة) مقدّم خدمة الطرف الثالث بأن يقرّ كتابةً للعملاء بمسؤوليته عن أمن بيانات حاملي البطاقات وبأن يقدّم، عند الطلب، معلومات تدعم العناية الواجبة للعميل بموجب 12.8.5. وقد أوضح تحديث الإصدار 4.0.1 في يونيو 2024 ملاحظات انطباق مقدّم خدمة الطرف الثالث وعزّز أن شهادة الامتثال وحدها غير كافية؛ فمصفوفة المسؤوليات جزء من المخرَج.
NIST SP 800-53 الإصدار الخامس (الولايات المتحدة، الفيدرالي). عائلة إدارة مخاطر سلسلة التوريد (SR) جديدة في الإصدار الخامس بلا ما يكافئها في الإصدار الرابع. ويتطلب SR-3 عملية لإدارة مخاطر سلسلة التوريد؛ ويتطلب SR-6 تقييمات ومراجعات للمورّدين بتواتر تحدده المؤسسة، مع نظر التقييم في الممارسات الأمنية والملكية والسيطرة الأجنبية وقدرة المورّد على تقييم طبقاته الفرعية؛ ويتطلب SR-9 برامج مقاومة العبث وكشفه. ويوفّر NIST SP 800-161 الإصدار الأول إرشاد التنفيذ. وترث خطوط أساس FedRAMP الإصدار الخامس، المعيارية الآن، عائلة SR.
اتفاقيات شركاء العمل بموجب HIPAA (الولايات المتحدة، الرعاية الصحية). يجب أن تُلزم اتفاقيات شركاء العمل الحالية شريك العمل بالامتثال لقاعدة الأمن، والإبلاغ عن الاختراقات والحوادث الأمنية، وضمان موافقة المتعاقدين من الباطن على القيود نفسها، وإتاحة الدفاتر والسجلات لوزارة الصحة والخدمات الإنسانية. وتقترح القاعدة المقترحة لديسمبر 2024 تحويل اتفاقية شريك العمل من مستند إقرار إلى ترتيب ضمان مستمر: إذ يجب على الكيانات المشمولة التحقق كتابةً مرة واحدة كل اثني عشر شهراً على الأقل من أن شريك العمل قد طبّق الضمانات التقنية المطلوبة، مع دعم التحقق بتحليل خبير وشهادة مكتوبة. والنافذة المقترحة للامتثال 180 يوماً بعد نشر القاعدة النهائية؛ وأُغلق باب التعليق في مارس 2025.
تعميم FINMA 2018/3 (سويسرا). يجب أن يكون للمؤسسة المُسنِدة، ومدققها التنظيمي، وFINMA حق تعاقدي في تفتيش وتدقيق كل المعلومات المتعلقة بالوظيفة المُسنَدة في أي وقت ودون قيد. ولا يُسمح بإسناد الوظائف الأساسية إلى ولاية قضائية أجنبية إلا إذا تمكنت المؤسسة من ضمان قدرة الثلاثة جميعاً (المؤسسة، المدقق التنظيمي، FINMA) على ممارسة حقوق التفتيش وإنفاذها، مع التوضيح الصريح بأنه حيث يعيق القانون الأجنبي المحلي ذلك، لا يُسمح بالإسناد. ويجب أن تحتفظ المؤسسة بـ"سيطرة فعلية" على الوظيفة المُسنَدة. ويمكن تفويض التدقيق إلى شركة تدقيق مقدّم الخدمة إذا كانت مؤهلة بشكل كافٍ، لكن في تلك الحالة يجب تقديم تقارير التدقيق إلى FINMA عند الطلب.
ADHICS V2 (الإمارات العربية المتحدة). يجب على كيانات الرعاية الصحية ومقدّمي الخدمات الأطراف الثالثة لها الامتثال لضوابط ADHICS. ويشمل النطاق الموسّع في النسخة V2 إدارة مخاطر الأطراف الثالثة، وأمن السحابة، والأمن السيبراني للأجهزة الطبية. ويجب على مقدّمي الخدمات الأطراف الثالثة الذين يتعاملون مع بيانات الرعاية الصحية الامتثال تعاقدياً لـADHICS، ويجب أن تتطلب العقود السماح للعميل ودائرة الصحة وشركة التدقيق المعتمَدة بتفتيش مباني مقدّم الخدمة وسجلاته ذات الصلة بامتثال ADHICS. ولا يمكن تخزين بيانات المرضى أو معالجتها خارج الإمارات؛ ويتطلب النقل العابر للحدود موافقة صريحة من دائرة الصحة يحصل عليها العميل.
SAMA (المملكة العربية السعودية). يتطلب المجال الخامس من إطار الأمن السيبراني وقواعد الإسناد الخارجي بنود حق تعاقدي في التدقيق، وإخطار بالحوادث، واستمرارية أعمال، واستراتيجية خروج. وتنساب حقوق التفتيش الإشرافية لـSAMA نفسها إلى عقود المورّدين: فالعقود مع مقدّمي الخدمات السحابية الذين يتعاملون مع بيانات المؤسسات المرخّصة في السعودية يجب أن تمنح SAMA حقوق التفتيش صراحةً وتحظر النقل الأحادي للبيانات. والاستضافة داخل المملكة إلزامية لبيانات العملاء الحساسة وسجلات المعاملات والبيانات الحرجة تشغيلياً؛ وتُطلب موافقة SAMA المسبقة قبل استخدام الخدمات السحابية.
مشكلة قائمة المعالجين الفرعيين
بمحاذاة بند الحق في التدقيق تأتي مشكلة قائمة المعالجين الفرعيين. فالمادة 28(2) من GDPR تتطلب تفويضاً مكتوباً محدداً أو عاماً مسبقاً للمعالجين الفرعيين، وبموجب التفويض العام يجب على المعالج إبلاغ المتحكم بأي تغييرات مزمعة (إضافة أو استبدال) ومنح المتحكم فرصة للاعتراض. ويشدّد رأي المجلس الأوروبي لحماية البيانات 22/2024 هذا: ينبغي أن تكون لدى المتحكمين هوية كل المعالجين والمعالجين الفرعيين (الاسم، العنوان، شخص الاتصال) متاحة بسهولة في كل الأوقات.
وما يعرضه معظم المورّدين في عام 2026 هو صفحة ثابتة على بوابة الثقة الخاصة بهم تسرد المعالجين الفرعيين الحاليين، بلا سجل إصدارات، ولا اشتراك للإخطار، مع إخلاء مسؤولية من سطر واحد بأن القائمة قد تُحدَّث دورياً. وهذا يفشل في اختبار "فرصة الاعتراض" بحكم التصميم: فالمتحكم لا يعلم بالتغييرات إلا بمراجعة الصفحة، ولا توجد آلية لتسجيل اعتراض يعترف به عقد المورّد.
وما يتوقعه التنظيم فعلاً هو بيان معالجين فرعيين مُصدَّر لكل متحكم، وإخطار دفع عند كل إضافة أو استبدال (عادة بإشعار مسبق مدته ثلاثون يوماً)، وحق العميل في الاعتراض، وإجراء موثّق إذا تعذّر حل الاعتراض (عادة حق إنهاء للنطاق المتأثر). ويغطي المقال المرافق عن امتثال المورّد سبب أهمية هذا لملاحظات التدقيق. وبيان المعالجين الفرعيين المعروض كمستند منصة من الدرجة الأولى بدلاً من صفحة تسويقية هو الإجابة المعمارية؛ والإخطار عبر webhook أو بريد إلكتروني عند كل تغيير يحوّل الامتثال للمادة 28(2) من تحديث ملف PDF إلى مجرى أحداث يمكن للمتحكم الاشتراك فيه.
الأسئلة التي ينبغي لفريق المشتريات أن يطرحها الآن
قائمة تحقق قصيرة وغير مريحة لأي فريق يتفاوض على عقد منصة سحابية خاضعة للتنظيم في عام 2026.
- هل يمنح بند الحق في التدقيق العميل أو مدققه المختار حقوق تفتيش موقعي؟ ليس "مراجعة تقرير SOC 2". وليس "ملخص عند الطلب". بل تحديداً: هل يمكن لمدقق العميل دخول مباني المورّد، ومراجعة المستندات، ومقابلة الموظفين، وإنتاج ملاحظات؟
- هل يمكن للعميل تكليف تدقيق ظرفي بعد حادث جوهري، دون انتظار النافذة السنوية؟ تتوقع الأطر أعلاه هذا جميعاً؛ وتمنعه معظم قوالب المورّدين.
- هل يستثني بند الحق في التدقيق البنية التحتية المشتركة أو العملاء الآخرين؟ إن كان كذلك، فقد استثنى أكثر المناطق صلة. فتفاوض على الاستثناء أو سعّر المخاطرة المتبقية.
- هل قائمة المعالجين الفرعيين بيان مُصدَّر مدفوع بإخطار الدفع، أم صفحة ثابتة على بوابة ثقة؟ يتطلب رأي المجلس الأوروبي لحماية البيانات 22/2024 الأول.
- هل يتضمن العقد مؤهِّل DORA "لا تُعاق أو تُقيَّد بترتيبات تعاقدية أخرى"؟ إن كان المشتري كياناً مالياً في الاتحاد الأوروبي، فهذا إلزامي الآن. وإن لم يكن، فهو البند الأرجح أن يهزم محاولة تخفيف مستقبلية من المورّد.
المورّد الذي يجيب عن كل من هذه بالإشارة إلى مستند معماري (سجل تدقيق يمكن للعميل تصديره، بيان معالجين فرعيين يمكن للعميل الاشتراك فيه، حدود تخزين معزولة المستأجر يمكن للعميل فحصها مباشرة) يجعل الحق قابلاً للممارسة. أما المورّد الذي يجيب بالإشارة إلى بند فيجعل الحق قابلاً للتفاوض، وتوقّع الإطار هو أن التفاوض وحده غير كافٍ.
الإجابة المعمارية
بند الحق في التدقيق الذي يجب ممارسته عبر التفاوض على العقد وتعاون المورّد واختيار المورّد لمدققه هو حق لا يصمد أمام شيء تقريباً. والإجابة المعمارية هي جعل الوصول التدقيقي خاصية للمنصة، لا بنداً يجب الدفاع عنه. وهذا هو التصميم الذي بُنيت حوله نوفانترا.
"أحضر تخزينك" (BYO Storage) لدى نوفانترا هو الأساس. فعندما تقيم بيانات العميل في حاوية العميل الخاصة (S3 أو GCS أو Azure) تحت بيانات اعتماد يصدرها العميل ويمكنه إبطالها، يمكن للعميل فحص بياناته الخاصة مباشرة في أي وقت دون تعاون المورّد. ويُستبدل الحق في التدقيق بالحق في الاستعلام، وهو أقوى بنيوياً لأنه لا يعتمد على حسن نية المورّد. ويغطي المقال المرافق عن إقامة البيانات كقرار نشر البنية بالتفصيل.
ومفاتيح التشفير التي يتحكم بها العميل لدى نوفانترا تُغلق حلقة التعاون على مستوى البيانات. فحتى لو كانت البايتات قابلة للوصول، لا يمكن للمورّد قراءتها دون النداء إلى خدمة مفاتيح يشغّلها العميل. ويملك العميل نقضاً تشفيرياً وسجل استخدام لا يمكن للمورّد تحريره. ويغطي المقال المرافق عن مفاتيح التشفير التي يتحكم بها العميل البنية.
وسجلات التدقيق المُسلسَلة بالتجزئة والقابلة للتصدير لدى نوفانترا تستبدل إجابة "تقرير SOC 2 السنوي" بأدلة مستمرة يمكن للعميل التحقق منها بشكل مستقل. ويغطي المقالان المرافقان عن الأدلة المستمرة ومسارات التدقيق المقاومة للعبث طبقة السلامة.
وتنشر نوفانترا بيان معالجين فرعيين مُصدَّراً لكل عميل، مع إخطار عبر webhook أو بريد إلكتروني عند كل تغيير ونافذة اعتراض موثّقة، محوِّلةً المادة 28(2) من GDPR من تحديث ملف PDF إلى مجرى أحداث. وتطفو سجلات الوصول الآنية وصول موظفي المورّد إلى مجرى تدقيق العميل، مع مبرر ومرجع تذكرة، في وقت شبه آني بدلاً من ثلاثة أشهر لاحقاً عبر تقرير SOC 2.
والعزل بقاعدة بيانات لكل مؤسسة لدى نوفانترا يلغي استثناء "لا يمكننا تدقيق البنية التحتية المشتركة" بمنح كل عميل أثراً قابلاً للتدقيق بشكل منفصل. ويغطي المقال المرافق عن الامتثال متعدد الكيانات النموذج بالتفصيل. وللعملاء الذين لن تسمح شروط عقدهم بأي بنية تحتية مشتركة على الإطلاق، يشغّل النشر السيادي لدى نوفانترا كامل المنصة داخل البنية التحتية الخاصة بالعميل.
لا شيء من هذه ميزة. بل كل واحدة هي الإجابة المعمارية على بند عقدي ضُيّق إلى حد عدم النفع في القالب المعياري للمنصة السحابية. والمشتري الخاضع للتنظيم الذي يقرأ عقود المورّدين على افتراض أن جهة تنظيمية ستفحص في النهاية ما وقّعه ينبغي أن يفضّل المنصات التي يكون فيها الوصول التدقيقي خاصية للبنية لا بنداً يجب التفاوض عليه وممارسته والدفاع عنه ضد أنماط التخفيف الثمانية. لقد أوضحت الأطر بالفعل التوقّع التنظيمي. فإما أن تطابقه البنية، أو يصبح العقد هو ملاحظة التدقيق.