اتفاقية مستوى الخدمة (SLA)
مرجع الوثيقة: GRSCIA-SLA-2025-V2.0 الإصدار: 2.0 تاريخ السريان: 1 يناير 2025 آخر تحديث: 4 يناير 2026 مدة الاتفاقية: سنة واحدة (تجديد تلقائي) المعيار الحاكم: معايير أمن المعلومات والأمن السيبراني للرعاية الصحية في أبوظبي - الإصدار الثاني (ADHICS V2)
الأطراف في هذه الاتفاقية
مزود الخدمة:
GRSCIA، بإدارة وتشغيل سايزوشير لخدمات التفتيش والتدقيق - ذ.م.م - شركة الشخص الواحد رقم السجل التجاري: CN-5499111 العنوان: وسط المدينة, الربينة, 118 : شارع حصة بنت محمد , مبنى, الشيخه شمسه بنت زايد بن سلطان الهاتف: +971501123842 البريد الإلكتروني: info@grscia.ae (يُشار إليها فيما بعد بـ "GRSCIA" أو "المزود" أو "نحن" أو "لنا")
العميل:
الجهة المشتركة في خدمات GRSCIA كما هو محدد في اتفاقية الاشتراك أو نموذج الطلب المعمول به. (يُشار إليه فيما بعد بـ "العميل" أو "أنت" أو "لك")
1. المقدمة والغرض
1.1 نظرة عامة على الاتفاقية
تحدد اتفاقية مستوى الخدمة هذه ("SLA") الشروط والأحكام والالتزامات التي تحكم تقديم خدمات منصة GRSCIA للامتثال في قطاع الرعاية الصحية. تُدمج هذه الاتفاقية وتشكل جزءاً من الاتفاقية الرئيسية للخدمات وشروط الاستخدام وأي اتفاقية اشتراك سارية.
1.2 الغرض
تحدد هذه الاتفاقية:
- نطاق ووصف الخدمات المقدمة
- التزامات التوافر ووقت التشغيل
- أوقات استجابة الدعم وإجراءات التصعيد
- التزامات حماية البيانات والأمان والخصوصية
- مقاييس الأداء والمراقبة
- إجراءات الاستجابة للحوادث والإخطار بالانتهاكات
- أرصدة الخدمة والتعويضات عن انتهاكات الاتفاقية
- مسؤوليات العميل والمزود
- أحكام الإنهاء والانتقال ونقل البيانات
1.3 سياق الامتثال لمعايير ADHICS
تعمل GRSCIA كمزود لخدمات وتقنيات الرعاية الصحية بموجب معايير ADHICS V2 وتلتزم بتنفيذ الضوابط وفقاً لفئة "مزود الخدمة". صُممت هذه الاتفاقية لدعم التزامات عملائنا بالامتثال لمعايير ADHICS عبر جميع نطاقات الضوابط المعمول بها.
1.4 الأسبقية
في حالة وجود أي تعارض بين هذه الاتفاقية والوثائق التعاقدية الأخرى، يكون ترتيب الأسبقية كالتالي:
- نموذج الطلب (الشروط التجارية الخاصة)
- الاتفاقية الرئيسية للخدمات (MSA)
- اتفاقية معالجة البيانات (DPA) لمسائل حماية البيانات والمعالجة
- اتفاقية مستوى الخدمة هذه (SLA) لمسائل مستويات الخدمة والدعم والتشغيل
- شروط الاستخدام
- سياسة الخصوصية
- سياسة ملفات تعريف الارتباط
2. التعريفات والتفسيرات
2.1 تعريفات الخدمة
| المصطلح | التعريف |
|---|---|
| "التوافر" | النسبة المئوية للوقت الذي تكون فيه الخدمة عاملة ويمكن الوصول إليها للاستخدام العادي خلال فترة قياس معينة |
| "ساعات العمل" | من الأحد إلى الخميس، من 9:00 صباحاً إلى 6:00 مساءً بتوقيت الإمارات (GST+4)، باستثناء العطلات الرسمية في الإمارات |
| "البيانات الحرجة" | أي معلومات صحية محمية (PHI) أو معلومات تعريف شخصية (PII) أو بيانات حساسة أخرى كما هو محدد في معايير ADHICS |
| "وقت التوقف" | أي فترة لا تكون فيها الخدمة متاحة أو متدهورة بشكل جوهري، باستثناء الصيانة المجدولة والاستثناءات |
| "الحادث" | أي حدث لا يعد جزءاً من العمليات القياسية للخدمة ويسبب أو قد يسبب انقطاعاً أو انخفاضاً في جودة الخدمة |
| "نسبة وقت التشغيل الشهري" | (إجمالي الدقائق في الشهر - دقائق التوقف) / إجمالي الدقائق في الشهر × 100 |
| "المعلومات الصحية المحمية (PHI)" | المعلومات الصحية المحمية كما هو محدد في معايير ADHICS، بما في ذلك البيانات الديموغرافية والطبية والتأمينية وغيرها من البيانات المجمعة لتحديد هوية المريض وتقديم الرعاية |
| "معلومات التعريف الشخصية (PII)" | معلومات التعريف الشخصية بما في ذلك الاسم ورقم الهوية الإماراتية ورقم الهاتف المحمول والبريد الإلكتروني والعنوان والبيانات البيومترية وغيرها من المعلومات التعريفية |
| "المنصة" | منصة GRSCIA لإدارة الامتثال في الرعاية الصحية كخدمة سحابية (SaaS) |
| "هدف نقطة الاسترداد (RPO)" | الحد الأقصى المقبول لفقدان البيانات مقاساً بالوقت |
| "هدف وقت الاسترداد (RTO)" | الحد الأقصى المقبول للوقت لاستعادة الخدمة بعد الانقطاع |
| "الصيانة المجدولة" | أنشطة الصيانة المخططة المعلن عنها قبل 48 ساعة على الأقل |
| "الحادث الأمني" | أي وصول فعلي أو مشتبه به غير مصرح به أو استخدام أو إفصاح أو تعديل أو تدمير للبيانات أو الأنظمة |
| "رصيد الخدمة" | الرصيد المطبق على حساب العميل كتعويض عن انتهاكات الاتفاقية |
| "المستأجر" | نسخة معزولة من المنصة مخصصة لمؤسسة عميل محددة |
2.2 مراجع نطاقات ADHICS
تشير هذه الاتفاقية إلى نطاقات ضوابط ADHICS V2 التالية:
- HR - أمن الموارد البشرية
- AC - التحكم في الوصول
- AM - إدارة الأصول
- CO - إدارة الاتصالات والعمليات
- CS - الأمن السحابي
- DP - خصوصية البيانات وحمايتها
- IM - إدارة الحوادث
- PE - الأمن المادي والبيئي
- SA - اقتناء الأنظمة وتطويرها وصيانتها
- SC - إدارة استمرارية أنظمة المعلومات
- TP - أمن الأطراف الثالثة
3. وصف الخدمات
3.1 خدمات المنصة
توفر GRSCIA منصة شاملة لإدارة الامتثال في الرعاية الصحية تتكون من فئات الخدمات التالية:
3.1.1 خدمات إدارة الامتثال الأساسية
| وحدة الخدمة | الوصف | نطاق ADHICS |
|---|---|---|
| تقييم الامتثال | إطار تقييم ضوابط ADHICS مع إدارة الأدلة وفترات الإبلاغ واللقطات وحزم التصدير الجاهزة للتدقيق | جميع النطاقات |
| إدارة السياسات | إنشاء السياسات والتحكم في الإصدارات وسير عمل الموافقة وتتبع الإقرار والتحقق من الامتثال | CO, DP |
| إدارة المستندات | إدارة دورة حياة المستندات بما في ذلك الإنشاء والتحرير التعاوني وسير عمل الموافقة والتوقيعات الرقمية والتكامل مع الهوية الرقمية UAE Pass | CO, DP |
| سجل التدقيق والتسجيل | تسجيل تدقيق مقاوم للتلاعب مع التجزئة SHA-256 وتتبع الأنشطة والتحقق من الامتثال | IM, DP |
3.1.2 خدمات أمن الموارد البشرية
| وحدة الخدمة | الوصف | نطاق ADHICS |
|---|---|---|
| إدارة الموظفين | إدارة دورة حياة الموظف والاستيراد الجماعي وسير عمل التوظيف وتتبع التدريب | HR |
| إدارة المقاولين | إعداد المقاولين والتحقق من الخلفية وتوفير الوصول | HR, AC |
| إدارة التدريب | تتبع حضور التدريب وشهادات الإتمام وإعداد تقارير الامتثال | HR |
| التحقق من الخلفية | تقديم فحوصات الخلفية وسير عمل الموافقة والتوثيق | HR |
3.1.3 خدمات العمليات الأمنية
| وحدة الخدمة | الوصف | نطاق ADHICS |
|---|---|---|
| إدارة الحوادث | دورة حياة الحادث الكاملة (الإقرار، التحقيق، الاحتواء، الإزالة، الاسترداد، الحل، مراجعة ما بعد الحادث) مع تتبع اتفاقية مستوى الخدمة | IM |
| تتبع المخالفات | إدارة المخالفات الأمنية مع التحقيق وسير عمل الاستئناف وتتبع الإجراءات التأديبية | IM, HR |
| التحكم في الوصول | إدارة طلبات الوصول وسير عمل المنح والتحكم في الوصول القائم على الأدوار وأذونات مستوى الأصول | AC |
| إخطار دائرة الصحة | تتبع إخطار انتهاك دائرة الصحة وإعداد تقارير الامتثال | IM, DP |
3.1.4 خدمات إدارة الأصول والأمن المادي
| وحدة الخدمة | الوصف | نطاق ADHICS |
|---|---|---|
| إدارة الأصول | جرد الأصول وتعيين العلاقات وجدولة الصيانة وسير عمل التخلص وتتبع نهاية العمر الافتراضي | AM |
| الأمن المادي | إدارة المناطق الآمنة وسجلات الزوار وإدارة المفاتيح المادية وسجلات الوصول | PE |
| إدارة الموردين | دليل الموردين وإدارة العقود وتقييمات الأطراف الثالثة وسير عمل الإعداد | TP |
3.1.5 الخدمات المدعومة بالذكاء الاصطناعي
| وحدة الخدمة | الوصف | نطاق ADHICS |
|---|---|---|
| مساعد الامتثال بالذكاء الاصطناعي | قاعدة معرفة ADHICS مدعومة بالذكاء الاصطناعي، توفر إجابات فورية لأسئلة الامتثال مع مراجع المتطلبات | جميع النطاقات |
| معالجة المستندات بالذكاء الاصطناعي | استخراج الحقول وتصنيف المستندات والتحقق من الهوية باستخدام الذكاء الاصطناعي | CO, DP |
| إنشاء قوائم التحقق من الامتثال | قوائم تحقق امتثال مُنشأة بالذكاء الاصطناعي بناءً على نوع المنشأة ومستوى الامتثال | جميع النطاقات |
3.2 خيارات النشر
تقدم GRSCIA نموذجين للنشر لتلبية متطلبات العملاء المختلفة:
3.2.1 النشر السحابي (متعدد المستأجرين)
- منصة مُدارة بالكامل مستضافة داخل الإمارات
- التوفير والتوسع التلقائي
- بنية تحتية مُدارة لقاعدة البيانات والتخزين
- عزل البيانات والتشفير لكل مستأجر
- بنية عالية التوافر
- النسخ الاحتياطي التلقائي واستعادة الكوارث
3.2.2 نشر BYOD (أحضر قاعدة بياناتك)
- نشر الوكيل في مقر العميل
- قاعدة بيانات مستضافة لدى العميل مع التحكم في موقع البيانات
- اتصال وكيل مشفر عبر TLS المتبادل (mTLS)
- مراقبة صحة الوكيل وتتبع الإصدار
- خطط تنفيذ يتحكم فيها المنصة مع التحقق التشفيري (RSA-SHA256)
- مناسب للمؤسسات التي تتطلب سيادة كاملة على البيانات
3.3 استثناءات الخدمة
ما يلي مستثنى صراحةً من نطاق الخدمات:
- تطوير البرامج المخصصة خارج قدرات المنصة
- شراء أو إدارة الأجهزة
- إدارة البنية التحتية للشبكة في مقر العميل
- ترخيص أو دعم برامج الأطراف الثالثة
- المشورة القانونية أو التدقيقية أو الامتثالية للوائح
- تنفيذ الأمن المادي في منشآت العميل
4. التزامات التوافر ووقت التشغيل
4.1 التزام التوافر
تلتزم GRSCIA بالحفاظ على مستويات التوافر التالية:
| مستوى الخدمة | هدف وقت التشغيل الشهري | الحد الأقصى لوقت التوقف الشهري |
|---|---|---|
| المؤسسات | 99.95% | 21.9 دقيقة |
| المهني | 99.9% | 43.8 دقيقة |
| الأساسي | 99.5% | 219 دقيقة |
4.2 قياس التوافر
4.2.1 طريقة القياس
- يُقاس التوافر باستخدام أنظمة مراقبة آلية تعمل من مواقع جغرافية متعددة داخل الإمارات
- تُجرى القياسات على فترات دقيقة واحدة عبر جميع نقاط نهاية الخدمة الحرجة
- يُحسب التوافر بناءً على الاستجابات الناجحة لطلبات فحص الصحة
4.2.2 نقاط القياس
تُدرج مكونات الخدمة التالية في حسابات التوافر:
- نقاط نهاية تطبيق الويب
- بوابة API
- خدمات المصادقة
- خدمات قاعدة البيانات
- خدمات تخزين المستندات
- خدمات الذكاء الاصطناعي/MCP
4.2.3 مراقبة الحالة
- حالة الخدمة في الوقت الفعلي: https://status.grscia.ae
- يمكن للعملاء الاشتراك في الإخطارات الآلية لانقطاعات الخدمة
- تقارير التوافر التاريخية متاحة عند الطلب
4.3 الاستثناءات من حساب وقت التوقف
تُستثنى الأحداث التالية من حسابات وقت التوقف:
4.3.1 الصيانة المجدولة
- نوافذ الصيانة المجدولة المعلن عنها قبل 48 ساعة على الأقل
- الحد الأقصى للصيانة المجدولة: 4 ساعات شهرياً
- نافذة الصيانة المفضلة: الجمعة 10:00 مساءً إلى السبت 2:00 صباحاً بتوقيت الإمارات
- الصيانة الطارئة للتحديثات الأمنية الحرجة (يُقدم الإخطار في أقرب وقت ممكن عملياً)
4.3.2 المشكلات التي يسببها العميل
- المشكلات الناشئة عن البنية التحتية أو الاتصال بالشبكة أو أجهزة العميل
- سوء الاستخدام أو سوء تكوين الخدمة من قبل العميل أو مستخدميه
- فشل العميل في تنفيذ التدابير الأمنية الموصى بها
- الإجراءات المتخذة بناءً على طلب العميل والتي تؤدي إلى تدهور الخدمة
4.3.3 العوامل الخارجية
- أحداث القوة القاهرة (الكوارث الطبيعية، الحرب، الإرهاب، الاضطرابات المدنية، الوباء)
- أعطال مزود خدمة الإنترنت خارج سيطرة GRSCIA
- هجمات DDoS التي تستهدف مستأجر العميل تحديداً
- القيود الحكومية على الخدمة أو انقطاعات الاتصالات
- أعطال خدمات الأطراف الثالثة (معالجات الدفع، موفرو الهوية، إلخ.)
4.3.4 البيئات غير الإنتاجية
- الميزات التجريبية أو المعاينة أو الاختبارية المميزة صراحةً على أنها غير إنتاجية
- بيئات التطوير أو الاختبار
- الميزات ضمن برامج الوصول المبكر
4.4 التزام موقع البيانات
امتثالاً لمعايير ADHICS CS 1.2 والقانون الاتحادي الإماراتي رقم 2 لسنة 2019:
- تطبق GRSCIA إقامة صارمة داخل الإمارات على قاعدة بيانات المنصة وقواعد بيانات المستأجرين
- تتم إدارة النسخ الاحتياطية والتعافي من الكوارث لهذه الطبقات ضمن نطاق تشغيلي محكوم داخل الإمارات
- يتم الإفصاح عن الاستثناءات التشغيلية المعتمدة غير المرتبطة بقاعدة البيانات (بما في ذلك MCP والفوترة) وتخضع لضوابط تعاقدية
- تبقى تفاصيل الضمانات ومتطلبات المعالجين الفرعيين محكومة في اتفاقية معالجة البيانات (DPA)
5. خدمات الدعم
5.1 قنوات الدعم
| القناة | معلومات الاتصال | التوافر |
|---|---|---|
| دعم البريد الإلكتروني | info@grscia.ae | 24/7 (تختلف أوقات الاستجابة حسب الأولوية) |
| الدعم داخل المنصة | نظام تذاكر الدعم داخل المنصة | تقديم 24/7، استجابة في ساعات العمل |
| خط الطوارئ | +971501123942 | حوادث P1 الحرجة فقط، 24/7/365 |
| التصعيدات | security@grscia.ae | ساعات العمل |
5.2 ساعات الدعم
| نوع الدعم | ساعات العمل |
|---|---|
| الدعم القياسي | الأحد - الخميس، 9:00 صباحاً - 6:00 مساءً بتوقيت الإمارات |
| دعم P1 الحرج | 24 ساعة، 7 أيام في الأسبوع، 365 يوماً في السنة |
| تغطية العطلات | قضايا P1 الحرجة فقط خلال العطلات الرسمية في الإمارات |
5.2.1 مؤقتات SLA الآلية
يتم احتساب مؤقتات الاستجابة والحل للدعم تلقائياً بواسطة سياسة المنصة (الخطة + الأولوية)، مع احتساب حالات الإخلال وإصدار إشعارات داخل بوابة المالك عبر مجدول المنصة. التعديلات اليدوية تقتصر على ملاحظات المشغل ولا تستبدل حساب مواعيد الاستحقاق الآلي.
5.3 تصنيف أولوية الحوادث
تُصنف الحوادث وفقاً لمتطلبات نطاق ADHICS IM وأفضل ممارسات الصناعة:
5.3.1 الأولوية 1 - حرجة (طوارئ)
التعريف: انقطاع كامل للخدمة، أو اختراق بيانات، أو حادث أمني، أو حالة تجعل الخدمة غير قابلة للاستخدام تماماً لجميع المستخدمين بدون حل بديل متاح.
أمثلة:
- انقطاع على مستوى المنصة يؤثر على جميع المستأجرين
- اختراق بيانات مؤكد أو حادث أمني يتضمن PHI/PII
- فقدان كامل للوصول إلى وظائف الامتثال الحرجة
- إصابة ببرامج الفدية أو البرامج الضارة تؤثر على الخدمة
| المقياس | الهدف |
|---|---|
| الاستجابة الأولية | 30 دقيقة |
| تحديثات الحالة | كل 30 دقيقة |
| هدف الحل | ساعتان |
| إخطار دائرة الصحة | شبه فوري (وفقاً لمتطلبات ADHICS IM) |
5.3.2 الأولوية 2 - شديدة (عالية)
التعريف: ميزة رئيسية غير متاحة، أو تدهور كبير في الأداء يؤثر على مستخدمين متعددين، أو ثغرة أمنية ذات خطورة عالية في الاستغلال.
أمثلة:
- فشل نظام المصادقة لمستأجر محدد
- نظام إدارة المستندات غير متاح
- ميزات تقييم الامتثال لا تعمل
- تدهور كبير في الأداء (أكثر من 5 أضعاف أوقات الاستجابة العادية)
| المقياس | الهدف |
|---|---|
| الاستجابة الأولية | ساعة واحدة |
| تحديثات الحالة | كل ساعة |
| هدف الحل | 4 ساعات |
| إخطار دائرة الصحة | خلال ساعة واحدة من الإقرار (إن أمكن) |
5.3.3 الأولوية 3 - متوسطة
التعريف: تدهور الميزة مع توفر حل بديل، أو مشكلات متقطعة تؤثر على مستخدمين محدودين، أو ضعف في الوظائف غير الحرجة.
أمثلة:
- ميزات إعداد التقارير تعاني من تأخيرات
- التكاملات غير الحرجة تفشل بشكل متقطع
- مشكلات واجهة المستخدم تؤثر على متصفحات محددة
- المهام المجدولة متأخرة ولكنها لا تفشل
| المقياس | الهدف |
|---|---|
| الاستجابة الأولية | 4 ساعات |
| تحديثات الحالة | كل 4 ساعات |
| هدف الحل | 24 ساعة |
| إخطار دائرة الصحة | خلال 4 ساعات (إن أمكن) |
5.3.4 الأولوية 4 - منخفضة (عادية)
التعريف: مشكلات بسيطة، أو عيوب تجميلية، أو أسئلة عامة، أو طلبات ميزات، أو مشكلات ذات تأثير تجاري أدنى.
أمثلة:
- تناقضات طفيفة في واجهة المستخدم
- توضيحات في الوثائق
- طلبات تحسين الميزات
- أسئلة الاستخدام العامة
| المقياس | الهدف |
|---|---|
| الاستجابة الأولية | 8 ساعات عمل |
| تحديثات الحالة | كل 24 ساعة |
| هدف الحل | بذل قصارى الجهد (خلال 5 أيام عمل) |
| إخطار دائرة الصحة | خلال 24 ساعة (إن أمكن) |
5.4 إجراءات التصعيد
5.4.1 التصعيد بمبادرة العميل
إذا لم تُلبَّ أهداف وقت الاستجابة، يمكن للعملاء التصعيد:
| مستوى التصعيد | جهة الاتصال | المحفز |
|---|---|---|
| المستوى 1 | security@grscia.ae | تجاوز وقت الاستجابة بنسبة 50% |
| المستوى 2 | التصعيد التنفيذي عبر مدير الحساب | تجاوز وقت الاستجابة بنسبة 100% |
| المستوى 3 | إشعار خطي إلى admin@grscia.ae | إخفاقات متكررة في اتفاقية مستوى الخدمة |
5.4.2 متطلبات التصعيد
عند التصعيد، يجب على العميل تقديم:
- رقم التذكرة/الحالة الأصلي
- تاريخ ووقت التقديم الأصلي
- مستوى الأولوية المعين
- وصف التأثير
- جميع الاتصالات السابقة
5.5 دعم اللغة
الدعم متاح بـ:
- الإنجليزية (الأساسية)
- العربية (متاح عند الطلب)
6. حماية البيانات والأمان
6.1 إطار الأمان
تنفذ GRSCIA ضوابط أمنية متوافقة مع:
- ADHICS V2 (فئة مزود الخدمة)
- لائحة ضمان المعلومات الإماراتية (UAE IAR)
- ISO/IEC 27001 (التوافق قيد التنفيذ)
- أفضل ممارسات الصناعة لحماية بيانات الرعاية الصحية
6.2 تصنيف البيانات
تُصنف بيانات العميل وتُعالج وفقاً للفئات التالية:
| التصنيف | اللون | الوصف | الأمثلة | متطلبات المعالجة |
|---|---|---|---|---|
| سري جداً | أحمر | معلومات تتطلب حماية جوهرية ومتعددة المستويات نظراً لطبيعتها شديدة الحساسية. قد يؤثر الإفصاح بشكل خطير على الأمن الوطني أو التماسك الاجتماعي أو النظام العام | معلومات صحية لكبار الشخصيات، بيانات البحث والبيانات الخاصة، الملكية الفكرية | ضوابط وصول متعددة المستويات، أساس الحاجة إلى المعرفة، تشفير كامل أثناء التخزين والنقل، تسجيل تدقيق معزز |
| سري | برتقالي | معلومات تتطلب حماية قوية. تشمل جميع بيانات PII وPHI وفقاً لمتطلبات ADHICS. معلومات يقع على الجهة واجب العناية بحفظها بأمان | PHI، PII، السجلات الطبية، المعلومات المالية، بيانات رواتب الموظفين، تقارير التدقيق، سجلات المخاطر، مخططات الشبكة، تقارير الحوادث الأمنية | التحكم بالوصول القائم على الأدوار، التشفير أثناء التخزين والنقل، منع فقدان البيانات، مراجعات الوصول الدورية |
| مقيد | أزرق | معلومات تتطلب حماية سرية محدودة نظراً لاستخدامها في العمليات اليومية. قد يكون للإفصاح تأثير سلبي محدود على الجهة | السياسات، الإجراءات، إجراءات التشغيل الموحدة، التعاميم الداخلية، عقود المشاريع غير الحرجة، المراسلات التشغيلية | وصول موثق، ضوابط حماية قياسية، توزيع محدود للموظفين المصرح لهم |
| عام | أخضر | معلومات مخصصة للاستخدام العام بدون قيود قانونية أو تنظيمية أو مؤسسية على الوصول | معلومات الموقع الإلكتروني، الوثائق المنشورة، المواد التسويقية، المقالات الإخبارية | التحقق من السلامة، لا توجد متطلبات سرية |
6.3 معايير التشفير
6.3.1 البيانات في حالة السكون
- الخوارزمية: AES-256-GCM
- إدارة المفاتيح: مفاتيح يتحكم فيها العميل حيثما أمكن (BYOD)، مفاتيح يديرها المزود مع حماية HSM (السحابي)
- النطاق: جميع PHI, PII، بيانات الاعتماد، وبيانات التكوين الحساسة
6.3.2 البيانات أثناء النقل
- البروتوكول: TLS 1.3 (الحد الأدنى TLS 1.2)
- إدارة الشهادات: تدوير الشهادات التلقائي
- اتصال الوكيل: TLS المتبادل (mTLS) لعمليات نشر BYOD
6.3.3 البيانات أثناء المعالجة
- حماية الذاكرة: معالجة آمنة للذاكرة، عدم الاحتفاظ بالبيانات الحساسة المشفرة
- تنقية السجلات: تُنقح PII/PHI تلقائياً من سجلات النظام
6.4 التحكم في الوصول
6.4.1 المصادقة
- المصادقة متعددة العوامل (MFA) إلزامية لجميع المستخدمين
- الطرق المدعومة: تطبيقات المصادقة TOTP، UAE Pass OAuth2، OTP عبر البريد الإلكتروني
- إدارة الجلسات مع سياسات انتهاء المهلة القابلة للتكوين
- مراقبة محاولات تسجيل الدخول الفاشلة والإغلاق
6.4.2 التفويض
- التحكم في الوصول القائم على الأدوار (RBAC) بتسلسل ثلاثي:
- المالك: امتيازات إدارية كاملة
- المسؤول: امتيازات الإدارة التشغيلية
- العضو: امتيازات المستخدم القياسية
- تُطبق مبدأ الحد الأدنى من الامتيازات
- يُوصى بمراجعات الوصول المنتظمة
6.4.3 تسجيل التدقيق
- تُسجل جميع عمليات الوصول والإجراءات مع التجزئة المقاومة للتلاعب (SHA-256)
- معرفات الارتباط لتتبع الطلبات
- الاحتفاظ بالسجلات: سنتان على الأقل (قابل للتكوين)
- سجلات التدقيق متاحة لمراجعة العميل والتصدير
6.5 فصل البيانات
6.5.1 العزل متعدد المستأجرين (النشر السحابي)
- عزل منطقي للمستأجرين على مستوى التطبيق وقاعدة البيانات
- مفاتيح تشفير لكل مستأجر
- عزل على مستوى الشبكة بين أحمال عمل المستأجرين
- لا يمكن الوصول إلى بيانات عبر المستأجرين
6.5.2 عزل BYOD
- عزل كامل للبيانات في قاعدة بيانات يتحكم فيها العميل
- خطط التنفيذ موقعة تشفيرياً ومُتحقق منها
- لا وصول مباشر للمنصة إلى قاعدة بيانات العميل
6.6 إدارة الثغرات
| النشاط | التكرار | الوصف |
|---|---|---|
| فحص الثغرات | أسبوعياً | فحص آلي لجميع مكونات المنصة |
| اختبار الاختراق | سنوياً | تقييم مستقل من طرف ثالث |
| مراجعة أمان الكود | لكل إصدار | تحليل ثابت وديناميكي |
| فحص التبعيات | مستمر | أمان سلسلة التوريد الآلي |
| إدارة التصحيحات | حسب الخطورة | حرج: 24 ساعة، عالي: 7 أيام، متوسط: 30 يوماً، منخفض: 90 يوماً |
6.7 الشهادات والتقييمات الأمنية
| الشهادة/التقييم | الحالة | ملاحظات |
|---|---|---|
| امتثال ADHICS V2 | نشط | فئة مزود الخدمة |
| ISO 27001 | قيد التنفيذ | الشهادة مستهدفة |
| SOC 2 Type II | مخطط | خارطة طريق التنفيذ متاحة |
| التقييم الأمني السنوي | نشط | تدقيق مستقل من طرف ثالث |
7. النسخ الاحتياطي واستعادة الكوارث
7.1 خدمات النسخ الاحتياطي
7.1.1 جدول النسخ الاحتياطي
| نوع البيانات | تكرار النسخ الاحتياطي | فترة الاحتفاظ |
|---|---|---|
| قاعدة البيانات (كاملة) | يومياً | 30 يوماً |
| قاعدة البيانات (تزايدية) | كل ساعة | 7 أيام |
| قاعدة البيانات (سجل المعاملات) | مستمر | 7 أيام |
| تخزين المستندات | النسخ في الوقت الفعلي | 30 يوماً لإصدارات |
| تكوين النظام | يومياً | 90 يوماً |
| سجلات التدقيق | الأرشفة اليومية | سنتان على الأقل |
7.1.2 أمان النسخ الاحتياطي
- جميع النسخ الاحتياطية مشفرة باستخدام AES-256
- مفاتيح تشفير النسخ الاحتياطي مُخزنة بشكل منفصل عن بيانات النسخ الاحتياطي
- التحقق من سلامة وسائط النسخ الاحتياطي أسبوعياً
- اختبار استعادة النسخ الاحتياطي شهرياً
7.1.3 موقع النسخ الاحتياطي
- النسخ الاحتياطية الأولية مُخزنة في مركز بيانات الإمارات
- النسخ الاحتياطية الثانوية مُخزنة في منشأة إماراتية منفصلة جغرافياً
- لا تُخزن بيانات النسخ الاحتياطي خارج الإمارات
7.2 أهداف الاسترداد
| المقياس | النشر السحابي | نشر BYOD |
|---|---|---|
| هدف نقطة الاسترداد (RPO) | ساعة واحدة | يحدده العميل |
| هدف وقت الاسترداد (RTO) | 4 ساعات | مسؤولية العميل |
7.3 استعادة الكوارث
7.3.1 قدرات استعادة الكوارث
- تكوين استعادة الكوارث نشط-سلبي
- تجاوز الفشل التلقائي لمكونات البنية التحتية الحرجة
- اختبار استعادة الكوارث المنتظم (ربع سنوي)
- إجراءات وأدلة استعادة الكوارث الموثقة
7.3.2 اختبار استعادة الكوارث
- اختبار استعادة الكوارث الكامل: سنوياً
- اختبار استعادة الكوارث الجزئي: ربع سنوي
- تمارين الطاولة: نصف سنوي
- نتائج الاختبار والتقارير متاحة عند الطلب
7.4 مسؤوليات العميل للنسخ الاحتياطي
العملاء مسؤولون عن:
- تصدير والحفاظ على نسخ مستقلة من البيانات الحرجة
- اختبار تصدير البيانات للاكتمال والسلامة
- الحفاظ على نسخ احتياطية من التكوينات المخصصة
- عمليات نشر BYOD: تنفيذ استراتيجية النسخ الاحتياطي الخاصة بهم لقواعد البيانات في مقر العميل
8. إدارة الحوادث والإخطار بالانتهاكات
8.1 إطار الاستجابة للحوادث
تحافظ GRSCIA على قدرة الاستجابة للحوادث المتوافقة مع متطلبات نطاق ADHICS IM:
8.1.1 مراحل الاستجابة للحوادث
- الكشف: المراقبة الآلية، تقارير المستخدمين، تنبيهات الأمان
- الإقرار: تصنيف الحادث والاستجابة الأولية
- التحقيق: تحليل السبب الجذري، تحديد النطاق
- الاحتواء: الحد من تأثير الحادث وانتشاره
- الإزالة: إزالة التهديد والثغرات
- الاسترداد: استعادة العمليات العادية
- مراجعة ما بعد الحادث: الدروس المستفادة، تحسينات العمليات
8.2 إخطار الحوادث الأمنية
8.2.1 الإخطار للعميل
| خطورة الحادث | الإخطار الأولي | التحديثات |
|---|---|---|
| P1 حرج | خلال ساعة واحدة من الكشف | كل 30 دقيقة حتى الحل |
| P2 شديد | خلال 4 ساعات من الكشف | كل ساعتين حتى الحل |
| P3 متوسط | خلال 24 ساعة من الكشف | يومياً حتى الحل |
| P4 منخفض | خلال 48 ساعة من الكشف | عند حدوث تحديثات مهمة |
8.2.2 محتوى الإخطار
يجب أن تتضمن إخطارات الحوادث الأمنية:
- طبيعة الحادث ونطاقه
- أنواع البيانات المحتمل تأثرها
- الإجراءات المتخذة للاحتواء والمعالجة
- الإجراءات الموصى بها للعميل
- معلومات الاتصال بفريق الاستجابة للحوادث
8.3 الإخطار بانتهاك البيانات (امتثال ADHICS DP 1.7)
في حالة حدوث انتهاك بيانات مؤكد يتضمن PHI أو PII:
8.3.1 الجدول الزمني للإخطار
| الإجراء | الجدول الزمني | المسؤولية |
|---|---|---|
| الكشف الأولي عن الانتهاك للعميل | خلال 24 ساعة | GRSCIA |
| نموذج انتهاك البيانات إلى دائرة الصحة | خلال 72 ساعة من الإقرار | العميل (GRSCIA تساعد) |
| إخطار أصحاب البيانات المتأثرين | كما يحدده تقييم المخاطر | العميل (GRSCIA تساعد) |
| تقرير التحقيق الكامل | خلال 30 يوم عمل | GRSCIA |
8.3.2 التزامات GRSCIA
- إخطار العميل فوراً بأي انتهاك مشتبه به أو مؤكد
- تقديم التعاون الكامل في تحقيق الانتهاك
- الحفاظ على جميع الأدلة المتعلقة بالانتهاك
- تقديم المساعدة الفنية لإخطارات دائرة الصحة
- تنفيذ تدابير الاحتواء الفورية
- تقديم تقرير مفصل عن الحادث مع تحليل السبب الجذري
8.3.3 التزامات العميل
- الحفاظ على معلومات الاتصال المحدثة لإخطارات الانتهاك
- إكمال وتقديم الإخطارات التنظيمية المطلوبة (دائرة الصحة، إلخ.)
- إخطار أصحاب البيانات المتأثرين عند الاقتضاء
- التعاون مع GRSCIA في تحقيق الانتهاك
- تنفيذ تدابير المعالجة الموصى بها
8.4 إخطار مركز عمليات الأمن في دائرة الصحة (SOC)
للحوادث التي تتطلب إخطار مركز عمليات الأمن في دائرة الصحة وفقاً لمتطلبات ADHICS:
| الأولوية | الجدول الزمني للإخطار | تكرار التحديث |
|---|---|---|
| P1 حرج | شبه فوري | في الوقت الفعلي |
| P2 شديد | خلال ساعة واحدة | كل ساعة |
| P3 متوسط | خلال 4 ساعات | كل 4 ساعات |
| P4 منخفض | خلال 24 ساعة | كل 24 ساعة |
9. أرصدة الخدمة
9.1 أهلية الرصيد
تتوفر أرصدة الخدمة عندما تفشل GRSCIA في تلبية التزامات التوافر المحددة في القسم 4.1.
9.1.1 حساب الرصيد
| وقت التشغيل الشهري المُحقق | رصيد الخدمة (% من الرسوم الشهرية) |
|---|---|
| 99.9% - 99.0% | 10% |
| 99.0% - 97.0% | 25% |
| 97.0% - 95.0% | 50% |
| أقل من 95.0% | 100% |
9.1.2 أرصدة وقت استجابة الدعم
| نوع الفشل | رصيد الخدمة |
|---|---|
| استجابة P1 أكثر من ساعة واحدة | 5% من الرسوم الشهرية |
| حل P1 أكثر من 4 ساعات | 10% من الرسوم الشهرية |
| استجابة P2 أكثر من ساعتين | 2% من الرسوم الشهرية |
| حل P2 أكثر من 8 ساعات | 5% من الرسوم الشهرية |
9.2 حدود الرصيد
- الحد الأقصى لرصيد الخدمة لكل شهر تقويمي: 100% من رسوم اشتراك ذلك الشهر
- أرصدة الخدمة ليست تراكمية عبر الأشهر
- لا يمكن استبدال أرصدة الخدمة نقداً أو أي اعتبار آخر
- يجب تطبيق أرصدة الخدمة خلال 12 شهراً من إصدارها
9.3 عملية طلب الرصيد
9.3.1 متطلبات التقديم
للمطالبة برصيد الخدمة، يجب على العميل:
- تقديم مطالبة داخل بوابة المالك ضمن نطاق مساحة العمل (
/admin/workspaces/:slug/sla-claims) خلال 30 يوماً من الحادث - تضمين: اسم الحساب، معرف المستأجر، تواريخ وأوقات عدم التوافر، وصف التأثير
- تقديم أي أرقام تذاكر أو حالات ذات صلة
9.3.2 المراجعة والموافقة
- يقوم فريق إدارة GRSCIA بمراجعة المطالبات خلال 10 أيام عمل
- تُرحَّل المطالبات المعتمدة كمعاملات رصيد فوترة قابلة للتدقيق
- يمكن تصعيد المطالبات المتنازع عليها وفقاً للقسم 5.4
9.4 استثناءات الرصيد
أرصدة الخدمة غير قابلة للتطبيق على:
- وقت التوقف خلال الصيانة المجدولة
- الاستثناءات المدرجة في القسم 4.3
- فشل العميل في الوفاء بالتزاماته بموجب هذه الاتفاقية
- تعليق الخدمات بسبب عدم الدفع أو الانتهاك
- أحداث القوة القاهرة
- عمليات نشر BYOD حيث تنشأ المشكلة في بنية العميل التحتية
10. مسؤوليات العميل
10.1 الالتزامات العامة
يوافق العميل على:
10.1.1 إدارة الحساب
- الحفاظ على معلومات حساب دقيقة ومحدثة
- تعيين جهات اتصال معتمدة للدعم والتصعيدات
- إخطار GRSCIA فوراً بأي تغييرات في معلومات الاتصال
- إدارة وصول المستخدم بشكل مناسب داخل المنصة
10.1.2 التعاون الأمني
- تنفيذ وتطبيق MFA لجميع المستخدمين
- الحفاظ على سرية بيانات الاعتماد ورموز الوصول
- الإبلاغ فوراً عن أي حوادث أمنية مشتبه بها
- التعاون مع تحقيقات الأمان والاستجابة للحوادث
- تنفيذ التوصيات الأمنية المقدمة من GRSCIA
10.1.3 الاستخدام المقبول
- استخدام الخدمة وفقاً للقوانين واللوائح المعمول بها
- عدم محاولة اختراق أو التحايل على أو اختبار ضوابط الأمان
- عدم استخدام الخدمة لتخزين أو نقل كود ضار
- عدم مشاركة بيانات اعتماد الوصول مع أطراف غير مصرح لها
- عدم تجاوز حدود الاستخدام المرخصة أو حصص الخدمة
10.1.4 إدارة البيانات
- ضمان دقة وقانونية البيانات المُحملة إلى المنصة
- الحفاظ على نسخ احتياطية مستقلة للبيانات الحرجة
- تصنيف البيانات بشكل مناسب داخل المنصة
- إدارة الاحتفاظ بالبيانات والحذف وفقاً للسياسات الداخلية
10.2 مسؤوليات الامتثال لـ ADHICS
بينما توفر GRSCIA أدوات لدعم الامتثال، يظل العميل مسؤولاً عن:
- الإدارة الشاملة لبرنامج الامتثال لـ ADHICS
- تطوير السياسات والموافقة عليها (باستخدام قوالب المنصة حسب الاقتضاء)
- تنفيذ الضوابط داخل مؤسستهم
- جمع الأدلة وإدارتها
- الإخطارات التنظيمية والاتصالات مع دائرة الصحة
- برامج تدريب الموظفين والتوعية
- إدارة الأطراف الثالثة والموردين
- تنفيذات الأمن المادي
10.3 مسؤوليات BYOD الخاصة
لعمليات نشر BYOD، يكون العميل مسؤولاً بالإضافة إلى ذلك عن:
- توفير قاعدة البيانات وصيانتها وأمانها
- البنية التحتية للشبكة والاتصال
- أمان نظام مضيف الوكيل والتحديثات
- تنفيذ النسخ الاحتياطي واستعادة الكوارث
- تحسين أداء قاعدة البيانات
- إدارة سعة التخزين
11. مسؤوليات المزود
11.1 تقديم الخدمة
تلتزم GRSCIA بـ:
- الحفاظ على المنصة وفقاً لهذه الاتفاقية
- تقديم الخدمات بمهارة وعناية معقولة
- توظيف موظفين مؤهلين لتقديم الخدمة
- الحفاظ على الشهادات والتقييمات الأمنية المناسبة
- التحسين المستمر لجودة الخدمة والوضع الأمني
11.2 التزامات الدعم
ستقوم GRSCIA بـ:
- تقديم خدمات الدعم كما هو موضح في القسم 5
- الحفاظ على إجراءات الدعم الموثقة
- تدريب موظفي الدعم على ميزات المنصة والأمان
- تصعيد المشكلات بشكل مناسب داخل المؤسسة
- التواصل بشكل استباقي حول المشكلات المعروفة والحلول
11.3 الالتزامات الأمنية
ستقوم GRSCIA بـ:
- تنفيذ والحفاظ على ضوابط الأمان وفقاً للقسم 6
- إجراء تقييمات أمنية واختبار اختراق منتظم
- تطبيق التحديثات الأمنية ضمن الأطر الزمنية المحددة
- الحفاظ على قدرات الاستجابة للحوادث وفقاً للقسم 8
- إخطار العميل بالحوادث الأمنية وفقاً للجداول الزمنية المحددة
11.4 دعم الامتثال
ستقوم GRSCIA بـ:
- الحفاظ على امتثال مزود خدمة ADHICS
- تقديم دعم التدقيق والأدلة عند الطلب المعقول
- تحديث المنصة لتعكس التغييرات التنظيمية حيثما ينطبق
- توفير ميزات إعداد تقارير الامتثال داخل المنصة
11.5 معالجة البيانات
ستقوم GRSCIA بـ:
- معالجة بيانات العميل فقط حسب التعليمات ولتقديم الخدمة
- عدم استخدام بيانات العميل لأي غرض آخر
- عدم مشاركة بيانات العميل مع أطراف ثالثة غير مصرح لها
- تنفيذ التدابير التقنية والتنظيمية المناسبة لحماية البيانات
- إعادة أو حذف بيانات العميل عند الإنهاء وفقاً للقسم 12
12. الإنهاء والانتقال
12.1 حقوق الإنهاء
12.1.1 الإنهاء للملاءمة
يجوز لأي طرف إنهاء هذه الاتفاقية:
- في نهاية المدة الحالية بإشعار خطي لمدة 30 يوماً
- فوراً عند الانتهاك الجوهري للطرف الآخر (مع مراعاة فترة العلاج)
12.1.2 الإنهاء لسبب
يجوز لGRSCIA الإنهاء فوراً إذا:
- فشل العميل في دفع الرسوم غير المتنازع عليها خلال 30 يوماً من تاريخ الاستحقاق
- انتهك العميل بشكل جوهري أحكام الأمان أو الاستخدام المقبول
- استخدم العميل الخدمة لأغراض غير قانونية
- أصبح العميل معسراً أو دخل في إجراءات الإفلاس
يجوز للعميل الإنهاء فوراً إذا:
- فشلت GRSCIA في تلبية التزامات التوافر لمدة 3 أشهر متتالية
- تعرضت GRSCIA لانتهاك أمني جوهري يؤثر على بيانات العميل
- انتهكت GRSCIA بشكل جوهري التزامات حماية البيانات
- أصبحت GRSCIA معسرة أو دخلت في إجراءات الإفلاس
12.2 المساعدة في الانتقال
عند الإنهاء أو انتهاء الصلاحية، ستقدم GRSCIA:
12.2.1 تصدير البيانات
- يتم تقديم طلبات التصدير من بوابة المالك ضمن نطاق مساحة العمل، وتكون متاحة لمدة 30 يوماً بعد الإنهاء.
- ناتج النشر السحابي: تفريغ كامل لقاعدة بيانات المستأجر + جميع ملفات المستأجر المتاحة في التخزين السحابي للمستأجر + سجلات دورة الحياة/توقيتات الفوترة على مستوى التحكم.
- ناتج نشر BYOD: سجلات دورة الحياة/توقيتات الفوترة على مستوى التحكم فقط.
- تبقى مسؤولية استخراج قاعدة البيانات الأساسية وعمليات الاستخراج الكلي للمستندات/الملفات في BYOD على العميل داخل بنيته التحتية.
12.2.2 تنسيقات البيانات
| نموذج النشر | نطاق التصدير | التنسيق |
|---|---|---|
| السحابي | تفريغ كامل لقاعدة بيانات المستأجر + جميع ملفات المستأجر السحابية + سجلات دورة الحياة/الفوترة | أرشيف ZIP يحتوي DB dump + ملفات + سجلات CSV/JSON |
| BYOD | سجلات دورة الحياة/توقيتات الفوترة على مستوى التحكم فقط | أرشيف ZIP يحتوي سجلات CSV/JSON |
12.2.3 دعم الانتقال
- التعاون المعقول مع مزود الخدمة اللاحق
- جلسات نقل المعرفة (حتى 8 ساعات، إضافية متاحة بأسعار قياسية)
- الوصول إلى API لترحيل البيانات (30 يوماً بعد الإنهاء)
- وثائق مكتوبة لهياكل البيانات والتعيينات
12.3 حذف البيانات
12.3.1 الاحتفاظ بعد الإنهاء
- التزامات الاحتفاظ ومعالجة أوامر الحفظ القانونية تحكمها اتفاقية معالجة البيانات (DPA) والقانون المطبق
- تدعم هذه الاتفاقية عمليات الانتقال/التصدير خلال فترة ما بعد الإنهاء المتفق عليها
12.3.2 الحذف الآمن
- يتم تنفيذ الحذف الآمن وفق متطلبات DPA وإجراءات تشغيلية مضبوطة
- يتم تقديم تأكيد أو شهادة حذف عندما يكون ذلك متفقاً عليه تعاقدياً
12.3.3 امتثال ADHICS (TP 2.1)
وفقاً لمتطلبات ADHICS الخاصة بالأطراف الثالثة، تقدم GRSCIA تعاوناً انتقالياً معقولاً، بما في ذلك دعم التصدير بصيغ معيارية عند الاقتضاء.
13. السرية
13.1 المعلومات السرية
يوافق كل طرف على الحفاظ على سرية المعلومات السرية للطرف الآخر، والتي تشمل:
- المعلومات التقنية حول الخدمة
- خطط العمل والأسعار وقوائم العملاء
- تكوينات الأمان والإجراءات
- أي معلومات مميزة على أنها سرية
13.2 الاستثناءات
لا تشمل المعلومات السرية المعلومات التي:
- متاحة للجمهور أو أصبحت كذلك دون انتهاك
- كانت معروفة للطرف المتلقي قبل الإفصاح
- تم تطويرها بشكل مستقل دون استخدام المعلومات السرية
- تم الإفصاح عنها بموافقة خطية مسبقة من الطرف المُفصح
13.3 الإفصاحات المسموح بها
يجوز الإفصاح عن المعلومات السرية:
- للموظفين والمقاولين الذين يحتاجون إلى المعرفة، بموجب التزامات السرية
- حسبما يقتضيه القانون أو اللوائح (مع إشعار مسبق حيثما يُسمح)
- للمستشارين المهنيين بموجب التزامات السرية
- حسب الإذن الخطي من الطرف المُفصح
13.4 المدة
تستمر التزامات السرية بعد الإنهاء لمدة 3 سنوات، باستثناء الأسرار التجارية التي تظل سرية إلى أجل غير مسمى.
14. حقوق التدقيق
14.1 الحق في التدقيق
وفقاً لمتطلبات ADHICS TP 2.1، يحق للعميل:
- طلب واستلام تقارير وشهادات الامتثال
- مراجعة سجلات التدقيق وتقارير الأمان
- إجراء أو تكليف تقييمات أمنية (بإشعار معقول)
- طلب أدلة الامتثال لهذه الاتفاقية
14.2 عملية التدقيق
14.2.1 إجراء الطلب
- طلب خطي قبل 30 يوماً على الأقل
- تحديد النطاق والأهداف بوضوح
- إجراء التدقيق خلال ساعات العمل
- تتحمل التكاليف الجهة الطالبة (ما لم يكشف التدقيق عن انتهاك جوهري)
14.2.2 تعاون GRSCIA
ستقوم GRSCIA بـ:
- توفير الوصول المعقول للموظفين والوثائق ذات الصلة
- الرد على استفسارات التدقيق خلال 10 أيام عمل
- معالجة نتائج التدقيق ضمن الأطر الزمنية المتفق عليها
- عدم إعاقة أنشطة التدقيق المشروعة
14.3 التدقيقات التنظيمية
ستتعاون GRSCIA مع:
- تدقيقات وتفتيشات دائرة الصحة
- تدقيقات شهادة ADHICS (تصنيف-رينا)
- الفحوصات التنظيمية الأخرى حسبما يقتضيه القانون
15. تحديد المسؤولية
15.1 حد المسؤولية
باستثناء المطالبات المستثناة (القسم 15.3)، لا تتجاوز المسؤولية الإجمالية الكلية لGRSCIA بموجب هذه الاتفاقية الأكبر من:
- إجمالي الرسوم التي دفعها العميل في الـ 12 شهراً السابقة للمطالبة، أو
- 100,000 درهم إماراتي (مائة ألف درهم إماراتي)
15.2 استبعاد الأضرار
لا يكون أي من الطرفين مسؤولاً عن:
- الأضرار غير المباشرة أو العرضية أو الخاصة أو التبعية
- خسارة الأرباح أو الإيرادات أو فرص العمل
- فقدان البيانات (باستثناء ما هو منصوص عليه لانتهاك البيانات)
- الضرر بالسمعة
- التعويضات العقابية أو الرادعة
15.3 المطالبات المستثناة
لا تنطبق القيود في القسمين 15.1 و15.2 على:
- الإهمال الجسيم أو سوء السلوك المتعمد
- انتهاك التزامات السرية
- التزامات التعويض
- الاحتيال أو التحريف الاحتيالي
- المسؤولية التي لا يمكن استبعادها بموجب القانون
15.4 العلاج الوحيد
أرصدة الخدمة هي العلاج الوحيد والحصري للعميل عن فشل GRSCIA في تلبية التزامات اتفاقية مستوى الخدمة. قبول أرصدة الخدمة يشكل تنازلاً عن أي مطالبات أخرى ناشئة عن نفس الحادث.
16. التغييرات على هذه الاتفاقية
16.1 عملية التعديل
16.1.1 التغييرات الجوهرية
- إشعار خطي مسبق لمدة 30 يوماً مطلوب
- الإشعار يتم عبر إشعار قانوني داخل بوابة المالك
- التغييرات سارية المفعول عند التجديد التالي ما لم يعترض العميل
16.1.2 التغييرات غير الجوهرية
- التوضيحات أو التصحيحات أو التحسينات
- سارية المفعول عند النشر على موقع GRSCIA
- الإخطار عبر صفحة الحالة أو الإعلان داخل المنصة
16.2 حقوق العميل
إذا اعترض العميل على التغييرات الجوهرية:
- اعتراض خطي خلال 30 يوماً من الإشعار
- يتفاوض الطرفان بحسن نية
- يجوز للعميل الإنهاء دون عقوبة إذا تعذر التوصل إلى اتفاق
- يظل إصدار الاتفاقية السابق سارياً حتى الإنهاء
16.3 التحكم في الإصدارات
- جميع إصدارات الاتفاقية مؤرشفة ومتاحة عند الطلب
- الإصدار الحالي متاح على: https://grscia.ae/legal/sla
- رقم الإصدار وتاريخ السريان محددان بوضوح
17. القانون الحاكم وحل النزاعات
17.1 القانون الحاكم
تخضع هذه الاتفاقية وتُفسر وفقاً لقوانين دولة الإمارات العربية المتحدة، دون مراعاة مبادئ تعارض القوانين.
17.2 الاختصاص القضائي
تختص محاكم أبوظبي، دولة الإمارات العربية المتحدة، حصرياً بأي نزاعات ناشئة عن أو متعلقة بهذه الاتفاقية.
17.3 عملية حل النزاعات
17.3.1 الحل غير الرسمي
يحاول الطرفان أولاً حل النزاعات من خلال التفاوض بحسن نية:
- تقديم إشعار خطي بالنزاع للطرف الآخر
- فترة 30 يوماً للحل غير الرسمي
- التصعيد إلى الإدارة العليا إذا لزم الأمر
17.3.2 الوساطة
إذا فشل الحل غير الرسمي:
- يخضع الطرفان للوساطة غير الملزمة
- يُختار الوسيط بالاتفاق المتبادل
- تُجرى الوساطة في أبوظبي
- تُقسم التكاليف بالتساوي
17.3.3 التقاضي
إذا فشلت الوساطة:
- يُقدم النزاع إلى المحاكم وفقاً للقسم 17.2
- يحق للطرف الفائز الحصول على الرسوم القانونية المعقولة
17.4 استمرارية الخدمة
خلال أي نزاع:
- تستمر GRSCIA في تقديم الخدمات (مع مراعاة الدفع)
- يستمر العميل في دفع المبالغ غير المتنازع عليها
- لا يتخذ أي طرف إجراءً أحادياً لتعطيل الخدمات
18. الأحكام العامة
18.1 الاتفاق الكامل
تشكل هذه الاتفاقية، مع الاتفاقية الرئيسية للخدمات وشروط الاستخدام وسياسة الخصوصية وسياسة ملفات تعريف الارتباط واتفاقية معالجة البيانات، الاتفاق الكامل بين الطرفين فيما يتعلق بموضوعها.
18.2 قابلية الفصل
إذا وُجد أي حكم من أحكام هذه الاتفاقية غير قابل للتنفيذ، تظل الأحكام المتبقية سارية المفعول بالكامل.
18.3 التنازل
لا يشكل الفشل في تنفيذ أي حكم تنازلاً عن حقوق التنفيذ المستقبلية.
18.4 التنازل عن الحقوق
لا يجوز لأي طرف التنازل عن هذه الاتفاقية دون موافقة خطية مسبقة، باستثناء لشركة تابعة أو فيما يتعلق بالاندماج أو الاستحواذ.
18.5 القوة القاهرة
لا يكون أي طرف مسؤولاً عن التأخيرات أو الإخفاقات بسبب ظروف خارجة عن السيطرة المعقولة، بما في ذلك الكوارث الطبيعية والحرب والإرهاب والوباء والإجراءات الحكومية أو أعطال الاتصالات.
18.6 الإشعارات
تُقدم جميع الإشعارات كتابياً وتُسلم إلى:
- عناوين البريد الإلكتروني المحددة في الحساب
- العناوين الفعلية المحددة في اتفاقية الاشتراك
تصبح الإشعارات سارية عند تأكيد التسليم.
18.7 المقاولون المستقلون
الطرفان مقاولان مستقلان. لا شيء في هذه الاتفاقية ينشئ علاقة توظيف أو وكالة أو شراكة أو مشروع مشترك.
18.8 حقوق الأطراف الثالثة
لا تمنح هذه الاتفاقية أي حقوق للأطراف الثالثة إلا كما هو منصوص عليه صراحةً.
18.9 البقاء
تبقى الأقسام 6 (حماية البيانات)، 10 (مسؤوليات العميل)، 12 (الإنهاء)، 13 (السرية)، 14 (حقوق التدقيق)، 15 (تحديد المسؤولية)، 17 (القانون الحاكم)، و18 (الأحكام العامة) سارية بعد الإنهاء.
19. معلومات الاتصال
19.1 تفاصيل الاتصال بمزود الخدمة
GRSCIA، بإدارة وتشغيل سايزوشير لخدمات التفتيش والتدقيق - ذ.م.م - شركة الشخص الواحد
| الغرض | جهة الاتصال |
|---|---|
| الاستفسارات العامة | info@grscia.ae |
| الدعم الفني | info@grscia.ae |
| الحوادث الأمنية | security@grscia.ae |
| التصعيدات | security@grscia.ae |
| القانونية/الامتثال | compliance@grscia.ae |
| خط الطوارئ | +971501123842 |
| الموقع الإلكتروني | https://www.grscia.ae |
| صفحة الحالة | https://status.grscia.ae |
19.2 جهات الاتصال التنظيمية
للاستفسارات المتعلقة بـ ADHICS:
- برنامج أمن معلومات الصحة في أبوظبي: aamen@doh.gov.ae
- استفسارات معيار ADHICS: adhics@doh.gov.ae
- مركز عمليات الأمن في دائرة الصحة: soc@doh.gov.ae، +971 2 419 3777
20. الإقرار
من خلال قبول اتفاقية مستوى الخدمة هذه، يُقر العميل بأنه:
- قرأ وفهم جميع الشروط والأحكام الواردة هنا
- يوافق على الالتزام بالالتزامات المنصوص عليها في هذه الاتفاقية
- أرصدة الخدمة هي العلاج الوحيد للعميل لانتهاكات توافر اتفاقية مستوى الخدمة
- العميل مسؤول عن برنامج امتثال ADHICS الخاص به
- سيحافظ العميل على معلومات اتصال دقيقة للإخطارات
- سيتعاون العميل مع إجراءات الاستجابة للحوادث الأمنية
- هذه الاتفاقية صالحة لمدة سنة واحدة وتتجدد تلقائياً ما لم يتم إنهاؤها وفقاً للقسم 12
معلومات الوثيقة:
| الحقل | القيمة |
|---|---|
| مرجع الوثيقة | GRSCIA-SLA-2025-V2.0 |
| الإصدار | 2.0 |
| تاريخ السريان | 1 يناير 2025 |
| آخر تحديث | 4 يناير 2026 |
| دورة المراجعة | سنوية |
| المراجعة التالية | يناير 2027 |
| مالك الوثيقة | GRSCIA - القانونية والامتثال |
| سلطة الموافقة | إدارة GRSCIA |
صُممت اتفاقية مستوى الخدمة هذه لتلبية متطلبات نطاق أمن الأطراف الثالثة (TP) في ADHICS V2 والقانون الاتحادي الإماراتي رقم 2 لسنة 2019 بشأن استخدام تكنولوجيا المعلومات والاتصالات في الرعاية الصحية.
© 2025-2026 GRSCIA، بإدارة وتشغيل سايزوشير لخدمات التفتيش والتدقيق - ذ.م.م - شركة الشخص الواحد. جميع الحقوق محفوظة.