المادة 23 من القانون 09-08: الأمن الإلزامي
أمن التطبيقات والامتثال لدى اللجنة الوطنية ليسا موضوعين متوازيين. إنه الموضوع ذاته من زاويتين مختلفتين. تقولها المادة 23 في جملة واحدة؛ ينبغي معرفة ما يعنيه ذلك في عام 2026.
تتلخص المادة 23 من القانون رقم 09-08 في جملة واحدة. على المسؤول عن المعالجة اتخاذ جميع الاحتياطات المفيدة، مع مراعاة طبيعة البيانات والمخاطر التي تطرحها المعالجة، للحفاظ على أمن البيانات ومنع تغييرها أو فقدانها أو وصول الغير غير المصرح له إليها. هذا كل شيء. لا قائمة بالتدابير، ولا عتبات رقمية، ولا منهجية مفروضة. وتُخفي بساطة النص عمق الالتزام.
ولهذا الانفتاح التحريري أثر عملي مزدوج. فمن جهة، يتيح للمؤسسة معايرة تدابير الأمن لديها وفقاً لمخاطرها الخاصة — دون دفتر شروط موحد مفروض. ومن جهة أخرى، يُحوِّل عبء الإثبات: فعلى المؤسسة أن تثبت أن التدابير المعتمدة كانت ملائمة لمعايير الفن في الوقت الذي وقع فيه الحادث. ومعايير الفن، بدورها، تتطور بسرعة.
ما تقوله معايير الفن في عام 2026
حتى نتفاهم، إليكم القاعدة التقنية التي يجب أن نكون قادرين على إثباتها على أي موقع يجمع أدنى بيانات شخصية في المغرب عام 2026. ليس مثالاً نظرياً، بل ما يتحقق منه أولاً مدقق عادي — وما سيُؤخذ عليكم في حال التقصير.
التشفير بـ TLS على كامل الموقع، الإصدار 1.2 كحد أدنى، والإصدار 1.3 موصى به. لا استثناءات، بما في ذلك الصفحات العامة للمعلومات. وقد اختفت الأسطورة القائلة بأن "الصفحة الرئيسية لا تحتاج إلى HTTPS" منذ نحو عشر سنوات في الأوساط التقنية. ومع ذلك تظل التكوين الافتراضي في جزء غير يسير من الاستضافات المغربية.
HSTS (HTTP Strict Transport Security) مع تضمين النطاقات الفرعية وميزة preload. وهذه تعليمات تُعطى للمتصفح برفض أي خفض إلى HTTP، حتى عند الاتصال الأول. وبدون HSTS، يظل هجوم من نوع SSL stripping ممكناً نظرياً — قليل الاستخدام عملياً، لكن غيابه إشارة على تكوين متراخٍ.
سياسة Content-Security-Policy صارمة. كحد أدنى default-src 'self'، ومن الأفضل إثراؤها بتوجيهات حسب نوع المورد. وتُعد CSP أكثر التدابير الدفاعية فاعلية ضد هجمات حقن السكربتات (XSS). تتطلب جهد تكوين أولي، لكنها استثمار لمرة واحدة يؤتي ثماره طوال عمر الموقع.
مجموعة رؤوس HTTP الأمنية الكاملة: X-Content-Type-Options: nosniff وX-Frame-Options: DENY وReferrer-Policy: strict-origin-when-cross-origin وPermissions-Policy لتعطيل واجهات API غير المستخدمة (الكاميرا والميكروفون وتحديد الموقع والمستشعرات). لا يستغرق أي من هذه الرؤوس أكثر من خمس دقائق للتكوين؛ وغيابها هو أوضح علامة على ترك التكوين على وضعه الافتراضي.
إدارة الوصول على مبدأ الحد الأدنى من الامتيازات، مع مصادقة قوية (MFA) لحسابات المسؤولين. لا حسابات مشتركة، ولا مصادقة افتراضية، ولا كلمات سر مكتوبة بنص واضح في موسوعة داخلية. ويجب تعطيل الحسابات غير النشطة ضمن آجال معقولة — عادةً تسعون يوماً للحسابات الخاصة بموظفين غادروا المؤسسة.
التسجيل الزمني للوصول إلى البيانات الحساسة، يُحتفظ به لمدة مفيدة للتحقيق بعد الحادث — عادةً من ستة إلى اثني عشر شهراً، وأكثر للقطاعات المنظمة. فمن دون السجلات، تكون المؤسسة في عمى؛ وفي حال وقوع حادث، لا يمكنها لا إعادة بناء الهجوم، ولا الإخطار بدقة، ولا إثبات ما لم يتأثر.
النسخ الاحتياطية المنتظمة والمشفرة و — هذا الجزء الذي يُهمَل — المختبَرة. فالنسخة الاحتياطية التي لم تُسترجَع قط هي خيال تقني. وينبغي أن يكون اختبار الاسترجاع، على الأقل سنوياً، طقساً من طقوس الحوكمة. وبدون ذلك، يُكتشف في حالة الأزمة أن النسخة الاحتياطية غير قابلة للاستخدام، عادةً في أسوأ وقت ممكن.
مكافحة انتحال البريد الإلكتروني عبر SPF وDKIM وDMARC بسياسة لا تقل عن quarantine، ومن الأفضل reject. فالنطاق الذي يفتقر إلى DMARC في عام 2026 هو نطاق يستطيع أي شخص انتحاله لإرسال رسائل باسمكم. وهذا ليس موضوعاً هامشياً: فمعظم الحوادث الكبرى المتعلقة بالبيانات تبدأ بالتصيد الإلكتروني الذي يستغل هوية نطاق غير محمية.
كل ذلك قابل للقياس، ويُسجَّل بموضوعية، وهو علني. ويقدم Mozilla Observatory تقييماً بأحرف يُلخص جزءاً جيداً من هذه النقاط. ويوفر OWASP الإطار المنهجي للتعمق أكثر (ASVS للتطبيقات المتضمنة مصادقة، وMASVS للأجهزة المحمولة). وتنشر CNIL أدلة عملية للأمن تظل مرجعاً مفيداً حتى خارج الإطار الصارم لـ GDPR.
الجسر مع الامتثال الإداري
حيث تستهين الإدارة في الغالب بنطاق المادة 23، فهو في تمفصلها مع إجراءات اللجنة الوطنية. فالتصريح F211 أو F112 الذي يصف تدابير الأمن لا يصبح حقيقة بمجرد وجوده. بل يصبح التزاماً يمكن الاحتجاج به. فإن صرحتم بأن نسخكم الاحتياطية مشفرة ومختبَرة كل شهر، وكشف تفتيش أنها ليست كذلك، فلديكم مشكلتان: الإخلال الأمني وعدم دقة التصريح. والثانية تُفاقم الأولى.
ويُغيّر هذا الاستنتاج عمل إعداد ملفات اللجنة الوطنية. فما يظهر في خانة "تدابير الأمن" يجب أن يعكس الواقع، لا توقعاً متفائلاً. فإذا كان الواقع متأخراً عما تودّون وصفه، فمن الأفضل وصف ما هو قائم وإضافة خطة تطور مؤرخة، بدلاً من تأشير خانات تكذب. فاللجنة الوطنية تُفضّل الحقيقة الموثقة على الخيال المُصقَّل — وذلك متسق مع مذهب التدرج لديها.
الإخطار بالحادث — المنطقة المرشحة للتغير
في الوقت الحالي، لا يفرض القانون 09-08 التزاماً صريحاً بإخطار اللجنة باختراق البيانات، خلافاً للمادة 33 من اللائحة العامة لحماية البيانات (GDPR) التي تحدد أجل اثنتين وسبعين ساعة. ومن المتوقع أن يُدخل الإصلاح المنتظر منذ سنوات حكماً مماثلاً، متوائماً مع المعيار الأوروبي. وفي انتظار ذلك، فإن الممارسة الموصى بها — التي تشجع عليها اللجنة الوطنية في مداولاتها العلنية ويوثّقها EDPB في توجيهاته — هي الإخطار في حال وقوع حادث جوهري، عناية بالواجب.
وعملياً، يعني ذلك تجهيز إجراء إخطار مسبقاً: من يتخذ القرار، وفي أي أجل، وعبر أي قناة (اللجنة الوطنية بالتوازي، عند الاقتضاء، مع السلطات الأوروبية في حال التعرض لـ GDPR)، وبأي نموذج، وأي تواصل مع الأشخاص المعنيين عند الضرورة. فبناء هذا الإجراء بهدوء يستغرق يوماً واحداً؛ وبناؤه أثناء وقوع حادث يستغرق ثلاثة أيام أو أربعة، مع وقوع أخطاء.
وفي الصحافة الاقتصادية المغربية (Médias24 وTelQuel)، تُظهر حوادث البيانات المنشورة دائماً تقريباً النمط ذاته. حادث تقني كان يمكن تجنبه. واكتشاف متأخر. وتواصل سيئ المعايرة. ولجنة وطنية مضطرة لإعادة بناء الوقائع من شذرات متناقضة. وسمعة تدفع الكلفة النهائية. كل ذلك قابل للوقاية إلى حد بعيد، وهو بالضبط ما تستهدفه المادة 23 بصياغتها المنفتحة.
التدقيق طقساً لا حدثاً
أكثر أخطاء التموضع شيوعاً هي التعامل مع الأمن باعتباره حدثاً ظرفياً — تدقيق أُجري قبل سنتين، وتصحيحات جرى نشرها منذ ذلك الحين، ولا متابعة بعد ذلك. وهذا غير مناسب لإيقاع الويب. فموقع كان آمناً في عام 2024 قد يكون عرضة للاختراق في عام 2026 لمجرد أن المعايير قد تقدمت وأن الحزمة التقنية قد تراكمت فيها تبعيات قديمة.
والإيقاع الذي يمكن الدفاع عنه هو تدقيق سنوي كامل، يستكمل بـ مسح آلي شهري للرؤوس والتبعيات. فأغلب التدهور قابل للاكتشاف بالملاحظة السلبية. ويخدم التدقيق السنوي التعمق في موضوعات لا تظهر في المسح: جودة الكود، وإدارة الأذونات الداخلية، وتكوين الخدمات الخارجية، ومدى ملاءمة السجلات المحفوظة.
أما للتطبيقات التي تتيح مصادقة أو دفعاً أو واجهات API، فنضيف اختبار اختراق كل سنتين إلى ثلاث سنوات. ليس سنوياً إذا لم يتغير النطاق جوهرياً — فذلك سيكون مسرحياً. لكن ليس كل خمس سنوات أيضاً. فالنافذة من سنتين إلى ثلاث سنوات تقابل العمر الافتراضي لبنية تطبيقية غير تافهة.
موقفنا نحن، القابل للاحتجاج به
في DataSouv نطبق على أنفسنا ما نوصي به — وهذا هو الالتزام العلني المسجل في صفحة /securite. نستهدف نتيجة A+ في Mozilla Observatory، ورؤوس HTTP كاملة منشورة بوضوح، وسجل المعالجات معروض علناً، وملف security.txt قائم، ولا متتبعات خارجية، واستضافة أوروبية. فإذا قلنا إن الأمر ممكن ومفيد، فإننا نُظهره.
والهدف ليس الاستعراض. بل هو الاتساق. فالمؤسسة التي تبيع الأمن والامتثال دون تطبيقهما على نفسها تبعث بأكثر الإشارات ضرراً. وقد رأت السوق المغربية هذا التناقض كثيراً. وهي إحدى الحجج البسيطة التي تميز الفاعلين الجادين عن الانتهازيين — وهي بكلفة شبه معدومة، أحد أكثر روافع التمييز فاعلية.
مصادر
- Mozilla Observatory — تقييم موضوعي لرؤوس HTTP
- OWASP ASVS — مستويات التحقق التطبيقي
- CNIL — أدلة الأمن — مذهب أوروبي مقارن
- EDPB — توجيهات الحوادث — أفضل ممارسات الإخطار
- الموقع الرسمي للجنة الوطنية
- الدليل الركيزة — الامتثال للجنة الوطنية بالمغرب 2026
- موقفنا الأمني العلني
- الخدمة — التدقيق الأمني التقني
المادة 23 قصيرة؛ لكن ما تغطيه ليس كذلك. وأفضل دفاع أمام غموضها هو التوثيق. توثيق التدابير، وتوثيق المراجعات، وتوثيق التصحيحات، وتوثيق الاستثناءات ومبرراتها. فالمؤسسة القادرة على إصدار ملف أمني كامل بنقرتين تُظهر، بمعزل عن نتيجة التدقيق، أنها تأخذ التزاماتها على محمل الجد. وهذا ما يثمنه مذهب اللجنة الوطنية. وهذا أيضاً ما يحوّل نفقة الامتثال إلى أصل من أصول الحوكمة.
سلمى أ. — متخصصة في أمن التطبيقات، مساهمة في DataSouv. راجع المقال وصادق عليه أمين الرايس، المؤسس.
أسئلة شائعة
هل تحدد المادة 23 تدابير تقنية محددة؟
لا. إنها تفرض التزاماً بالوسائل: يجب على المسؤول عن المعالجة اتخاذ جميع الاحتياطات المفيدة، مع مراعاة طبيعة البيانات والمخاطر التي تطرحها المعالجة، للحفاظ على الأمن ولا سيما منع تشويه البيانات أو إتلافها أو وصول الغير غير المصرح له إليها. ويُقدَّر مدى ملاءمة التدابير بالنظر إلى معايير الفن في لحظة معينة. وفي عام 2026، تشمل هذه المعايير TLS 1.2 كحد أدنى وHSTS وCSP وإدارة دقيقة للوصول والتسجيل الزمني والنسخ الاحتياطية المختبَرة.
هل ثمة التزام بالإخطار باختراق البيانات لدى اللجنة الوطنية؟
لا يتضمن القانون 09-08 التزاماً صريحاً معادلاً للمادة 33 من اللائحة العامة لحماية البيانات (GDPR) (الإخطار خلال 72 ساعة). والممارسة الموصى بها هي إخطار اللجنة في حال وقوع حادث جوهري، بحسن نية وإثباتاً للعناية الواجبة. ومن المتوقع أن يُدخل الإصلاح المرتقب للقانون 09-08 التزاماً رسمياً متوائماً مع المعيار الأوروبي، دون جدول زمني محدد حتى اليوم.
ما النتيجة المستهدفة في Mozilla Observatory؟
A أو A+ لموقع يدّعي أخذه الأمن على محمل الجد. وهذا قابل للتحقيق تقنياً لمعظم الحزم الحديثة (Next.js وNuxt وAstro وWordPress المُكوَّن جيداً) دون تكلفة باهظة. والموقع الذي يبيع خدمات مرتبطة بالبيانات ويحصل على C أو D يبعث برسالة متناقضة — وهذا عادةً أول ما يتحقق منه المدقق الخارجي.
هل يوفر المضيف (OVH أو Hostinger أو AWS) الأمن؟
يوفر المضيف البنية التحتية وأحياناً طبقات حماية إضافية (WAF ومكافحة DDoS وشهادات TLS). أما تكوين التطبيق — رؤوس CSP وملفات تعريف الارتباط وإدارة الجلسات والتحقق من جانب الخادم ومكافحة انتحال البريد الإلكتروني — فيبقى مسؤوليتكم. ومعظم المواقع المغربية المدققة تعرض تكوينات تطبيقية افتراضية لن تصمد ساعة واحدة أمام ماسح آلي.
وماذا عن اختبار الاختراق، هل هو إلزامي؟
ليس إلزامياً بالمعنى الصارم، لكنه موصى به بشدة للتطبيقات التي تتضمن مصادقة أو دفعاً أو واجهات API أو فضاء عميل. وتعتبر مذهب التدرج أن المؤسسة التي لم تختبر مطلقاً اختراق تطبيقها الرئيسي لم تتخذ بصعوبة جميع الاحتياطات المفيدة بمفهوم المادة 23. وبالنسبة للمواقع التعريفية البسيطة، يكفي إلى حد كبير تدقيق غير تطفلي للرؤوس والتكوين.