التقرير السنوي الموحد 2025

English
0

تقريري

في الوقت الحالي، لا توجد إدخالات متاحة للعرض

    تنزيل كملف PDF
    الصفحة التالية الصفحة السابقة
    تنزيل هذه الصفحة احفظ هذه الصفحة في تقريري
    Decorative path

    حوكمة الشركات

    خصوصية البيانات وإدارة المعلومات

    يعتبر مصرف الراجحي البيانات أحد أصوله الأساسية التي تدفع نحو التميز التشغيلي واتخاذ القرارات المستنيرة وتقديم تجارب عملاء متميزة. ولحماية هذا الأصل، يطبق المصرف معايير صارمة لحوكمة البيانات وخصوصيتها وأمنها، مما يضمن تلبية جميع التوقعات التنظيمية والقطاعية. تقع مسؤولية خصوصية البيانات على عاتق رئيس قسم التحول الرقمي، بينما يشرف رئيس مجموعة المخاطر على أنشطة الأمن السيبراني. تتعزز الرقابة بشكل أكبر من خلال لجنة الأمن السيبراني وأمن المعلومات، التي تُشرف على تنفيذ جميع البرامج ذات الصلة وحوكمتها ومراقبتها باستمرار.

    توفر سياسة حوكمة البيانات الخاصة بالمصرف، والتي وُضعت عام 2022، إطارًا شاملًا يغطي أربعة عشر مجالًا أساسيًا، بدءًا من جودة البيانات وهيكليتها والبيانات الوصفية وتحليلاتها، وصولًا إلى مشاركة البيانات والبيانات المفتوحة وحماية البيانات الشخصية. تدعم هذه السياسة ممارسات إدارة البيانات المتسقة وتعزز التوافق التنظيمي وتُرسخ نموذج حوكمة موحدًا على مستوى المصرف.

    وفي أعقاب إصدار نظام حماية البيانات الشخصية في المملكة العربية السعودية في 2023، تعاون مصرف الراجحي مع مكتب إدارة البيانات الوطنية والتزم بتوجيهات البنك المركزي السعودي لتطبيق ضوابط قوية لحماية البيانات الشخصية. خلال السنة المالية المشمولة بالتقرير، قام المصرف بفهرسة جميع أنشطة معالجة البيانات الشخصية وتقييم أثرها المحتمل على الأفراد وإنشاء مستودع مركزي لتوثيق عمليات معالجة البيانات، كما أجرى مصرف الراجحي تقييمًا لالتزام حقوق أصحاب البيانات لضمان التوافق مع جميع متطلبات حماية البيانات.

    طبّق مصرف الراجحي في عام 2024 سياسة الخصوصية المُحدّثة وأصدر إشعارًا تفصيليًا للخصوصية يتوافق مع معايير نظام حماية البيانات الشخصية ومكتب إدارة البيانات الوطنية. يوضح هذا الإشعار أنواع البيانات التي يجري جمعها والغرض من استخدامها، وكيفية إدارتها طوال دورة حياتها، كما يُبيّن حقوق العملاء، بما في ذلك حقهم في سحب موافقتهم على معالجة بياناتهم الشخصية في أي مرحلة.

    يلتزم مصرف الراجحي بإجراءات رسمية لإدارة خروقات البيانات، بما يتوافق مع المادة 20 من نظام حماية البيانات الشخصية والمادة 24 من لائحته التنفيذية. تتطلب هذه الإجراءات الإبلاغ عن أي خرق مؤكد إلى البنك المركزي السعودي خلال أربع ساعات، وإلى الهيئة السعودية للبيانات والذكاء الاصطناعي خلال اثنان وسبعين ساعة، بالإضافة إلى إخطار الأفراد المتضررين فورًا. تشمل هذه العملية اكتشاف الاختراقات من خلال ضوابط المراقبة والتحقيق وتقييم الأثر وأنشطة المعالجة والاستعادة والإبلاغ في الوقت المناسب.

    حُدثت سياسات الخصوصية الداخلية والخارجية وطُبقت على مستوى المصرف لتتوافق مع معايير نظام حماية البيانات الشخصية ومعايير المصرف. وبينما لا يزال العمل جاريًا على وضع إطار حوكمة رسمي للذكاء الاصطناعي، أجرى مصرف الراجحي تقييمات للخصوصية لتحديد مخاطر البيانات الحساسة وتعزيز الضوابط وفقًا لذلك. يُقيَّم الالتزام باستمرار وفقًا لمتطلبات متطلبات نظام حماية البيانات الشخصية ومكتب إدارة البيانات الوطنية في جميع مناطق الاختصاص التي يباشر فيها المصرف أعماله.

    تنطبق سياسة خصوصية البيانات على جميع الأطراف الداخلية والخارجية، بما في ذلك الموظفين والمتعاقدين وموظفي الموردين وموظفي الشركات التابعة، الذين يتعاملون مع البيانات الشخصية نيابةً عن المصرف، سواءً من خلال العمليات اليدوية أو الأنظمة الآلية. وتتوافق هذه السياسة تمامًا مع معايير نظام حماية البيانات الشخصية ومكتب إدارة البيانات الوطنية. يظل الأمن السيبراني ركيزة أساسية للمرونة التشغيلية وإطار الحوكمة في مصرف الراجحي. ومع استمرار تطور التهديدات السيبرانية عالميًا، يتبنى المصرف نهجًا شاملًا ومنظمًا لإدارة مخاطر الأمن السيبراني لحماية أصوله المعلوماتية وأنظمته وعملياته التجارية. يرتكز الأمن السيبراني في المصرف على ثلاثة مبادئ أساسية:

    • السرية: ضمان عدم إمكانية الوصول إلى المعلومات إلا للأفراد المصرح لهم.
    • النزاهة: الحفاظ على دقة البيانات وموثوقيتها.
    • التوافر: ضمان استمرار إمكانية الوصول إلى المعلومات والأنظمة عند الحاجة.

    تتوافق سياسة الأمن السيبراني لمصرف الراجحي مع المتطلبات التنظيمية للهيئات الحكومية مثل استراتيجية وإطار عمل الأمن السيبراني للبنك المركزي السعودي ونظام المدفوعات الفورية «سريع» والهيئة الوطنية للأمن السيبراني، بالإضافة إلى أفضل الممارسات القياسية مثل معيار «الآيزو 27001» ومعيار أنظمة بطاقات الدفع ومعايير أمن البيانات (PCI DSS). يجب على جميع الموظفين الالتزام بسياسة الأمن السيبراني للمصرف والأطر والمعايير والإجراءات والتوجيهات ذات الصلة. تشرف إدارة أمن المعلومات على المراجعات الدورية للسياسة لضمان الالتزام المستمر بالمتطلبات القانونية والتنظيمية والتعاقدية، ويُعد هذا الالتزام أمرًا إلزاميًا، ويخضع من يخالفه للإجراءات التأديبية. يجب تقديم طلبات الاستثناء أو الإعفاء رسميًا مع المبررات، ثم يجري مراجعتها للوقوف على الآثار المترتبة على المخاطر ومدى الالتزام ثم الموافقة عليها عبر قنوات الحوكمة المحددة. تخضع الطلبات المتعلقة بمتطلبات إطار عمل الأمن السيبراني للبنك المركزي السعودي لإجراءات الإعفاء المعتمدة لديه.

    تُجرى تقييمات مستمرة لمخاطر الأمن السيبراني في البيئات الداخلية ومع الجهات الخارجية لتحديد المخاطر وتقييمها وترتيب أولوياتها بناءً على شدتها. تتوافق خطط معالجة المخاطر تمامًا مع إطار إدارة المخاطر المؤسسية للمصرف، مما يضمن اتخاذ قرارات مستنيرة. يشرف مجلس الإدارة على الحوكمة، بدعم من لجنة الأمن السيبراني، والتي تضم كبار المسؤولين التنفيذيين والعضو المنتدب والرئيس التنفيذي وقادة الأقسام. تتمثل مهام هذه اللجنة في التوجيه الاستراتيجي ومراقبة برامج الأمن السيبراني ومراجعة مؤشرات الأداء والمخاطر الرئيسية وضمان توافق مبادرات الأمن السيبراني مع مستوى تقبّل المخاطر لدى المصرف. يواصل المصرف الاستثمار في تعزيز مهام الأمن السيبراني لديه من خلال هيكل تنظيمي واضح المعالم وتقييمات مستمرة لكفاءات القوى العاملة، مما يضمن توافر متخصصين مؤهلين في مجال الأمن السيبراني في جميع وحدات الأعمال والشركات التابعة.

    ضوابط الأمن السيبراني وأعمال المراقبة

    لتعزيز قدرات الكشف عن التهديدات والاستجابة لها، طبق مصرف الراجحي أدوات مراقبة أمنية متطورة مدمجة في جميع أنحاء بنيته التقنية، حيث تُسجل جميع الأحداث الأمنية والاختراقات المحتملة وإدارتها من خلال نظام مخصص لإدارة الحالات، ويتم التعامل معها وفقًا لخطط الاستجابة للحوادث المحددة مسبقًا في المصرف، وتُصنف هذه الحوادث باستخدام مصفوفة تصنيف البيانات الخاصة بالمصرف، والتي تحدد مستويات التصعيد. تؤدي الحوادث الخطيرة والحرجة إلى تفعيل فريق إدارة الأزمات لاحتواء الحادث والتعافي منه بشكل منسق، ويخضع كل حادث لتحليل أسبابه الجذرية والقضاء عليه ومراجعة رسمية للدروس المستفادة لتعزيز الجاهزية المستقبلية.

    ثقافة الأمن السيبراني والتوعية

    يُعد بناء قوة عاملة واعية بالأمن السيبراني جزءًا لا يتجزأ من استراتيجية الأمن السيبراني للمصرف، ويُعد إكمال الوحدات الإلزامية للتأهيل في مجال الأمن السيبراني، والمُعدة بالشراكة مع أكاديمية الراجحي، أمرًا إلزاميًا لجميع الموظفين الجدد. تُقدم خطة تدريب سنوية للتوعية بالأمن السيبراني لجميع الموظفين، بالإضافة إلى حملات توعية دورية لتعزيز السلوك الآمن وغرس ثقافة أمن سيبراني مرنة على مستوى المصرف.

    التقييمات والاختبارات الفنية

    يجري مصرف الراجحي تقييمات دورية للثغرات الأمنية واختبارات اختراق لأنظمته وتطبيقاته، بالإضافة إلى تقييمات مخصصة بناءً على التهديدات الناشئة. تُبلَّغ جميع النتائج إلى الجهات المعنية ومتابعتها حتى إغلاقها، وذلك تحت إشراف الإدارة العليا لضمان المعالجة الفورية والفعالة.

    التزام الموردين والجهات الخارجية بمعايير الأمن السيبراني

    نظرًا للاعتماد المتزايد على مزودي الخدمات الخارجيين، يُطبق مصرف الراجحي متطلبات صارمة للأمن السيبراني ضمن عمليات الشراء وإدارة الموردين، حيث تتضمن العقود بنودًا شاملة تغطي سرية البيانات وسلامتها وتوافرها ومسؤوليات الاستجابة للحوادث وإجراءات الإبلاغ عن الاختراقات. يجب على الموردين إثبات وجود ضوابط أمنية قوية، والحفاظ على الشهادات ذات الصلة مثل معايير الآيزو والسماح للمصرف بإجراء تقييمات أمنية للتحقق من مستوى الالتزام.

    إدارة الهوية والوصول

    يستخدم مصرف الراجحي عمليات إدارة الهوية والوصول لضمان الوصول الآمن والموثق داخل بيئة عمل المصرف. تتكامل أنظمة إدارة الهوية والوصول مع الدليل النشط وبروتوكول الوصول إلى الدليل الخفيف لتوحيد عملية مصادقة المستخدمين وإدارة الوصول. في حال حدوث اختراق للبيانات، يتولى فريقا الأمن السيبراني وحماية البيانات التنسيق لتقييم الأثر وتنفيذ الإجراءات التصحيحية، واستكمال جميع الإخطارات التنظيمية وإخطار العملاء حسب الاقتضاء.

    الالتزام بثقة العملاء والمرونة المؤسسية

    يُعدّ الأمن السيبراني أمرًا أساسيًا للحفاظ على ثقة العملاء وحماية المعلومات الحساسة ودعم الالتزام وتعزيز السمعة وكسب ثقة المساهمين. ومن هذا المنطلق، يُؤكد مجلس الإدارة والإدارة التنفيذية التزامهما الراسخ بدعم استراتيجية المصرف وسياساته وأهدافه في مجال الأمن السيبراني. يضمن المصرف، من خلال ضوابطه الشاملة وآليات الحوكمة والاستثمارات المستمرة في الموارد البشرية والتقنيات، التزامًا قويًا بمعايير الأمن السيبراني ومرونة عالية، مما يُؤمّن أصوله الرقمية ويُمكّن جميع عملائه من الحصول على خدمات مصرفية آمنة وغير منقطعة.

    Close