Beruflich Dokumente
Kultur Dokumente
المقدمة.
المحاولت الجادة لستقصاء الراء حول التعامل بالتجارة
اللكترونية.
تحليل المشروع المريكي الكندي المشترك.
مقدمة
لقد ذكر (البرت مرسيل )Albert Marcellaفي مقالته المعنونة بالتجارة
اللكترونية في مجلة تدقيق تكنولوجيا المعلومات " ،لقد أحدثت التجارة اللكترونية
تغيرات كبيرة في عالم التجارة العالمي وفي آلية العمليات التجارية مما جعل من
الضروري أن يلم كل من المحاسب والمدقق بتلك التغيرات وأثرها على مهنتهما
وعلى العمال التي يقومان عليها وعلى ظروف البيئة القانونية المتعلقة بالمهنة "
1
1
Albert Marcella, Electronic, Opcit.
94
وبالفعل فلقد تنبهت بعض الهيئات المحاسبية لهمية وخطورة الموضوع ،
وعلى رأسها معهد المحاسبين القانونيين المريكي ،ومعهد المحاسبين القانونيين
الكندي " ،ويمكن القول بأن مهنة المحاسبة كانت من السباقين بتطوير معايير للتجارة
اللكترونية ، Electronic Commerce Standardsكمحاولة لتمكين طـرف
ثالث مستقل بأن يزود آلية التوكيدية لمجتمع العمال المتعاملين بهذا النوع الجديد
من التجارة ،وانطلقا من الرغبة في تمكين مهنة المحاسبة من المواكبة والستجابة
السريعة لتزويد خدمات التوكيدية ،قام كل من معهد المحاسبين القانونيين المريكي
ومن خلل مشروع مشترك مع معهد المحاسبين القانونيين الكندي بإنشاء فريـق
عمل للتجارة اللكترونية ، Electronic Commerce Taskforceمهمته تحديد
1
حاجات السوق لخدمات التوكيد "Assurance
وقد استطاعت اللجنة فعل تحديد قلق الجمهور ،والذي تمحور حول فقدان
المان ،والخصوصية ،والثقة بالعمليات اللكترونية التي تتم عبر التجارة
اللكترونية .ووجدت اللجنة أن المستهلكين قلقين بشكل جدي وحصرت تساؤلتهم
بالشكل التالي:
-1هل الشركة التي أتعامل معها عبر شبكة النترنيت ،هي فعل
الشركة المعنية أم ل ؟
-2هل في حالة أني زودت الشركة برقم بطاقة اعتمادي أو رقم
حسابي تعد عملية آمنة ؟
-3هل المعلومات الشخصية الخاصة بي ل يتم تداولها من قبل الغير
في شبكة النترنيت ؟
-4هل سأتلقى طلبي نفسه الذي أطلبه عبر شبكة النترنيت ؟
-5هل سيتم اليفاء بالتسليم وفي الموعد المحدد ؟
1
Appalraju Yogen, Accountants Chip In To Build Trust In E-Commerce, Computing Canada, 11/23/98,
Vol. 24, Issue 44, Page 28, www.ebscohost.com.
95
-6من الذي سيكفل حصولي على قيمة البضاعة المذكورة بموقع
الشركة ؟
"ومـن الجديـر ذكره بأن فريـق العمـل اسـتطاع إنشاء موثوقيـة الموقـع
Webtrustفي خر يف عام ، 1997و تم إ صدار ت سعة أختام إلكترون ية في ن فس
1
العام ،وقد يحتاج السوق إلى بعض الوقت لدراك أهمية هذه الخدمة الجديدة"
1
Appalraju Yogen, Ibid.
96
م نذ ظهور التجارة اللكترون ية والتبادل اللكترونـي ،وانطلقـا مـن المردود
القتصـادي الضخـم الذي يمكـن تحقيقـه ،قامـت كثيـر مـن الجهات المهنيـة بعمـل
البحوث المتعددة ل ستقصاء جم يع آراء المهتم ين ،وذلك للوقوف على حا جة ال سوق
وأ سباب الحجام عن التعا مل بهذا النوع من التبادل اللكترو ني ،كمحاولة حقيق ية
ليجاد حلول مناسـبة لجميـع المشاكـل المرافقـة لهذا النوع مـن التبادل الجديــد ،
وبالتالي تأميـن الثقـة بـه وتشجيـع الجميـع على التعامـل مـن خلله ،ومـن أهـم هذه
البحوث:
1
مسح لتبادل المعلومات اللكترونية في فنلندة EDI Survey in Finland
حيث قام مركز تطوير تكنولوجيا المعلومات الفنلندي The Finnish
، Information Technology Development Centerفي خريف عام 1998
بعمل مسح شامل بما يتعلق بتبادل المعلومات اللكترونية Electronic Data
، )Interchange (EDIوالممول من وزارة النقل والتصالت الفنلندية.
لقد هدف البحث إلى معرفة كيفية استخدام الشركات الفنلندية للية تبادل
المعلومات إلكترونيا ،وما هي المنافع التي يمكن جنيها بواسطة استخدام هذه التقنية.
وقد توصل البحث إلى عدد من النتائج ،وكان من أهمها أن الشركات
الفنلندية الكبيرة تستخدم آلية تبادل المعلومات بشكل متزايد للسباب التالية:
-1أن هذه اللية ،إذا ما قورنت بحجم الشركة تعد من الليات القل
تكلفة مقارنة بالليات التقليدية.
-2تعد هذه اللية من أنجع الحلول للشركات التي ل تستطيع إيجاد
شركاء مناسبين لترويج سلعها عبر العالم.
ولكن من أهم السلبيات التي توصل إليها البحث ،هي عجز كثير من الشركات
صغيرة الحجم ،في اقتناء ومواكبة هذه التقنية ؛ نظرا للتكلفة الكبيرة بالنسبة لها.
1
Kristina Veravainen, EDI Survey in Finland, IT Audit, Vol. 2, November 15, 1999, www.theiia.org
97
مؤتمر عالم من دون حدودA Borderless World 1
لقد قامت منظمة التعاون القتصادي والتطوير Organization for
Economic Co-operation & Developmentخلل الفترة 9-7أكتوبر لعام
1998في أوتوا ، Ottawaبتنظيم مؤتمر تحت عنوان " عالم من دون حدود:
إدراك إمكانيات التجارة اللكترونية" ،والملفت للنظر بأن هذه المنظمة غير
الحكومية مكونة من 29عضوا ،ومن أبرز أعضائها الوليات المتحدة المريكية ،
واستراليا ،والمملكة المتحدة ،وكندا ،وبلجيكا ،مما يدلل على أهمية التجارة
اللكترونية في العالم .تهدف هذه المنظمة إلى تجميع أعضائها بمنتدى يتم من
خلله تبادل الخبرات بين الدول العضاء ،ومناقشة المشاكل المشتركة فيما بينهم ،
ومن ثم إيجاد حلول يتم تفعيلها بشكل عملي من خلل الجراءات المحلية لكل دولة.
لقد تمركزت أعمال المؤتمر حول المشاكل التي أفرزتها بيئة التجارة
اللكترونية بما يخص كل من:
1
John Yu, Privacy, A Burning Issue For E-Commerce, Vol. 1, December 1, 1998, www.theiia.org
98
-1الضريبة Taxation
-2الخصوصية Privacy
-3حماية المستهلك Consumer Protection
-4المان والتوثيق المستندي Security & Authentication
-5الوصول للمعلومات Information Access
-6ومواضيع تخص البنية التحتية Infrastructure Issues
ومن الوراق المهمة التي تمت مناقشتها بالمؤتمر ،ورقة بعنوان تطبيق
"إرشادات بالخصوصية" في البيئة اللكترونية وبالتركيز على شبكة النترنيت
Implementing "Privacy Guidelines" in the Electronic
، Environment: Focus on the Internetحيث ذكرت الورقة بأنه اصبح من
الضرورة القصوى تثقيف المدققين ،وبشكل جيد بالتجارة اللكترونية.
لقد اقترحت الورقة ثمانية مبادئ خاصة بالبيانات المستقاة عبر التجارة
اللكترونية ،والتي يجب أن يأخذها المدقق بعين العتبار عند تدقيقه لهذا النـوع
من التعامل اللكتروني ،ويمكن تلخيص تلك المبادئ بالشكل التالي:
-1مبدأ محدودية جمع البيانات Collection Limitation
Principleوالذي ينص على وجوب تحديد كيفية جمع
البيانات ،وأن جمع البيانات يجب أن يتم بطرق ووسائل قانونية
وبشكل يتماشى مع مصالح صاحب البيانات.
-2مبدأ نوعية البيانات Data Quality Principle ،والذي
ينص على أن جميع البيانات يجب أن تكون على علقة وثيقة
99
بالهدف المرجو من جمعها ويجب أن تكون عملية جمع البيانات
عملية دقيقة ،وكاملة وفي الوقت الملئم.
-3مبدأ تحديد الهدف Purpose Specification Principle
والذي ينص على أنه يجب تحديد هدف جمع البيانات وبشكل
مسبق لعملية الجمع ،وتكون عملية الجمع غير ملئمة للهدف إذا
ما تمت قبل تحديده.
-4مبدأ محدودية الستخدام Use Limitation Principleوالذي
ينص بعدم استخدام البيانات التي تم جمعها لغايات مغايرة للهدف
المحدد مسبقا ،ويجب الحصول على الترخيص القانوني الملئم
إذا ما تقرر استخدامها لغايات أخرى.
-5مبدأ الوقاية Security Safeguard Principleوالذي ينص
على انه قد تم اتخاذ الحتياطات اللزمة وبشكل معقول لحماية
البيانات الشخصية من الضياع ،والستخدام غير المصرح به ،
والعبث ،والفصاح عنها للجهات غير المعنية.
-6مبدأ السياسات ، Policies Principleوالذي ينص على
ضرورة الفصاح عن السياسات المتبعة بما يخص كل من
الممارسات الجرائية ،وجميع السياسات الخرى الخاصة
بصاحب البيانات.
-7مبدأ مساهمة الفرد Individual Participation
Principleوالذي ينص على منح الفرد حق توكيد صحة
المعلومات الشخصية ،خلل وقت معقول ،وضمن تكلفة
مناسبة ،وإعطائه الحق في إبداء السباب لعدم سماحه للغير في
الدخول للبيانات وحق تغيير أو تصحيح البيانات.
100
-8مبدأ المسؤولية Accountability Principleوالذي ينص
على أن المسؤول أو المتحكم بالبيانات يعد مسؤول وبشكل كامل
عن تطبيق جميع مقاييس المبادئ السبعة السابقة.
وفي نهاية الورقة تم طرح بعض المواضيع والمشاكل التي طرأت في بيئة
النترنيت مؤخرا وكان من أهمها:
-سهولة سرقة عناوين البريد اللكترونية Ease of Harvesting
e-mailواستخدامها من قبل الغير في السواق اللكترونية ودون
علم أصحابها.
-سهولة نشر معلومات مضللة عبر البريد اللكتروني.
-سهولة نشر معلومات مضللة عبر مواقع التصفح .Websites
-حق المستخدِم بمراقبة البريد إلكتروني للمستخدَم.
-استخدام النترنيت لغراض الحتيال والتلعب.
-عملية جمع المعلومات عن المشتريات عبر النترنيت وعدم
استخدام هذه المعلومات بشكل مناسب لستهداف السواق.
وفي نهاية الورقة تم التأكيد بأن الحكومة جنبا إلى جنب مع القطاع الخاص
تلعبان دورا مهما ومسؤول بشكل مباشر عن توفير آليات الحماية المناسبة لتحقيق
الخصوصية المنشودة عبر النترنيت ،وتم شرح الدوار بالشكل التالي:
دور الحكومة
ل بد للحكومة إذا ما أرادت إنجاح تكنولوجيا التجارة اللكترونية توفيـر
إطار قانوني ملئم يستطيع تشجيع العمال عن طريق تطوير حلول تكنولوجية
101
تساهم في حماية الخصوصية المنشودة على شبكة النترنيت من جهة ،وتوعية
الشعوب لهمية هذا النوع من التجارة من جهة أخرى.
وقد اقترحت الورقة ثلثة مبادئ يمكن اعتبارها كإرشادات للحكومات لحماية
خصوصية مواطنيها ،والتي يمكن تلخيصها بالشكل التالي:
-1مبدأ الشفافية في جمع البيانات Principle of
Transparency for Data Collectionوالذي ينص على
ضرورة إعلم الشخص بعملية جمع البيانات عنه قبل البدء بعملية
الجمع ،ويرى الباحث بأنه من الصعب تطبيق هذا المبدأ
وخصوصا أن عملية جمع البيانات عبر النترنيت تتم بشكل
فوري عند شك المراقبين ببعض الشخاص المتعاملين عبر
النترنيت ،وفي حالة انتظارهم لعملية إبلغه ستكون جميع
المعلومات قد اختفت أو أخفيت ،حيث ل يحتاج المر إل
لضغطة كبسة بسيطة على لوحة المفاتيح.
-2مبدأ الشفافية في استخدام البيانات Principle of
Transparency for Data Useوالذي ينص على السماح
للشخاص بالسيطرة على عملية استخدام البيانات الخاصة بهم ،
ومنع النتهاكات.
-3مبدأ السيطرة Principle of Controlوالذي ينص على
السماح للشخص المعني بفحص دقة المعلومات الخاصة به وحظر
تحويل أو نشر أو بيع تلك البيانات.
102
واسـتطاعت بعـض القطاعات كسـب ثقـة المسـتخدمين وشجعتهـم على الدخول لعالم
التجارة اللكترونية من خلل آلياتها ،وعن طريق الشتراك بها في كثير من الحيان
وكمثال على هذه الليات التالي:
)Secure Socket Layer (SSL-1والذي أنشىء بواسطة شركة
Netscapeوالذي صمم بشكل يحمي تداول المعلومات عبر
صفحات النترنيت ،ويزود آلية أمنه نوعا ما لتداول واستخدام
بطاقات الئتمان من خلله.
)Secure Electronic Transaction (SET-2وتم تطوير هذه
اللية بالتعاون ما بين عدة قطاعات خاصة ،ومن أشهر هذه
القطاعات ،كل من Visa Internationalو MasterCard
Internationalوشركة IBMو Microsoftو Oracleو
Netscapeوأخرين .وقد زودت هذه اللية مستخدمي بطاقات
الئتمان بعدة وسائط ووسائل للدفع عبر الشبكة بواسطة بطاقاتهم
من خلل شركة أخرى تملك آلية مساندة Open Profiling
)Standards (OPSلمساعدة المستهلك على التحكم بالمعلومات
الخاصة به ،والمبعوثة عبر شبكة النترنيت.
)Platform for Privacy Preferences (P3P-3وهي عبارة
عن آلية تسمح لصحاب المواقع على الشبكة بشرح وتزويد آليات
الحماية الخاصة بهم وتسمح للمستخدم بوضع الشروط الخاصة به
وتحديد الجهات التي لها الصلحية بالدخول لبياناته.
E-mail Preference Services-4والتي تم إنشاؤها بواسطة
قطاع خاص أمريكي ، Direct Marketing Groupوتسمح
هذه اللية للمستهلك بحرية الختيار عند فتحه لبريد إلكتروني
خاص به بان ل يدرج بريده عبر الشبكة.
103
دور المدققين والمحاسبين
قد يكون دور كل من المدقق والمحاسب من أوضح الدوار بما يخص تقنية
التجارة اللكترونية ،فمن جهة فإن دور المحاسب محدد بالتأكد بأن النظام المحاسبي
العامل بالشركة ،نظام محمي بشكل جيد وأن مخرجاته ذات مصداقية عالية ،
وخصوصا المخرجات الخاصة بالتعاملت عبر التجارة اللكترونية ،ومن جهة
أخرى فالمدقق مسؤول عن إبداء رأيه بنظام الشركة وبالسياسات المتبعة من قبلها
لتوفير الخصوصية المنشودة للمستهلك وحماية نفسها من الختراقات وبالتالي توفير
معلومات موثقه وملئمة للجهات المعنية .
بحصث بعنوان "الطار الفاعصل لتقييصم سصياسة ومواضيصع البنيصة التحتيصة الخاصصة
بالتجارة اللكترونيصة"An Effective Framework for Evaluating 1
.Policy and Infrastructure Issues for E-Commerce
ذ كر في هذا الب حث أن الن مو المت سارع بالتعا مل بالتجارة اللكترون ية ،و ما
صـاحبه مـن مخاطـر كثيرة ،جعلت دول كثيرة تنشـئ خططا بعدة مسـتويات وأن
تصدر عدة تشريعات ،ولكن المشكلة تكمن في صعوبة تقييم هذه الخطط.
رغم أن البحث قام بتحليل تلك الخطط من الجانب القتصادي ،إل أن الملفت
للنظر ،كان تلك السياسة الخاصة بالتجارة اللكترونية ،والتي طرحتها حكومـة
الوليات المتحدة المريكية بهدف تشريعها في مطلع شهر يوليو لعام 1997
والمسماة بإطار التجارة اللكترونية A Framework for Electronic
، Commerceوالتي ركزت على ضرورة مساهمة النترنيت في دمقرطة المجتمع
، Democratize Societyوفتح السواق ،وزيادة خيارات المستهلك.
1
C Standing, & Benson S, An Effective Framework for Evaluating Policy and Infrastructure Issues for E-
Commerce, Information Infrastructure & Policy, 2000, Vol. 6, Issue 4, Page 227, www.ebscohost.com
104
تضمنت السياسة دور الحكومة في تبني منهجية السوق Market Oriented
، Approachوذلك لغايات العولمة ،والشفافية وإنشاء بيئة تخمينية Predictable
Environmentلمساندة بيئة العمال بالدولة .ومن أهم مبادئ تلك السياسة:
-1أن يتولى القطاع الخاص زمام المور.
-2تقليل تدخلت الحكومة قدر المكان في الممارسات والجراءات.
-3اقتصار دور الحكومة على حماية المستهلك وتزويده ببيئة قانونية
ذات طابع بسيط ،وآمن.
-4توفير مبادئ ضريبية محلية مستقرة عبر الوليات ،وأخرى
عالمية وبالتعاون مع بقية الدول.
-5إنشاء اتفاقيات حول التبادل عبر شبكة النترنيت والحد من
المعوقات.
-6العمل على إنشاء سوق عالمي.
-7حماية حقوق الملكية.
-8العمل على الحد من تضارب السيطرة على السماء
التجارية.
-9العمل على وقف التمييز الضريبي على شبكة
النترنيت.
-10توثيق العمليات.
-11العمل على إيجاد أنظمة تسعير وتصفية لمحتويات النترنيت.
-12العمل على تحسين آلية الحماية المتعلقة بالعمليات عبر النترنيت.
وقد تم فعل تشريع تلك السياسة في نوفمبر من عام ، 1998وتم العلن
بأن الغايات الساسية لهذه السياسة تنحصر في حماية المستهلك من الحتيالت ،
وتحسين البنية التحتية للتصالت ،وتشجيع كل من الشركات الصغيرة ،والدول
النامية على الدخول في معترك النترنيت والتجارة اللكترونية.
105
وبالنظر للسياسة الولى والرابعة والعاشرة والثانية عشر ،يرى الباحـث
بأن مهنة المحاسبة هي من أفضل الجهات التي يمكن أن تساهم بتحقيقها ،ولو دققنا
بعض الشيء لوجدنا أن معهد المحاسبين القانونيين المريكي كان من السباقين في
تفعيل هذه السياسات ،وحتى قبل أن تقر من قبل الحكومة المريكية ،وهذا إن دل
على شيء ،فإنما يدل على تعلق المر بمهنة المحاسبة وبشكل مباشر ،ويستطيع
الباحث القول بأنه ورغم النجازات الكبيرة التي تحققت ،إل أننا ل نزال في بداية
الطريق.
مقالة بعنوان "هيئة الوراق المالية تراقب عن كثب إيرادات بيع الكتب عبر التجارة
اللكترونية" ، SEC Eyes E-Commerce Books 1تذكر الكاتبة أن لجنة
الوراق المالية تراقب وبحذر الممارسات المحاسبية المتبعة من قبل بعض شركات
بيع الكتب عبر النترنيت ،وقد يؤثر تشدد اللجنه في حالة أنها قررت ذلك على
نتائج إيرادات الشركات ،ونتائج الرباح ،وقد يبلغ التأثير ذروته على تقييم سوق
الوراق المالية.
علما أن أول عملية محاسبية متعلقة بالبيع عبر التجارة اللكترونية تمت من
قبل شركة برايسلين لبيع الكتب عبـر شبكة النترنيت ، .Priceline.com Inc
ومن ثم تبعتها شركة امزون ..Seattle-based Amazon.com Inc
وقد ذكر السيد ( Brian EKالمتحدث باسم شركة برايسلين) أن شركته تطبق في
نظام محاسبتها مبادئ المحاسبة المقبولة عموما ،وكل ما يعني شركته هو الشراء
والبيع كمثيلتها من الشركات ،وعند سؤاله عن المخاطر المرافقة للتجارة
اللكترونية ووقعها على المستهلك ،أجاب" :لو نظرتم إلى كشف حساب بطاقة
1
Maria Trombly, SEC Eyes E-Commerce Books, Computerworld, 3/6/2000, Vol. 34, Issue 10, Page 6,
www.ebscohost.com
106
ائتمان المتعامل معنا ،فلن تجدوا اسم شركة طيران ولكنكم ستجدون اسم شركتنا ،
فل تقلقوا" والمقصود برده أن شركته ل تعمل بأسلوب وكلء شركات الطيران الذين
يتقاضون عمولت عن بيع التذاكر؛ وبالتالي أسماؤهم لن تظهر بكشوف حساب
مشتري تذاكر الطيران ،بل هي التي تملك السلعة ،وبالتالي تتقاضى ثمنها كامل.
وعند سؤال مجلس معايير المحاسبة المالية المريكي FASBعن الموال التي
تجنيها شركات الكتب ،قال" :إن الموال التي تتقاضاها شركات الكتب مقابل بيع
سلعها قد تشابه إلى حد كبير مفهوم العمولت التي يتقاضاها وكلء شركات
الطيران".
وأضاف مجلس معايير المحاسبة المالية المريكي FASBالقول" :بأنه قريبا
سيلزم الشركات إجراء بعض الفحوص قبل القرار باعتبار تلك الموال إيرادات ،
والتي قد تتضمن بأن الشركات فعل تستطيع تقدير مخاطر الئتمان ،أو أنها تدعي
بما ل تستطيع تحقيقه لغراض زيادة مبيعاتها".
وفي نهاية المقالة تتخوف الكاتبة بأنه وفي حالة صدور أي معيار من قبل
مجلس معايير المحاسبة المالية المريكية FASBللية العتراف بإيرادات التجارة
اللكترونية ،قد يلزم الشركات المتعاملة بها من إعادة تعديل قوائم دخولها بأثر
رجعي ،وبالتالي تأثر أسعار أسهمها بالسوق المالي بشكل سلبي ؛ مما قد يجعل
المستثمرين بتلك الشركات يتجنبون الستثمار مستقبل بالشركات التي تتعامل
بالتجارة اللكترونية ،مما قد يؤدي إلى اندثار هذه التقنية الحديثة وخسران القتصاد
بشكل عام للفوائد الكبيرة المرجوة منها.
ويود الباحث أن ينوه ،وبأنه ولغاية إعداد هذه الدراسة ،لم يصدر مجلس
معايير المحاسبة المالية المريكي FASBأي معيار خاص يعالج آلية العتراف
107
باليرادات المتولدة عبر قنوات التجارة اللكترونية ،ويعتقد أن السبب يعود
للصعوبات الكبيرة الناتجة عن غياب التوثيق المستندي ،ول تزال الدراسات
الخاصة بهذا الموضوع دراسات حديثة جدا ،وقد يلزم عقد من الزمن على القل
للتوصل إلى نتائج جازمة.
ويرى الباحث بأن تركيزه في هذه الدراسة سوف ينصب حول تطوير نظام
ربط بين نظام المعلومات المحاسبي وموقع التصفح الخاص بالشركة عبر النترنيت؛
لتوفير كل من المان والموثوقية والتوكيدية ،والذي قد يساهم مستقبل بإيجاد آليات
معينة للعتراف باليراد المتولد عبر هذه التقنية الحديثة.
وبناءً على نتائج اللجنـة قام المعهدان ومـن خلل المشروع المشترك بينهمـا
بإنشاء خدمـة تدقيـق جديدة تـم التفاق على تسـميتها (موثوقيـة الموقـع )Webtrust
وهـي عبارة عـن منـح الشركـة الراغبـة بالحصـول على هذه الخدمـة الجديدة ختما
108
إلكترون يا يو ضع على صفحة موقع ها بح يث يبين للمتعا مل مع ها بأن موقع ها ي تم
1
.تدقيقه من قبل أحد منتسبي المعهدين
بدأ المعهدان بإصـدار عدد مـن الصـدارات المعدلة بالشكـل1999 فمنـذ مطلع عام
2
:والتسلسل التالي
1- Webtrust Principles and Criteria for Business-to-Consumer
Electronic Commerce. October 15, 1999, Version 2.0.
2- Webtrust Program, Availability Principle and Criteria. January
1, 2001, Version 3.0.
3- Webtrust Program, Integrity Principle and Criteria. January 1,
2001, Version 3.0.
4- Webtrust Program, Security Principle and Criteria. January 1,
2001, Version 3.0.
5- Webtrust Program, Practitioner Guidance on Scoping and
Reporting Issues. January 1, 2001, Version 3.0.
6- Exposure Draft, AICPA/CICA, Trust Services Principles and
Criteria, Incorporating Systrust and Webtrust, July 1, 2002,
Version 1.0.
والسـبب يعود إلى أن، وقـد اختار الباحـث تحليـل الصـدار المعدل الخيـر
الصـدار الخيـر يعـد إصـدارا شامل لكـل الصـدارات السـابقة والمعمول بـه حاليـا
.ولغاية إعداد هذه الدراسة
1
Appalraju Yogen, Accountants Chip In To Build Trust In E-Commerce, Computing Canada, 11/23/98,
Vol. 24, Issue 44, Page 28, www.ebscohost.com.
2
American Institute of Certified Public Accountants, Inc. www.aicpa.rog.
109
مسودة المشروع المشترك بين معهد المحاسبين القانونيين المريكي ومعهد
المحاسبين القانونيين الكندي ،حول مبادئ ومعايير خدمات التوثيق التي تساهم في
1
توفير الثقة لكل من النظام ومواقع التصفح عبر النترنيت/الصدار الخير
يبدأ ال صدار بإعطاء مل خص ب سيط بالقول "إن مجلس التطو ير التا بع لك ـل
مـن معهـد المحاسـبين القانونييـن المريكـي ومعهـد المحاسـبين القانونييـن الكندي قد
وضع إطار عمل لتطوير خدمة جديدة؛ وذلك استجابة لحاجة السوق الجديدة في ظل
بيئة العمال الجديدة".
مبادئ ومعايير خدمات الموثوقيةTrust Services Principles & Criteria 2
1
Exposure Draft, AICPA/CICA, Trust Services Principles and Criteria, Incorporating Systrust and
Webtrust, July 1, 2002, Version 1.0, American Institute of Certified Public Accountants, Inc.
www.aicpa.rog. Page (1).
2
Exposure Draft, AICPA/CICA, Ibid.
110
عليهـا عـبر التعامـل بالتجارة اللكترونيـة مـن خلل شبكـة
النترنيـت ،يتماشـى مـع سـياسات الشركـة الموضوعـة لتأميـن
الخصوصية للمتعاملين معها.
-5السصرية ( ، )Confidentialityوتنـص على أن سـرية جميـع
المعلومات ،تتماشـى مـع سـياسات الشركـة الموضوعـة لتأميـن
سرية المعلومات.
المعايير Criteria
وفيما يلي المعايير المرتبطة بكل من المبادئ أعله:
-1السياسات ( ، )policiesوتنص على
أنه يجب على الشركة تعريف وشرح
ـع المبادئ
ســياساتها المتماشيــة مـ
المنصوص عليها في المشروع.
-2شبكات الربص
صصصصصصصصصصصصط(
، )Communicationsوتنـ
ــص
بأنـه يجـب علــى الشركـة ربـط
ســياساتها المعلنــة بالمســتخدمين
المرخصين.
-3الجراءات (، )Procedures
وت نص على أ نه ي جب على الشرك ـة
اتباع الجراءات اللز مة ال تي تؤهل ها
لتحق يق أهداف ها المتماش ية مع أهداف ها
المعلنة.
-4المراقبصة ( ، )Monitoringوتنـص
على أنـه يجـب على الشركـة مراقبـة
111
ـا بحذر؛ وذلك لتخاذ الجراء
نظامهـ
اللزم عنـد الضرورة للتماشـي مـع
سياساتها المعلنة.
112
-و ضع إجراءات منطق ية للم صرح ل هم بدخول النظام وعدم
جعل سلطتهم مطلقة.
-و ضع إجراءات ملمو سة للم صرح ل هم بدخول النظام وعدم
جعل سلطتهم مطلقة.
-وضع أسس حماية منطقية لمنع غير المصرح لهم بدخول
النظام.
-و ضع أ سس حما ية منطق ية لم نع البرا مج المحو سبة وغ ير
المصرح لها بدخول النظام.
-وضع أسس حماية منطقية تمنع وصول معلومات العمليات
التي تتم عبر التعامل إلى الجهات غير المصرح لها.
-تعر يف وتوض يح الجراءات ال تي ستتخذ في حالة محاولة
اختراق النظام من قبل الغير.
-وضع أسس تصحيح سير العمليات التي لم تكتمل.
1
Exposure Draft, AICPA/CICA, Ibid.
113
أول :السياسات Policies
إن اسـتخدام مصـطلح السـياسات فـي المشروع يعنـي تلك البيانات الخطيـة
المصدرة والم صادق عليها من ق بل الشر كة ،والمتضم نة ل كل من توجهات ها
وأهدافهـا ،وتحديـد المسـؤولية الخاصـة بالعامليـن فيهـا ،والمعاييـر العمليـة
الضروريـة والواجـب اتباعهـا خلل تنفيـذ العمليات بشكـل عام وفـي التجارة
اللكترونية بشكل خاص.
114
-2البرمجيات ، Softwareوهـي عبارة عـن البرامـج الضروريـة
لعملية تشغيل النظام.
-3الشخاص ، Peopleوالمقصـود هنـا هـم الشخاص الواجـب
توفيرهـم لتشغيـل النظام ومراقبتـه :كالمـبرمجين والمشغليـن
ومستخدمي النظام والداريين.
-4الجراءات ، Proceduresو هي عبارة عن التعليمات الخا صة
بخطوات البرمجـة والسـتخدام الضروريـة لعمليـة تشغيـل النظام
وصيانته.
-5البيانات ، Dataوهي المعلومات المنصوص بإدخالها في النظام
والتـي تتضمـن معلومات آليـة التحويـل والملفات وقواعـد البيانات
والجداول المختلفة.
115
اكتملت. توكيلهم بمهمة وضعها ومراجعتها.
أن تكون إجراءات تحديد مستويات الستخدام
لكل من مصرح له بذلك قد وثقت.
أن يقوم مسـؤول عمليـة الحمايـة بمراجعـة
ـنوي وطلب
ـل سـ
ـة بشكـ
ـياسات الحمايـ
سـ
التعديلت الضرورية عند الحاجة.
ي جب أن تحتوي سياسات الشر كة لعمل ية أن تقوم الشركــة بتوثيــق كــل مــا جاء 1.2
ـي العمود
ـا فـ
ـب اتباعهـ
بالجراءات الواجـ حماية النظام التالي:
اليمن. -تعريـف وتوثيـق متطلبات الحمايـة
للمستخدمين.
-تعريـف طبيعـة تأهيـل عمليـة دخول
النظام.
ـر
ـع الدخول غيـ
ـة منـ
ـف آليـ
-تعريـ
المصرح له للنظام.
-تعريـف آليـة إدخال مسـتخدمين جدد
وم نع ا ستخدام م ستخدمين ل يراد ل هم
الستمرار باستخدام النظام.
-تحديد المسؤولين عن حماية النظام.
-تحديد المسؤولين عن صيانة وتحديث
النظام.
-تحديـد وتقييـم مكونات النظام قبـل
وضعه في الخدمة.
-تحديـد الليـة المتبعـة فـي حـل أي
مشكلة حماية عند ورودها.
-الجراءات المتبعــة للتعامــل مــع
الختراقات لعمليـة الحمايـة فـي حالة
حدوثها.
-وضـع مخصـصات لعمليـة التدريـب
الضروريــة والخاصــة بســياسات
116
الحماية.
أن يتـم تعييـن مسـؤولين عـن وضـع أن يتم استحداث منصب تحت مسمى مسؤول 1.3
سياسات حما ية النظام وا ستبدالهم بش كل قسم المعلومات.
مع ضرورة الحصول على حق ملكية كل من دوري.
البيانات والبرامج وعمليات التحويل.
-2شبكات الربط Communications
2.1أن تكون الشركة قد عرفت شبكات الربط أن تكون الشركـة قـد أنشأت موقـع تجارتهـا
اللكتروني على شبكة النترنيت. بالنظام.
أن تكون الشركــة قــد وضعــت وصــفا
للمستخدمين بشبكة الربط.
أن تكون تعهدات الشركـة بعمليـة حمايـة أن يتم العلن عن تعهدها بحماية خصوصية 2.2
زبائن ها والم ستخدمين الخارج ين على موقع ها نظامها واضحة ومفصلة للمستخدمين.
فـي شبكـة النترنيـت ،وأن يكون هذا التعهـد
من ضمن اتفاقيات التعامل.
أن تكون مسؤولية حماية النظام مربوطة جعـل فريـق الشبكات مسـؤول بشكـل مباشـر 2.3
بشبكـة اتصـال مـع الشخاص المعنييـن عـن تنفيـذ وتفعيـل سـياسات الحمايـة ضمـن
توجيهات مسؤول المعلومات. لوضع أو تعديل سياسات الحماية.
يجـب ربـط آليـة التبليـغ عـن اختراقات ي تم تفع يل ذلك بو ضع آل ية معي نة في مو قع 2.4
النظام مباشرة مــع المصــرح لـــهم الشركة على شبكة النترنيت يسمح للمستخدم
بالبلغ عـن الختراقات التـي تحدث للنظام، بالتعامل ومعالجة الختراقات.
ويجـب أن تكون آليـة البلغ هذه مربوطـة
بشكـل مباشـر مـع الشخاص المصـرح لهـم
بمعالجة تلك الختراقات
يجـب ربـط التغيرات التـي تحدث على ويتـم ذلك فـي الغالب بواسـطة العلن عـن 2.5
نظـم الحمايـة بيـن كـل مـن الدارة التغيرات التـي يمكـن أن تحدث لنظـم حمايـة
الشر كة والتزامات ها تجاه الزبائن على موقع ها والمستخدم.
على شبكـة النترنيـت مـع توضيـح الليات
الجديدة لتلك التغييرات.
-3الجراءات Procedure
3.1يجــب أن يحوي نظام الشركــة على ضرورة ح صول كل م ستخدم جد يد على أداة
تعريـف ورقـم سـري خاص بـه للتسـجيل إجراءات منطقية كالتالي:
117
بالنظام. -التسجيل والسماح لمستخدمين جدد.
ضرورة ا ستخدام الم ستخدم لدوات التعر يف -تعريف شروط المستخدم الجديد.
والرقام السرية للدخول إلى النظام. -تحديد آلية تغيير أو تحديث معلومات
تمكيـن المسـتخدم بتغييـر أو تعديـل معلوماتـه المستخدم.
ولكـن بعـد أن يكون قـد حصـل على أداة -تحد يد آل ية شروط ال سمـاح بالدخول
تعريف ورقم سري خاص به وبشكل مسبق. إلى النظام.
إنشاء نظام خاص تحدد بــه آليــة وشروط -تحديد صلحيات المستخدمين.
الدخول. -تحذيـر الدخول لبيانات غيـر خاضعـة
ـم
ـموح لهـ
ـد الشخاص المسـ
ضرورة تحديـ للتعديل.
بالو صول للمعلومات غ ير الخاض عة للتعد يل -تحذيــر الدخول إلى مناطــق النظام
من قبل المستخدمين. الحسـاسة مثـل أرقام التشغيـل السـرية
جعـل الدخول إلى مناطـق النظام الحسـاسة الرئيسية وأنظمة الحماية.
مقصـور على فريـق تشغيـل الشبكات وتحـت
مراقبة مسؤول المعلومات.
يجــب أن يحتوي النظام على إجراءات ي جب أن يتـم الدخول إلى الغرف ال تي تحوي 3.2
فعليـة وملموسـة تحدد آليـة الحـد مـن تلك الجراءات عـن طريـق بطاقات خاصـة
ـب أن تحوي تلك
ـا يجـ
ـرية وكمـ
وصـول غيـر المصـرح له إلى الجزاء وبأرقام سـ
الخاصـة بمنـع الختراقات Firewallsالغرف على (كمرات) مراقبة.
والتي تنشأ بواسطتها التعليمات.
ــب أن يحوي النظام على إجراءات ويتـم ذلك بوضـع آليـة توقـف عمليـة الدخول
يجـ 3.3
حمايـة تحـد مـن الدخول المنطقـي غيـر وتمنعها إذا ما تمت محاولة الدخول لكثر من
المصرح له إلى مناطق النظام المنطقية .ثلث مرات بمعلومات دخول خاطئة.
يجـب أن يحوي النظام على آليات تمنـع ويتـم ذلك بالتعاون مـع الشركات المصـنعة 3.4
دخول الفيروســات والبرامــج غيــر لبرامـج الحمايـة مـن الفيروسـات وتحديثهـا
بشكل دوري. المصرح لها.
يجــــب أن يحوي النظام على تقنيات ويتـم ذلك مـن خلل الشتراك بإحدى شبكات 3.5
تكنولوج ية تح مي بيانات المدخلت التـي التشغيـل الخاصـة بحمايـة العمليات التـي تتـم
على موقـع الشركـة ،وتوثيـق ذلك الشتراك تتم خلل إتمام العمليات على الشبكة.
118
بعقود قانونية.
يجــب أن يحوي النظام على الجراءات ويتـم ذلك مـن خلل تبنـي الشركـة لمنهجيـة 3.6
ـة
ـه وآليـ
ـة تحدد دورة النظام التشغيليـ
الخا صة ب كل من عمل ية الت صميم للنظام معينـ
ـة إدارة البنيــة التملك التي يجب اتباعها وآلية كل من تفعيل
والتملك والتفعيــل وآليـ
التحت ية وبرا مج الحما ية وبش كل يتما شى النظام وصـيانته وبشكـل يتماشـى مـع جميـع
مـع السـياسات الموضوعـة لمنـع الدخول المعلومات التكنولوجية الخاصة به.
غير المصرح له.
يجــب أن يحوي النظام على الجراءات وذلك بو ضع و صف وظي في مو ثق يحدد به 3.7
الخاصة بآلية تحديد المسؤوليات المناطة الشخاص المســؤولين عــن تلك العمليات
ـميم ودرجة ونطاق مسؤولياتهم.
ـن تصـ
ـؤولين عـ
بالشخاص المسـ
وتطوير وتفعيل آليات الحماية.
ــب أن يحوي النظام على إجراءات وذلك بإنشاء قسم خاص من قبل الدارة العليا يجـ 3.8
تحدد المصـرح لهـم بفحـص وتوثيـق يناط بـه مهمـة وضـع القوانيـن وتحديـد
مسؤوليات جميع الوظائف الضرورية. التغييرات التي تستحدث على النظام.
يجــب أن يحوي النظام على الجراءات وذلك بوضع إجراءات موثقة يتم اتباعها عند 3.9
الخاصـة بآليـة التغييرات الطارئة التـي حدوث أي طارئ.
تحدث على النظام.
-4المراقبة Monitoring
4.1يجـب أن يتـم تقييـم نظام الحمايـة بشكـل بحيـث يقوم فريـق حمايـة المعلومات بمراقبـة
النظام وتقييمـه بواسـطة عدة وسـائل يتـم دوري ومطابقته بالسياسات الموضوعة.
توفيرها من قبل الدارة وبشكل مسبق.
وجوب وجود آليـة معينـة تمكـن الشركـة وذلك مـن خلل تحليـل جميـع العمليات التـي 4.2
مـن خلل مراقبتهـا لنظام الحمايـة التأكـد تتـم مـن خلل النظام وفحصـها بعدة وسـائل
للوقوف على مدى تمكـن نظام الحمايـة مـن من أنه يؤدي المهام المنوطة به.
تحقيق الهداف الموضوعة له.
ي جب مراق بة التغيرات التكنولوج ية ال تي ولجـل تحقيـق تلك الغايـة يجـب على الدارة 4.3
تحدث على بيئة نظام الحمايـة ومواكبتهـا العليـا الخـذ بالحتمالت المسـتقبلية خلل
وضعها لسياسات الحماية. بشكل مستمر.
119
معايير جعل النظام جاهزا للتفعيل
-1السياسات Polices
1.1أن يتــم إنشاء الســياسات التــي تحدد يجــب أن تكون إجراءات تطويــر وامتلك
جاهز ية نظام الحما ية والم صادقة علي ها النظام والمتضمنـة لكـل مـن تحديـد وتوثيـق
وتقييم ها بش كل دوري من ق بل أشخاص الشخاص الم صرح ل هم بج عل النظام جاهزا
للتشغيل قد وثقت بشكل رسمي. معينين أو مجموعة محددة.
ـل النظام أن تقوم الشركــة بتوثيــق كــل مــا جاء
ـة جعــب أن تحتوي عمليـ
يجـ 1.2
ـي العمود
ـا فـ
ـب اتباعهـ
جاهزا للعمل وفقا لسياسات حماية النظام بالجراءات الواجـ
اليمن. التالي:
ـق مفهوم الجاهزيـه
ـف وتوثيـ
-تعريـ
ـة
ـياسات الحمايـ
ـع سـ
ـة مـ
المتماشيـ
للمستخدمين.
-شرح آلية وصلحية الدخول للنظام.
-منـع دخول غيـر المصـرح لهـم إلى
النظام.
-تعريـف آليـة إدخال مسـتخدمين جدد
وم نع ا ستخدام م ستخدمين ل يراد ل هم
الستمرار باستخدام النظام.
-تحديـد المسـؤولين عـن تفعيـل النظام
وجعله جاهزا للعمل.
-تحديد المسؤولين عن صيانة وتحديث
النظام.
-تحديـد الليـة المتبعـة فـي حـل أي
مشكلة تعترض عمليــة جعــل النظام
جاهزا للعمل عند ورودها.
-مراقبـة إمكانيات النظام فـي تلبيـة
حاجات الزبائن المتعددة.
أن يتـم تعييـن مسـؤولين عـن وضـع أن يتم استحداث منصب تحت مسمى مسؤول 1.3
سياسات جاهزية النظام واستبدالهم بشكل قسم المعلومات.
120
مع ضرورة الحصول على حق ملكية كل من دوري.
البيانات والبرامج وعمليات التحويل.
-2شبكات الربط Communications
2.1أن تكون الشركة قد عرفت شبكات الربط أن تكون الشركـة قـد أنشأت موقـع تجارتهـا
اللكتروني على شبكة النترنيت. بالنظام.
أن تكون الشركــة قــد وضعــت وصــفا
للمستخدمين بشبكة الربط.
أن تكون تعهدات الشركـــة بعمليـــة أن يتـم العلن عـن تعهدهـا بإبقاء نظامهـا 2.2
الجاهزيـه والمرتبطـة بسـياسات حمايـة جاهزا للعمـل وبحمايـة خصـوصية زبائنهـا
والمسـتخدمين الخارجيـن على موقعهـا فـي نظامها واضحة ومفصلة للمستخدمين.
شبكـة النترنيـت وأن يكون هذا التعهـد مـن
ضمن اتفاقيات التعامل.
ــؤولية إبقاء النظام جاهزا جعـل فريـق الشبكات مسـؤول بشكـل مباشـر
أن تكون مسـ 2.3
للعمل وبشكل يتماشى مع سياسات حماية عن تنف يذ وتفع يل سياسات الجاهزيـه ضمـن
ـع توجيهات مسؤول المعلومات.
ـال مـ
ـة اتصـ
ـة بشبكـ
النظام مربوطـ
الشخاص المعينيـن لوضـع أو تغييـر
سياسات الجاهزيه.
يجب ربط آلية التبليغ عن تدني جاهزية ي تم تفع يل ذلك بو ضع آل ية معي نة في مو قع 2.4
النظام مباشرة مــع المصــرح لـــهم الشركة على شبكة النترنيت يسمح للمستخدم
بالبلغ عن تد ني جاهز ية النظام وي جب أن بالتعامل ومعالجة المشكلة.
تكون آل ية البلغ هذه مربو طة بش كل مبا شر
مـع الشخاص المصـرح لهـم بمعالجـة تلك
المشاكل.
يجـب وصـل التغيرات التـي تحدث على ويتـم ذلك فـي الغالب بواسـطة العلن عـن 2.5
آليـة الجاهزيـه بيـن كـل مـن الدارة التغيرات ال تي يم كن أن تحدث لجاهز ية نظام
الشر كة والتزامات ها تجاه الزبائن على موقع ها والمستخدم.
على شبكـة النترنيـت مـع توضيـح الليات
الجديدة لتلك التغييرات.
-3الجراءات Procedure
3.1يجــب أن يحوي نظام الشركــة على ضرورة ح صول كل م ستخدم جد يد على أداة
121
تعريـف ورقـم سـري خاص بـه للتسـجيل إجراءات منطقية كالتالي:
بالنظام. -التسجيل والسماح لمستخدمين جدد.
ضرورة اسـتخدام المسـتخدم لدوات تعريـف -تعريف شروط المستخدم الجديد.
معينة وأرقام سرية للدخول إلى النظام. -تحديد آلية تغيير أو تحديث معلومات
تمكيـن المسـتخدم بتغيـر أو تعديـل معلوماتـه المستخدم.
ولكـن بعـد أن يكون قـد حصـل على أداة -تحد يد آل ية شروط ال سمـاح بالدخول
تعريف ورقم سري خاص به بشكل مسبق. إلى النظام.
إنشاء نظام خاص تحدد بــه آليــة وشروط -تحديد صلحيات المستخدمين.
الدخول إليه. -حذر الدخول لبيانات غيـر خاضعـة
ـم
ـموح لهـ
ـد الشخاص المسـ
ضرورة تحديـ للتعديل.
بالو صول للمعلومات غ ير الخاض عة للتعد يل -حذر الدخول إلى مناطــــق النظام
من قبل المستخدمين. الحسـاسة مثـل أرقام التشغيـل السـرية
جعـل الدخول إلى مناطـق النظام الحسـاسة الرئيسية وانظمة الحماية.
مق صورا على فر يق تشغ يل الشبكات وت حت
مراقبة مسؤول المعلومات.
ــب أن يحوي النظام على إجراءات ي جب أن يتـم الدخول إلى الغرف ال تي تحوي
يجـ 3.2
فعليـة وملموسـة تحدد آليـة الحـد مـن تلك القطع عن طريق بطاقات خاصة وبأرقام
وصـول غيـر المصـرح له إلى القطـع سـرية ،وكمـا يجـب أن تحوى تلك الغــرف
والجزاء الخاصــة بمنــع الختراقات على (كمرات) مراقبة.
Firewallsوالتــي تنشــأ بواســطتها
التعليمات.
ــب أن يحوي النظام على إجراءات ويتـم ذلك بوضـع آليـة توقـف عمليـة الدخوليجـ 3.3
حمايـة تحـد مـن الدخول المنطقـي غيـر وتمنعها إذا ما تمت محاولة الدخول لكثر من
المصرح له إلى مناطق النظام المنطقية .ثلث مرات بمعلومات دخول خاطئة.
يجـب أن يحوي النظام على آليات تمنـع ويتـم ذلك بالتعاون مـع الشركات المصـنعة 3.4
دخول الفيروســات والبرامــج غيــر لبرامـج الحمايـة مـن الفيروسـات وتحديثهـا
بشكل دوري. المصرح لها.
يجــــب أن يحوي النظام على تقنيات ويتـم ذلك مـن خلل الشتراك بإحدى شبكات 3.5
تكنولوج ية تح مي بيانات المدخلت التـي التشغيـل الخاصـة بحمايـة العمليات التـي تتـم
122
على موقـع الشركـة وتوثيـق ذلك الشتراك تتم خلل إتمام العمليات على الشبكة.
بعقود قانونية.
يجــب أن يحوي النظام على الجراءات ويتـم ذلك مـن خلل تبنـي الشركـة لمنهجيـة 3.6
ـة
ـه وآليـ
ـة تحدد دورة النظام التشغيليـ
الخا صة ب كل من عمل ية الت صميم للنظام معينـ
ـة إدارة البنيــة التملك التي يجب اتباعها وآلية كل من تفعيل
والتملك والتفعيــل وآليـ
التحت ية وبرا مج الحما ية وبش كل يتما شى النظام وصـيانته وبشكـل يتماشـى مـع جميـع
مـع السـياسات الموضوعـة لجعـل النظام المعلومات التكنولوجية الخاصة به.
جاهزا للعمل.
يجــب أن يحوي النظام على الجراءات وذلك بو ضع و صف وظي في مو ثق يحدد به 3.7
الخاصة بآلية تحديد المسؤوليات المناطة الشخاص المســؤولون عــن تلك العمليات
بالشخاص المسـؤولين عـن جعـل النظام ودرجة ونطاق مسؤولياتهم.
جاهزا للعمل.
ــب أن يحوي النظام على إجراءات وذلك بإنشاء قسم خاص من قبل الدارة العليا يجـ 3.8
تحدد المصـرح لهـم بفحـص وتوثيـق يناط بـه مهمـة وضـع القوانيـن وتحديـد
التغييرات التـي تسـتحدث على عمليـة مسؤوليات جميع الوظائف الضرورية.
توفير جاهزية النظام.
يجــب أن يحوي النظام على الجراءات وذلك بوضع إجراءات موثقة يتم اتباعها عند 3.9
ـة التغييرات الطارئة على حدوث أي طارئ.
ـة بآليـ
الخاصـ
النظام.
-4المراقبة Monitoring
ـة النظام
ـق خاص بمراقبـ
ـث يقوم فريـ
4.1يجب أن يتم تقييم جاهزية وحماية النظام بحيـ
بشكــل دوري ومطابقتــه بالســياسات وتقيي مه بوا سطة عدة وسائل يتم توفير ها من
قبــل الدارة وبشكــل مســبق وعلى مدار الموضوعة.
الساعة.
وجوب وجود آليـة معينـة تمكـن الشركـة وذلك مـن خلل تحليـل جميـع العمليات التـي 4.2
مـن مراقبـة جاهزيـة النظام والتأكـد بأنـه تتـم مـن خلل النظام وفحصـها بعدة وسـائل
للوقوف على مدى جاهزية النظام لتفعيلها. يؤدي المهام المنوطة به.
ي جب مراق بة التغيرات التكنولوج ية ال تي ولجـل تحقيـق تلك الغايـة يجـب على الدارة 4.3
ــا العليـا الخـذ بالحتمالت المسـتقبلية خلل
تحدث على بيئة النظام ومدى تأثيرهـ
على جاهزيتـه ومواكبتهـا بشكـل زمنـي وضعها لسياسات الجاهزيه.
غير محدد.
123
-3مبدأ نزاهة المعالجة Processing Integrity Principle
معايير جعل عمليات النظام سليمة ومتكاملة
-1السياسات Polices
1.1أن يتـم إنشاء السـياسات التـي تحدد يجــب أن تكون إجراءات تطويــر وامتلك
سلمة وتكامل عمليات نظام الحماية النظام والمتضمنـة لكـل مـن تحديـد وتوثيـق
الشخاص المصـرح لهـم بتأميـن سـلمة
والمصـادقة عليهـا وتقييمهـا بشكـل
وتكامل العمليات قد وثقت بشكل رسمي.
دوري من ق بل أشخاص معين ين أو
مجموعة محددة.
يجـب أن تحتوي عمليـة تأميـن سـلمة أن تقوم الشركــة بتوثيــق كــل مــا جاء 1.2
ـي العمود
ـا فـ
ـب اتباعهـ
وتكامـل عمليات النظام وفقـا لسـياسات بالجراءات الواجـ
اليمن. حماية النظام كالتالي:
-تعر يف وتوث يق مفهوم تأم ين سلمة
وتكامـل عمليات النظام المتماشيـة مـع
سياسات الحماية للمستخدمين.
-شرح آلية وصلحية الدخول للنظام.
-منـع دخول غيـر المصـرح لهـم إلى
النظام.
-تعريـف آليـة إدخال مسـتخدمين جدد
وم نع ا ستخدام م ستخدمين ل يراد ل هم
الستمرار باستخدام النظام.
-تحد يد الم سؤولين عن تأم ين سلمة
وتكامل عمليات النظام.
-تحديد المسؤولين عن صيانة وتحديث
النظام.
-تحديـد الليـة المتبعـة فـي حـل أي
مشكلة تعترض عمليـة تاميـن سـلمة
وتكامل عمليات النظام.
124
-مراقبـة إمكانيات النظام فـي تلبيـة
حاجات الزبائن المتعددة.
أن يتـم تعييـن مسـؤولين عـن وضـع أن يتم استحداث منصب تحت مسمى مسؤول 1.3
سـياسات تاميـن سـلمة وتكامـل عمليات قسم المعلومات.
مع ضرورة الحصول على حق ملكية كل من النظام واستبدالهم بشكل دوري.
البيانات والبرامج وعمليات التحويل.
-2شبكات الربط Communications
2.1يجب أن توضح الشركة على موقعها في ي جب على الشر كة و عبر موقع ها على شب كة
النترنيـت الفصـاح الشامـل عـن نظامهـا شبكة النترنيت المور التالية:
ـع الجراءات
ـع جميـ
ـة مـ
ـه المتوافقـ
وآلياتـ -معلومات تف صيلية عن البضائ ـع أو
الموضحة في العمود اليمن الخدمات التـي تزودهـا عـبر الشبكـة
متضمنة:
-حالة البضاعـــة (جديدة أم
مستعملة).
-وصف دقيق للبضاعة.
-مصدر المنشأ.
-الشروط والمصــطلحات الخاصــة
بتجارتها اللكترونية متضمنة:
-تحديـد الوقـت اللزم لتمام
العمليــة ومكان ووقــت
التسليم.
-تحديـد الوقـت اللزم لبلغ
العم يل بنا تج الرد على طلب
شرائه.
-تحديد آلية التسليم.
-تحديد شروط الدفع.
-تحديد آلية خصم المبالغ على
العميل.
125
-تحديد آلية إلغاء العملية.
-تحديد سياسات الرجاع.
-ال سياسات الموضو عة لتام ين سلمة
وتكامل العملية.
أن تكون تعهدات الشركـة بعمليـة تأميـن أن يتـم العلن عـن تعهدهـا بإبقاء عمليات 2.2
ـة نظام ها سليمة ومتكاملة وبحما ية خ صوصية
ـل العمليات والمرتبطـ
ـلمة وتكامـ
سـ
بسياسات حماية نظامها واضحة ومفصلة زبائن ها والم ستخدمين الخارج ين على موقع ها
في شبكة النترنيت وأن يكون هذا التعهد من للمستخدمين.
ضمن اتفاقيات التعامل.
أن تكون مســؤولية إبقاء عمليات النظام جعـل فريـق الشبكات مسـؤول بشكـل مباشـر 2.3
سـليمة ومتكاملة وبشكـل يتماشـى مـع عـن تنفيـذ وتفعيـل سـياسات سـلمة وتكامـل
سـياسات حمايـة النظام مربوطـة بشبكـة عمليات النظام ضمــن توجيهات مســؤول
اتصال مع الشخاص المعينين لوضع أو المعلومات.
تغيير سياسات السلمة والتكامل.
يجب ربط آلية التبليغ عن حدوث أخطاء ي تم تفع يل ذلك بو ضع آل ية معي نة في مو قع 2.4
في عمليات النظام مباشرة مع الم صرح الشركة على شبكة النترنيت يسمح للمستخدم
بالبلغ عن حدوث أخطاء في النظام ،ويجب لهم بالتعامل ومعالجة تلك الخطاء.
أن تكون آليـة البلغ هذه مربوطـة بشكـل
مبا شر مع الشخاص الم صرح ل هم بمعال جة
تلك الخطاء.
يجـب وصـل التغيرات التـي تحدث على ويتـم ذلك فـي الغالب بواسـطة العلن عـن 2.5
آليـة سـلمة وتكامـل عمليات النظام بيـن التغيرات التـي يمكـن أن تحدث على سـلمة
وتكامل عمليات نظام الشركة والتزاماتها تجاه كل من الدارة والمستخدم.
الزبائن على موقعها على شبكة النترنيت مع
توضيح الليات الجديدة لتلك التغييرات.
-3الجراءات Procedure
3.1يجـــب أن يتضمـــن نظام التجارة يجب أن تتضمن آلية الطلب للسلعة أو الخدمة
على موقع الشركة التالي: اللكترونية الجراءات التالية:
126
-شاشة خاصة لدخال معلومات الطلب. -آليـة لفحـص صـحة كـل عمليـة طلب
-آل ية لمراج عة العمل ية على المو قع وإبلغ شراء واكتمالها.
الطالب بتمامهـا أو وجود نواقـص يجـب -آلية تأكيد و صول رد إيجا بي بتم ـام
إتمامها. العملية من قبل الزبون قبل تنفيذها.
-آلية لبلغ العميل بالخطأ في حالة حدوثه
خلل ملء الطلب.
-آليـة تمكـن حسـاب العميـل مـن مراجعـة
العملية آليا وإبلغ الدارة عنها.
للتأكـد مـن تمام ودقـة وسـلمة العمليات وي تم تحق يق جم يع ما ذ كر في العمود الي من 3.2
التــي تتــم مــن خلل نظام التجارة بواسطة التالي:
اللكترو ني الخاص بالشركـة فل بـد من -وجود نظام محدد من ق بل الشر كة يؤ من
تسليم البضاعة وفقا للشروط المتفق عليها. توفر آليات معينة تؤمن كل من:
-تصميم برامج خاصة تؤكد صحة العنوان -شحن البضاعة وفقا للمواصفات التي
اللكتروني الموضوع في طلب الشراء قبل ـت المحدد
ـا وبالوقـ
ـم التفاق عليهـ
تـ
قبول العملية. للزبون.
-وضع آلية معينة لمطابقة ما تم طلبه وما ـة
ـائل الواردة الخاصـ
ـليم الرسـ
-تسـ
تم تأك يد المواف قة عل يه ق بل الم ضي بإكمال بالعمليـة للعنوان اللكترونـي الخاص
العملية. بالجهة المعنية في الشركة.
-تسـليم الرسـائل الصـادرة ومـن خلل
مزود خدمــة النترنيــت إلى عنوان
الزبون الصحيح.
-وصول تأكيد على صحة العملية من
الزبون قبل مواصلة باقي الجراءات.
ـــد مخرجات نظام التجارة يتم تحقيق ذلك من خلل:بهدف تأكيـ 3.3
اللكترونيـة فانـه يجـب أن يحوى نظام -ربـط الليات الضروريـة بنظام الشركـة
ـة على آليات تؤمــن وعرضها على موقع الشركة.
التجارة اللكترونيـ
-إظهار كـل مـا يخـص سـعر السـلعة التالي:
والضري بة المفرو ضة علي ها وكل فة شحن ها ـا
ـع على موقعهـ
ـعار البيـ
-إظهار أسـ
في موقع الشركة بشكل واضح. وجعلهـا تتأقلم آليـا مـع التغيرات التـي
127
-إظهار سـعر تداول العملت التـي تتعامـل تحدث عليها.
بها الشركة في موقعها. -فوترة الطلبات وفقـا للسـعر والفترة
-تصـــحيح أي أخطاء تحدث خلل فترة التي تم بها الطلب.
128
مراقبة مسؤول المعلومات.
ــب أن يحوي النظام على إجراءات ي جب أن يتـم الدخول إلى الغرف ال تي تحوي
يجـ 3.6
فعليـة وملموسـة تحدد آليـة الحـد مـن تلك القطع عن طريق بطاقات خاصة وبأرقام
ـب أن تحوى تلك الغرف
ـا يجـ
ـرية وكمـ
وصـول غيـر المصـرح له إلى القطـع سـ
والجزاء الخاصــة بمنــع الختراقات (كمرات) مراقبة.
Firewallsوالتــي تنشــأ بواســطتها
التعليمات.
ــب أن يحوي النظام على إجراءات ويتـم ذلك بوضـع آليـة توقـف عمليـة الدخوليجـ 3.7
حمايـة تحـد مـن الدخول المنطقـي غيـر وتمنعها إذا ما تمت محاولة الدخول لكثر من
المصـرح له إلى مناطـق النظام المنطقيـة ثلث مرات بمعلومات دخول خاطئة.
من خلل نظام التجارة اللكتروني.
يجـب أن يحوي النظام على آليات تمنـع ويتـم ذلك بالتعاون مـع الشركات المصـنعة 3.8
دخول الفيروســات والبرامــج غيــر لبرامـج الحمايـة مـن الفيروسـات وتحديثهـا
بشكل دوري. المصرح لها.
يجــــب أن يحوي النظام على تقنيات ويتـم ذلك مـن خلل الشتراك بإحدى شبكات 3.9
تكنولوج ية تح مي بيانات المدخلت التـي التشغيـل الخاصـة بحمايـة العمليات التـي تتـم
على موقـع الشركـة وتوثيـق ذلك الشتراك تتم خلل إتمام العمليات على الشبكة.
بعقود قانونية.
يجــب أن يحوي النظام على الجراءات وذلك بو ضع و صف وظي في مو ثق يحدد به 3
الخاصة بآلية تحديد المسؤوليات المناطة الشخاص المســؤولون عــن تلك العمليات .10
بالشخاص المســـؤولين عـــن نظام ودرجة ونطاق مسؤولياتهم.
التجـارة اللكتروني.
ــب أن يحوي النظام على إجراءات وذلك بإنشاء قسم خاص من قبل الدارة العليا يجـ 3
تحدد المصـرح لهـم بفحـص وتوثيـق يناط بـه مهمـة وضـع القوانيـن وتحديـد .11
التغييرات التـي تسـتحدث على عمليات مسؤوليات جميع الوظائف الضرورية.
التجارة اللكترونية.
يجــب أن يحوي النظام على الجراءات وذلك بوضع إجراءات موثقة يتم اتباعها عند 3
ـة التغييرات الطارئة على حدوث أي طارئ.
ـة بآليـ
الخاصـ .12
النظام.
يجــب أن يحوي النظام على الجراءات ويتـم ذلك مـن خلل تبنـي الشركـة لمنهجيـة 3
ـة
ـه وآليـ
ـة تحدد دورة النظام التشغيليـ
الخا صة ب كل من عمل ية الت صميم للنظام معينـ
129
ـة إدارة البنيــة التملك التـي يجـب اتباعهـا وآليـة كـل مـن
والتملك والتفعيــل وآليـ .13
التحت ية وبرا مج الحما ية وبش كل يتما شى تفع ـيل النظام و صيانته وبش كل يتما شى مع
مع السياسات الموضوعة والخاصة بنظام جميع المعلومات التكنولوجية الخاصة به.
التجارة اللكترونية.
-4المراقبة Monitoring
ـة النظام
ـق خاص بمراقبـ
ـث يقوم فريـ
4.1يجـب أن يتـم تقييـم إجراءات سـلمة بحيـ
واكتمال العمليات وحمايـة النظام بشكـل وتقيي مه بوا سطة عدة وسائل يتم توفير ها من
دوري ومطابقتها بالسياسات الموضوعة .قبل الدارة بشكل مسبق على مدار الساعة.
وجوب وجود آليـة معينـة تمكـن الشركـة وذلك مـن خلل تحليـل جميـع العمليات التـي 4.2
من مراق بة آل ية سلمة واكتمال عمليات تتـم مـن خلل النظام وفحصـها بعدة وسـائل
النظام والتأكد بأنها تؤدي المهام المنوطة للوقوف على مدى سلمتها واكتمالها.
بها.
ي جب مراق بة التغيرات التكنولوج ية ال تي ولجـل تحقيـق تلك الغايـة يجـب على الدارة 4.3
ــا العليـا الخـذ بالحتمالت المسـتقبلية خلل
تحدث على بيئة النظام ومدى تأثيرهـ
على سـلمة واكتمال العمليات ومواكبتهـا وضعها لسياسات السلمة واكتمال العمليات.
بشكل زمني غير محدد.
130
-تحديد طبيعة المعلومات التي يجب تعبئتها والجبارية والختيارية
منها.
-2الخيار Choiceيجب أن تمنح الشركة المتعامل معها حق الخيار
فيمـا إذا أرادهـا الفصـاح عـن معلوماتـه الحسـاسة لطرف ثالث
ولهدف مغاير عن هدف التعامل الرئيسي.
-3الحمايصة Securityيجـب أن تلتزم الشركـة بحمايـة معلومات
الزبون من الضياع أو الستخدام غير المصرح له أو العبث.
ـة صة البيانات Data Integrityيجـ
ـب أن تلتزم الشركـ -4نزاهص
باسـتخدام معلومات الزبون العامـة والحسـاسة بشكـل خاص فـي
الغرض الذي جمعت لجله فقط.
-5عمليصة الدخول Accessيجـب أن تزود الشركـة زبائنهـا بآليـة
دخول معي نة إلى معلومات هم العا مة والح ساسة بهدف تمكين هم من
تغييرها أو تعديلها.
-6آلية التطبيق Enforcementيجب أن تزود الشركة الجراءات
والليات التـي تكفـل تطـبيق سـياسات حمايـة الخصـوصية التـي
تعهدت بهـا مـع ضرورة توضيـح مصـادر تلك الليات بشكـل
صادق.
معايير تأمين خصوصية الزبائن المتعاملين مع الشركة
-1السياسات Polices
1.1أن يتـم إنشاء السـياسات التـي تحدد يجــب أن تكون إجراءات تطويــر وامتلك
ـي نظام النظام والمتضمنـة لكـل مـن تحديـد وتوثيـق
ـل فـ
ـوصية التعامـ
خصـ
الشخاص المصـرح لهـم بتأميـن خصـوصية
الحما ية والم صادقة علي ها وتقييم ها
المتعاملين قد وثقت بشكل رسمي.
بشكـل دوري مـن قبـل أشخاص
معينين أو مجموعة محددة.
ــن أن تقوم الشركــة بتوثيــق كــل مــا جاء
ــة تأميـ
ــب أن تحتوي عمليـ
يجـ 1.2
131
ـي العمود
ـا فـ
ـب اتباعهـ
الخصوصية ووفقا لسياسات حماية النظام بالجراءات الواجـ
اليمن. التالي:
-تعريـف وتوثيـق مفهوم الخصـوصية
ـة
ـياسات الحمايـ
ـع سـ
ـة مـ
والمتماشيـ
للمستخدمين.
-شرح آلية وصلحية الدخول للنظام.
-منـع دخول غيـر المصـرح لهـم إلى
النظام.
-تعريـف آليـة إدخال مسـتخدمين جدد
وم نع ا ستخدام م ستخدمين ل يراد ل هم
الستمرار باستخدام النظام.
-تحديــد المســؤولين عــن تأميــن
خصوصية التعامل.
-تحديد المسؤولين عن صيانة وتحديث
النظام.
-تحديـد الليـة المتبعـة فـي حـل أي
مشكلة تعترض عملية الخصوصية.
-مراقبـة إمكانيات النظام فـي تلبيـة
حاجات الزبائن المتعددة.
-تزويد الزبائن بالشعارات الضرورية
التـي توضـح جميـع المور المتعلقـة
بأهداف الحصـــول على المعلومات
الخاصة بهم.
-إعطاء الزبائن حـق الختيار بتزويـد
بعض المعلومات غير الضرورية.
-ال سماح للزبائن بالدخول إلى المنا طق
الخا صة ب هم بهدف تمكين هم من تغي ير
أو تعديل المعلومات الخاصة بهم.
132
أن يتـم تعييـن مسـؤولين عـن وضـع أن يتم استحداث منصب تحت مسمى مسؤول 1.3
سـياسات تاميـن خصـوصية التعامـل قسم المعلومات.
مع ضرورة الحصول على حق ملكية كل من واستبدالهم بشكل دوري.
البيانات والبرامج وعمليات التحويل.
-2شبكات الربط Communications
2.1ضرورة أن توضـح الشركـة آليـة شبكـة وذلك بواسطة وضع شرح تفصيلي عن نظام
تجارتها اللكتروني في موقعها. ربط نظام تجارتها اللكتروني.
يجـب أن تفصـح الشركـة عـن سـياسات وذلك بتحديد وعمل المور التالية: 2.2
-تحد يد مدى م سؤولية والتزام العم يل تجاه تأمين الخصوصية كالتالي:
العملية التي يقوم بها مع الشركة. -طبيعة ونوع المعلومات التي يجب أن
-وضـع برامـج تثقيفيـة بالمور المتعلقـة يزودهـا بهـا الزبون ومدى اسـتخدامها
بالخصوصية وكيفية حمايتها. من قبل طرف ثالث مثل:
ـة بالحفاظ على
-نشــر ســياستها المتعلقـ .أطراف وسـيطة بتأميـن عمليات
خصوصية الزبائن عبر شبكة النترنيت. الدفع.
.أطراف تسويقية أخرى.
-الخيارات المطروحـــة أمام الزبائن
بمدى إمكانيـة السـماح للشركـة بتداول
المعلومات الخاصة بهم.
-المعلومات الضروريــة والحســاسة
والتـي ل يمكـن للعمليـة أن تتـم مـن
دونها.
ـــــة طلب إعادة عرض تلك
-آليـ
المعلومات للزبون قبـل تفعيـل الطلب
بها.
وذلك بالفصاح عن هذا المر بشكل واضح ضرورة إعلم الزبون بوجود رموز 2.3
رقميــة Cookiesتســتطيع تتبــع
معلوماتـه وكيفيـة إمكانيـة إيقاف تفعيلهـا
لكـي يضمـن عدم تتبـع الخريـن للبيانات
الخاصة به.
133
يجب ربط آلية التبليغ عن اختراقات نظام ي تم تفع يل ذلك بو ضع آل ية معي نة في مو قع 2.4
الخصـوصية مباشرة مـع المصـرح لهـم الشركة على شبكة النترنيت يسمح للمستخدم
بالبلغ عـن الختراقات التـي تحدث للنظام بالتعامل ومعالجة الختراقات.
ويجـب أن تكون آليـة البلغ هذه مربوطـة
بشكـل مباشـر مـع الشخاص المصـرح لهـم
بمعالجة تلك الختراقات
يجـب أن تكون عمليـة الفصـاح عـن ويمكـن تكليـف طرف ثالث متخصـص بهذه 2.5
سياسات الخصوصية مرتبطة مع حاجات المور
الزبائن.
ضرورة أن تكون عمليـة الفصـاح عـن الفصاح عن ذلك في موقع الشركة. 2.6
الخ صوصية متماش ية مع قوان ين الشر كة
بشكـل خاص وقوانيـن التعامـل الدولي
بشكل عام.
إبلغ المتعا مل أن الشر كة تت بع سياسات وذلك بإظهار نافذة فجائ ية تتض من ال سياسات 2.7
المعمول بهـا عندمـا يدخـل الزبون فـي موقـع الخصوصية
الشركة مباشرة.
ـن
ـطة العلن عـ
ـم ذلك بالغالب بواسـ
يجـب وصـل التغيرات التـي تحدث على ويتـ 2.8
تأمين خصوصية عمليات النظام بين كل التغيرات التـي يمكـن أن تحدث على تأميـن
خ صوصية عمليات نظام الشر كة والتزامات ها من الدارة والمستخدم.
تجاه الزبائن على موقعهـــا على شبكـــة
النترنيـت مـع توضيـح الليات الجديدة لتلك
التغييرات.
-3الجراءات Procedure
3.1يجـب أن يعلم الزبون بالجراءات التـي وذلك يتـم مـع إعطائه الحـق الكامـل بقبول
تتـم بالفصـاح عـن بياناتـه الخاصـة المـر مـن عدمـه وجعـل موظفـي الشركـة
للطراف الخرى الضروريـــة لتمام يتعهدون ضمـن عقود تعيينهـم بالتقيـد بالحفاظ
على خصوصية الزبائن وبشكل كامل. العملية.
يجب أن يعلم الزبون بالجراءات المتبعة وي تم ذلك من خلل إف صاح الشر كة عن تلك 3.2
باسـتخدام البيانات الخاصـة بـه وكيفيـة الجراءات عبر موقعها.
تدرجها.
134
يجـب أن يكون لدى الشركـة آل ية تمكنهـا ويمكـن تحقيـق ذلك باسـتخدام برامـج تكون 3.3
من تدقيق معلومات الزبون وأنها صالحة مهمتهـا التصـال مـع مصـادر المعلومات
وتأكيد صحتها وبشكل مسبق لتمام العملية. للستخدام.
يجـب أن تـبرم الشركـة اتفاقيات مـع ويمكـن أن تتأكـد مـن تطبيقهـا لتلك التفاقيات 3.4
الطراف الخرى التي يتم اطلعها على عبر توسيط طرف تدقيق بينها.
معلومات الزبائن تحدد بهـــا التزامات
الخصوصية من قبلها.
ضرورة الحصـول على موافقـة الزبون ويتـم ذلك بتوضيـح السـبب الكامـن لضرورة 3.5
قبل عملية تحميل أية برامج خاصة بآلية تحميــل ذلك البرنامــج وتزويده بدليــل
استخدامه. إتمام العمليات على جهازه.
ي جب أن يحوي نظام التجارة اللكترو ني ضرورة ح صول كل م ستخدم جد يد على أداة 3.6
تعريـف ،ورقـم سـري خاص بـه للتسـجيل على الجراءات المنطقية كالتالي:
بالنظام. -التسجيل والسماح لمستخدمين جدد.
ضرورة اسـتخدام المسـتخدم لدوات تعريـف -تعريف شروط المستخدم الجديد.
معينة ،وأرقام سرية للدخول إلى النظام. -تحديد آلية تغيير أو تحديث معلومات
تمكيـن المسـتخدم بتغيـر أو تعديـل معلوماتـه؛ المستخدم.
ولكـن بعـد أن يكون قـد حصـل على أداة -تحد يد آل ية شروط ال سماح بالدخ ـول
تعريف ورقم سري خاص به بشكل مسبق. إلي النظام.
إنشاء نظام خاص محدد بــه آليــة وشروط -تحديد صلحيات المستخدمين.
الدخول إليه. ـــق بيانات
-حذر الدخول إلى مناطـ
جعــل الدخول إلى مناطــق بيانات الزبائن الزبائن الحســاسة لغيــر الموظفيــن
الحساسة مقصورا على قسم الحسابات. المصرح لهم بذلك.
ــب أن يحوي النظام على إجراءات ي جب أن يتـم الدخول إلى الغرف ال تي تحوي يجـ 3.7
فعليـة وملموسـة تحدد آليـة الحـد مـن تلك القطـع عـن طريـق بطاقات خاصـة،
ـب أن تحوى تلك
ـا يجـ
ـرية وكمـ
وصـول غيـر المصـرح له إلى القطـع وبأرقام سـ
والجزاء الخاصــة بمنــع الختراقات الغرف على (كمرات) مراقبة.
Firewallsوالتــي تنشــأ بواســطتها
التعليمات.
ــب أن يحوي النظام على إجراءات ويتـم ذلك بوضـع آليـة توقـف عمليـة الدخوليجـ 3.8
حمايـة تحـد مـن الدخول المنطقـي لغيـر وتمنعها إذا ما تمت محاولة الدخول لكثر من
135
المصـرح له إلى مناطـق حمايـة نظام ثلث مرات بمعلومات دخول خاطئة.
التجارة اللكتروني المنطقية.
يجـب أن يحوي النظام على آليات تمنـع ويتـم ذلك بالتعاون مـع الشركات المصـنعة 3.9
دخول الفيروســات والبرامــج غيــر لبرامـج الحمايـة مـن الفيروسـات وتحديثهـا
بشكل دوري. المصرح لها.
يجــــب أن يحوي النظام على تقنيات ويتـم ذلك مـن خلل الشتراك بإحدى شبكات 3
تكنولوجية تحمي بيانات الزبائن التي تتم التشغيـل الخاصـة بحمايـة العمليات التـي تتـم .10
على موقـع الشركـة وتوثيـق ذلك الشتراك خلل إتمام العمليات على الشبكة.
بعقود قانونية.
ــب أن يحوي النظام على إجراءات وذلك بو ضع و صف وظي في مو ثق يحدد به
يجـ 3
خا صة بآل ية تحد يد الم سؤوليات المنا طة الشخاص المســؤولون عــن تلك العمليات .11
بالشخاص المســـؤولين عـــن نظام ودرجة ونطاق مسؤولياتهم.
الخصوصية.
ــب أن يحوي النظام على إجراءات وذلك بإنشاء قسم خاص من قبل الدارة العليا
يجـ 3
تحدد المصـرح لهـم بفحـص وتوثيـق يناط بـه مهمـة وضـع القوانيـن وتحديـد .12
التغييرات ال تي ت ستحدث على آل ية تأم ين مسؤوليات جميع الوظائف الضرورية.
الخصوصية.
يجــب أن يحوي النظام على الجراءات وذلك بوضع إجراءات موثقة يتم اتباعها عند 3
ـة التغييرات الطارئة على حدوث أي طارئ.
ـة بآليـ
الخاصـ .13
النظام.
يجــب أن يحوي النظام على الجراءات ويتـم ذلك مـن خلل تبنـي الشركـة لمنهجيـة 3
ـة
ـه وآليـ
ـة تحدد دورة النظام التشغيليـ
الخا صة ب كل من عمل ية الت صميم للنظام معينـ .14
ـة إدارة البنيــة التملك التي يجب اتباعها وآلية كل من تفعيل
والتملك والتفعيــل وآليـ
التحتية وبرامج الحماية بشكل يتماشى مع النظام وصـيانته وبشكـل يتماشـى مـع جميـع
السـياسات الموضوعـة والخاصـة بنظام المعلومات التكنولوجية الخاصة به.
الخصوصية.
-4المراقبة Monitoring
ـة النظام
ـق خاص بمراقبـ
ـث يقوم فريـ
4.1يجب أن يتم تقييم آلية تأمين الخصوصية بحيـ
وحمايـة النظام بشكـل دوري ومطابقتهـا وتقيي مه بوا سطة عدة وسائل يتم توفير ها من
قبل الدارة بشكل مسبق على مدار الساعة. بالسياسات الموضوعة.
وجوب وجود إجراءات معينــة تمكــن وذلك مـن خلل تحليـل جميـع العمليات التـي 4.2
136
الشركـة مـن مراقبـة آليـة الخصـوصية تتـم مـن خلل النظام وفحصـها بعدة وسـائل
للوقوف على مدى النجاح فــي الحفاظ على والتأكد بأنها تؤدي المهام المناطة بها.
خصوصيتها.
ي جب مراق بة التغيرات التكنولوج ية ال تي ولجـل تحقيـق تلك الغايـة يجـب على الدارة 4.3
ــا العليـا الخـذ بالحتمالت المسـتقبلية خلل
تحدث على بيئة النظام ومدى تأثيرهـ
ـا وضعها لسياسات تأمين الخصوصية.
ـوصية ومواكبتهـ
على موضوع الخصـ
بشكل زمني غير محدد.
137
آليــة حمايــة ســرية المعلومات النظام والمتضمنـة لكـل مـن تحديـد وتوثيـق
والمصـادقة عليهـا وتقييمهـا بشكـل الشخاص المصـرح لهـم بإنشاء السـياسات
والطلع على المعلومات السـرية قـد وثقـت
دوري من ق بل أشخاص معين ين أو
بشكل رسمي.
مجموعة محددة.
ـياسات الحفاظ على أن تقوم الشركــة بتوثيــق كــل مــا جاء
ـب أن تحوي سـ
يجـ 1.2
ـي العمود
ـا فـ
ـب اتباعهـ
سرية المعلومات ووف قا ل سياسات حما ية بالجراءات الواجـ
اليمن. النظام التالي:
-تعريــف وتوثيــق مفهوم ســرية
المعلومات.
-شرح آليـة وصـلحية الدخول لنظام
المعلومات السرية.
-منـع دخول غيـر المصـرح لهـم إلى
النظام.
-تعريـف آليـة إدخال مسـتخدمين جدد
وم نع ا ستخدام م ستخدمين ل يراد ل هم
الستمرار باستخدام النظام.
-تحديـد المسـؤولين عـن تأميـن آليـة
سرية المعلومات.
-تحديد المسؤولين عن صيانة وتحديث
النظام.
-تحديـد الليـة المتبعـة فـي حـل أي
مشكلة تعترض عمليـــة الحفاظ على
سرية المعلومات.
أن يتـم تعييـن مسـؤولين عـن وضـع أن يجعل قسم الموارد البشرية مسؤول بشكل 1.3
ســياسات تأميــن ســرية المعلومات مباشـر عـن تعييـن الشخاص المناسـبين لتلك
المهمـة .مـع ضرورة الحصـول على حـق واستبدالهم بشكل دوري.
ملكيـة كـل مـن البيانات والبرامـج الخاصـة
بحماية المعلومات السرية.
138
-2شبكات الربط Communications
2.1ضرورة أن توضـح الشركـة آليـة شبكـة وذلك بواسطة وضع شرح تفصيلي عن نظام
حماية سرية المعلومات. ربط نظام حماية سرية المعلومات.
يجــب أن تتضمــن شبكات التصــال يتم تفعيل ذلك بواسطة التالي: 2.2
-الفصـاح عـن المعلومات غيـر المصـرح الخاصة بالمعلومات السرية التالي:
للخرين بالطلع عليها عبر موقعها. -جم يع المعلومات الم صنفـة بال سرية
-الف صاح عن خطورة محاولة دخول غ ير وآلية الدخول إليها.
المصـرح لهـم لتلك المعلومات والمسـاءلة -كيفية عملية تأهيل الدخول للمعلومات
القانون ية ال تي يم كن أن تن جم عن ذلك عبر السرية.
موقعها. -كيفية استخدام المعلومات السرية.
-تحديـد الموظفيـن المسـموح لهـم بالطلع -المحددات ال تي ي جب التق يد ب ها ع ند
على المعلومات السـرية ومراجعـة وتدقيـق تزويــد هذه المعلومات إلى أي طرف
قوائم المصرح لهم بذلك بشكل دوري. ثالث.
-ضرورة تماشي سياسات حماية سرية
المعلومات مع القوانين المعمول بها.
يجب ربط آلية التبليغ عن اختراقات نظام ي تم تفع يل ذلك بو ضع آل ية معي نة في مو قع 2.3
ـع الشركة على شبكة النترنيت يسمح للمستخدم
ـرية المعلومات مباشرة مـ
ـة سـ
حمايـ
المصــرح لهــم بالتعامــل ومعالجــة بالبلغ عـن الختراقات التـي تحدث للنظام
ويجـب أن تكون آليـة البلغ هذه مربوطـة الختراقات.
بشكـل مباشـر مـع الشخاص المصـرح لهـم
بمعالجة تلك الختراقات.
يجـب وصـل التغيرات التـي تحدث على ويتـم ذلك فـي الغالب بواسـطة العلن عـن 2.4
تأميـن حمايـة سـرية المعلومات بيـن كـل التغيرات التـي يمكـن أن تحدث على تأميـن
حمايـة سـرية المعلومات عـبر موقعهـا على من الدارة والمستخدم.
شب كة النترن يت مع توض يح الليات الجديدة
لتلك التغييرات.
-3الجراءات Procedure
3.1أن ي تم الف صاح عن الجراءات المتب عة وي جب أن يرا فق عمل ية الف صاح تلك توق يع
الموظفيـن المصـرح لهـم بالدخول والطلع في تأمين حماية سرية المعلومات.
على تلك المعلومات على تعهدات معينة.
139
يجـب أن تـبرم الشركـة اتفاقيات مـع ويمكـن أن تتأكـد مـن تطبيقهـا لتلك التفاقيات 3.2
الطراف الخرى التي يتم اطلعها على عبر توسيط طرف تدقيق بينها.
المعلومات السـرية تحدد بهـا التــزام
السرية التامة من قبلها.
يجــب أن يحوي نظام تأميــن ســرية ضرورة ح صول كل م ستخدم جد يد على أداة 3.3
المعلومات على الجراءات المنطقيـــة تعريـف ،ورقـم سـري خاص بـه للتسـجيل
بالنظام. التالية:
ضرورة اسـتخدام المسـتخدم لدوات تعريـف -التسجيل والسماح لمستخدمين جدد.
معينة ،وأرقام سرية للدخول إلى النظام. -تعريف شروط المستخدم الجديد.
تمك ين الم ستخدم بتغي ير أو تعد يل معلوما ته؛ -تحديد آلية تغيير أو تحديث معلومات
ولكـن بعـد أن يكون قـد حصـل على أداة المستخدم.
تعريف ،ورقم سري خاص به بشكل مسبق. -تحديـد آليـة شروط السـماح بالدخول
إنشاء نظام خاص محدد بــه آليــة وشروط إلى النظام.
الدخول إليه. -تحديد صلحيات المستخدمين.
جعـل الدخول إلى مناطـق البيانات السـرية -حذر الدخول إلى البيانات الســـرية
مقصورا على القسام المعنية. لغير الموظفين المصرح لهم بذلك.
ــب أن يحوي النظام على إجراءات ي جب أن يتـم الدخول إلى الغرف ال تي تحوي يجـ 3.4
فعليـة وملموسـة تحدد آليـة الحـد مـن تلك القطع عن طريق بطاقات خاصة وبأرقام
وصـول غيـر المصـرح له إلى القطـع سرية .ك ما ي جب أن تحوى تلك الغرف على
والجزاء الخاصــة بمنــع الختراقات (كمرات) مراقبة.
Firewallsوالتــي تنشــأ بواســطتها
التعليمات.
ــب أن يحوي النظام على إجراءات ويتـم ذلك بوضـع آليـة توقـف عمليـة الدخوليجـ 3.5
حمايـة تحـد مـن الدخول المنطقـي غيـر وتمنعها إذا ما تمت محاولة الدخول لكثر من
المصـرح له إلى مناطـق حمايـة نظام ثلث مرات بمعلومات دخول خاطئة.
سرية المعلومات المنطقية.
يجـب أن يحوي النظام على آليات تمنـع ويتـم ذلك بالتعاون مـع الشركات المصـنعة 3.6
دخول الفيروســات والبرامــج غيــر لبرامـج الحمايـة مـن الفيروسـات وتحديثهـا
بشكل دوري. المصرح لها.
يجــــب أن يحوي النظام على تقنيات ويتـم ذلك مـن خلل الشتراك بإحدى شبكات 3.7
140
تكنولوجيـة تحمـي البيانات السـرية مـن التشغيـل الخاصـة بحمايـة المعلومات السـرية
وتوثيق ذلك الشتراك بعقود قانونية. الضياع أو التلف.
يجــب أن يحوي النظام على الجراءات وذلك بو ضع و صف وظي في مو ثق يحدد به 3.8
الخاصة بآلية تحديد المسؤوليات المناطة الشخاص المسؤولون عن تلك اللية ودرجة
بالشخاص المسـؤولين عـن نظام تأميـن ونطاق مسؤولياتهم.
سرية المعلومات.
ــب أن يحوي النظام على إجراءات وذلك بإنشاء قسم خاص من قبل الدارة العليا يجـ 3.9
تحدد المصـرح لهـم بفحـص وتوثيـق يناط بـه مهمـة وضـع القوانيـن وتحديـد
التغييرات ال تي ت ستحدث على آل ية تأم ين مسؤوليات جميع الوظائف الضرورية.
حماية سرية المعلومات.
يجــب أن يحوي النظام على الجراءات وذلك بوضع إجراءات موثقة يتم اتباعها عند 3
ـة التغييرات الطارئة على حدوث أي طارئ.
ـة بآليـ
الخاصـ .10
النظام.
يجــب أن يحوي النظام على الجراءات ويتـم ذلك مـن خلل تبنـي الشركـة لمنهجيـة 3
ـة
ـه وآليـ
ـة تحدد دورة النظام التشغيليـ
الخا صة ب كل من عمل ية الت صميم للنظام معينـ .11
ـة إدارة البنيــة التملك التي يجب اتباعها وآلية كل من تفعيل
والتملك والتفعيــل وآليـ
التحتية وبرامج الحماية بشكل يتماشى مع النظام وصـيانته بشكـل يتماشـى مـع جميـع
السـياسات الموضوعـة والخاصـة بنظام المعلومات التكنولوجية الخاصة به.
تأمين حماية سرية المعلومات.
-4المراقبة Monitoring
ـة النظام
ـق خاص بمراقبـ
ـث يقوم فريـ
4.1يجـب أن يتـم تقييـم آليـة تأميـن سـرية بحيـ
المعلومات وحمايـة النظام بشكـل دوري وتقيي مه بوا سطة عدة وسائل يتم توفير ها من
قبل الدارة بشكل مسبق على مدار الساعة. ومطابقتها بالسياسات الموضوعة.
وجوب وجود آليـة معينـة تمكـن الشركـة وذلك مـن خلل تحليـل جميـع العمليات التـي 4.2
من مراقبة عملية تأمين سرية المعلومات تتـم مـن خلل النظام وفحصـها بعدة وسـائل
للوقوف على مدى النجاح لسرية المعلومات. والتأكد بأنها تؤدي المهام المناطة بها.
ي جب مراق بة التغيرات التكنولوج ية ال تي ولجـل تحقيـق تلك الغايـة يجـب على الدارة 4.3
ــا العليـا الخـذ بالحتمالت المسـتقبلية خلل
تحدث على بيئة النظام ومدى تأثيرهـ
على موضوع ســـــرية المعلومات وضعها لسياسات تأمين سرية المعلومات.
141
ومواكبتها بشكل زمني غير محدد.
ـث أن
ـي الكندي يرى الباحـ
ـل العملي للمشروع المريكـ
ـي ختام التحليـ
وفـ
المشروع وبشكـل عام يحتوي على عدد مـن السـلبيات واليجابيات يمكـن تلخيصـها
بالتالي:
أول :السلبيات:
-1المشروع وبشكله العام يو حي للبا حث بأ نه مشروع تجاري يهدف
إلى الحصـول على عملء ليـس إل ،وهذا السـتنتاج نابـع مـن
النقاط التالية:
-ل توجد أي معايير مقارنة بين النظام المطبق وما يجب أن يكون عليه ،
ويعني الباحث هنا أن عملية تدقيق الحسابات مثل والتي تتم وفقا لمعايير
تدق يق دول ية ت ستند على ف حص ح سابات المنشأة ومدى التزام ها بت طبيق
معاي ير المحا سبة الدول ية ،ح يث أن معاي ير المحا سبة الدول ية ت عد نق طة
ارتكاز يتـم التقييـم بناءً عليهـا ،ولكـن وفـي هذا المشروع توجـد مبادئ
تدقيـق لنظام التجارة اللكترونـي دون وجود مبادئ ارتكاز يتـم العتماد
عليها.
-2رغـم درايـة معهـد المحاسـبيين القانونييـن المريكـي بمشكلة
العتراف باليراد المتولد عبر التجارة اللكترونية إل انه لم يذكر
ول بأي شكل مـن الشكال مساهمة مشروعه بحل تلك المشكلة.
-3لم يراع المشروع حجم الشركات المستخدمة للتجارة اللكترونية ،
وحسـب رأي الباحـث فالمشروع يصـلح لسـتخدامات الشركات
الضخمة فقط حيث إن تكلفة التقيد بجميع البنود المنصوص عليها
فيه كبيرة جدا.
142
-4لم يذ كر المشروع كيف ية تأهيله لمنت سبي كل من مع هد المحا سبين
القانونييـن المريكـي والكندي بجميـع المور التقنيـة الخاصـة
بموضوع التجارة اللكترونية.
ثانيا :اليجابيات:
-1وفـر المشروع وسـيلة ثقـة مقبولة عمومـا لكـل مـن المسـتهلكين
والشركات المتعاملة بالتجارة اللكترونيـة ؛ والسـبب يعود إلى أن
هذه الخدمـة الجديدة مزودة مـن قبـل اعرق المعاهـد المحاسـبية
الموثوق بها بالعالم.
-2وفـر المشروع سـياسات وإجراءات نظريـة يمكـن أن تسـاعد
المختصين والمحاسبين باستنباط سياسات وإجراءات عملية استنادا
عليها.
-3يعـد المشروع مـن المحاولت الفريدة والجريئة فـي مجال التجارة
اللكترونيـة ،والذي قـد يمهـد الطريـق أمام مجالس معاييـر
المحا سبة ويمكن ها من ا ستنباط معاي ير خا صة تعالج عمليات هذا
النوع من التجارة غير التقليدية.
-4وفر المشروع للشركة المتعاملة بالتجارة اللكترونية وسيلة دعائية
جديدة توحـي للمتعامـل معهـا بأن إجراءات الحمايـة الخاصـة
بنظامها مثاليـة من منطلق أنه يتم تدقيق نظامها من قبل أفضل
مدققين بالعالم.
-5يعتقـد الباحـث بأن هذا المشروع جعـل الكثيريـن يتسـاءلون حول
ـل التجارة
ـة مشاكـ
ـبية بمعالجـ
ـة المحاسـ
ـة النظريـ
دور وفاعليـ
اللكترون ية ،وبالتالي قد يتم كن المخت صون من تطو ير النظر ية
المحاسـبية بش كل يتما شى مـع التغيرات التـي أحدثتهـا هذه التقنيـة
الجديدة.
143
-6دعـم المشروع للفكرة التـي تنـص على ضرورة مواكبـة كـل مـن
مهنـة التدقيـق والمحاسـبة للتغيرات التـي حدثـت على بيئة التجارة
الجديدة والمتمثلة بالتجارة اللكترونية.
تعليق الباحث:
رغـم سـلبيات وإيجابيات المشروع الذي قام الباحـث بتحليله ،إل انـه يعتقـد
بــأن المشروع وفـر له ركيزة جيدة سـتساعده على تطويـر نظام الربـط الذي سـيتم
اقتراحه في الفصل القادم وبالشكل التالي:
-إمكان ية ال ستعانة بال سياسات النظر ية المقتر حة بالمشروع وتحويل ها إلى
سياسات عملية واضحة.
-ج عل نظام الر بط الذي سيتم اقترا حه متماش يا مع آليات ومبادئ التدق يق
المقترحة بالمشروع.
-إمكانية استنباط آليات الرقابة الواجب توفيرها في نظام الربط من المبادئ
والجراءات المقترحة بالمشروع.
144