هل يجب استضافة بياناتي داخل السعودية؟

ليس دائمًا. ما فيه قاعدة واحدة شاملة تفرض توطين كل البيانات. المتطلبات تعتمد على نوع البيانات والقطاع: البيانات الحكومية وبيانات البنية التحتية الوطنية الحرجة تخضع لضوابط NCA وحوكمة NDMO؛ والبيانات الشخصية تخضع لـ PDPL الذي يسمح بالنقل العابر للحدود بضمانات. وبيانات الصحة والمال تحمل قواعد قطاعية إضافية.

هل يُطبَّق نظام حماية البيانات فعلاً أم لا تزال فترة سماح؟

نعم، يُطبَّق فعلاً. انتهت فترة السماح في ١٤ سبتمبر ٢٠٢٤، وهيئة البيانات تصدر قرارات الآن — ٤٨ قرارًا بحلول أوائل ٢٠٢٦، مع غرامات تصل إلى ٥ ملايين ريال عن المخالفة، ونافذة خمسة أيام للرد على الإشعار، وصلاحية إيقاف المعالجة.

هل أقدر أنقل بيانات شخصية خارج السعودية؟

نعم، بضمانات. لم تنشر هيئة البيانات قائمة دول كافية، لذا يعتمد النقل على البنود التعاقدية المعيارية أو القواعد الملزمة المشتركة مع تقييم مخاطر النقل للبيانات الحساسة أو واسعة النطاق.

هل تنطبق ضوابط NCA السيبرانية على الشركات الخاصة؟

نعم — اعتبارًا من NCNICC-1:2025 (سارية منذ يناير ٢٠٢٦)، يجب على كل منشأة خاصة غير مصنّفة كبنية تحتية حرجة استيفاء أرضية إلزامية متدرّجة حسب الحجم. المنشآت الكبيرة (٢٥٠+ موظف أو إيراد يتجاوز ٢٠٠ مليون ريال) تطبّق ٦٥ ضابطًا أساسيًا؛ والمنشآت الصغيرة والمتوسطة مجموعة مخفّضة. ويبقى مشغّلو البنية التحتية الحرجة تحت ECC-2:2024 وCCC-2:2024 وDCC-1:2022.

أي مناطق المزوّدين الكبار فعّالة في السعودية؟

Google Cloud الدمام (منذ ٢٠٢٣) وAWS me-central-2 (فعّالة منذ يناير ٢٠٢٦) قيد التشغيل؛ وMicrosoft Azure السعودية الشرقية مؤكّدة للتوفّر العام في الربع الرابع ٢٠٢٦. كما توفّر Google خيار Sovereign Controls by CNTXT على بنية الفئة C.

وش الفرق بين ضوابط NCA ونظام حماية البيانات PDPL؟

هما التزامان منفصلان ومتوازيان. تحكم NCA الوضع الأمني السيبراني؛ بينما يحكم PDPL (هيئة البيانات) معالجة البيانات الشخصية ونقلها العابر للحدود. والشركة التي تعالج بيانات شخصية سعودية تحتاج عادة إلى استيفاء الاثنين معًا.

٠٠ · الزبدة باختصار

استضافة البيانات في السعودية معناها تعدّي أربعة أنظمة دفعة وحدة.

أي نظام يلمس بيانات شخصية — لا تقول الحساسة — جوّه المملكة يشغّل في نفس اللحظة نظام حماية البيانات (SDAIA/PDPL)، وتصنيف NDMO، وضوابط الأمن السيبراني (NCA)، وتسجيل فئة الحوسبة السحابية عند CST. والتصميم الأقل مخاطرة هو إنك تستضيف جوّه المملكة، بدون نقل عابر للحدود، عند مزوّد مسجّل في CST. هذي الصفحة هي الخريطة والاختصارات وأداة تحوّل تفاصيلك إلى قائمة تحقّق.

جهات تنظيمية تُفعّل معًا: SDAIA · NDMO · NCA · CST

٧٢ ساعة

لإبلاغ هيئة البيانات بأي خرق — دون حدّ للأهمية

٥ م ر.س

أعلى غرامة عامة (تتضاعف إلى ١٠ م عند التكرار)

هذه ليست استشارة قانونية. النصوص الملزمة باللغة العربية الرسمية. يجب تأكيد كل رقم ومادة ورسوم وموعد وغرامة مقابل وثائق الجهة التنظيمية الأولية (المرتبطة في قسم المصادر) ومستشار سعودي مؤهل قبل الإطلاق.

حالة الإنفاذمحقّق ٢٦ يونيو ٢٠٢٦

تطبيق نظام حماية البيانات الشخصية شغّال فعلاً — وفعّال.

انتهت فترة السماح في ١٤ سبتمبر ٢٠٢٤. ما عاد نظام حماية البيانات الشخصية التزامًا «نجهّز له بعدين» — هيئة البيانات تصدر قرارات الحين.^[S1]

وش يصير فعليًا

٤٨ قرار إنفاذ أصدرتها هيئة البيانات في السنة حتى أوائل ٢٠٢٦.
غرامات تصل إلى ٥٬٠٠٠٬٠٠٠ ر.س عن المخالفة الواحدة — وتتضاعف عند التكرار.
مخالفات البيانات الحساسة قد تجرّ مسؤولية جنائية تصل إلى السجن سنتين.
بعد التبليغ، ما عند المنشأة إلا ٥ أيام للرد بالأدلة.
تقدر هيئة البيانات توقف أنشطة المعالجة — مخاطرة تشغيلية، مو بس مالية.

أغلب المخالفات لين الحين ترجع للأساسيات: معالجة بدون أساس نظامي صحيح، وإفصاح غير مصرّح، وغياب الضمانات التقنية والتنظيمية، وتسويق بدون موافقة.^[S2]

وش يعني هذا لقرارات الاستضافة

مخاطر الإنفاذ ترفع أهمية «وين» تعيش البيانات و«كيف» يصير النقل. لين الحين هيئة البيانات ما نشرت قائمة دول «كافية»، فالنقل العابر للحدود يمشي على بنود تعاقدية معيارية أو قواعد ملزمة مع تقييم مخاطر النقل — مو على اختصار «هالدولة معتمدة».^[S3]

هذا القسم مرجع تنظيمي، وليس استشارة قانونية. تحقّق من النص الحالي لكل لائحة من مصدرها الأولي قبل أي إجراء. آخر تحقّق ٢٦ يونيو ٢٠٢٦.

الخط الزمنيمحقّق ٢٦ يونيو ٢٠٢٦

كيف وصلنا إلى امتثال السحابة في السعودية — ووش الجاي.

تجمّع النظام على مراحل: ضوابط البيانات، ثم مناطق داخل المملكة، ثم إنفاذ PDPL، والآن أرضية أمن سيبراني للقطاع الخاص. وبقيت مراسٍ قليلة منتظرة.

نوفمبر ٢٠٢٢منجز
نشر ضوابط الأمن السيبراني للبيانات (DCC-1:2022)^↗
تصنيف بيانات من ٤ مستويات و٤٧ ضابطًا فرعيًا للجهات الحكومية ومشغّلي البنية التحتية الوطنية الحرجة.
نوفمبر ٢٠٢٣منجز
افتتاح منطقة Google Cloud الدمام (me-central2)^↗
أول منطقة لمزوّد كبير داخل المملكة؛ وتضيف لاحقًا Sovereign Controls by CNTXT على بنية الفئة C.
١٤ سبتمبر ٢٠٢٤منجز
انتهاء فترة السماح لنظام حماية البيانات^↗
انتهاء المرحلة الانتقالية ومدتها سنة؛ ويصبح نظام حماية البيانات الشخصية واجب النفاذ بالكامل.
سبتمبر ٢٠٢٤منجز
إصدار هيئة البيانات البنود التعاقدية المعيارية (SCCs)^↗
تصبح البنود التعاقدية المعيارية ضمانًا أساسيًا للنقل العابر للحدود في غياب قائمة الكفاية.
أكتوبر ٢٠٢٤منجز
ECC-2:2024 يحل محل ECC-1:2018^↗
مُحدَّث إلى ٤ مجالات و~١١٠ ضوابط؛ ويجب شغل جميع أدوار الأمن السيبراني بكوادر سعودية مؤهلة.
٢٧ مايو ٢٠٢٥منتظر
تعديلات اللائحة التنفيذية للنظام — إغلاق الاستطلاع^↗
تغييرات مقترحة على قواعد مسؤول حماية البيانات وواجب الرد على هيئة البيانات خلال ١٠ أيام عمل. لم تؤكَّد سريانها بعد.
يناير ٢٠٢٦منجز
تشغيل AWS الشرق الأوسط (السعودية) me-central-2^↗
ثلاث مناطق توفّر حول الرياض؛ باستثمار نحو ٥٫٣ مليار دولار.
يناير ٢٠٢٦فعّال
سريان NCNICC-1:2025 — القطاع الخاص ضمن النطاق^↗
تمدّ NCA الأمن السيبراني الإلزامي ليشمل كل منشأة خاصة غير حرجة، متدرّجًا حسب الحجم (الفئة A ٦٥ ضابطًا).
أوائل ٢٠٢٦فعّال
إنفاذ نظام حماية البيانات فعّال — ٤٨ قرارًا^↗
تعلن هيئة البيانات ٤٨ قرار إنفاذ؛ غرامات تصل ٥ ملايين ريال، نافذة رد ٥ أيام، وصلاحية إيقاف المعالجة.
الربع الرابع ٢٠٢٦قادم
Microsoft Azure السعودية الشرقية — التوفّر العام (مؤكّد)^↗
ثلاث مناطق توفّر مبنية في المنطقة الشرقية؛ التوفّر العام مؤكّد للربع الرابع ٢٠٢٦.
منتظرمنتظر
قائمة الدول الكافية من هيئة البيانات — لا تزال منتظرة^↗
لين تُنشر (المادة ٣ من لائحة النقل)، يعتمد النقل العابر للحدود على البنود المعيارية/القواعد الملزمة مع تقييم مخاطر النقل.

٠١ · الحقيقة اللي ما أحد يقولها بصراحة

ما فيه نظام واحد يربط «التصنيف» بـ«مكان الاستضافة».

يبحث الكثيرون عن مادة واحدة تقول «البيانات الحساسة يجب أن تبقى داخل المملكة». لا توجد كبند واحد. الاستضافة داخل المملكة نتيجة مركّبة لأمرين: (أ) قواعد النقل العابر للحدود في PDPL مع ضمانات وموافقة هيئة البيانات، و(ب) ترخيص فئة الحوسبة السحابية لدى CST — حيث الفئة C وحدها يحق لها استضافة البيانات السرية / السرية للغاية. يحدّد NDMO التصنيف، وتحدّد NCA الضوابط الأمنية. ولم تنشر هيئة البيانات قائمة «كفاية» للدول، لذا يحتاج اليوم كل نقل عابر للحدود إلى بنود تعاقدية معيارية سعودية أو قواعد ملزمة أو اعتماد، إضافة إلى تقييم مخاطر النقل.

بطّل تدوّر على «نظام الإقامة» الواحد. مكان الاستضافة شي يطلع من قواعد النقل في PDPL + ترخيص الفئات عند CST.

٠٢ · الجهات الأربع بلمحة

مين يحكم وش — ووش يبي منك كل واحد.

اربط التزاماتك بالجهة الصح قبل لا تصمّم أي شي.

محقّق ٢٦ يونيو ٢٠٢٦

الجهة	تحكم	الأداة الأساسية	ما تطلبه منك
SDAIA (PDPL)	البيانات الشخصية والحساسة	النظام + اللائحة التنفيذية + لائحة النقل	أساس نظامي، إشعار خصوصية، سجل المعالجة، اتفاقيات معالجة، مسؤول حماية (إن لزم)، إشعار خرق خلال ٧٢ ساعة، ضمانات النقل
NDMO	تصنيف البيانات وحوكمتها	سياسات حوكمة البيانات + سياسة التصنيف	تصنيف كل مجموعة بيانات إلى ٤ مستويات وتطبيق قواعد المعالجة
NCA	ضوابط الأمن السيبراني	ECC-2:2024 · NCNICC-1:2025 · CCC · DCC · NCS · CSCC	خط الأساس ECC-2 (حكومي/CNI) أو NCNICC-1:2025 (القطاع الخاص العام)؛ أضف CCC للسحابة وDCC لبيانات الحكومة/CNI وNCS للتشفير وCSCC للأنظمة الحساسة
CST	ترخيص مزوّدي الخدمات السحابية	لوائح تقديم خدمات الحوسبة السحابية	التسجيل/التأهيل حسب الفئة — الفئة C وحدها تستضيف السري

٠٣ · الخطوة الأولى — صنّف

مستويات NDMO الأربعة، والفرق في PDPL بين الشخصي والحساس.

ما تقدر تحمي شي ما صنّفته. كل مجموعة بيانات تاخذ مستوى NDMO، والبيانات الشخصية تاخذ كمان وسم PDPL.

محقّق ٢٦ يونيو ٢٠٢٦

م٤

سري للغاية

أبلغ الأثر على المصلحة الوطنية عند كشفه. أشد معالجة وأكثرها تقييدًا للإقامة.

م٣

سري

أثر بالغ. نطاق الاستضافة داخل المملكة والفئة C.

م٢

مقيّد

أثر محدود/داخلي. وصول مضبوط وتسجيل.

م١

عام

لا ضرر عند الإفصاح. الإقامة مرنة.

البيانات «الحساسة» في PDPL

بموجب المادة ١ من النظام، البيانات الحساسة تشمل ما يكشف الأصل العرقي أو الإثني؛ والمعتقد الديني أو الفكري أو السياسي؛ والبيانات الجنائية والأمنية؛ والبيانات الحيوية؛ والوراثية؛ والصحية؛ وما يدل على عدم معرفة أحد الوالدين. تتطلب موافقة صريحة، ولا تجوز معالجتها للتسويق ولو بموافقة، ولا يصح الاستناد فيها إلى «المصلحة المشروعة».

٠٤ · الخطوة الثانية — وين تُستضاف

مصفوفة الإقامة (مستنتجة، مو نص واحد).

هذي المصفوفة تركيب عملي لقواعد النقل في PDPL + ترخيص الفئات عند CST + مستويات NDMO. خذ عمود «داخل المملكة» على إنه الخيار المتحفّظ الافتراضي.

محقّق ٢٦ يونيو ٢٠٢٦

البيانات	أين يمكن استضافتها	فئة CST اللازمة	النقل العابر للحدود
عامة / غير شخصية	مرنة (داخل أو خارج)	A أو B	مسموح عمومًا
شخصية (غير حساسة)	داخل المملكة مفضّل	A / B / C	مسموح بضمانات + تقييم مخاطر
شخصية حساسة (صحية، حيوية…)	داخل المملكة	C	تدقيق مشدّد + تقييم مخاطر إلزامي
سري / سري للغاية (مصنّفة)	داخل المملكة فقط	C فقط	ممنوع فعليًا

خيارات داخل المملكة شائعة: AWS me-central-2، وGoogle Cloud الدمام (مع Sovereign Controls by CNTXT)، وOracle، والعروض السيادية. تأكد أن فئة تسجيل المزوّد لدى CST تغطي بياناتك قبل التوقيع — وراجع جدول الحالة المحقّقة تحت.

مناطق داخل المملكة — حالة محقّقة

المزوّد	الحالة	المنطقة	محقّق
AWS الشرق الأوسط (السعودية)	فعّالة منذ يناير ٢٠٢٦ · ٣ مناطق توفّر · ٥٫٣ مليار $	me-central-2 · الرياض	2026-06-26
Google Cloud الدمام	فعّالة · Sovereign Controls by CNTXT (بنية الفئة C)	me-central2 · الدمام	2026-06-26
Microsoft Azure السعودية الشرقية	التوفّر العام مؤكّد للربع الرابع ٢٠٢٦ · ٣ مناطق توفّر	المنطقة الشرقية	2026-06-26

مناطق سحابية شائعة للاستضافة داخل المملكة. الحالة محقّقة في ٢٦ يونيو ٢٠٢٦ — تأكد أن فئة تسجيل المزوّد لدى CST تغطي بياناتك قبل التوقيع.

٠٥ · إذا طلعت أي بيانات برّه المملكة

ما فيه قائمة «كفاية» — فكل نقل يجيب أوراقه معه.

هيئة البيانات ما نشرت قائمة بالدول «الكافية». ولين ما تسوّيها، تبني ضمان خاص لكل تدفّق.

محقّق ٢٦ يونيو ٢٠٢٦

لأي نقل للخارج تحتاج ضمانًا مناسبًا — بنودًا تعاقدية معيارية سعودية أو قواعد ملزمة للشركات أو اعتمادًا — إضافة إلى تقييم مخاطر النقل. ويجب ألا يضرّ النقل بالأمن الوطني أو المصالح الحيوية للمملكة، وأن يلتزم بتقليل البيانات إلى الحد الأدنى اللازم.

تقييم مخاطر النقل (TRA)

إلزامي قبل أي نقل يعتمد على ضمانات مناسبة، ولنقل البيانات الحساسة للخارج بشكل مستمر أو واسع النطاق — حتى لو وُجد قرار كفاية لاحقًا. ويعتمد دليل هيئة البيانات منهجية من أربع مراحل: التحضير ← تقييم آثار المعالجة ← تقييم مخاطر النقل ← تقييم آثار المصالح الحيوية.

مقترح: تعديلات اللائحة التنفيذية للنظام — أُغلق الاستطلاع العام في ٢٧ مايو ٢٠٢٥. التعديلات المقترحة تلغي/تستبدل قواعد تعيين مسؤول حماية البيانات، وتضيف واجب الرد على استفسارات هيئة البيانات خلال ١٠ أيام عمل. اعتبرها مقترحة — تأكد من سريانها قبل الاستشهاد بها كنص ملزم.

٠٦ · الخطوة الثالثة — أمّن

حزمة ضوابط NCA اللي لازم تطبّقها فعلاً.

تعتمد أرضيتك على هويتك التنظيمية: الجهات الحكومية والبنية التحتية الوطنية الحرجة تلتزم بـ ECC-2:2024، بينما صار للقطاع الخاص العام أرضية إلزامية خاصة هي NCNICC-1:2025. زِد الباقي حسب طبيعة نظامك.

محقّق ٢٦ يونيو ٢٠٢٦

مجموعة الضوابط	تنطبق عندما	في سطر
ECC-2:2024	دائمًا (خط الأساس)	الضوابط الأساسية للأمن السيبراني — أرضية أي جهة مشمولة
NCNICC-1:2025	القطاع الخاص العام (غير CNI)	ضوابط الأمن السيبراني للبنية غير الحرجة — الأرضية الإلزامية الجديدة للشركات الخاصة. الفئة A (٢٥٠+ موظف أو إيراد > ٢٠٠ م ر.س): ٦٥ ضابطًا أساسيًا عبر الحوكمة والدفاع السيبراني والطرف الثالث والسحابة؛ الفئة B (منشأة صغيرة/متوسطة ٦–٢٤٩ موظف أو ٣–٢٠٠ م ر.س): مجموعة مخفّضة.
CCC (CCC-2:2024)	السحابة ضمن النطاق	ضوابط الأمن السيبراني للحوسبة السحابية — تقسيم المسؤوليات بين المزوّد والمستفيد
DCC-1:2022	بيانات حكومية أو CNI	ضوابط الأمن السيبراني للبيانات — ٣ مجالات و٤٧ ضابطًا فرعيًا وتصنيف بيانات من ٤ مستويات (ملاحظة: يستخدم مستوى «سري/Confidential» حيث يقول NDMO في §٠٣ «مقيّد» — اربط التصنيفين صراحةً).
NCS-1:2020	تستخدم التشفير	المعايير الوطنية للتشفير — خوارزميات معتمدة وإدارة مفاتيح. وNCS-2:2025 غير مؤكّد — تأكّد من سريانه قبل الاعتماد عليه.
CSCC-1:2019	النظام «حساس» / حكومي	ضوابط الأنظمة الحساسة — الطبقة الأشد

ما أنت متأكد إن NCA تنطبق عليك؟ ← هل تنطبق ضوابط NCA على شركتي؟

٠٧ · إذا كنت مزوّد استضافة

تسجيل فئة CST — بس إذا كنت أنت المزوّد.

إذا أنت بس تستهلك السحابة، تختار مزوّد مسجّل وتُعتبر عميل. لكن إذا تقدّم خدمات سحابية/استضافة لغيرك، لازم تسجّل وتتأهّل عند CST حسب الفئة.

محقّق ٢٦ يونيو ٢٠٢٦

الفئة A

أعباء عمل أقل حساسية. أخف الالتزامات.

الفئة B

الوسط. استضافة أوسع للبيانات الشخصية.

الفئة C

الفئة الوحيدة المسموح لها باستضافة البيانات السرية / السرية للغاية.

سجّل عبر المنصة الوطنية (my.gov.sa) بموجب لوائح تقديم خدمات الحوسبة السحابية (سارية منذ ١٠ أكتوبر ٢٠٢٣). تحقّق من تعريفات الفئات الحالية مقابل وثيقة CCSPR الرسمية قبل الاعتماد على هذا التقسيم.

٠٨ · كلفة الخطأ

العقوبات، وعدّاد الـ٧٢ ساعة.

تطبيق PDPL فعّال — انتهت فترة السماح في ١٤ سبتمبر ٢٠٢٤، وأصدرت هيئة البيانات ٤٨ قرارًا، والغرامات العامة توصل ٥ م ر.س (وتتضاعف إلى ١٠ م عند التكرار).

محقّق ٢٦ يونيو ٢٠٢٦

٥ م ر.س

المخالفات العامة — تتضاعف إلى ١٠ م عند التكرار

سنتان + ٣م

الإفصاح المتعمّد عن بيانات حساسة (سجن + غرامة)

سنة + ١م

النقل غير المشروع عبر الحدود (سجن + غرامة)

عدّاد الخرق: ٧٢ ساعة

يجب إبلاغ هيئة البيانات بأي خرق للبيانات الشخصية خلال ٧٢ ساعة — دون حدّ أدنى للأهمية. ويُبلَّغ أصحاب البيانات المتأثرون عند وجود احتمال ضرر. ابنِ دليل الاستجابة ودرّب عليه قبل الإطلاق، لا بعد الحادثة.

٠٩ · الاختصار

مرشد الامتثال — جاوب على أربعة أشياء، وخذ حزمتك.

اختر اللي يوصف نظامك. المرشد يرجّع لك وضع الإقامة، وفئة CST اللازمة (إن وُجدت)، وحزمة ضوابط NCA، واحتمال تحتاج مسؤول حماية بيانات، والطبقات القطاعية، وقائمة تحقّق مخصّصة تقدر تنسخها. متحفّظ بحكم التصميم — يميل للاستضافة جوّه المملكة و«راجع مستشارك».

ما أنواع البيانات التي يتعامل معها النظام؟

اختر كل ما ينطبق.

هل ستخرج أي بيانات من المملكة (نقل عابر للحدود)؟

هل تقدّم خدمات استضافة / سحابية للغير؟

أي أنك المزوّد، لا مجرد عميل.

أي قطاع؟

اسأل مساعد الامتثال

الإجابات مأخوذة فقط من قاعدة المعرفة الموثّقة في هذه الصفحة وتستشهد بمصدرها [S#]. ويخبرك متى لا يوجد مصدر موثّق بدل التخمين.

جرّب سؤالًا:

ليست استشارة قانونية. أكّد مقابل وثائق الجهات التنظيمية الأولية (انظر قسم المصادر) ومستشار سعودي مؤهل قبل الإطلاق.

١٠ · اختصار التسعين يومًا

القائمة الرئيسية — مسار واحد حتى الإطلاق.

كل اللي فوق بصفحة وحدة، على مراحل. هذي نسخة «الاختصار» لكل اللي سبق.

الأيام ١–٣٠

المرحلة ١ — الاكتشاف والتصنيف

حصر كل مجموعة بيانات ونظام (لا تحمي ما لا تراه)
تصنيف كلٍّ وفق مستويات NDMO: سري للغاية / سري / مقيّد / عام
وسم البيانات الشخصية والحساسة بموجب PDPL
رسم كل تدفقات البيانات — خصوصًا ما يعبر حدود المملكة
تحديد الاستضافة المطلوبة لكل مستوى (مصفوفة الإقامة)

الأيام ٣١–٦٠

المرحلة ٢ — التصميم والتوثيق

اختيار المنطقة/المناطق: داخل المملكة حيث يلزم (AWS me-central-2 / Google الدمام / Oracle / سيادي)
تعيين مسؤول حماية بيانات إن لزم (جهة عامة، بيانات حساسة واسعة، أو مراقبة جوهرية)
نشر إشعار خصوصية متوافق مع PDPL
بناء سجل أنشطة المعالجة (ROPA)
توقيع اتفاقيات معالجة مع كل معالج؛ وجمع قوائم المعالجين الفرعيين
لأي نقل للخارج: إكمال تقييم مخاطر النقل + بنود تعاقدية/قواعد ملزمة

الأيام ٦١–٩٠

المرحلة ٣ — الضبط والإثبات

تطبيق خط أساس NCA المناسب — ECC-2 (حكومي/CNI) أو NCNICC-1:2025 (قطاع خاص)؛ وإضافة CCC للسحابة وDCC لبيانات الحكومة/CNI
تشفير عند التخزين والنقل؛ وإدارة مفاتيح وفق NCS
تجهيز دليل الاستجابة للخرق خلال ٧٢ ساعة — واختباره
إن كنت مزوّد استضافة ← التسجيل لدى CST (التأهّل حسب الفئة)
تدقيق داخلي مقابل PDPL + NDMO + CCC؛ ومعالجة الفجوات
تحديد دورة مراجعة — إعادة تقييم التصنيف والنقل كل ١٢–٢٤ شهرًا

هذه ليست استشارة قانونية. أكّد التفاصيل مقابل وثائق الجهات التنظيمية الأولية ومستشار سعودي مؤهل قبل الإطلاق.

١١ · أظهر عملك

المصادر الأولية وفهرس الاستشهاد.

كل اللي فوق يرجع لوثيقة رسمية على نطاق .gov.sa أو مصدر ثانوي موسوم. تحقّق قبل ما تعتمد.

govرسمي .gov.safirmتحليل مكتب محاماةpressصحافة / منقولunverifiedغير مؤكّد — تحقّق

govنظام حماية البيانات الشخصية (مرسوم ملكي م/١٩، معدّل م/١٤٨)— ساري ١٤ سبتمبر ٢٠٢٣
govاللائحة التنفيذية للنظام— نُشرت ٧ سبتمبر ٢٠٢٣
govلائحة نقل البيانات الشخصية خارج المملكة— محدّثة ١ سبتمبر ٢٠٢٤
govقواعد تعيين مسؤول حماية البيانات الشخصية— سارية
govدليل تقييم مخاطر نقل البيانات خارج المملكة— فبراير/مارس ٢٠٢٥
govسياسات حوكمة البيانات الوطنية (NDMO)— الإصدار ١
govسياسة تصنيف البيانات (NDMO)— الإصدار ١
govالضوابط الأساسية للأمن السيبراني (ECC-2:2024)— أكتوبر ٢٠٢٤
govضوابط الأمن السيبراني للحوسبة السحابية (CCC)— CCC-2:2024
unverifiedالمعايير الوطنية للتشفير — NCS-1:2020 الحالية؛ NCS-2:2025 غير مؤكّدة— ابقَ على NCS-1:2020 — تحقّق من سريان NCS-2:2025 (سارية أم استطلاع)
govضوابط الأمن السيبراني للبيانات (DCC-1:2022)— سارية ١ نوفمبر ٢٠٢٢ · حكومي + CNI · محقّق ٢٦ يونيو ٢٠٢٦
firmضوابط الأمن السيبراني للبنية غير الحرجة (NCNICC-1:2025)— سارية يناير ٢٠٢٦ · إلزامية لكل منشآت القطاع الخاص غير الحرجة · محقّق ٢٦ يونيو ٢٠٢٦
govلوائح تقديم خدمات الحوسبة السحابية (CST)— سارية ١٠ أكتوبر ٢٠٢٣
govتسجيل مزوّدي الخدمات السحابية (المنصة الوطنية)— خدمة فعّالة
pressهيئة البيانات: ٤٨ قرارًا تنفيذيًا في السنة حتى فبراير ٢٠٢٦— بحسب IAPP، ٢٥ فبراير ٢٠٢٦
firmإنفاذ نظام حماية البيانات السعودي — فعّال؛ ٥ م ر.س؛ نافذة رد ٥ أيام— Clyde & Co، مارس ٢٠٢٦ · محقّق ٢٦ يونيو ٢٠٢٦
firmالإنفاذ الفعّال لنظام الخصوصية السعودي — انعكاساته على الأعمال— Global Privacy Blog، مايو ٢٠٢٦
firmنقل البيانات عبر الحدود في المملكة — SCCs مقابل القواعد الملزمة— HFW · يؤكّد أن قائمة الكفاية لم تُنشر بعد
pressAWS me-central-2 (السعودية) — فعّالة منذ يناير ٢٠٢٦، ٣ مناطق توفّر، ٥٫٣ مليار $— DatacenterDynamics · محقّق ٢٦ يونيو ٢٠٢٦
pressMicrosoft Azure السعودية الشرقية — التوفّر العام مؤكّد للربع الرابع ٢٠٢٦، ٣ مناطق توفّر— مايكروسوفت، فبراير ٢٠٢٦ · محقّق ٢٦ يونيو ٢٠٢٦
pressGoogle Cloud الدمام (me-central2) + Sovereign Controls by CNTXT— Google Cloud · محقّق ٢٦ يونيو ٢٠٢٦
unverifiedتعديلات مقترحة على اللائحة التنفيذية (أُغلق الاستطلاع ٢٧ مايو ٢٠٢٥)— Securiti · مقترحة — تحقّق من سريانها
unverifiedطبقات قطاعية — الصحة (MOH/CCHI) والمالية (SAMA)— تضيف على الأرجح قواعد إقامة/معالجة — تحقّق منها منفصلة

محدّث حتى 25 يونيو 2026 · أعد التحقق من المصادر التنظيمية الأولية قبل الإطلاق.

١٢ · الأسئلة الشائعة

امتثال السحابة في السعودية — أسئلة متكررة.

إجابات قصيرة وموثّقة عن أول الأسئلة اللي تسألها الفرق. كل إجابة ترتبط بمصدرها الأولي.

هل يجب استضافة بياناتي داخل السعودية؟: ليس دائمًا. ما فيه قاعدة واحدة شاملة تفرض توطين كل البيانات. المتطلبات تعتمد على نوع البيانات والقطاع: البيانات الحكومية وبيانات البنية التحتية الوطنية الحرجة تخضع لضوابط NCA وحوكمة NDMO؛ والبيانات الشخصية تخضع لـ PDPL الذي يسمح بالنقل العابر للحدود بضمانات. وبيانات الصحة والمال تحمل قواعد قطاعية إضافية.^[F1]
هل يُطبَّق نظام حماية البيانات فعلاً أم لا تزال فترة سماح؟: نعم، يُطبَّق فعلاً. انتهت فترة السماح في ١٤ سبتمبر ٢٠٢٤، وهيئة البيانات تصدر قرارات الآن — ٤٨ قرارًا بحلول أوائل ٢٠٢٦، مع غرامات تصل إلى ٥ ملايين ريال عن المخالفة، ونافذة خمسة أيام للرد على الإشعار، وصلاحية إيقاف المعالجة.^[F2]
هل أقدر أنقل بيانات شخصية خارج السعودية؟: نعم، بضمانات. لم تنشر هيئة البيانات قائمة دول كافية، لذا يعتمد النقل على البنود التعاقدية المعيارية أو القواعد الملزمة المشتركة مع تقييم مخاطر النقل للبيانات الحساسة أو واسعة النطاق.^[F3]
هل تنطبق ضوابط NCA السيبرانية على الشركات الخاصة؟: نعم — اعتبارًا من NCNICC-1:2025 (سارية منذ يناير ٢٠٢٦)، يجب على كل منشأة خاصة غير مصنّفة كبنية تحتية حرجة استيفاء أرضية إلزامية متدرّجة حسب الحجم. المنشآت الكبيرة (٢٥٠+ موظف أو إيراد يتجاوز ٢٠٠ مليون ريال) تطبّق ٦٥ ضابطًا أساسيًا؛ والمنشآت الصغيرة والمتوسطة مجموعة مخفّضة. ويبقى مشغّلو البنية التحتية الحرجة تحت ECC-2:2024 وCCC-2:2024 وDCC-1:2022.^[F4]
أي مناطق المزوّدين الكبار فعّالة في السعودية؟: Google Cloud الدمام (منذ ٢٠٢٣) وAWS me-central-2 (فعّالة منذ يناير ٢٠٢٦) قيد التشغيل؛ وMicrosoft Azure السعودية الشرقية مؤكّدة للتوفّر العام في الربع الرابع ٢٠٢٦. كما توفّر Google خيار Sovereign Controls by CNTXT على بنية الفئة C.^[F5]
وش الفرق بين ضوابط NCA ونظام حماية البيانات PDPL؟: هما التزامان منفصلان ومتوازيان. تحكم NCA الوضع الأمني السيبراني؛ بينما يحكم PDPL (هيئة البيانات) معالجة البيانات الشخصية ونقلها العابر للحدود. والشركة التي تعالج بيانات شخصية سعودية تحتاج عادة إلى استيفاء الاثنين معًا.^[F6]

مرجع تنظيمي، وليس استشارة قانونية. تحقّق من كل نقطة مقابل مصدرها الأولي ومستشار مؤهل. آخر تحقّق ٢٦ يونيو ٢٠٢٦.

Loading…

استضافة البيانات في السعودية معناها تعدّي أربعة أنظمة دفعة وحدة.

تطبيق نظام حماية البيانات الشخصية شغّال فعلاً — وفعّال.

وش يعني هذا لقرارات الاستضافة

كيف وصلنا إلى امتثال السحابة في السعودية — ووش الجاي.

نشر ضوابط الأمن السيبراني للبيانات (DCC-1:2022)↗

افتتاح منطقة Google Cloud الدمام (me-central2)↗

انتهاء فترة السماح لنظام حماية البيانات↗

إصدار هيئة البيانات البنود التعاقدية المعيارية (SCCs)↗

ECC-2:2024 يحل محل ECC-1:2018↗

تعديلات اللائحة التنفيذية للنظام — إغلاق الاستطلاع↗

تشغيل AWS الشرق الأوسط (السعودية) me-central-2↗

سريان NCNICC-1:2025 — القطاع الخاص ضمن النطاق↗

إنفاذ نظام حماية البيانات فعّال — ٤٨ قرارًا↗

Microsoft Azure السعودية الشرقية — التوفّر العام (مؤكّد)↗

قائمة الدول الكافية من هيئة البيانات — لا تزال منتظرة↗

ما فيه نظام واحد يربط «التصنيف» بـ«مكان الاستضافة».

مين يحكم وش — ووش يبي منك كل واحد.

مستويات NDMO الأربعة، والفرق في PDPL بين الشخصي والحساس.

مصفوفة الإقامة (مستنتجة، مو نص واحد).

ما فيه قائمة «كفاية» — فكل نقل يجيب أوراقه معه.

حزمة ضوابط NCA اللي لازم تطبّقها فعلاً.

تسجيل فئة CST — بس إذا كنت أنت المزوّد.

العقوبات، وعدّاد الـ٧٢ ساعة.

مرشد الامتثال — جاوب على أربعة أشياء، وخذ حزمتك.

اسأل مساعد الامتثال

القائمة الرئيسية — مسار واحد حتى الإطلاق.

المرحلة ١ — الاكتشاف والتصنيف

المرحلة ٢ — التصميم والتوثيق

المرحلة ٣ — الضبط والإثبات

المصادر الأولية وفهرس الاستشهاد.

امتثال السحابة في السعودية — أسئلة متكررة.

استضافة البيانات في السعودية معناها تعدّي أربعة أنظمة دفعة وحدة.

تطبيق نظام حماية البيانات الشخصية شغّال فعلاً — وفعّال.

وش يعني هذا لقرارات الاستضافة

كيف وصلنا إلى امتثال السحابة في السعودية — ووش الجاي.

نشر ضوابط الأمن السيبراني للبيانات (DCC-1:2022)↗

افتتاح منطقة Google Cloud الدمام (me-central2)↗

انتهاء فترة السماح لنظام حماية البيانات↗

إصدار هيئة البيانات البنود التعاقدية المعيارية (SCCs)↗

ECC-2:2024 يحل محل ECC-1:2018↗

تعديلات اللائحة التنفيذية للنظام — إغلاق الاستطلاع↗

تشغيل AWS الشرق الأوسط (السعودية) me-central-2↗

سريان NCNICC-1:2025 — القطاع الخاص ضمن النطاق↗

إنفاذ نظام حماية البيانات فعّال — ٤٨ قرارًا↗

Microsoft Azure السعودية الشرقية — التوفّر العام (مؤكّد)↗

قائمة الدول الكافية من هيئة البيانات — لا تزال منتظرة↗

ما فيه نظام واحد يربط «التصنيف» بـ«مكان الاستضافة».

مين يحكم وش — ووش يبي منك كل واحد.

مستويات NDMO الأربعة، والفرق في PDPL بين الشخصي والحساس.

مصفوفة الإقامة (مستنتجة، مو نص واحد).

ما فيه قائمة «كفاية» — فكل نقل يجيب أوراقه معه.

حزمة ضوابط NCA اللي لازم تطبّقها فعلاً.

تسجيل فئة CST — بس إذا كنت أنت المزوّد.

العقوبات، وعدّاد الـ٧٢ ساعة.

مرشد الامتثال — جاوب على أربعة أشياء، وخذ حزمتك.

اسأل مساعد الامتثال

القائمة الرئيسية — مسار واحد حتى الإطلاق.

المرحلة ١ — الاكتشاف والتصنيف

المرحلة ٢ — التصميم والتوثيق

المرحلة ٣ — الضبط والإثبات

المصادر الأولية وفهرس الاستشهاد.

امتثال السحابة في السعودية — أسئلة متكررة.

نشر ضوابط الأمن السيبراني للبيانات (DCC-1:2022)^↗

افتتاح منطقة Google Cloud الدمام (me-central2)^↗

انتهاء فترة السماح لنظام حماية البيانات^↗

إصدار هيئة البيانات البنود التعاقدية المعيارية (SCCs)^↗

ECC-2:2024 يحل محل ECC-1:2018^↗

تعديلات اللائحة التنفيذية للنظام — إغلاق الاستطلاع^↗

تشغيل AWS الشرق الأوسط (السعودية) me-central-2^↗

سريان NCNICC-1:2025 — القطاع الخاص ضمن النطاق^↗

إنفاذ نظام حماية البيانات فعّال — ٤٨ قرارًا^↗

Microsoft Azure السعودية الشرقية — التوفّر العام (مؤكّد)^↗

قائمة الدول الكافية من هيئة البيانات — لا تزال منتظرة^↗

نشر ضوابط الأمن السيبراني للبيانات (DCC-1:2022)^↗

افتتاح منطقة Google Cloud الدمام (me-central2)^↗

انتهاء فترة السماح لنظام حماية البيانات^↗

إصدار هيئة البيانات البنود التعاقدية المعيارية (SCCs)^↗

ECC-2:2024 يحل محل ECC-1:2018^↗

تعديلات اللائحة التنفيذية للنظام — إغلاق الاستطلاع^↗

تشغيل AWS الشرق الأوسط (السعودية) me-central-2^↗

سريان NCNICC-1:2025 — القطاع الخاص ضمن النطاق^↗

إنفاذ نظام حماية البيانات فعّال — ٤٨ قرارًا^↗

Microsoft Azure السعودية الشرقية — التوفّر العام (مؤكّد)^↗

قائمة الدول الكافية من هيئة البيانات — لا تزال منتظرة^↗