DORA - Regulated DevSecOps

قانون الصمود التشغيلي الرقمي (DORA) — CI/CD ومخاطر ICT في البيئات المنظمة

يُرسي قانون الصمود التشغيلي الرقمي (DORA) إطارًا موحدًا لإدارة مخاطر ICT في القطاع المالي الأوروبي.

ينطبق على:

البنوك
شركات التأمين
شركات الاستثمار
مؤسسات الدفع
مزودي خدمات الأصول الرقمية المشفرة
مزودي ICT من الأطراف الثالثة الحيوية

لا ينظّم DORA الكود البرمجي.
بل ينظّم الصمود التشغيلي.

تقع خطوط أنابيب CI/CD والبنية التحتية السحابية وخدمات ICT من الأطراف الثالثة ضمن نطاق تطبيقه مباشرةً.

لماذا يهم DORA بالنسبة لـ CI/CD

في البيئات المالية المنظمة، تُعدّ خطوط أنابيب CI/CD جزءًا من منظومة ICT.
وهذا يعني أنها يجب أن:

تُطبّق ضوابط الوصول
تفصل المهام والصلاحيات
تحمي بيئات الإنتاج
تُولّد أدلة التدقيق
تُدير مخاطر الأطراف الثالثة
تدعم الاستجابة للحوادث والتعافي منها

يُحوّل DORA خط أنابيب CI/CD من أداة تسليم إلى نظام ضبط منظَّم.

ركيزتا DORA الحيويتان لـ CI/CD

يحتوي DORA على فصول متعددة، غير أن مجالين يكتسبان أهمية خاصة لبنى CI/CD والسحابة:

1. المادة 21 — إدارة مخاطر ICT وإطار الضوابط

تلزم المادة 21 الكيانات المالية بتطبيق ضوابط متينة لإدارة مخاطر ICT.

بالنسبة لـ CI/CD، يُترجم ذلك إلى:

إدارة آمنة للتغيير
عمليات نشر خاضعة للضبط
فصل المهام والصلاحيات
حوكمة الوصول
التسجيل وإمكانية التتبع
الاحتفاظ بالأدلة
تطبيق دورة حياة التطوير الآمن SDLC

يجب أن يدعم CI/CD:

الموافقات القائمة على المخاطر
بوابات السياسات الإلزامية
ضوابط الأمان الحاجبة
سجل تغيير قابل للتتبع

أدلة ذات صلة:

2. المادة 28 — إدارة مخاطر ICT لأطراف ثالثة

تتمحور المادة 28 حول مزودي خدمات ICT من الأطراف الثالثة.

بالنسبة لبيئات CI/CD الحديثة، يشمل ذلك:

منصات استضافة Git
مزودو SaaS لـ CI/CD
سجلات المخرجات
بيئات التشغيل السحابية
الإضافات والتكاملات في السوق

تتطلب المادة 28:

تقييم رسمي لمخاطر الموردين
بنود أمنية تعاقدية
حقوق التدقيق
استراتيجيات الخروج
اختبار الصمود
المراقبة المستمرة

إذا كان خط أنابيبك يعمل على بنية تحتية SaaS، فأنت تُدير مخاطر ICT لأطراف ثالثة.

أدلة ذات صلة:

DORA وبنية CI/CD المعمارية

يجب أن تتضمن البنية المتوافقة مع DORA:

تطبيق سير عمل الموافقات الإلزامية
منع الوصول المباشر للإنتاج
حجب عمليات البناء غير المتوافقة
توقيع المخرجات وتتبعها
الاحتفاظ بسجلات النشر
مراقبة أحداث التشغيل
عزل الوصول ذي الامتيازات

لا يتحقق الامتثال مع DORA بالتوثيق وحده.
بل يتطلب تطبيقًا معماريًا.

DORA والامتثال المستمر

يتوقع DORA أن تعمل الضوابط بصفة مستمرة — لا دورية.

يمكن لـ CI/CD دعم ذلك من خلال:

أتمتة تطبيق السياسات
توليد سجلات مقاومة للتلاعب
تسجيل سلاسل الموافقات
الحفاظ على إمكانية تتبع النشر
تتبع استخدام خدمات الأطراف الثالثة

عند التصميم الصحيح، يُصبح خط الأنابيب محركًا للامتثال.

DORA مقارنةً بأطر أخرى

يتداخل DORA مع:

ISO 27001 (ضوابط الملحق أ)
SOC 2 (الوصول المنطقي وإدارة التغيير)
NIS2 (صمود سلسلة التوريد)
PCI DSS (التطوير الآمن وضبط الوصول)

غير أن DORA لائحة — لا شهادة طوعية.
يُرسي آليات رقابة وإنفاذ تنظيمية.

المفاهيم الخاطئة الشائعة حول DORA

❌ “DORA يتعلق بالأمن السيبراني فقط.”

يغطي DORA الصمود التشغيلي بما يشمل الحوكمة والمراقبة وإدارة الأطراف الثالثة.

❌ “مزودو السحابة يتولّون الامتثال مع DORA.”

تظل الكيانات المالية مسؤولة حتى عند استخدام مزودي ICT من الأطراف الثالثة.

❌ “امتلاك أدوات أمنية يعني الامتثال.”

بدون حوكمة مُطبَّقة وأدلة، لا تكفي الأدوات وحدها.

نموذج نضج DORA لـ CI/CD

تندرج المنظمات عادةً ضمن إحدى الفئات الأربع:

المستوى 1 — ضوابط غير رسمية

موافقات يدوية وتسجيل غير متسق.

المستوى 2 — أمان قائم على الأدوات

أدوات أمنية مدمجة لكنها غير حاجبة.

المستوى 3 — ضوابط CI/CD مُطبَّقة

بوابات السياسات تحجب الإصدارات غير المتوافقة.

المستوى 4 — نظام ICT منظَّم

فصل كامل للمهام وإمكانية التتبع والاحتفاظ بالأدلة وحوكمة الأطراف الثالثة.

يجب أن تستهدف المؤسسات المالية المستوى 3 أو المستوى 4.

موارد DORA العملية

البنية المعمارية:

المادة 21:

المادة 28:

التدقيق والحوكمة:

المبدأ الأساسي

DORA ليس تمرينًا توثيقيًا.
بل هو تفويض للصمود التشغيلي.

في المؤسسات المالية الحديثة، تُشكّل خطوط أنابيب CI/CD جزءًا من المحيط المنظَّم لـ ICT.

إذا كانت بنيتك المعمارية تُطبّق الضوابط وتُولّد الأدلة بحكم التصميم، يصبح DORA قابلًا للإدارة.
أما إذا كانت الضوابط يدوية أو غير رسمية، يُصبح DORA خطرًا منهجيًا.