مقالات عامة

إطار البنك المركزي السعودي «ساما» للحوسبة السحابية في 2026: ما الذي يجب على البنوك وشركات التقنية المالية الالتزام به؟

مع تشديد البنك المركزي السعودي «ساما» تطبيق إطار الحوسبة السحابية على البنوك وشركات التقنية المالية في 2026، نستعرض المتطلبات الخمسة الأساسية من تصنيف البيانات وتوطينها إلى خطط الخروج، وأبرز الفجوات التي تتعثر فيها المؤسسات، وخطوات عملية للامتثال.

محمد الشريف profile picture
محمد الشريف
Published
July 12, 2026
Reading Time
3 min read
إطار البنك المركزي السعودي «ساما» للحوسبة السحابية في 2026: ما الذي يجب على البنوك وشركات التقنية المالية الالتزام به؟

من يشمل إطار «ساما» السحابي؟ ولماذا أصبح الامتثال أكثر إلحاحًا في 2026؟

أصدر البنك المركزي السعودي «ساما» إطاره التنظيمي للحوسبة السحابية ضمن مساعيه لتحديث البنية التحتية للقطاع المالي مع الحفاظ على رقابة صارمة على البيانات المالية. يشمل الإطار جميع الجهات الخاضعة لإشراف «ساما»: البنوك التجارية، وشركات التأمين، وشركات التمويل، ومزوّدي خدمات المدفوعات، وشركات المعلومات الائتمانية، وشركات التقنية المالية.

وفي 2026 تحوّلت البيئة التنظيمية للسحابة في المملكة من التوجيه إلى الإلزام الفعلي، إذ تتقاطع متطلبات «ساما» مع ضوابط الأمن السيبراني السحابي CCC-2 الصادرة عن الهيئة الوطنية للأمن السيبراني وإرشادات هيئة الاتصالات والفضاء والتقنية. ويأتي هذا التشديد في وقت يواصل فيه القطاع نموه المتسارع: فقد بلغ عدد شركات التقنية المالية في المملكة 224 شركة بمنتصف 2024 متجاوزًا مستهدفات برنامج تطوير القطاع المالي في حينها، في طريقها إلى مستهدف 525 شركة بحلول 2030 ضمن رؤية المملكة، مع مستهدف وصول المدفوعات الرقمية إلى 70% من إجمالي المعاملات.

المتطلبات الخمسة الأساسية في إطار «ساما» للحوسبة السحابية

أولًا: تصنيف البيانات وتوطينها. يُلزم الإطار المؤسسات بتصنيف بياناتها وفق مستويات الحساسية، مع بقاء البيانات عالية الحساسية — بيانات العملاء وسجلات المعاملات والمعلومات التشغيلية الحرجة — داخل حدود المملكة على بنية تحتية موجودة فعليًا فيها. ثانيًا: تقييم المخاطر والعناية الواجبة. قبل التعاقد مع أي مزوّد سحابي يجب إجراء تقييم شامل يغطي الوضع الأمني والمرونة التشغيلية والاستقرار المالي والتعرّض القضائي للمزوّد.

ثالثًا: الضمانات التعاقدية. يفرض الإطار بنودًا محددة تشمل حق التدقيق على المزوّد، والإخطار الفوري عند اختراق البيانات، ووضوح ملكية البيانات، ووجود خطة خروج واضحة. رابعًا: المرونة التشغيلية. يجب أن تلبي البنية السحابية متطلبات «ساما» لاستمرارية الأعمال والتعافي من الكوارث، على أن تعمل آليات النسخ الاحتياطي والتعافي داخل المملكة. خامسًا: المراقبة والإبلاغ المستمران. على المؤسسات مراقبة بيئاتها السحابية باستمرار والإبلاغ عن الحوادث الجوهرية لـ«ساما» خلال أطر زمنية محددة.

ثلاث فجوات شائعة تكشفها عمليات التدقيق

الفجوة الأولى هي التعرّض القضائي عبر الشراكات التقنية: قد تتعاقد المؤسسة مع مزوّد خوادمه في الرياض، لكن إذا كانت المنصة تعمل تحت مظلة كيان مؤسس في ولاية قضائية أجنبية، فقد تنشأ أطر قانونية عابرة للحدود تعرّض البيانات المالية الحساسة لمخاطر امتثال حقيقية.

الفجوة الثانية تصنيف غير مكتمل للبيانات: كثير من المؤسسات صنّفت بياناتها على مستوى عالٍ لكنها لم تربط هذا التصنيف بمواقع التخزين السحابية الفعلية، فيصعب عليها إثبات الامتثال عند التدقيق. أما الفجوة الثالثة فهي ضعف خطط الخروج: يشترط «ساما» استراتيجية خروج قابلة للتنفيذ من المزوّد السحابي — تشمل قابلية نقل البيانات وتقدير التكلفة والمدة الزمنية — لا مجرد بند شكلي في العقد.

خارطة طريق عملية للمؤسسات المالية السعودية

تبدأ رحلة الامتثال بمصفوفة تصنيف بيانات مربوطة بمواقع التخزين الفعلية، يليها اختيار مناطق سحابية داخل المملكة. وقد اتسعت الخيارات أمام المؤسسات المالية في 2026 بين منطقة Google Cloud في الدمام، ومناطق أوراكل في الرياض، وسحابة الاتصالات السعودية sccc by stc، مع اقتراب افتتاح منطقة Azure السعودية في الربع الأخير من 2026.

بعد ذلك تأتي مواءمة العقود مع بنود «ساما» الإلزامية (حق التدقيق، والإخطار بالاختراق، وملكية البيانات، وخطة الخروج)، وربط برنامج الامتثال بضوابط NCA CCC لتفادي ازدواجية الجهود، والاختبار الدوري لخطط التعافي من الكوارث داخل المملكة. المؤسسات التي تتعامل مع الإطار بوصفه قرارًا معماريًا في تصميم بنيتها التحتية — لا قائمة تحقق ورقية — ستكون الأقدر على اجتياز عمليات التدقيق وكسب ثقة العملاء والمنظّم معًا.

Comments (0)

No comments yet. Be the first to comment!

Add a comment