برنامج الامتثال
كيف يلتقي الإطار التنظيمي مع SaaS لإدارة القوى العاملة، وكيف نتعامل مع ذلك. حالة فعلية للبرنامج — ما تم إطلاقه، وما هو قيد التنفيذ، وما لم نُدرجه عمدًا بعد على خارطة الطريق.
إطار الامتثال
تُشغل svdy برنامج امتثال مستمرًا بدلاً من قائمة فحص نقطة في الزمن. على وجه التحديد:
• الخصوصية بالتصميم — تمر كل ميزة جديدة بتقييم تأثير الخصوصية قبل الدمج إذا لمست PII. سجل تدقيق الخصوصية للموجة 1-4 يعيش في متتبعنا الداخلي؛ النتائج المرئية هي تدفق موافقة التعرف على الوجه في GDPR Art. 9، آلية حق المحو، ونافذة حذف بيانات العميل لمدة 30 يومًا بعد إلغاء الاشتراك.
• ضوابط موثقة — السياسات الأمنية (التحكم في الوصول، إدارة التغيير، إدارة الموردين، الاستجابة للحوادث) مُحكومة بالإصدار وتُراجع سنويًا.
• إدارة الموردين — يخضع كل معالج فرعي لمراجعة استقبال موثقة قبل الحصول على الوصول إلى بيانات العميل. المعالجون الفرعيون الـ 5 الحاليون مُدرجون في /trust/sub-processors؛ تؤدي التحديثات إلى إخطار العميل لمدة 30 يومًا.
• المراقبة المستمرة — قبل SOC 2، هذا داخلي (سجلات التدقيق، مراجعات الوصول، تذاكر التغيير). بمجرد توصيل Vanta (الربع 3-4 2026)، يصبح جمع الأدلة مستمرًا وقابلاً للتدقيق خارجيًا.
• رادار تنظيمي — نتتبع التشريعات التي تؤثر على قاعدة عملائنا (قوانين خصوصية الولاية الأمريكية، NIS2 الأوروبي، PIPL الصين، LGPD البرازيل) ونُعدّل DPA + ميزات المنتج مع توسع النطاق.
المعايير التي نتبعها
نتماشى مع هذه الأطر القياسية في الصناعة. الاتباع ≠ الاعتماد — انظر /trust/soc2 لما يُدقق رسميًا ومتى.
• إطار NIST للأمن السيبراني (CSF) 2.0: الضوابط الداخلية مُربوطة بـ Identify / Protect / Detect / Respond / Recover. مُقيّم ذاتيًا؛ الأساس لتدقيق SOC 2 Type II (من الربع الأول 2027 فصاعدًا).
• OWASP Top 10 (تطبيق الويب): تُغطي ممارسة الهندسة OWASP Top 10 (2021): منع الحقن عبر الاستعلامات المُعَلَّمة، التحكم في الوصول المكسور عبر الاستعلامات المُنطقة بالمستأجر، إلخ. تعمل أدوات SAST قبل الدمج؛ SCA عبر Dependabot.
• CIS AWS Foundations Benchmark: تكوين AWS متماشٍ مع ضوابط CIS Foundations v2.0 — IAM بأقل امتياز، MFA على الجذر، EBS مُشفر، S3 block public access، سجلات التدقيق إلى حساب مركزي. مُقَر ذاتيًا اليوم؛ سيتحقق تدقيق SOC 2 الربع الثاني 2027.
• ISO/IEC 27001 — اتجاهي، غير مُعتمد: مجموعة الضوابط لدينا تستعير من ضوابط ISO 27001 Annex A. الاعتماد الرسمي مرحلة 2 (بعد SOC 2 Type II، على الأرجح 2027-2028) — يُبدأ فقط إذا طلب عملاء enterprise UE.
اللوائح الإقليمية
حيث تمس بيانات عميل svdy ولايات قضائية مُنظمة، وموقفنا في كل منها:
• الاتحاد الأوروبي والمملكة المتحدة: GDPR (UE 2016/679), UK GDPR + Data Protection Act 2018, توجيه ePrivacy (ملفات تعريف الارتباط)
عملاء الاتحاد الأوروبي + المملكة المتحدة مغطون بـ Standard Contractual Clauses (إصدار 2021) بالإضافة إلى UK Addendum، المُضمن في DPA على /trust/dpa. سياسة الخصوصية متماشية مع GDPR Art. 13/14. آلية حقوق صاحب البيانات عبر legal@svdy.com، الرد خلال 30 يومًا. إقامة البيانات: us-east-1 اليوم؛ توفر منطقة UE / APAC على خارطة طريق Enterprise (2027).
• الولايات المتحدة: CCPA / CPRA (كاليفورنيا), VCDPA (فيرجينيا), CPA (كولورادو), CTDPA (كونيتيكت), UCPA (يوتا)
نحترم Do-Not-Sell و Right-to-Know و Right-to-Delete بموجب جميع قوانين خصوصية الولاية الأمريكية المعمول بها. تتضمن سياسة الخصوصية إفصاحات الفئة المطلوبة بـ CCPA ونوافذ الاحتفاظ. لا نبيع المعلومات الشخصية بالمعنى المُحدد في §1798.140(t).
• البرازيل و APAC: LGPD (البرازيل), Singapore PDPA, Australia Privacy Act
الالتزام في النطاق حيث توجد قاعدة عملاء. متطلبات توطين بيانات PIPL الصين غير مستوفاة حاليًا (لا توجد إقامة بيانات في الصين القارية)؛ يجب على العملاء الذين لديهم قوى عاملة في الصين القارية الاحتفاظ بهذه البيانات في الخارج في منطقة us-east-1 الموجودة لدينا حتى بناء مناطق LATAM / APAC (بعد 2027).
التدقيقات والإقرارات
ما يُدقق فعليًا اليوم، ما هو قادم، ما لا نُسعى وراءه عمدًا:
• SOC 2 Type II — قيد التقدم: بدء التدقيق المستهدف الربع الأول 2027 (6 أشهر من الملاحظة)، التقرير الصادر الربع الثالث 2027. تم اختيار Vanta + A-LIGN. الجدول الزمني العام في /trust/soc2.
• GDPR — مُقيّم ذاتيًا: ليس لـ GDPR شهادة امتثال رسمية (لا تُصدر الجهات التنظيمية شهادات). نحافظ على بنية جاهزة لـ GDPR تم التحقق منها من خلال تدقيق الخصوصية الداخلي للموجة 1-4. DPA الخاص بنا متاح عند الطلب على /trust/dpa للعملاء الذين يحتاجون اتفاقية معالج كتابية.
• ISO 27001 — مرحلة 2: لم يُبدأ بعد. متوقع بعد SOC 2 (2027-2028) إذا برّر طلب enterprise UE تكلفة التدقيق. تحديث على /trust/soc2 عند البدء.
• HIPAA / PCI-DSS / FedRAMP — خارج النطاق: svdy ليست حاليًا شريكًا تجاريًا لـ HIPAA، ليست في نطاق PCI-DSS (يتعامل Stripe مع بيانات حاملي البطاقات على منصته المُعتمدة)، ولا تسعى لـ FedRAMP. يجب على عملاء الحكومة الفيدرالية / الصناعات المُنظمة التواصل مع support@svdy.com لمناقشة ما إذا كان بإمكاننا تلبية احتياجاتهم المحددة للامتثال قبل التسجيل.
بحاجة لوثائق الامتثال الخاصة بنا، شهادات تنظيمية إقليمية، أو الجدول الزمني لـ SOC 2؟ راسلنا على legal@svdy.com — انظر تقدم SOC 2 على /trust/soc2.
