Cloud Policy Framework

‫‪CLOUD POLICY‬‬ ‫إطار عمل سياسة‬
‫‪FRAMEWORK‬‬ ‫الحوسبة السحابية‬

‫‪June 2022‬‬ ‫يونيو ‪2022‬‬
Communications Regulatory Authority ‫هيئة تنظيم االتصاالت‬
Table of Content ‫جدول المحتويات‬
1. Executive Summary 3 ‫نبذة‬ .1
2. Introduction 4 ‫المقدمة‬ .2
The Objective of the Cloud Policy ‫الغرض من إطار عمل سياسة الحوسبة‬
3. 8 .3
Framework ‫السحابية‬
Policy Recommendations for

‫التوصيات السياسية لتطوير الحوسبة‬
4. the Development of Cloud 9 .4
‫السحابية‬
Computing
4.1 Cloud -First Policy 12 ‫سياسة الحوسبة السحابية األولى‬ 4.1
4.2 Data Classification 13 ‫تصنيف البيانات‬ 4.2
Data Localization, Free Flow of ‫توطين البيانات والتدفق الحر للبيانات‬
4.3 17 4.3
Data and Non-Personal Data ‫والبيانات غير الشخصية‬
4.3.1 Data Localization 17 ‫توطين البيانات‬ 4.3.1
4.3.2 Free Flow of Data 20 ‫ التدفق الحر للبيانات‬4.3.2
4.3.3 Non-Personal Data 23 ‫ البيانات غير الشخصية‬4.3.3
Privacy and Access to Data ‫الخصوصية والوصول إلى البيانات‬
4.4 24 4.4
(Cross-Border Requests) )‫(طلبات العابرة للحدود‬
4.4.1 Privacy 24 ‫الخصوصية‬ 4.4.1
4.4.2 Cross-Border Access 24 ‫ الوصول إلى عبر الحدود‬4.4.2
4.5 Accessibility and Digital Inclusion 27 ‫إمكانية الوصول والشمول الرقمي‬ 4.5
Data Interoperability and Data ‫إمكانية التشغيل البيني للبيانات وإمكانية‬
4.6 28 4.6
Portability ‫نقلها‬
4.7 Liability Regime 29 ‫قواعد المسؤولية‬ 4.7
4.8 Standards for Cloud Services 32 ‫المعايير الخاصة بالخدمات السحابية‬ 4.8
4.9 Service Level Agreements (SLAs) 35 ‫اتفاقيات مستوى الخدمة‬ 4.9
4.10 Hosting and Connectivity 37 ‫االستضافة والتوصيل‬ 4.10
4.11 Environmental Sustainability 37 ‫االستدامة البيئية‬ 4.11
Annex I - Definition,
Characteristics, Service and ‫ تعريف الحوسبة السحابية‬- ‫الملحق األول‬
5. 39 ‫وخصائصها ونماذج خدمة وتنمية الحوسبة‬ .5
Deployment Models of Cloud ‫السحابية‬
Computing
Annex II - Table on Policy

‫ جدول التوصيات السياسية‬- ‫الملحق الثاني‬
6. Recommendations and 47 .6
‫ومتطلبات تنظيمية‬
Regulatory Requirements
Annex III - The CRA Strategic ‫ األهداف االستراتيجية‬- ‫الملحق الثالث‬

7. 52 .7
Objectives ‫لهيئة تنظيم االتصاالت‬
2
Cloud Policy Framework ‫إطار عمل سياسة الحوسبة السحابية‬
1. Executive Summary ‫ نـبــــذة‬.1
As part of Qatar National Vision 2030, ‫ إلى‬2030 ‫تتطلع قطر في إطار رؤيتها الوطنية‬
Qatar's ambition is to establish itself as ‫ترسيخ مكانتها كمركز رقمي عالمي رائد في‬
a leading digital hub in the Middle East, a ‫ وموطن للمتعاملين الرقميين‬،‫الشرق األوسط‬
home to international digital players and ‫الدوليين ووجهة جذابة لالستثمارات المحلية‬
an attractive destination for domestic and .‫واألجنبية في مجال الخدمات الرقمية المبتكرة‬
foreign investments in innovative digital
services.
Qatar has placed the promotion of cloud ‫وقد وضعت قطر تعزيز الحوسبة السحابية على‬
computing at the heart of its transformative .‫رأس أولويات استراتيجية التحول الرقمي في قطر‬
digital strategy. Cloud computing unlocks ُ
‫وتطلق الحوسبة السحابية العنان لزيادة الكفاءة‬
efficiency and productivity worldwide and is ‫واإلنتاجية في جميع أنحاء العالم وهي فرصة كبرى‬
an opportunity for Qatar-based businesses ‫ كما تتيح للكيانات‬،‫للنمو بالنسبة للشركات في قطر‬
to grow, for public and private entities to ‫ وهو ما يصب‬،‫الخاصة والعامة تقديم خدمات أفضل‬
provide better services and, ultimately, for ‫في نهاية المطاف إلى تحول قطر لتصبح دولة‬
Qatar to become a fully digitalized country. .‫رقمية بالكامل‬
The Cloud Policy Framework, part of the going ‫ الذي‬،‫يأتي إطار عمل سياسة الحوسبة السحابية‬
Communications Regulatory Authority’s ‫ُوضع ضمن إطار الخطة االستراتيجية لهيئة تنظيم‬
Strategic Plan 2020-2024, supports the ‫ دعم ًا ألهداف رؤية قطر‬،2024-2020 ‫االتصاالت‬
objectives of the Qatar National Vision 2030 ‫ وكذلك استراتيجية التنمية الوطنية‬2030 ‫الوطنية‬
as well as of the Qatar National Second .‫الثانية لدولة قطر‬
Development Strategy.
Embracing the principles of Trust, Security ‫وجدير بالذكر أن إطار عمل سياسة الحوسبة السحابية‬
and Transparency, the Cloud Policy ‫حددت التوصيات السياسية التنظيمية التي ُتشكل‬
Framework identifies policy and regulatory ‫عصب تطوير صناعة سحابية سليمة في قطر وذلك‬
recommendations that are critical for the .‫دعم ًا منها لمبادئ الثقة واألمن والشفافية‬
development of a robust cloud industry in ‫ولتحقيق أهداف البيئة التنظيمية المواتية للحوسبة‬
Qatar. To meet the objectives of a cloud- ‫ فإنه يلزم بذل الجهود المشتركة‬،‫السحابية‬
friendly regulatory environment, joint efforts .‫والتنسيق فيما بين الجهات الحكومية‬
and a concerted approach are required from
government entities.
Given the pervasive nature of cloud ،‫في ضوء الطبيعة المتغلغلة للحوسبة السحابية‬
computing, the Cloud Policy Framework calls ‫يدعو إطار عمل سياسة الحوسبة السحابية إلى‬
for the highest level of cooperation ‫زيادة التعاون إلى أعلى مستوى بين الكيانات‬
‫الحكومية‬
3
between government entities and private ‫ مثل مقدمي‬،‫وأصحاب المصلحة في القطاع الخاص‬
stakeholders, e.g. cloud service providers, ‫ ومقدمي خدمات البنية‬،‫الخدمات السحابية‬
infrastructure and connectivity providers, ‫ والمنصات‬،‫ ومطوري البرمجيات‬،‫التحتية واالتصاالت‬
software developers, on-line platforms ‫وبناء‬
ً .‫اإللكترونية ومستخدمي الخدمات السحابية‬
and cloud users. To this extent, a clear ‫ فإن االلتزام التام من قبل الجهات الحكومية‬،‫عليه‬
commitment to policies that support cloud ‫أوال" في سياسات الشراء‬ ً ‫بـ "الحوسبة السحابية‬
solutions is paramount for cloud services to ‫عد أمر ًا بالغ األهمية‬
ّ ‫بدعم الحلول السحابية ُي‬
take off. .‫النطالق الخدمات السحابية‬
2. Introduction ‫ الـمـقــدمــة‬.2
To meet the goals of the Qatar National 1 2030 ‫يتطلب تحقيق أهداف رؤية قطر الوطنية‬
Vision 20301 (QNV 2030) and of the Qatar ،2‫واستراتيجية التنمية الوطنية الثانية لدولة قطر‬
National Second Development Strategy2 ‫استثمارات كبيرة في البنى التحتية والخدمات‬
(NDS2), significant investments are required ‫ ويمكن حالي ًا داخل قطر أن‬.‫الرقمية رفيعة المستوى‬
in high quality digital infrastructures and ‫يصل القطاعي العام والخاص بصورة كبيرة وسهلة‬
services. In Qatar, very high capacity fixed and ‫إلى نطاقات البرودباند الثابتة والمتنقلة ذات السعة‬
mobile broadband is today largely accessible ‫ ونظر ًا للتوافر الكبير لخدمات البرودباند‬3‫العالية‬
to both the public and the private sectors3. ‫ يدخل تطوير مراكز البيانات من الجيل‬،‫فائق السرعة‬
Given the high availability of ultrabroadband, ‫القادم وخدمات الحوسبة السحابية ذات المستوى‬
the development of next generation data ‫ ضمن المجاالت االستراتيجية التي تم‬4‫العالمي‬
centers and world-class cloud computing .‫تحديدها على أعلى مستوى سياسي‬
services4 have been identified as one of the
strategic areas at the highest political level.
."‫ إلى "تحويل دولة قطر إلى دولة متقدمة قادرة على تحقيق التنمية المستدامة وعلى تأمين استمرار العيش الكريم لشعبها جيال بعد جيل‬2030 ‫ تهدف رؤية قطر الوطنية‬-1
)https://bit.ly/3g9oYbC (
‫ "إقامة بنية تحتية مستدامة على أعلى مستوى تدعم االقتصاد الوطني وقادرة على مواكبة‬:‫ نجد في النتائج المستهدفة باستراتيجية التنمية الوطنية الثانية لدولة قطر ما يلي‬- 2
)https://bit.ly/38aZvvB ( ." ‫أحدث التقنيات الذكية‬
ً
‫ من الشبكات لها سرعة معلنة تبلغ‬86٪ ‫ كما أن‬، ‫ من اشتراكات خدمات البرودباند الثابت عبارة عن توصيالت ألياف‬92٪ ‫ فإن‬، ‫وفقا لتقرير االتصاالت الذي نشرته هيئة تنظيم االتصاالت‬ -3
.‫ مع توفر تقنية شبكات الجيل الخامس الخاصة فعليا‬، ‫ من السكان‬129٪ ‫و يبلغ انتشار خدمات البرودباند المتنقل نسبة‬.‫ ثانية أو أكثر‬/ ‫ ميجابت‬30
.)https://bit.ly/3gapKFu(
‫ تتيح الحوسبة السحابية للمستخدم النهائي الوصول إلى البيانات واستخدام القدرة الحوسوبية وخدمات البرمجيات في أي وقت وفي أي مكان باالستفادة من شبكات النطاق‬-4
‫ انظر الملحق األول لالطالع على تعريف‬.‫ يمكن للمستخدمين الحصول على قدرة حوسبية غير محدودة تقري ًبا تحت الطلب مع تخفيض استثماراتهم الرأسمالية‬.‫العريض عالية السعة‬
."‫"الحوسبة السحابية‬
1- Qatar National Vision 2030 is aimed at “transforming the country into an advanced country, capable of sustaining its own development and
providing for high standards of living for all its people for generations to come”(https://bit.ly/2VtwnL6).
2- Qatar National Second Development Strategy defines the following target outcome: “Develop a sustainable and high-quality infrastructure that
supports the national economy and is capable of keeping abreast of the latest smart technologies” (https://bit.ly/2AhPGQe).
3- According to the Telecommunication Report published by the CRA 92% of fixed broadband subscriptions are fiber connections, and 86% of
connections have an advertised speed of 30 Mb/s or more. Mobile broadband penetration is at 129% of the population, while 5G technology is
already available (https://bit.ly/2NGysz8).
4- Leveraging on high-capacity broadband networks, cloud computing allows the end-user to access data, use computing) power and software
services anytime and anywhere. Users can command almost unlimited computing power on demand whilst minimizing their capital investments. See
Annex I for a definition of “cloud computing”.
4
For Qatar, investing in cloud computing ‫جدير ًا بالذكر أن االستثمار في الحوسبة السحابية‬
capabilities is a priority. It represents an ‫ فهو أيض ًا يمثل فرصة‬:‫من األولويات بالنسبة لقطر‬
opportunity for public entities to improve ‫للكيانات العامة لتقديم خدمات عالية الجودة‬
the provision of high quality services to ‫للمواطنين والشركات والمنظمات؛ تعزيز ًا ألمن‬
citizens, for businesses and organizations to ‫ وزيادة الكفاءة والنمو بشكل‬،‫البيانات الخاصة بهم‬
improve dramatically their efficiency and the ‫ مما يؤدي في نهاية المطاف إلى أن تصبح‬،‫كبير‬
security of their data and, ultimately, for the .‫الدولة رقمية بالكامل‬
country to become fully digitalized.
Cloud computing is an enabler for many ‫وتعد الحوسبة السحابية من العوامل الداعمة‬
broader use cases, for example within the ‫ حيث‬،‫للعديد من االستخدامات ذات النطاق األوسع‬
Internet of Things, Artificial Intelligence and ‫تستخدم على سبيل المثال داخل إنترنت األشياء‬
other enterprise offerings such as 5G private ‫والذكاء االصطناعي وغيرها من العروض المقدمة‬
networks and, worldwide, the adoption of ‫من الشركات مثل شبكات الجيل الخامس الخاصة‬
public cloud services has benefitted the ‫ كما أن اعتماد الخدمات السحابية العامة‬،‫والعالمية‬
5,6
economy .For the private sector, it is ،5,6 ‫قد انعكس بالفائدة على األنشطة االقتصادية‬
estimated that businesses experience on ‫ إلى أن‬،‫ بالنسبة للقطاع الخاص‬،‫وتشير التقديرات‬
average a net return in the range of 100% ‫الشركات ُتحقق في المتوسط صافي عائد ًا يتراوح‬
to 250% on their investments in cloud ‫ على استثماراتها في الخدمات‬250٪‫ و‬100٪ ‫بين‬
7,8
services . Globally, public cloud spending ‫ سوف يزيد‬،‫ وعلى الصعيد العالمي‬7,8‫السحابية‬
will grow from $229 billion in 2019 to nearly ‫اإلنفاق العام على خدمات الحوسبة السحابية من‬
$500 billion in 20219. ‫ حتي يصل إلى ما‬2019 ‫ مليار دوالر في عام‬229
.9 2021 ‫ مليار دوالر في عام‬500 ‫يقرب من‬
.)https://bit.ly/2YBVwVU( ‫ متاح على الموقع‬.‫ المفوضية األوروبية‬."‫ "قياس األثر االقتصادي للحوسبة السحابية في أوروبا‬.2017 ،‫ ديلويت‬-5
.)https://gtnr.it/2Ze50Wx ( ‫ متاح على الموقع‬.2018 ، ‫ جارتنر‬-6
.)https://bit.ly/3g3BCJi ( .‫ متاح على الموقع‬.2018 ‫ "التأثيرات االقتصادية واالجتماعية لمنصة جوجل السحابية" سبتمبر‬.2018 ،‫ ديلويت‬-7
.) https://mck.co/3eBcLMy(.‫ متاح على الموقع‬.‫ إجراء االنتقال اآلمن إلى الحوسبة السحابية العامة‬.2018 ،‫ ماكينزي‬-8
.https://bit.ly/2Zo8aqA -9
5- Deloitte, 2017, “Measuring the Economic Impact of Cloud computing in Europe.” European Commission (https://bit.ly/2YBVwVU).
6- Gartner, 2018 (https://gtnr.it/2Ze50Wx).
7- Deloitte, 2018, “Economic and Social Impacts of Google Cloud.” September 2018. (https://bit.ly/3g3BCJi).
8- McKinsey, 2018, “Making a Secure Transition to the Public Cloud”.(https://mck.co/3eBcLMy).
9- https://bit.ly/2Zo8aqA.
5
These benefits are mainly due to: ُ

:‫وتعزى هذه المنافع باألساس إلى ما يلي‬
• An increase of revenues deriving from ‫ •زيادة اإليرادات الناتجة عن الخدمات التي تعتمد على‬
cloud-enabled services. .‫الحوسبة السحابية‬
• An increase in the customer base of ‫ •زيادة في قاعدة العمالء للمؤسسات التي تنتقل‬
organizations moving to cloud services. .‫إلی الخدمات السحابية‬
• A drastic reduction of IT costs10. .10‫ •انخفاض كبير في تكاليف تكنولوجيا المعلومات‬
A sound policy and regulatory framework, ‫إن وجود سياسة رشيدة وإطار تنظيمي سليم‬
inspired by the principles of Trust, ‫استوحيت من مبادئ الثقة واألمن والشفافية يعتبر له‬
Security and Transparency is of utmost ،‫ ومن ثم‬.‫أهمية بالغة في تطوير الحوسبة السحابية‬
importance for cloud computing to develop. ‫(يشار إليها فيها‬
ُ ‫فقد وضعت هيئة تنظيم االتصاالت‬
Consequently, the Communications ‫يلي بـ "الهيئة") إطار عمل سياسة الحوسبة السحابية‬
Regulatory Authority (the "CRA") has ‫لتكون إطار ًا استراتيجي ًا يحدد المجاالت الرئيسية التي‬
developed the Cloud Policy Framework as .11‫تتطلب المراجعة القانونية والتنظيمية‬
a strategic action that identifies key areas
where legal and regulatory review is needed11.
The Cloud Policy Framework calls for the ‫يطالب إطار عمل سياسة الحوسبة السحابية الهيئات‬
highest level of cooperation between ‫ مثل‬،‫الحكومية وأصحاب المصلحة من القطاع الخاص‬
government entities and private ‫ ومقدمي خدمات البنية‬،‫مقدمي خدمات مراكز البيانات‬
stakeholders, e.g. Cloud Services Providers, ‫ والمنصات‬،‫ ومطوري البرمجيات‬،‫التحتية واالتصاالت‬
data centers providers, infrastructure and ‫اإللكترونية ومستخدمي الخدمات السحابية تحقيق‬
connectivity providers, software developers, ‫ فإن االلتزام‬،‫ لذا‬،‫أعلى مستوى من التعاون المشترك‬
on-line platforms and cloud users. To this ‫التام من قبل الجهات الحكومية بـ "الحوسبة السحابية‬
extent, a clear commitment by government ‫عد‬
ّ ‫أوال" في سياسات الشراء بدعم الحلول السحابية ُي‬ ً
entities to implement procurement policies .‫أمر ًا بالغ األهمية النطالق الخدمات السحابية‬
that support cloud solutions is paramount for
cloud services to take off.
‫ للخدمات الحوسبة السحابية إسهام واضح في نمو الناتج المحلي اإلجمالي في كل من االقتصادات المتقدمة والنامية وتظهر فوائدها باألساس في نمو اإلنتاجية وكفاءة‬-10
‫ المرجع السابق‬.‫التكلفة‬
‫ وهدفها‬.2014 ‫) لسنة‬42( ‫ تتولى الهيئة تنظيم قطاع االتصاالت وتكنولوجيا المعلومات والبريد والنفاذ إلى اإلعالم الرقمي في دولة قطر بموجب المرسوم بقانون رقم‬-11
.‫انفتاحا وتنافسية بغية توفير خدمات اتصاالت متطورة وموثوق بها تخدم كافة أنحاء الدولة‬
ً ‫الرئيسي تقديم التشجيع والدعم لجعل قطاع تكنولوجيا المعلومات واالتصاالت أكثر‬
10- The contribution of cloud computing services to GDP growth is visible both in advanced and in developing economies with its benefits mainly
visible in productivity growth and cost efficiencies (see footnote 7).
11- The CRA is mandated to regulate ICT, Post and Access to Digital Media in the State of Qatar under Emiri Decree
No. (42) of 2014. Its key objective is to encourage and support an open and competitive ICT sector that provides advanced, innovative and reliable
communications services in the State of Qatar.
6
2030 ‫رؤية قطر الوطنية‬

‫استراتيجية التنمية الوطنية الثانية لدولة قطر‬
‫"تطوير بنية تحتية مستدامة على أعلى مستوى تدعم االقتصاد الوطني‬
"‫وقادرة على مواكبة أحدث التقنيات الذكية‬
2024-2020 ‫استراتيجية هيئة تنظيم االتصاالت‬
‫إطار عمل سياسة الحوسبة السحابية لدولة قطر‬
‫توصيات السياسات‬
‫مبادئ الثقة واألمن‬ ‫أهداف أصحاب المصلحة في‬
‫والتنظيم‬ ‫القطاعين العام والخاص في‬
‫والشفافية‬
‫سلسلة القيمة للحوسبة‬
‫ ( سياسة الحوسبة‬:‫مثال‬
‫ ( دليل المنشآت‬:‫مثال‬ ‫السحابية‬
ً
‫ سياسة‬- ‫أوال‬ ‫السحابية‬
)‫الصغيرة والمتوسطة‬ ) ‫ ( تصنيف البيانات‬: ‫مثال‬
) ‫تأمين المعلومات الوطنية‬
QATAR NATIONAL VISION 2030

NATIONAL DEVELOPMENT STRATEGY 2
"Develop a sustainable and high-quality infrastructure that supports the national
economy and is capable of keeping abreast of the latest smart technologies"
CRA Strategy 2020-2024
Cloud Policy Framework
Public and Private Principles of Trust, Policy and Regulatory

Stakeholders' Security, Transparency Recommendations
objectives in the cloud
e.g. SME handbook e.g. Cloud First
value chain
Policy, NCSA security
e.g. data classification requirements, National
Information Assurance
Policy
7
3. The Objective Of The ‫ الغرض من إطار عمل سياسة‬.3

Cloud Policy Framework ‫الحوسبة السحابية‬
A solid cloud industry will enable Qatar to: ‫إن تطوير صناعة سحابية ذات أساس متين سيمكن‬
:‫دولة قطر من‬
• Attract investments, both foreign and ‫ •جذب االستثمارات األجنبية والمحلية في الخدمات‬
domestic, in new digital services. .‫الرقمية الجديدة‬
• Support the growth of the national .‫ •دعم نمو االقتصاد الوطني‬

economy.
• Enable the transition to a fully .‫ •التحول الرقمي الكامل بالدولة‬
digitalized nation.
• Help meet the objective of Qatar ‫ •المساعدة في تحقيق هدف قطر لتصبح مركز ًا‬
becoming a digital hub. .‫رقمي ًا عالمي ًا‬
• Manage carbon footprint by reducing ‫ •الحد من األثر الكربوني عن طريق الحد من مراكز‬
scattered traditional on-premises data ‫البيانات التقليدية وتعزيز المرافق المحايدة‬
centers and promoting carbon neutral .‫للكربون‬
facilities.
In line with these objectives and with ‫وقد حددت هيئة تنظيم االتصاالت في إطار عمل‬
its Strategy 2020 - 2024, the CRA has ‫ مجموعة شاملة‬،‫سياسة الحوسبة السحابية‬
identified, in the Cloud Policy Framework, a ‫من الشروط القانونية والتنظيمية التي يجب‬
comprehensive set of legal and regulatory ‫على الهيئات الحكومية المعنية أن تلتزم بها أو‬
requirements that competent government ‫ وذلك تمشي ًا مع أهداف استراتيجية‬،‫تستوفيها‬
agencies should adopt or update. Similarly, ‫ كما تسلط سياسة‬.2024 - 2020 ‫الهيئة‬
the Cloud Policy Framework highlights ‫الحوسبة السحابية الضوء على التوصيات الموجهة‬
recommendations for stakeholders of the ‫ألصحاب المصلحة في سلسلة القيمة السحابية‬
cloud value chain to ensure compliance ‫لضمان االمتثال للقوانين الوطنية والدولية وأفضل‬
with national and international laws and .‫الممارسات‬
best practices.
8
In the implementation of the Cloud Policy ‫ ستلعب‬،‫وفي تنفيذ سياسة الحوسبة السحابية‬
Framework, a key role will be played by ‫الهيئات الحكومية المعن ّية – كل في إطار اختصاصها‬
competent government entities within ،‫– دور ًا رئيسي ًا في تنفيذ سياسة الحوسبة السحابية‬
their respective mandates. For instance, ‫فعلى سبيل المثال قامت وزارة االتصاالت وتكنولوجيا‬
the Ministry of Communications and ً
"‫أوال‬ ‫المعلومات بوضع "سياسة الحوسبة السحابية‬
Information Technology (MCIT) has ‫كالتزام واضح لسياسات الشراء التي تدعم الحلول‬
developed a “Cloud First Policy” as a clear ‫ كما قام الفريق القطري لالستجابة‬،‫السحابية‬
commitment to procurement policies that ‫لطوارئ الحاسب "كيوسرت" بتحديد المتطلبات‬
support cloud solutions and NCSA has .‫األمنية‬
defined security requirements.
4. Policy Recommendations ‫ التوصيات السياسية‬.4

for The Development of ‫لتطوير الحوسبة السحابية‬
Cloud Computing
Qatar intends to promote the development ‫تعتزم قطر االرتقاء بتطوير خدمات الحوسبة‬
of cloud computing services based on open ‫السحابية انطالق ًا من التقنيات المفتوحة والمنصات‬
technologies and secured platforms. .‫اآلمنة‬
Establishing a clear and transparent ّ ‫وسيعمل إنشاء إطار عمل واضح وشفاف‬
‫لتبني‬
framework for adoption of cloud services ‫الخدمات السحابية على ضمان توفير هذه‬
will ensure that this technology provides ‫التكنولوجيا الوصول الموثوق لكل من المستخدمين‬
trusted access for both national and ‫ وسيجعل من‬،‫المحليين والدوليين على حد سواء‬
international users and make Qatar a ‫قطر مركز ًا إقليمي ًا لتطوير الخدمات السحابية؛ حيث إن‬
regional hub of cloud services innovation. ‫الصناعة السحابية الناجحة تعتمد إلى حد كبير على‬
Indeed, a successful cloud industry largely ‫وجود أعلى درجات الثقة بين جميع أصحاب المصلحة‬
depends on the highest possible degree of .‫في سلسلة القيمة‬
trust amongst all stakeholders of the value
chain.
9
Cloud Value Chain ‫سلسلة القيمة السحابية‬
‫مقدمي الخدمات‬
‫السحابية‬
‫مستخدمو الخدمات‬
‫مقدمي خدمات‬
‫السحابية في القطاعين‬
‫البرمجيات والتطبيقات‬
‫العام والخاص‬
‫البنية األساسية‬
‫مراكز البيانات‬
‫لالستضافة والتوصيل‬
Cloud Service
Providers
Software and
Public and Private
Application
Cloud Users
Providers
Hosting and
Data Centers Connectivity
Infrastructures
10
To unleash the potential of the Cloud, public ‫تلعب السياسات العامة دور ًا هام ًا في بناء الثقة في‬
policies have an important role in building ‫خدمات الحوسبة السحابية وكذلك في ضمان أعلى‬
trust in cloud computing services as well ‫معايير األمن والشفافية لمقدمي ومستخدمي‬
as in ensuring the highest standards of ‫الخدمات السحابية ُبغية تحرير إمكانات الحوسبة‬
security and transparency for Cloud Service ‫ حيث ال سبيل إلى نجاح وازدهار صناعة‬،‫السحابية‬
Providers and cloud users. It is only through ‫الحوسبة السحابية في قطر إال من خالل الثقة الكبيرة‬
widespread trust in secure cloud services and ‫في الخدمات السحابية اآلمنة والبيئة التنظيمية‬
a transparent normative environment that a .‫الشفافة‬
successful cloud industry will flourish in Qatar.
Joint efforts as well as a concerted approach ‫على الجهات الحكومية في أداء دورها في وضع‬
are required from government entities, to: ‫السياسات بذل الجهود المشتركة والتنسيق فيما‬
:‫يضمن التالي‬
• Provide clarity and transparency, .‫ •الوضوح والشفافية‬
• Support a cloud-friendly environment; and .‫ •وجود بيئة صديقة للحوسبة السحابية‬
• Move to “cloud-first”. ً
.‫أوال‬ ّ •
"‫تبني عملية "الحوسبة السحابية‬
Cloud computing touches on a variety of ‫تتعلق الحوسبة السحابية بمجموعة متنوعة من‬
policy areas. Many of these areas require ‫ وتتطلب العديد من هذه‬.‫المجاالت السياسية‬
the highest level of compliance with ‫المجاالت أعلى مستوى من االلتزام باألطر القانونية‬
internationally established or developing ‫ على سبيل‬،‫الدولية الراسخة أو المستحدثة‬
legal frameworks, e.g. through accessibility, ‫ من خالل إتاحة إمكانية الوصول والدمج‬:‫المثال‬
digital inclusion, standards, network ‫الرقمي ووضع المعايير وبنية الشبكة والمواصفات‬
architecture, specifications and certifications. .‫والشهادات‬
The following policy and regulatory ‫علم ًا أن للسياسات والتوصيات التنظيمية الواردة‬
recommendations will contribute to a ‫أدناه أهمية بالغة في المساهمة في صناعة‬
successful cloud industry in Qatar. ‫ وذلك على‬،‫حوسبة سحابية ناجحة في دولة قطر‬
:‫النحو التالي‬
11
4.1 Cloud-First Policy ً ‫ سياسة الحوسبة السحابية أو‬4.1

‫ال‬
Security is not any more a primary ‫جدير بالذكر إنه لم تعد المسائل األمنية عائق ًا‬
inhibitor to the adoption of cloud services. .‫أساسيا يحول دون اعتماد وتنبني الخدمات السحابية‬
Accordingly, the sensitive nature of data ‫ فإن الطبيعة الحساسة للبيانات ال تمنع من‬،‫ومن ثم‬
shall not prevent storage on the cloud .)‫تخزينها على السحابة (سواء كانت محلية أو خارجية‬
(whether local or abroad).
Cloud computing can significantly improve ‫يمكن للحوسبة السحابية تحسين إدارة وكفاءة‬
public sector Information Technology ‫و‬، ‫تكنولوجيا المعلومات في القطاع العام؛ لذلك‬
management and efficiency. Therefore, ‫للمضي قدم ًا في عملية التحول الرقمي عملت‬
to accelerate the process of digital ‫وزارة االتصاالت وتكنولوجيا المعلومات على‬
transformation, MCIT has developed a ً
‫ والتي‬،‫أوال‬ ‫صياغة سياسة الحوسبة السحابية‬
Cloud-First Policy focused on procurement ‫تركز على عمليات الشراء وتهدف إلى تقليل وقت‬
processes and aimed at reducing ‫ واالستفادة من أحدث التقنيات‬،‫التنفيذ وتكاليفه‬
deployment time and cost, leveraging ‫ البنية التحتية والبرامج‬:‫على المستويات الثالث‬
the latest technologies across the three ‫ واالستعانة بمصادر خارجية للنفقات‬،‫والتطبيقات‬
layers, i.e. infrastructures, platforms and .‫العامة في اإلدارة وأعمال الصيانة‬
applications, and outsourcing management
and maintenance overhead.
Policy Recommendation ‫التوصيات السياسية‬
Qatar shall implement a cloud-first policy ً

‫أوال‬ ‫يجب أن تطبق قطر سياسية الحوسبة السحابية‬
for public procurement of cloud services by ‫على المشتريات العامة من الخدمات السحابية التي‬
government entities that is consistent with ‫ وذلك بما يتفق مع‬،‫تقوم بها الجهات الحكومية‬
the principles of the Cloud Policy Framework. ‫المبادئ الواردة في إطار عمل سياسة الحوسبة‬
Cloud solutions shall be assessed before any ً
‫أوال‬ ‫ على أن يتم تقييم الحلول السحابية‬.‫السحابية‬
on-premise solutions and based on a clear ‫قبل بحث الحلول األخرى داخل مقر الهيئة استناد ًا إلى‬
data classification policy. ‫سياسة تصنيف بيانات واضحة‬
12
4.2 Data Classification ‫ تصنيف البيانات‬4.2
Data classification is a foundational ‫ُيعد تصنيف البيانات خطوة أساسية في إدارة مخاطر‬
step in cybersecurity risk management. ‫ ويعتبر تصنيف البيانات نقطة انطالق‬.‫األمن السيبراني‬
Regardless of whether data is processed ‫لتحديد المستوى المناسب من ضوابط سرية البيانات‬
or stored “on premises” or “in the cloud”, ‫استنادا إلى المخاطر‬
ً ‫وسالمتها وتوافرها وذلك‬
data classification is a starting point for ‫ ويتضمن‬.‫التي تحددها المؤسسات العامة والخاصة‬
determining the appropriate level of ‫تصنيف البيانات تحديد أنواع البيانات التي يجري‬
controls for the confidentiality, integrity, ‫تجهيزها وتخزينها في نظام معلومات تملكه أو‬
and availability of data based on the .‫تديره أحد المنظمات‬
risks identified by public and private
organizations. It involves identifying the
types of data that are being processed and
stored in an information system owned or
operated by an organization.
Data owners (i.e. those who generate ‫يجب أن يخضع أصحاب البيانات (أي أولئك الذين يقومون‬
and control content, such as business ‫ مثل الكيانات‬،‫بإنشاء المحتوى والتحكم فيه‬
or public entities) and data processors ‫التجارية أو العامة) ومعالجي البيانات (أي المراقبين‬
(i.e. custodians who handle data in )‫الذين يتعاملون مع البيانات من أجل توفير الخدمات‬
order to provision services) should be ‫ فعلى‬،‫لمتطلبات مناسبة لألدوار التي يضطلعون بها‬
subject to requirements appropriate ‫ بتحمل مقدمي الخدمات السحابية‬،‫سبيل المثال‬
for the roles they play. For instance, ‫وعمالء الجهات الحكومية المسؤوليات ذات الصلة‬
Cloud ServiceProviders and government ،‫ لذا‬،‫بالجوانب المختلفة من نظام الحوسبة السحابية‬
customers have responsibilities for ‫يجب على الطرفين تنفيذ مجموعة من الممارسات‬
different aspects of the cloud system; ‫ ومن هذا‬.‫لتأمين بيئات كل منهما بصورة كافية‬
therefore, both parties must implement ‫ فإنه يجب أن يتحكم مالك المعلومات‬،‫المنطلق‬
a set of practices to sufficiently secure ‫الخاصة بالبيانات الحكومية المصنفة في التشفير‬
their respective environments. To this ‫(على األقل اآللية التي يتم بها تخزين مفاتيح‬
extent, control on encryption (at least the .)‫التشفير وإدارتها‬
mechanism whereby the encryption keys
are stored and managed) should lie with the
owner of the information for government
classified data.
13
Different requirements of information ‫ويجوز لمالكي البيانات تحديد المتطلبات المختلفة‬

security levels may be defined by ‫لمستويات أمن المعلومات فيما يتعلق بأنواع البيانات‬
data owners in relation to different ‫ استناد ًا إلى مستوى السرية والسالمة‬،‫المختلفة‬
types of data, based on their level of .‫والتوافر‬
confidentiality, integrity and availability.
‫طبيعة البيانات‬ ‫فئة المستهلك السحابي‬ ‫الصناعة التي تستخدم‬

‫مثل األشخاص الطبيعيين‬ ‫البيانات‬
‫مثل الملعومات الشخصية أو‬ ‫واألشخاص االعتباريين في‬ ‫مثل الدفاع واألمن القومي‬
‫الملكية‬ ‫القطاع الخاص والجهات‬ ‫والصحة والتمويل‬
‫الحكومية‬
The nature of data The category of The industry using

cloud consumer the data
e.g. personal or e.g. natural persons, private e.g. defense, national
proprietary information sector legal persons, security, health, finance
government entities
Organizations should consider the ‫يتعين على المنظمات النظر في المبادئ التالية‬
following principles for data classification: :‫لتصنيف البيانات‬
• Data shall be evaluated based on ‫ •تق َّيم البيانات على أساس الحساسية والتأثير‬
sensitivity, business and economic .‫على األعمال التجارية واالقتصاد‬
impact.
• Data classification shall effectively ‫ •يجب أن يوازن تصنيف البيانات بصورة فعالة بين كل‬
balance security, efficiency, economic ‫من أهداف األمن والكفاءة واالقتصاد وتحديث‬
and IT modernization goals. .‫تكنولوجيا المعلومات‬
14
• Data should be classified according to a ‫ •يجب تصنيف البيانات وفق ًا لبيان تقييم المخاطر‬
risk profile for sensitivity and business ‫ذات الصلة بالحساسية والتأثير على األعمال‬
impact, on a scale from 0 to 4, for ‫التجارية بحيث تصنف من خالل استخدام مقياس‬
safeguarding sensitive or critical data ‫ وذلك ألغراض حماية البيانات‬،4 ‫من صفر إلى‬
with appropriate levels of protection. .‫الحساسة أو الهامة بمستويات حماية مناسبة‬
‫الطبيعـة‬ ‫الـفـئــة‬ ‫المستوى‬
‫يجوز مشاركة تلك البيانات مع الجمهور‬ ‫بيانات غير حساسة‬ 0
‫ والمتاحة لجميع الموظفين‬،‫البيانات المستخدمة داخلي ًا‬ ‫بيانات داخلية‬ 1
‫البيانات المتاحة لعدد محدود من األشخاص أو الوظائف داخل المنظمة أو‬

‫بيانات مقيدة‬ 2
‫خارجها‬
‫البيانات المقيدة والتي يجري مشاركتها على أساس "الحاجة إلى‬

‫بيانات سرية‬ 3
"‫المعرفة‬
‫بيانات عالية الحساسية‬

‫البيانات ذات الصلة باألسرار التجارية أو األمن القومي‬ 4
‫واألسرار التجارية‬
Level Category Nature
0 Non-sensitive data Data which can be shared with the public
1 Internal data Data used internally, available to all the staff
Data accessible to a limited number of persons/functions

2 Restricted data
in or outside the organization
3 Confidential data Restricted data which is shared on a "need to know" basis
Highly sensitive Data related to trade secrets or related to national security

4
data/Trade secrets matters
15
• Data should not be over-classified: over- ‫ فسوف‬:‫ •يجب عدم المبالغة في تصنيف البيانات‬
classification will incur unwarranted ‫يترتب على اإلفراط في التصنيف نفقات غير مبررة‬
expenses by putting into place costly ‫وذلك من خالل وضع ضوابط مكلفة يمكن أن تؤثر‬
controls that can additionally impact ‫ أي أن‬، ‫بصورة إضافية على العمليات التجارية‬
business operations, i.e. broadly ‫تصنيف مجموعات كبيرة متباينة من البيانات على‬
classifying large disparate sets of ‫نفس مستوى الحساسية من شأنه أن يؤدى‬
data at the same sensitivity level is .‫إلى حدوث نتائج عكسية‬
counterproductive.
Ultimately, it is the owner of the data ‫ويجب في النهاية أن تقع مسؤولية تحديد مستوى‬
who must be responsible for determining ‫أمن المعلومات على مالك البيانات والذي يطابق‬
the information security level which best ‫ ويتعين فعلي ًا‬.‫ بأفضل صورة‬12‫متطلبات التصنيف‬
matches the classification requirements12. ‫على المنظمات أو الكيانات المعقدة المتعاملة مع‬
Indeed, complex organizations or entities .‫البيانات أن تضع تصنيفها الخاص للبيانات‬
dealing with data should develop their own
classification of data.
When moving to the cloud, organizations ‫سوف تقوم المؤسسات عند انتقالها للحوسبة‬
shall implement data classification schemes ‫السحابية بتنفيذ مخططات خاصة بتصنيف البيانات تستند‬
based on their level of confidentiality, ‫على أساس مستوى سريتها وسالمتها وتوافر‬
integrity and availability of data. For the ،‫ وفي حالة أنواع البيانات األكثر حساسية‬.‫البيانات‬
most sensitive categories of data, it may be ‫فعندئذ سيكون من المناسب توفير حماية أكبر في‬
appropriate to set up an elevated protection . ‫مرحلة البيانات الخاصة‬
in the form of private cloud.
.‫) وذلك لتصنيف البيانات الحكومية‬NIAP( ‫ يجب أن تشير الكيانات الحكومية إلى سياسة تأمين المعلومات الوطنية‬-12
12- For the classification of government data, government entities shall refer to the National Information Assurance Policy (NIAP).
16
4.3 Data Localization, Free Flow of Data ‫ توطين البيانات والتدفق الحر للبيانات‬4.3
and Non-Personal Data ‫والبيانات غير الشخصية‬
Cloud Service Providers store data which is ‫يتولى مقدمو الخدمات السحابية تخزين البيانات‬
then accessible anytime and anywhere. An ‫التي يمكن الوصول إليها بعد ذلك في أي وقت‬
important factor to guarantee that cloud ‫ ومن أهم العوامل لضمان انطالق‬.‫وفي أي مكان‬
services take off is by ensuring that the ‫الخدمات السحابية التأكد من تناسق وتبسيط‬
regime governing the localization and the ‫النظام المطبق على التوطين وتدفق البيانات‬
flow of data is uniform, streamlined and ‫وسريانه على مقدمي الخدمات السحابية األجانب‬
applies equally to foreign and domestic .‫والمحليين بال تفرقة‬
Cloud Service Providers.
4.3.1 Data localization ‫ توطين البيانات‬4.3.1
From an operational perspective, it is no ‫ فإنه لم يعد من الضروري‬،‫من ناحية التشغيل‬

longer necessary for data to be stored ‫ ومن‬،"‫تخزين البيانات على “جهاز العميل" أو "محلي ًا‬
“on premises” or “locally” and as such it .‫ثم سيكون فرض اشتراط هذا الصدد غير ُمجدي‬
would be counter-productive to impose ،13‫وخاصة عندما تكون البيانات في حالة ساكنة‬
a requirement to do so, specifically when ً
‫ فإنه يتعين على‬،‫ ومن الناحية األمنية‬،‫فبدال من ذلك‬
data is at rest13. Instead, from a security ‫المؤسسات تنفيذ إجراءات إلعداد حماية مرتفعة‬
standpoint, organizations must, for ‫ وذلك فيما يتعلق‬،‫أكثر كفاءة من متطلبات التوطين‬
the most sensitive categories of data, :‫ مثل‬،‫بفئات البيانات األكثر حساسية‬
implement measures setting up an
elevated protection that are more efficient
than localization requirements, such as:
• Encryption14. . 14‫ •التشفير‬
• Anonymization. .‫ •إخفاء الهوية‬
• Aggregation and/or storage in pre- ‫ •التجميع أو التخزين في مراكز محددة سلف ًا‬
defined hubs to the choice of the ‫باختيار العميل مع مرافق معالجة مؤمنة إلى حد‬
customer with processing facilities .‫قدمي الخدمات السحابية‬
ّ ‫كبير ومعتمدة من ُم‬
that are highly secured and certified by
Cloud Service Providers.
.‫ يشكل تصنيف البيانات (انظر أعاله) ومعايير األمان األدوات األساسية ألمان البيانات‬-13
.‫ ويشمل ذلك آليات التشفير التي توفر مفاتيح تخضع مباشرة لسيطرة مالك البيانات‬،‫ قد يتم تأمين عملية التشفير في العديد من المراحل‬-14
13- Data Classification (see above) and security standards constitute the primary tools for the security of data.
14-Encryption may be secured at many layers, including through encryption mechanisms that provide keys under the direct control of the data
owner.
17
• Security certification guaranteed by ‫ •شهادة في المجال األمني ممنوحة من جهة‬

third-party audits that demonstrate ‫خارجية تقوم بإجراء عمليات مراجعة إلثبات وجود‬
robust security controls to address ‫ وذلك بغية إحباط أي محاولة‬،‫ضوابط أمنية قوية‬
unauthorized third-party access to ‫من أي جهات خارجية غير مصرح لها للوصول إلى‬
data, systems and assets15. .15‫البيانات واألنظمة واألصول‬
With such measures cloud solutions are ‫ تكون الحلول السحابية أكثر أما ًنا‬، ‫ومع تلك اإلجراءات‬
more secure than on-premises solutions, ‫ فهي أقل عرضة للهجمات‬، ‫من الحلول االعتيادية‬
are less vulnerable to cyber-attacks ‫ عالوة‬.‫اإللكترونية وتقلل التكلفة اإلجمالية للملكية‬
and reduce the total cost of ownership. ‫ يمكن االتفاق على البنود التعاقدية بين‬، ‫على ذلك‬
Moreover, contractual clauses can be ‫العمالء ومقدمي الخدمات السحابية التي تضمن‬
agreed between the customer and cloud ‫أمان البيانات وآليات االسترداد في حالة الحوادث أو‬
service providers that ensure security ‫ بما في ذلك متطلبات التحكم الكامل في‬، ‫الخروقات‬
of data and recovery mechanisms in .‫مفاتيح التشفير للوصول إلى البيانات‬
case of accidents or breaches, including
requirements for the full control of
encryption keys for access to data.
Accordingly, any request for data ‫ فإن أي طلب لتوطين البيانات يجب أن‬،‫وبناء على ذلك‬
ً
localization should be very limited in ً ً
‫ كما أنه‬،‫يكون محدودا جدا من حيث الحجم والنطاق‬
volume and scope and, address only trade ‫يجب معالجة األسرار التجارية أوالمسائل المتعلقة‬
secrets or national security requirements ‫باألمن القومي أو وقت االستجابة األقل الذي ال يوجد‬
for which no alternative exists. .‫له بديل‬
Indeed, the security and data protection ‫ تعد قدرات األمان وحماية البيانات‬،‫في الواقع‬
capabilities of Cloud Service Providers are ‫لمقدمي الخدمات السحابية قوية وآمنة على وجه‬
robust and secure precisely because of: :‫التحديد بسبب‬
• Their reliance on globally distributed ‫ •اعتمادها على البنية التحتية الموزعة عالم ًيا التي‬
infrastructures that ensure availability, .‫تضمن التوافر والمرونة واألمان‬
resilience and security.
• Their compliance with international .‫ •االمتثال للمعايير واإلجراءات الدولية المعترف بها‬
standards and recognized procedures.
• Additional security ensured by Private .‫ •السحابات الخاصة‬
Clouds.
ً ‫ األمن مضمون‬-15
ISO 27001 ‫ على سبيل المثال‬، ‫أيضا بمتطلبات المعايير الدولية لتصنيف البيانات‬
15- Security is also guaranteed by the requirement of internationally standards on classification of data, e.g. ISO 27001
18
‫األمن‬
‫البيانات‬
1 ‫المستوى‬
‫حماية البيانات‬
‫تشفير البيانات وإخفاء‬

‫الهوية والتجميع‬
‫التخزين في‬
‫محاور محددة‬
‫توطين البيانات‬
4 ‫المستوى‬
Security
Data
Level 1
Data protection
Data encryption,
anonymisation,
aggregation
Storage into
specific hubs
Data
localisation
Level 4
19
4.3.2 Free Flow of Data ‫ التدفق الحر للبيانات‬4.3.2
Cross-border data flows are inherent to the ‫ُتعد تدفقات البيانات عبر الحدود أمر ًا اساسي ًا في‬
cloud architecture and should be enabled in a ‫ ويجب تمكينه بطريقة تحمي‬.‫البنية السحابية‬
way that protects privacy and security. .‫الخصوصية واألمن‬
Qatar shall provide a wide range of ‫ فإن دولة قطر توفر مجموعة‬،‫على هذا النحو‬
mechanisms to allow data to flow freely ‫واسعة من اآلليات للسماح بتدفق البيانات بحرية مع‬
whilst ensuring an appropriate level of ،‫وبناء على ذلك‬
ً .‫ضمان مستوى مناسب من الحماية‬
protection. Accordingly, one or more of the ‫يتم النظر في آلية أو أكثر من اآلليات التالية باعتبارها‬
following mechanisms shall be considered as :‫حلول لعمليات النقل عبر الحدود‬
solutions for cross border transfers:
• Contractual arrangements that set out ‫ •الترتيبات التعاقدية التي تحدد معايير الخصوصية‬
appropriate data privacy and security .‫واألمان المناسبة للبيانات‬
standards.
• Alignment with international standards ‫ •أحكام المواءمة والتي تتماشى مع المعايير‬

and recognized procedures to be ‫واإلجراءات المعترف بها دولي ًا بغرض قيام‬
implemented by the organizations ‫المنظمات التي تنقل البيانات بتنفيذها (أي‬
transferring data (i.e. data processors and .)‫معالجي البيانات ومقدمي الخدمات السحابية‬
Cloud Service Providers).
• Binding corporate rules that set out ‫الملزمة للشركات التي تحدد الحماية‬
ُ ‫ •القواعد‬
harmonized and high-level protection and ‫المنسقة عالية المستوى واالمتثال للخصوصية‬
privacy compliance by all national entities ‫قدم الخدمات‬
ّ ‫لم‬
ُ ‫من قبل جميع الكيانات الوطنية‬
of a multinational Cloud Service Provider .‫السحابية المتعددة الجنسيات‬
• Enforceable corporate cross-border ‫ •قواعد الخصوصية القابلة للتنفيذ عبر الحدود‬

privacy rules modeled on internationally ‫للشركات على غرار القواعد المعت َرف بها عالمي ًا‬
recognized rules such as the APEC Cross- ‫مثل قواعد الخصوصية عبر الحدود الخاصة‬
Border Privacy Rules16. ‫بمنتدى التعاون االقتصادي لدول آسيا والمحيط‬
ُ
.16‫الهادئ‬
• Certified codes of conduct, certifications, ‫ •مدونات قواعد السلوك والشهادات وعالمات‬

privacy marks, seals and international ‫الخصوصية واألختام والمعايير الدولية‬
standards, such as the ISO standards. .‫ مثل معايير األيزو‬،‫المعتمدة‬
ُ
https://bit.ly/31nN1zz -16
16- https://bit.ly/31nN1zz
20
• Bilateral or multilateral arrangements

‫ •الترتيبات الثنائية أو المتعددة األطراف التي‬
which rely on self-certification based
‫بناء على معيار‬
ً ‫تعتمد على االعتماد الذاتي‬
on a given privacy or security standard,
‫ مع آلية التنفيذ مثل‬،‫خصوصية أو أمان معينين‬
with an enforcement mechanism such
.17‫إطار خصوصية البيانات عبر المحيط األطلسي‬
as the Trans-Atlantic Data Privacy
Framework17.
ُ ‫ يجب أن تكون الموافقة‬،‫وختام ًا‬
‫المسبقة لموضوع‬
‫ كما أنه يتم‬،18‫البيانات مطلوبة للبيانات الشخصية‬
Finally, for personal data, it is
‫السماح بنقل معالج وحدة التحكم عندما يقدم‬
recommended that the data subject's
.‫المعالج ضمانات كافية لحماية البيانات‬
prior consent be required18, and controller-
processor transfers permitted when the
processor offers adequate guarantees to
protect the data.
https://ec.europa.eu/commission/presscorner/api/files/attachment/872132/Trans-Atlantic%20Data%20 ( 2022 ‫ سيتم نشره بحلول نهاية‬-17
fact-sheet-united-states-/25/03/https://www.whitehouse.gov/briefing-room/statements-releases/2022 ( ‫ و‬،) Privacy%20Framework.pdf.pdf
.) /and-european-commission-announce-trans-atlantic-data-privacy-framework
15 ‫ المادة‬،‫ بشأن الخصوصية وحماية البيانات الشخصية‬2016 ‫ لسنة‬13 ‫ يجب تفسير الموافقة بموجب القانون رقم‬-18
17- To be issued by the end of 2022 (see https://ec.europa.eu/commission/presscorner/api/files/attachment/872132/Trans-Atlantic%20
Data%20Privacy%20Framework.pdf.pdf, and https://www.whitehouse.gov/briefing-room/statements-releases/202225/03//fact-sheet-
united-states-and-european-commission-announce-trans-atlantic-data-privacy-framework/ ).
18- Consent shall be interpreted as per Law No. 13 of 2016 concerning privacy and protection of personal data, Article 15.
21
،‫اإلعفاءات المحددة‬
‫مثل المصلحة‬ ‫الترتيبات التعاقدية‬
‫العامة والمطالبة‬
‫القانونية‬
‫أحكام المالءمة‬ ‫قواعد الشركة‬

‫والقوائم البيضاء‬ ‫الملزمة‬
‫التدفق الحر‬
‫للبيانات‬ ‫قواعد‬
‫الترتيب الثنائي‬
‫الخصوصية‬
‫أو متعدد‬
‫عبر الحدود‬
‫األطراف‬
‫للشركات‬
‫السلبيات‬ ‫مدونة قواعد‬

‫السابقة‬ ‫السلوك والشهادات‬
‫لموضوع البيانات‬ ‫والمعايير الدولية‬
Specific Contractual
exemptions, e.g. arrangements
public interest,
legal claim
Adequacy
rulings and Binding
"Whitelists" corporate
rules
Free flow
of Data Corporate
Bilateral or
multilateral cross-border
arrangements privacy rules
Codes of
Data conduct,
subject's prior certifications,
consent international standards
22
Administrative processes should be ‫يجب التقليل من العمليات اإلدارية بشكل واضح‬

minimized and straightforward in order ‫ وخاصة من قبل‬،‫لضمان اعتمادها على أوسع نطاق‬
to ensure a wide adoption, especially by ،‫ وعلى وجه التحديد‬.‫الشركات الصغيرة والمتوسطة‬
SMEs. Specifically, there should be no ‫ال ينبغي أن يكون هناك شرط بإخطار السلطات‬
requirement that the above categories ‫المعنية بالفئات المذكورة أعاله من عمليات النقل عبر‬
of cross-border transfers be notified to or .‫الحدود أو الموافقة عليها‬
approved by the relevant authorities.
4.3.3 Non-Personal Data19 19‫ البيانات غير الشخصية‬4.3.3
The cross-border flows of non-personal ‫من المقرر أن تنطلق تدفقات البيانات غير الشخصية‬
data is set to take off with the rapid 20‫عبر الحدود مع التطور السريع للذكاء االصطناعي‬
development of Artificial Intelligence20, the .‫وإنترنت األشياء والتعلم اآللي‬
Internet of Things and machine learning.
Qatar should enter into agreements with ‫يجب على دولة قطر إبرام اتفاقيات مع دول أجنبية‬
trusted foreign countries to facilitate ‫موثوق بها لتسهيل عبور البيانات غير الشخصية عبر‬
the cross-border of non-personal ‫الحدود في حال كانت هذه الدول األجنبية خاضعة‬
data when these foreign countries are .‫لمعايير كافية لحماية البيانات واألمن السيبراني‬
subject to adequate data protection and
cybersecurity standards.
Data residency shall not be any longer a ‫لم يعد إقامة البيانات شرط ًا مطلوب ًا حيث توفر أنظمة‬
requirement as data classification schemes, ‫تصنيف البيانات وتقنيات األمان والتشفير اآلن مستوى‬
security and encryption technologies now ‫ قد يكون أمر توطين البيانات‬.‫عال من ضوابط الحماية‬ ٍ
secure a high level of protection controls. ‫ في حالة‬.‫مطلوب ًا للبيانات شديدة الحساسية فقط‬
Data localization may be required for highly ‫ يجب أن تقتصر‬،‫الحاجة إلى تحديد موقع بيانات معينة‬
sensitive data only. When the location of ‫متطلبات التوطين علىبيانات محدودة في النطاق‬
certain data needs to be identified, the ‫ كما يجب‬،.‫وفقا للطبيعة المحددة للبيانات‬ً ‫والحجم‬
localization requirement shall be limited in ‫اختيار الحلول السحابية الخاصة لضمان األمن وحماية‬
scope and volume according to the specific .‫البيانات‬
nature of the data. Private cloud solutions
shall be chosen to guarantee security and
data protection.
.1 ‫ المادة‬،2016 ‫ لعام‬13 ‫ تتعلق "البيانات غير الشخصية" بالبيانات التي ال تعتبر "بيانات شخصية" بموجب القانون رقم‬-19
.)https://bit.ly/3iaHNNB( "‫ تعد قواعد حوكمة البيانات بشأن الوصول إلى البيانات ومشاركتها أحد ركائز "االستراتيجية الوطنية للذكاء االصطناعي في دولة قطر‬-20
19- “Non-Personal Data” relates to data which are not considered as “Personal Data” as per the Law No. 13 of 2016, Article 1.
20- Data governance rules on access to and sharing of data is a pillar of the “National Artificial Intelligence Strategy for Qatar”
(https://bit.ly/3iaHNNB).
23
4.4 Privacy and Access to Data ‫ الخصوصية والوصول إلى البيانات‬4.4

(Cross-Border Requests) )‫(الطلبات عبر الحدود‬
Customers’ trust shall be a Cloud Service ‫ستكون ثقة العمالء هي األولوية األولى لمقدمي‬
Provider’s top priority, and Cloud Service ‫ كما يتعين أن يقوم مقدمي‬،‫الخدمات السحابية‬
Providers must deliver governance-focused, ‫الخدمات السحابية بتوفير خدمات ترتكز على حوكمة‬
audit-friendly services that are built with ‫ إذ يتم إعدادها‬،‫البيانات والتدقيق فيها بسهولة‬
global data privacy and protection best ‫مع مراعاة خصوصية البيانات العالمية واتباع أفضل‬
practices in mind. Whilst the data protection ‫ وفي حين أن اإلطار التنظيمي‬.‫الممارسات لحمايتها‬
regulatory framework promotes customer ‫لحماية البيانات تعزز ثقة العمالء في النظام البيئي‬
trust in the digital ecosystem, it is important ‫ فمن المهم تجنب قواعد حماية البيانات‬، ‫الرقمي‬
to avoid overly stringent data protection ‫الصارمة التي يمكن أن تعرقل اعتماد الحوسبة‬
rules that can impede the adoption of cloud ‫ كما يهدف هذا اإلطار إلى تحقيق التوازن‬.‫السحابية‬
computing. This framework aims to strike ‫ لتحقيق العدالة لموفري الخدمات السحابية‬، ‫الصحيح‬
the right balance, to deliver fairness to .‫مع الحفاظ على الثقة واألمان‬
cloud providers while maintaining trust and
security.
4.4.1 Privacy ‫ الخصوصية‬4.4.1
In order to strengthen customer trust in ‫يجب أن تشترط القوانين ذات الصلة تطوير جميع‬
digital services, and especially for cloud ‫منتجات وخدمات تكنولوجيا المعلومات واالتصاالت‬
services, the relevant laws should require ‫بناء على مبادئ "الخصوصية بالتصميم" و "األمان‬
ً
that all ICT products and services be ‫ وذلك بغرض تعزيز ثقة العمالء في‬،"‫بالتصميم‬
developed based on the principles of "privacy ‫ كما‬،‫الخدمات الرقمية وخاصة الخدمات السحابية‬
by design" and "security by design". Technical ‫يجب إصدار المبادئ التوجيهية التقنية التي تصف‬
guidelines, including incident management21, ‫ بما في ذلك‬،‫كيف يمكن تحقيق هذه المتطلبات‬
should be issued by competent authorities ‫ بالتعاون مع وزارة االتصاالت‬،21 ‫إدارة الحوادث‬
that describe how these requirements can be ‫وتكنولوجيا المعلومات والفريق القطري لالستجابة‬
achieved, in collaboration with the MCIT and .‫لطوارئ الحاسب اآللي‬
NCSA.
4.4.2 Cross-Border Access ‫ الوصول إلى عبر الحدود‬4.4.2
Cross-border requests for data shall be made ‫يجب تقديم الطلبات للبيانات عبر الحدود من خالل‬
through Mutual Legal Assistance Treaties ‫"معاهدات المساعدة القانونية المتبادلة" أو من‬
("MLATs"), or through bilateral agreements, ‫خالل اتفاق ثنائي بشكل يضمن المشاركة المناسبة‬
ensuring appropriate involvement of the
ISO / IEC 27035 ‫ وتحديد ًا‬، "‫ "معايير األمان‬-21

21- “Security Standards”, specifically ISO/IEC 27035
24
authorities in the countries where Cloud ‫للسلطات في البلدان التي يتم فيها إعداد مقدمي‬
Service Providers are established. .‫الخدمات السحابية‬
In that context, Qatar should ensure that ‫ يجب على قطر التأكد من أن‬،‫وفي هذا السياق‬
MLATs processes are efficient, accessible and "‫عمليات "معاهدات المساعدة القانونية المتبادلة‬
transparent22. For example, MLATs should .22‫تتسم بالكفاءة ويمكن الوصول إليها وشفافة‬
include: ‫ أن تتضمن معاهدات‬،‫ على سبيل المثال‬،‫فيجب‬
:‫المساعدة القانونية المتبادلة ما يلي‬
• A timetable for cooperation and response, ‫ من قبل كل من‬،‫ •جدول زمني للتعاون واالستجابة‬
both by government and Cloud Service .‫الحكومة ومقدمي الخدمات السحابية‬
Provider.
• A simple process to exchange data ‫ •عملية بسيطة لتبادل البيانات المتعلقة بمصدر‬
pertaining to the source and destination ‫ووجهة االتصاالت لتحديد األفراد واألجهزة‬
of communications to locate rapidly .‫بسرعة‬
individuals and device.
• A requirement by governments agencies ‫ •وطلب إنشاء نقاط اتصال واحدة للوصول إلى‬
and Cloud Service Providers to establish ‫البيانات من قبل الوكاالت الحكومية ومقدمي‬
single points of contacts for access to .‫الخدمات السحابية‬
data.
:‫ بعض القضايا الرئيسية التي تعالجها معاهدات المساعدة القانونية المتبادلة أو االتفاقات الثنائية التي تؤدي وظيفة مماثلة هي‬-22
:‫) والذي من بين أمور أخرى‬https://bit.ly/2ZdLXeU( ‫• قانون السحابة األمريكي‬
‫ يمنح مسؤولي إنفاذ القانون األمريكيين سلطة صريحة إلصدار مذكرات استدعاء أو طلب ضمانات أو أوامر محكمة تفرض على مقدمي الخدمات السحابية الخاضعين للوالية القضائية‬o
‫األمريكية الحفاظ على البيانات المخزنة في الخارج وإنتاجها؛ و‬
‫ وفي‬.‫ يمنح السلطة التنفيذية للحكومة األمريكية سلطة إبرام "اتفاقيات تنفيذية" ثنائية جديدة مع الحكومات األجنبية للسماح بالوصول إلى البيانات اإللكترونية وتبادلها عبر الحدود‬o
ً
‫مباشرة والطلب من مقدم‬ ‫ فإنه يجوز للحكومة األجنبية االتصال مباشرة بمقدم خدمة أمريكي أو االتصال بسلطات إنفاذ القانون المحلية األمريكية‬،‫حالة وجود مثل هذه االتفاقية‬
.‫الخدمة الكشف عن البيانات المخزنة على األراضي األمريكية‬
:‫• القانون الجنائي الخاص بالمملكة المتحدة (أوامر اإلنتاج في الخارج) الذي من بين أمور أخرى‬
‫ ُيمكن المحققين في المملكة المتحدة من إجبارهم على الكشف عن البيانات اإللكترونية المخزنة خارج المملكة المتحدة باستخدام بديل لطلب المساعدة القانونية المتبادلة الرسمية؛‬o
‫ طالما أنها ال تخضع‬،‫ يطلب من الشخص الذي صدر األمر ضده والذي يجب أن تمنحه المحكمة الملكية إلنتاج أو منح الوصول إلى البيانات اإللكترونية المحددة أو الموصوفة في األمر‬o
‫لالمتيازات القانونية أو التسجيل الشخصي السري؛‬
‫المدرجة في األمر أو إتالفها أو تغييرها ومن الكشف عن الحقيقة التي صدر األمر بشأنها دون إذن من‬
ُ ‫ ُيلزم الشخص الذي صدر األمر ضده باالمتناع عن إخفاء أي من البيانات اإللكترونية‬o
.‫المحكمة‬
22- Some of the key issues dealt with by MLATs, or bilateral agreements that serve a similar function are:
• The US CLOUD Act (https://bit.ly/2ZdLXeU) which, among other things:
o grants US law enforcement officials explicit authority to issue subpoenas or seek warrants or court orders forcing Cloud Service Providers subject
to U.S. jurisdiction to preserve and produce data stored overseas; and
o gives the US government's executive branch the authority to make new, bilateral "executive agreements" with foreign governments to allow for
cross-border electronic data access and exchange. Where such an agreement exists, a foreign government may contact a US provider or local US law
enforcement directly and request the provider disclose data stored on US territory.
• The UK Crime (Overseas Production Orders) Act which, among other things:
o enables UK investigators to compel the disclosure of electronic data stored outside of the UK using an alternative to a formal MLA request;
o requires the person against whom the order is made and which must be granted by the Crown Court to produce or to give access to the electronic
data specified or described in the order, as long as it is not subject to legal privilege or a confidential personal record;
o requires the person against whom the order is made to refrain from hiding, destroying or altering any of the electronic data listed in the order and
from disclosing the fact that the order has been made without permission from the court.
25
Qatar law enforcement agencies23 ‫ في قطر دور ًا‬23 ‫يجب أن تلعب وكاالت إنفاذ القانون‬
should play an active role and encourage ‫فعلي ًا وأن تشجع على التعاون مع الدول األخرى‬
cooperation with other countries using ‫باالستعانة باتفاقيات المساعدة القانونية المتبادلة‬
MLATs or bilateral executive agreements to ‫أو االتفاقيات التنفيذية الثنائية لضمان التنفيذ الفعال‬
ensure effective implementation of the laws .‫للقوانين التي تحكم الوصول إلى البيانات‬
governing access to data.
Transparency and Certainty are key for ‫تعد الشفافية واليقين بمثابة العوامل الرئيسية لدى‬
stakeholders, both in the implementation ‫ خاصة فيما يتعلق بالقواعد التي‬،‫أصحاب المصلحة‬
of privacy principles and in relation to the ‫ كما يجب‬.‫تنظم الوصول إلى بيانات الطلبات عبر الحدود‬
rules that regulate access to data in cross- ‫تقديم الطلبات عبر الحدود للحصول على البيانات من‬
border requests. Cross-border requests ‫خالل "معاهدات المساعدة القانونية المتبادلة" أو‬
for data should be made through Mutual ‫االتفاقيات الثنائية التي تضمن المشاركة المناسبة‬
Legal Assistance Treaties ("MLATs") or .‫للسلطات في البلدان التي يتم فيها تخزين البيانات‬
bilateral agreements ensuring appropriate
involvement of the authorities in the
countries where the data is stored.
.‫ وكاالت إنفاذ القانون هي وكاالت مكلفة بموجب قوانين دولة قطر في وظائفها المتعلقة بالتحقيق في الجرائم الجنائية‬- 23
23-Law enforcement agencies are agencies mandated by the laws of the State of Qatar in their functions of investigating criminal offences.
26
4.5 Accessibility and Digital Inclusion ‫ إمكانية الوصول والشمول الرقمي‬4.5
The development of large-scale public ‫سيساهم تطوير خدمات الحوسبة السحابية العامة‬
and private cloud computing services ‫والخاصة واسعة النطاق في تحقيق أهداف إمكانية‬
will contribute to the achievement of ‫ تتمثل إحدى‬.24 ‫الوصول والشمول الرقمي للبالد‬
accessibility and digital inclusion objectives ‫األهداف الرئيسية لدولة قطر في التقدم نحو أن‬
of the country24. One of the key objectives ‫ سيساعد توافر‬:‫يصبح االقتصاد قائم ًا على المعرفة‬
of Qatar is to move towards becoming a ‫خدمات الحوسبة السحابية المتقدمة جميع أفراد‬
knowledge-based economy: the availability ‫المجتمع على االستفادة من المعرفة والتعليم‬
of advanced cloud computing services will .‫والثقافة كنتيجة لتكنولوجيا المعلومات واالبتكار‬
help all members of society benefit from ‫ يمكن أن تلعب الحوسبة السحابية دور ًا‬،‫وبالمثل‬
the knowledge, education and culture ‫أساسي ًا في ترسيخ األهداف القطرية المتمثلة‬
brought about by Information Technology ‫في تعزيز الشمول الرقمي وبناء مجتمع قائم على‬
and Innovation. Similarly, cloud computing ‫التكنولوجيا يلبي احتياجات األشخاص ذوي القيود‬
can play a fundamental role in helping the )PWDs( ‫) واألشخاص ذوي اإلعاقة‬PFL( ‫الوظيفية‬
country objectives of promoting digital .25 ‫والمسنين في قطر‬
inclusion and building a technology-based
community that meets the needs of persons
with functional limitations (PFLs), persons
with disabilities (PWDs) and the elderly in
Qatar25.
Government entities’ policies and actions ‫فيما يتعلق بإمكانية الوصول والشمول الرقمي وعند‬
on accessibility and digital inclusion should ‫ يجب األخذ‬،‫وضع سياسات وإجراءات الجهات الحكومية‬
take into utmost account the use of ‫في االعتبار استخدام خدمات الحوسبة السحابية‬
cloud computing services in meeting their ‫في تحقيق األهداف المتوخاة منها إلى أقصى حد‬
objectives. Strong collaboration between ‫ ويوصى بالتعاون الوثيق بين الجهات الحكومية‬.‫ممكن‬
government entities’ and Cloud Service ‫ومقدمي الخدمات السحابية لجعل الخدمات السحابية‬
Providers is recommended to make cloud ‫متاحة إلى حد كبير لألشخاص يعانون من قصور وظيفي‬
services largely available for persons .‫واألشخاص ذوي اإلعاقة والمسنين‬
with functional limitations, persons with
disabilities and the elderly.
:‫ يمكنك االطالع على استراتيجية وزارة االتصاالت وتكنولوجيا المعلومات للشمول الرقمي على الموقع اإللكتروني هذا‬-24
.‫جزءا ال يتجزأ من مجتمع المعلومات‬
ً ‫وهي تهدف إلى ضمان أن جميع أفراد المجتمع لديهم القدرة على الوصول إلى التقنيات وأن يشكلوا‬، )https://bit.ly/38fbTuD(
https://bit.ly/2Zm72Uq -25
24- See MCIT Digital Inclusion Strategy (https://bit.ly/31pOAgf) aims to ensure that all members of society have the ability to access the
technologies and are part of the Information Society.
25- https://bit.ly/2BneZAJ
27
4.6 Data Interoperability and Data ‫ إمكانية التشغيل البيني للبيانات‬4.6

Portability ‫وإمكانية نقل البيانات‬
Interoperability of cloud services is key to the ً

‫عامال‬ ‫تعد قابلية التشغيل البيني للخدمات السحابية‬
development of a successful cloud industry. .‫أساسي ًا لتطوير صناعة سحابية ناجحة‬
Cloud interoperability allows cloud services
‫تسمح إمكانية التشغيل البيني السحابي للخدمات‬
to interact with other cloud services by
‫السحابية بالتفاعل مع الخدمات السحابية األخرى‬
exchanging information. Indeed, a major
‫ تتمثل إحدى‬،‫ في الواقع‬.‫من خالل تبادل المعلومات‬
benefit of cloud computing is the flexibility
‫الفوائد الرئيسية للحوسبة السحابية في المرونة‬
to avoid traditional vendor lock-in.
.‫لتجنب تقيد البائعين التقليديين بمنتج واحد‬
The lack of interoperability between
‫قد يؤدي االفتقار إلى إمكانية التشغيل البيني بين‬
cloud service products and the absence of
‫منتجات الخدمات السحابية وغياب المعايير التي‬
standards that facilitates data portability
‫تسهل نقل البيانات إلى صعوبة تغيير العمالء للمورد‬
may make it difficult for customers to switch
.‫وبالتالي إحباط االبتكار وتقليل فوائد العمالء‬
supplier, hence frustrating innovation and
decreasing customer’s benefits. ‫من أجل تشجيع مقدمي الخدمات السحابية على‬
In order to encourage Cloud Service Providers ‫ يجب أن‬،‫تضمين إمكانية نقل البيانات في أنظمتهم‬
to embed data portability into their systems, ً
‫أوال إمكانية نقل‬ ‫يضمن مقدمو الخدمات السحابية‬
Cloud Service Providers should guarantee ‫ مما يعني توفير الكفائة الفنية المضمنة‬،‫البيانات‬
data portability, meaning to provide built-in .‫لموضوعات البيانات لنقل بياناتهم إلى منصات أخرى‬
technical competences for data subjects to
move their data to other platforms.
In this context, Qatar needs to support the ‫ تحتاج دولة قطر إلى دعم اعتماد‬،‫في هذا السياق‬
adoption of internationally recognized ،‫المعايير المعترف بها دولي ًا والتي تقودها الصناعة‬
industry-led standards, such as ISO/IEC 19941 ‫ اللجنة الكهرو تقنية الدولية‬/ ‫مثل األيزو‬
19941 (Cloud Computing Interoperability and ‫(قابلية التشغيل البيني للحوسبة السحابية وقابلية‬
Portability). .)‫النقل‬
In addition, as part of the procurement
:‫ كجزء من عملية الشراء‬،‫باإلضافة إلى ذلك‬
process:
• Data portability and system ‫ •ينبغي إدراج قابلية نقل البيانات وإمكانية‬
interoperability by design should be ‫التشغيل البيني للنظام حسب التصميم في‬
included in the general assessment as an .‫التقييم العام كمعيار أساسي‬
essential criterion.
28
• The Cloud Service Provider should make ‫ •يجب أن يوفر ُمقدم الخدمة السحابية لإلدارة‬
available to the public administration the ‫العامة واجهة برمجة التطبيقات للسماح‬
Application Programming Interface ("API") ‫لإلدارة بضمان قابلية التشغيل البيني بين أنظمة‬
to allow the administration to ensure the .‫تكنولوجيا المعلومات المختلفة الخاصة بها‬
interoperability between its various IT
systems.
The adoption of internationally recognized ‫يتعين اعتماد معايير معترف بها دولي ًا بشأن التشغيل‬
standards on interoperability of cloud ‫البيني للخدمات السحابية عند التعاقد على الخدمات‬
services is required when contracting ‫ كما ُتعد‬.‫السحابية وفي عقود المشتريات العامة‬
cloud services and in public procurement ‫إمكانية التشغيل البيني للخدمات السحابية شرط ًا‬
contracts. Interoperability of cloud services ‫أساسي ًا لضمان إمكانية نقل الخدمات لمستخدمي‬
is a prerequisite to guarantee portability of .‫السحابة‬
services for cloud users.
4.7 Liability Regime ‫ قواعد المسؤولية‬4.7
Qatar supports the “culture of legality”. ‫ قد‬،‫ ومع ذلك‬."‫تدعم قطر "ثقافة القاعدة الحقوقية‬
Nonetheless it may happen that an end ‫يحدث أن يقوم العميل النهائي بتحميل ما يسمى‬
customer uploads so called “illegal content”, ‫ مثل المحتوى المحمي‬، "‫"المحتوى غير القانوني‬
such as a content protected by copyright ‫بحقوق الطبع والنشر أو األسرار التجارية أو المحتوى‬
or trade secrets, or content that is not ‫ يتعين توفير اللوائح‬،‫ في هذه الحالة‬.‫غير الالئق‬
appropriate for the public. In this case, in line ‫التنظيمية التي تخلي مسؤولية مقدمي الخدمات‬
with international best practices a regulatory ‫السحابية عن محتوى الغير المخزن على السحابة بما‬
regime is needed that clarifies that Cloud .‫يتماشى مع أفضل الممارسات الدولية‬
Service Providers are not liable for such third-
party content stored on the cloud.
In order to benefit from this protection, ‫ يجب استيفاء شروط‬،‫لالستفادة من هذه الحماية‬
certain conditions in line with international ‫ ومنها‬،‫معينة تتماشى مع الممارسات الدولية‬
practices would need to be fulfilled, for :‫على سبيل المثال‬
example:
29
If the Cloud Service ‫إذا لم يكن لدى مقدم‬

Provider does ‫الخدمة السحابية معرفة‬
not have actual ‫فعلية بالمحتوى غير‬
knowledge of illegal ‫القانوني‬
content
the Cloud Service

‫يستفيد مقدم الخدمة‬
Provider will benefit
‫السحابية من اإلعفاء من‬
from an exemption of
‫المسؤولية عن المحتوى‬
liability for the illegal
.‫غير القانوني‬
content.
If the Cloud Service ‫إذا حصل مقدم الخدمة‬

Provider obtains ‫السحابية على هذه‬
such knowledge, i.e. is ‫ على سبيل‬،‫المعرفة‬
notified of this illegal ‫ تم إبالغه بهذا‬،‫المثال‬
content ‫المحتوى غير‬
the Cloud Service ‫القانوني‬
‫يجب أن يعمل مقدم‬
Provider should act
‫الخدمة السحابية إلزالة‬
expeditiously to remove
‫أو تعطيل الوصول إلى‬
or to disable access to
‫المحتوى المخالف على‬
the infringing content
‫وجه السرعة من أجل‬
in order to benefit from
.‫االستفادة من اإلعفاء‬
the exemption.
30
By “infringing content”, this Cloud Policy ‫تشير سياسة‬، "‫من خالل "انتهاك المحتوى‬
Framework refers to serious criminal offenses ‫الحوسبة السحابية بذلك إلى الجرائم الجنائية الخطيرة‬
which are obviously contravening to the laws ‫التي من الواضح أنها تتعارض مع قوانين دولة قطر‬
of the State of Qatar, such as terrorism, drug ‫ مثل اإلرهاب واالتجار بالمخدرات واالتجار بالبشر‬،
trafficking, human trafficking, child abuse ‫ وانتهاك‬، ‫وإساءة معاملة األطفال بجميع أشكاله‬
in all its forms, copyright infringement or . ‫حقوق الطبع والنشر أو غسيل األموال‬
money laundering.
Clear rules on “Notice and Take Down” legal ‫كما يتعين وضع قواعد واضحة إلجراءات "اإلخطار‬
procedures should be established, dealing :‫واإلزالة" تتناول ما يلي‬
with:
• How Cloud Service Providers should be ‫ •كيفية إبالغ مقدمي الخدمات السحابية عن‬
notified of illegal content. .‫المحتوى غير القانوني‬
• The detailed information to be set out in ‫ •المعلومات التفصيلية التي يجب تحديدها في‬
the notice. .‫اإلخطار‬
• How fast Cloud Service Providers should ‫ •مدى السرعة التي يجب أن يتصرف بها ُمقدمو‬
act and more specifically giving them ‫ وعلى وجه التحديد منحهم‬،‫الخدمات السحابية‬
reasonable time to respond. ً
.‫معقوال لالستجابة‬ ‫وقت ًا‬
• The level of transparency Cloud Service ‫ •ومستوى الشفافية الذي يلتزم ُمقدمو‬
Providers should provide regarding their ‫الخدمات السحابية بتوفيره فيما يتعلق بإجراءات‬
take-down procedures. .‫اإلزالة‬
As part of the applicable laws and regulations, ‫ وحسب القوانين واللوائح المعمول‬،‫على دولة قطر‬
Qatar should implement a law clarifying the ‫ تفعيل قانون يوضح القواعد والعمليات الواجب‬،‫بها‬
rules and processes to follow in relation to ‫اتباعها فيما يتعلق بالوصول إلى البيانات المخزنة‬
access to data stored in the Cloud in order ، ‫في السحابة من أجل تسهيل التعاون الدولي‬
to facilitate international cooperation, and ‫وليس بأن تفرض أي التزام عام على الفلترة أو‬
by no means impose any general filtering ‫المراقبة على مقدمي الخدمات السحابية حول‬
or monitoring obligation on Cloud Service ‫ أو أي التزام عام للبحث‬،‫المعلومات التي يخزنونها‬
Providers over the information they store, or ‫ وقد تم بالفعل‬.‫عن النشاط غير القانوني أو منعه‬
any general obligation to look for or prevent ‫اعتماد هذا النهج في الواليات القضائية المتقدمة‬
unlawful activity. Such approach has already .‫مثل االتحاد األوروبي والواليات المتحدة‬
been adopted in advanced jurisdictions like
the EU and the US.
31
Finally, Cloud Service Providers should have ‫ يجب أن يكون لدى مقدمي الخدمات السحابية‬،‫أخير ًا‬
the ability to limit or exclude their liability, ‫القدرة على الحد من مسؤوليتهم أو استبعادها‬
albeit mandatory consumer and data ‫رغم كونها قواعد إلزامية لحماية المستهلك‬
protection rules, e.g. liability for personal ‫ على سبيل المثال المسؤولية عن اإلصابة‬،‫والبيانات‬
injury or death, fraudulent behavior, ‫الشخصية أو الوفاة أو السلوك االحتيالي أو األذى‬
intentional harm or gross negligence. .‫المتعمد أو اإلهمال الجسيم‬
The State will refrain from imposing ‫يتعين على الدولة االمتناع عن فرض المسؤولية‬
intermediary liability on Cloud Service ‫الوسيطة على مقدمي الخدمات السحابية لمحتوى‬
Providers for third party content to ‫الغير؛ لتشجيع االبتكار في خدمات المستخدمين‬
encourage user services innovation and ‫وتعزيز التوافر الواسع للخدمات السحابية للمستخدمين‬
promote the widespread availability of cloud ‫ ويجب أن يكون مقدمو الخدمات‬.‫العام منهم والخاص‬
services to public and private users. Cloud ‫السحابية قادرين على الحد من مسؤوليتهم أو‬
Service Providers should be able to limit or ً
.‫وفقا للقانون المعمول به‬ ‫استبعادها‬
exclude their liability in compliance with the
applicable law.
4.8 Standards for Cloud Services ‫ المعايير الخاصة بالخدمات السحابية‬4.8
Cloud computing uses shared computing ‫تستخدم الحوسبة السحابية بيئات الحوسبة‬
environments and relies on the public ‫المشتركة وتعتمد على اإلنترنت العام في نقل‬
internet to transmit information and data. It ‫ وبالتالي فإنها تثير التساؤالت‬.‫المعلومات والبيانات‬
therefore raises concerns about security and .‫بشأن األمن وحماية البيانات الشخصية‬
personal data protection.
In this context, there is a need to set up an ‫ هناك حاجة إلى إعداد إطار عمل‬،‫وفي هذا السياق‬
information security framework setting out ‫لمقدمي‬
ُ ‫ألمن المعلومات يحدد االلتزامات األمنية‬
the security obligations of digital service ‫ بما في ذلك ُمقدمي الخدمات‬،‫الخدمات الرقمية‬
providers, including Cloud Service Providers. .‫السحابية‬
Under such framework, Cloud Service ‫ يجب على مقدمي الخدمات‬،‫بموجب هذا اإلطار‬
Providers should take appropriate measures :‫السحابية اتخاذ التدابير المناسبة من أجل‬
to:
• Ensure a level of security appropriate to ‫ •ضمان مستوى من األمان مناسب للمخاطر التي‬
the risk posed by the data stored. .‫تشكلها البيانات المخزنة‬
32
• Prevent and reduce the impact of ‫منع وتقليل تأثير الحوادث التي تؤثر على الخدمات‬
incidents affecting the cloud services and .‫السحابية وأي بيانات مخزنة أو معالجة أو كليهما‬
any data stored and/or processed.
Such measures should consider: :‫يجب أن تأخذ هذه التدابير ما يلي بعين االعتبار‬
• The security of the Cloud Service .‫قدم الخدمة السحابية‬

ّ ‫ •أمان أنظمة ومرافق ُم‬
Provider's systems and facilities.
• Incident handling processes and .‫ •عمليات وإجراءات التعامل مع الحوادث‬
procedures.
• Business continuity management, ‫ •إدارة استمرارية األعمال والمراقبة والتدقيق‬
monitoring, auditing and testing. .‫واالختبار‬
• International standards and certifications ‫ •المعايير والشهادات الدولية التي تعزز األمن‬
that best promote security. .‫بشكل أفضل‬
International standards may include the :‫قد تتضمن المعايير الدولية المعايير العامة التالية‬
following general standards:
• CSA STAR, ISO 22301 (Business continuity ‫ (أنظمة‬22301 ‫ األيزو‬،CSA STAR ‫ •شهادة‬
management systems). .)‫إدارة استمرارية األعمال‬
• ISO/IEC 27001 (Information security ‫ (إدارة أمن‬27001 ‫ آي إي سي‬/‫ •األيزو‬

management). .)‫المعلومات‬
• ISO/IEC 27701 (Privacy information ‫ (إدارة معلومات‬27701 ‫ آي إي سي‬/‫ •األيزو‬

management). .)‫الخصوصية‬
• ISO/IEC 27017 (Cloud security). .)‫ (األمان السحابي‬27017 ‫ آي إي سي‬/‫ •األيزو‬
• ISO/IEC 27018 (Cloud privacy). .)‫ (خصوصية السحابة‬27018 ‫ آي إي سي‬/‫ •األيزو‬
• ISO/IEC 27035 (Incident reporting). ‫ (اإلبالغ عن‬27035 ‫ آي إي سي‬/‫ •األيزو‬

.)‫الحوادث‬
• Service Organization Controls Report .2 ‫ و‬1 ‫ •تقرير ضوابط مؤسسة الخدمة‬

"SOC" 1 and 2.
• Standards that serve sector-specific ‫ •المعايير التي تخدم متطلبات األمان الخاصة‬
security requirements such as the ‫بقطاع معين مثل معيار أمان بيانات صناعة‬
Payment Card Industry Data Security .‫بطاقات الدفع للخدمات المالية‬
Standard ("PCI DSS") for financial services.
33
Compliance with international standards ‫بيجب تشجيع االمتثال للمعايير الدولية ألنها توفر‬
should be encouraged as it provides a ‫لغة مشتركة لمساعدة المؤسسات على فهم‬
common language to help organizations ‫مخاطر األمن السيبراني والتواصل معها وإدارتها‬
better comprehend, communicate and .‫على نحو أفضل‬
manage cybersecurity risks.
In addition, following international ‫ فإن اتباع المعايير الدولية القابلة‬،‫اإلضافة إلى ذلك‬
standards which are interoperable across ‫سهل‬
ِ ‫للتشغيل البيني عبر الحدود من شأنه أن ُي‬
borders makes it easier for Cloud Service ‫قدمي الخدمات السحابية التجارة عبر الحدود‬
ّ ‫على ُم‬
Providers to trade across borders and for ‫وللمستهلكين في قطر قياس الميزات األمنية‬
consumers in Qatar to better benchmark ‫ ومن‬،‫للمنتج بشكل أفضل والحد من المخاوف األمنية‬
the security features of a product, reducing .‫ثم تعزيز اعتماد السحابة‬
security concerns and, ultimately, boosting
cloud adoption.
As per ISO/IEC 27035, Cloud Service ‫ يجب أن‬،27035 ‫ أي ايه سي‬/‫وفق ًا لشهادة اآليزو‬
Providers should also be obliged to notify, ‫يكون مقدمو الخدمات السحابية ُملزمين أيض ًا بإخطار‬
under a reasonable timeframe, the relevant ‫السلطة المختصة بأي حادث أمني وذلك في إطار‬
authorities of any security incident based :‫ مثل‬،‫ استناد ًا إلى عدة عوامل‬،‫زمني معقول‬
on several factors, such as:
• The number of affected users. .‫ •عدد المستخدمين المتأثرين‬
• The duration of the incident. .‫ •مدة الحادث‬
• The affected geographic area. .‫ •المنطقة الجغرافية المتأثرة‬
Organizations should have mitigation ‫يجب أن يكون لدى المؤسسات خطط طوارئ‬
and redundancy contingency plans in ‫للتخفيف والدعم االحتياطي لبياناتها وخدماتها من‬
place for their data and services in order ‫أجل ضمان استمرارية الخدمة في أوقات الطوارئ‬
to guarantee service continuity in times ‫واستعادة البيانات في حالة فقدان البيانات (يتمثل‬
of emergency and data recovery in case ‫الهدف من استخدام قواعد بيانات تجاوز الفشل‬
data is lost (Failover / Failback databases ‫) المعنية‬Failback( ‫) والعودة من الفشل‬Failover(
from the recovery region to replicas in ‫بنقل النسخ االحتياطية من منصات التخزين االحتياطي‬
the original region and vice-versa in ‫ في‬،‫إلى المنصة الرئيسية والعكس بالعكس‬
order to minimize impact to tenants in ‫الحد من التأثير على مستأجري الخدمات السحابية‬
a multitenancy cloud environment, and ‫في بيئة سحابية تخدم العديد من المستأجرين‬
ensure no data loss and zero off-line period ‫ باإلضافة إلى ضمان عدم فقدان‬،)Multitenancy(
per tenant). ‫البيانات أو حدوث أعطال تحول دون أن يستفيد كل‬
.)‫مستأجر من الخدمات السحابية‬
34
Cloud Service Providers must at all ‫يتعين أن يكون متاح ًا لدى مقدمي الخدمات‬
time have in place the technical and ‫السحابية في جميع األوقات اإلجراءات الفنية‬
organizational measures necessary ‫والتنظيمية الالزمة إلدارة المخاطر األمنية وذلك‬
for managing security risks and to ‫ كما يجب تحقيق‬.‫لضمان استمرارية خدماتهم‬
guarantee the continuity of their ‫االمتثال من خالل اعتماد شهادات معايير األمان‬
services. Compliance should be achieved ‫ ويجب تجنب وضع المعايير‬.‫المعترف بها دولي ًا‬
ُ
by adopting internationally recognized ً‫المحلية أو ازدواجية المعايير المعترف بها دوليا‬
security standard certifications. The ‫حيث يمكن أن يكون ذلك ضار ًا بتطوير صناعة سحابية‬
creation of local standards or duplication .‫متينة‬
of internationally recognized standards
should be avoided as it can be detrimental
to the development of a solid cloud
industry.
4.9 Service Level Agreements ("SLAs") ‫ اتفاقيات مستوى الخدمة‬4.9
An important element in the provision of ‫ُيعد استخدام "اتفاقيات مستوى الخدمة" من‬
cloud services is the use of SLAs to define ،‫العناصر المهمة في توفير الخدمات السحابية‬
the scope of usage and provision of cloud ‫وذلك بغية تحديد نطاق استخدام الموارد السحابية‬
resources. .‫وتوفيرها‬
Cloud consumers need SLAs prior to ‫يحتاج مستهلكو السحابة إلى "اتفاقيات مستوى‬
migrating their data to the cloud centers, in ‫الخدمة" قبل تحويل بياناتهم إلى المراكز السحابية‬
order to have certainty about the level of the ‫من أجل التأكد من مستوى الخدمات التي‬
services that they provide. .‫يقدمونها‬
In turn, Cloud Service Providers must set ‫ يجب على مقدمي الخدمات السحابية‬،‫في المقابل‬
SLAs for the terms and conditions of the ‫تحديد "اتفاقيات مستوى الخدمة" لشروط وأحكام‬
services they provide to users, the charging ‫الخدمات التي يقدمونها للمستخدمين وإطار‬
framework, provisioning schemes and .‫التكاليف وخطط التوفير ومعايير الصيانة‬
standards of maintenance.
Cloud stakeholders should adopt ‫يجب أن يتبنى أصحاب المصلحة السحابية أحكام ًا‬
standardized terms and conditions for cloud "‫وشروط ًا موحدة لـ"اتفاقيات مستوى الخدمة‬
SLAs in line with international standards, ‫ على‬،‫السحابية بما يتماشى مع المعايير الدولية‬
modeled on ISO/IEC 19086 (Service Level .)‫ (اتفاقيات مستوى الخدمة‬19086 ‫غرار األيزو‬
Agreements).
35
Stakeholders negotiating a cloud service ‫يجب على أصحاب المصلحة الذين يتفاوضون بشأن‬
agreement should use internationally ‫اتفاقية الخدمة السحابية استخدام إرشادات ُمعترف‬
recognized guidelines, such as the ‫بها دولي ًا مثل "إرشادات توحيد معايير اتفاقية‬
European Commission Cloud SLA ‫مستوى الخدمة السحابية الخاصة بالمفوضية‬
Standardization Guidelines26, as a useful ‫ كأداة مفيدة للتفاوض على العقود‬26"‫األوروبية‬
contract negotiation tool in order to ‫من أجل معالجة القضايا التجارية والقانونية المعنية‬
properly address the business and legal .‫بشكل صحيح‬
issues at stake.
In the context of public procurement of ،‫في سياق المشتريات العامة للخدمات السحابية‬
cloud services, the government should: :‫يجب على الحكومة اتخاذ ما يلي‬
• Carry out a review and selection of ‫ •إجراء مراجعة واختيار للشروط واألحكام‬
terms, conditions and definitions ‫والتعاريف الخاصة بالعقود السحابية التي قد‬
specific to cloud contracts that would )1( ‫تستفيد من توحيدها عبر الوكاالت مثل‬
benefit from being standardized .‫) اإلصالح‬3( ‫) التوافر أو‬2( ‫الموثوقية أو‬
across agencies such as (1) reliability, (2)
availability, or (3) fixing.
• Adopt a guidance specifying the key ‫ •واعتماد إرشادات تحدد عناصر الحوسبة السحابية‬
cloud computing elements that need to ‫الرئيسية التي يجب تضمينها في اتفاقية‬
be included in a SLA, depending on the ‫مستوى الخدمة اعتماد ًا على الخدمة السحابية‬
cloud service and deployment model, ‫ونموذج النشر وحساسية البيانات وطبيعة‬
the sensitivity of the data, the nature of .‫العميل وقطاع األعمال‬
the customer and its business sector.
Policy Recommendation ‫التوصيات السياسية والتنظيمية‬
SLAs must be in place to ensure agreed ‫يجب إنفاذ "اتفاقيات مستوى الخدمة" لضمان استيفاء‬
terms for services provision. Reliable cloud ‫الشروط المتفق عليها لتقديم الخدمات؛ إذ تحتاج‬
services need providers and consumers to ‫الخدمات السحابية الموثوقة إلى مقدمي الخدمات‬
agree on what service levels parameters ‫والمستهلكين لالتفاق على مؤشرات مستويات‬
(performance, availability, billing) the cloud ‫الخدمة (األداء والتوافر وإعداد الفواتير) التي يتم‬
product is offered. The adoption of terms ‫ كما سيساعد اعتماد‬.‫تقديمها في المنتج السحابي‬
and conditions for cloud SLAs, in line with "‫الشروط واألحكام لـ"اتفاقيات مستوى الخدمة‬
international standards, will help reinforce ‫السحابية بما يتماشى مع المعايير الدولية على تعزيز‬
the public's trust in cloud services. .‫ثقة الجمهور في الخدمات السحابية‬
26- https://bit.ly/2NGbckM
36
4.10 Hosting and Connectivity ‫ االستضافة والتوصيل‬4.10
High-speed broadband networks, reliable ‫تعد شبكات النطاق العريض عالية السرعة وإمكانية‬
open access and robust infrastructure ‫الوصول المفتوح الموثوق والبنية التحتية القوية أمر ًا‬
are critical for expanding and connecting ،‫ وبالمثل‬.‫بالغ األهمية للتوسع واالتصال بالسحابة‬
to the cloud. Similarly, “Hosting” and ‫ُتعد خدمات "االستضافة" و"التوصيل" من العناصر‬
“Connectivity” services are central elements ‫األساسية التي ستحدد خيارات المستثمرين في‬
that will determine investors’ choices in the ‫ ويعتبر‬.‫تطوير الخدمات السحابية في دولة قطر‬
development of cloud services in Qatar. Open ‫السعر والوصول المفتوح وجودة الخدمة من‬
access, price and Quality of Service for data ‫المسائل الحاسمة الستضافة البيانات واالتصال‬
hosting and network connectivity are critical ‫بالشبكة (أسعار دول مجلس التعاون الخليجي أعلى‬
issues (GCC pricing is 4 to 7-fold higher ‫من متوسط منظمة التعاون االقتصادي والتنمية‬
than the OECD average). Also, international ‫ كما يجب ضمان التوصيل‬.)‫ أضعاف‬7‫ و‬4 ‫بما يتراوح بين‬
connectivity must be assured along multiples .‫الدولي بثالث طرق مختلفة‬
routes.
Prices of international connectivity are ‫تعد أسعار التوصيل الدولي عنصر ًا أساسي ًا الختيار‬
a critical element for investors’ choice .‫المستثمرين ويجب أن تتماشى مع المعايير الدولية‬
and must be aligned with international ‫كما ينبغي ضمان التوصيل الدولي بالطرق المتعددة‬
benchmarks. International connectivity .‫والمختلفة‬
must be assured along multiple different
routes.
4.11 Environmental Sustainability ‫ االستدامة البينية‬4.11
In order to avoid environmental impact due ‫من أجل تجنب التأثير البيئي الناتج عن استهالك‬
to energy and water consumption as well ‫ يجب‬،‫الطاقة والمياه وكذلك غازات االحتباس الحراري‬
as greenhouse gas emissions data centers :‫على مراكز البيانات‬
should:
• Use low/green energy servers. .‫خضراء‬/‫ •استخدام خوادم طاقة منخفضة‬
• Implement sustainable cooling and heat ‫ •تنفيذ حلول التبريد المستمر وإعادة تدوير‬
waste recycling solutions. .‫النفاسيات الحرارية‬
37
It is nonetheless important to remember ‫إال أنه من المهم مالحظة أن الخدمات السحابية‬

that cloud services themselves constitute .‫نفسها تشكل أدوات قيمة لتحسين كفاءة الطاقة‬
valuable tools for improving energy ‫والواقع أن استخدام األنظمة الذكية المتصلة‬
efficiency. Indeed, the use of cloud-based ‫بالسحابة والتي يمكنها استخدام المعلومات في‬
connected smart systems which can use ‫الوقت الفعلي يمكن أن تؤدي إلى مكاسب في‬
real-time information can drive energy, .‫الطاقة والكهرباء وكفاءة المياه‬
power and water efficiency gains.
To contribute to these efforts, policy ‫ يجب استكشاف‬،‫للمساهمة في هذه الجهود‬

considerations should be explored around ‫اعتبارات السياسة حول تعزيز الشفافية بشأن‬
promoting transparency about the energy ‫انبعاثات الطاقة الخاصة بعمليات مركز البيانات‬
footprint of data centers’ operations ‫وتوفير الحوافز لتشجيع التحول من قبل مشغلي‬
and providing incentives to encourage ‫مركز البيانات إلى الممارسات المستدامة والطاقة‬
the switch by data center operators to .‫المتجددة‬
sustainable practices and renewable
energy.
Cloud Service Providers and government

‫يتعين على مقدمي الخدمات السحابية والهيئات‬
entities must commit to principles of
‫ بما في‬،‫الحكومية االلتزام بمبادئ االستدامة البيئية‬
environmental sustainability, including
.‫ذلك كفاءة الطاقة ومحايدة الكربون‬
energy efficiency and carbon neutrality.
38
5. Annex I - Definition, ‫ تعريف‬- ‫ الملحق األول‬.5

Characteristics, Services ‫الحوسبة السحابية وخصائها‬
and Deployment Models of ‫ونماذج خدمتها ونشرها‬
Cloud Computing
1- Definitions ‫ التعاريف‬-1
The International Telecommunications ‫ُيع ّرف االتحاد الدولي لالتصاالت الحوسبة السحابية‬
Union ("ITU") defines cloud computing as ‫على أنها "نموذج لتمكين الوصول الشبكي إلى‬
a “paradigm for enabling network access ‫مجموعة قابلة للتوسع ومرنة من الموارد المادية‬
to a scalable and elastic pool of shareable ‫أو االفتراضية القابلة للمشاركة مع توفير الخدمة‬
physical or virtual resources with self- ‫الذاتية واإلدارة عند الطلب حيث تتضمن أمثلة الموارد‬
service provisioning and administration ‫الخوادم وأنظمة التشغيل والشبكات والبرامج‬
on-demand where examples of resources .27"‫والتطبيقات ومعدات التخزين‬
include servers, operating systems,
networks, software, applications, and
storage equipment”27.
The visual model of cloud computing is ‫ويرد وصف للنموذج المرئي التالي للحوسبة‬
further described in paragraphs 2, 3 and 4 .‫ أدناه‬4‫ و‬3‫ و‬2 ‫السحابية في الفقرات‬
below.
‫ لتعريف إعادة الحوسبة السحابية انظر‬.)https://bit.ly/3eGZUZq( :‫ متاح على‬."‫ الحوسبة السحابية والمفردات‬- ‫ "نظرة عامة على تقنية المعلومات‬:ITU-TY.3500 ‫ التوصية‬-27
ً
:‫ بند النظرة العامة والمفردات من خالل الدخول على الرابط‬ISO / IEC 17788 ‫أيضا‬
.)https://bit.ly/3dPQKsp( ‫ في الهيكلية المرجعية‬ISO / IEC 17789‫) و‬https://bit.ly/3ijAXWf(
27-Recommendation ITU-TY.3500: “Information Technology-Cloud Computing-Overview and vocabulary”. Available at: (https://bit.ly/3eGZUZq).
For a definition re. cloud computing see also ISO/IEC 17788 on overview and vocabulary (https://bit.ly/3ijAXWf) and ISO/IEC 17789 on reference
architecture (https://bit.ly/3dPQKsp).
39
‫الخدمة الذاتية الخدمة المقاسة المرونة السريعة‬

‫عند الطلب‬ ‫الخصائص‬
‫الوصول إلى شبكة تجميع الموارد‬ ‫األساسية‬
‫واسعة‬
‫البنية التحتية المنصة الخدمية البرمجيات كخدمة‬

‫نماذج الخدمة‬
)‫(ساس‬ )‫(باس‬ ‫كخدمة‬
‫السحابة السحابة السحابة السحابة‬

‫نماذج النشر‬
‫العامة‬ ‫المجتمعية الهجينة الخاصة‬
‫ (المعهد الوطني للمعايير والتكنولوجيا) نموذج مرئي للحوسبة السحابية‬:‫الشكل‬
On-Demand Measured Rapid Elasticity

Essential Self Service Service
Characteristics Broad Network Resource
Acess Pooling
Sofeware as a Platform as a Infrastructure

Service
Service (SaaS) Service (PaaS) as a Service
Models (IaaS)
Deployment
Public Private Hybrid Community
Models
Figure: NIST (National Institute for Standards and Technology) Visual Model of Cloud
Computing
40
‫‪Cloud Policy Framework‬‬ ‫إطار عمل سياسة الحوسبة السحابية‬
‫‪2- Essential Characteristics‬‬ ‫‪ -2‬الخصائص األساسية‬
‫‪Essential characteristics of cloud‬‬ ‫تشمل الخصائص األساسية للحوسبة السحابية ما‬

‫‪computing include28:‬‬ ‫يلي‪:28‬‬
‫الـــوصــف‬ ‫الخصائص األساسية‬
‫ُيمكن لمستخدم الخدمة السحابية توفير إمكانات الحوسبة من جانب واحد مثل وقت‬
‫الخدمة الذاتية عند‬
‫الخادم وتخزين الشبكة وخدمات االتصال والتعاون حسب الحاجة تلقائي ًا دون الحاجة إلى‬
‫الطلب‬
‫قدم الخدمة السحابية لكل خدمة‪.‬‬
‫تفاعل بشري مع ُم ّ‬
‫تتوفر اإلمكانيات عبر الشبكة ويمكن الوصول إليها من خالل اآلليات القياسية التي‬
‫تعزز االستخدام بواسطة منصات العميل الرقيقة أو السميكة غير المتجانسة‬ ‫الوصول إلى شبكة‬
‫(مثل الهواتف المحمولة وأجهزة الكمبيوتر المحمولة وأجهزة المساعد الرقمي‬ ‫واسعة‬
‫الشخصي)‪.‬‬
‫قدم الخدمة السحابية لخدمة العديد من المستخدمين‬ ‫لم ّ‬‫يتم تجميع موارد الحوسبة ُ‬
‫باستخدام نموذج متعدد البرامج مع موارد مادية وظاهرية مختلفة يتم تعيينها‬
‫وإعادة تعيينها ديناميكي ًا وفق ًا لطلب المستخدم‪ .‬وهناك شعور باستقاللية الموقع‬
‫من حيث أن العميل بشكل عام ليس لديه تحكم أو معرفة بالموقع الدقيق للموارد‬
‫تجميع الموارد‬
‫المتاحة‪ ،‬ولكن قد يكون قادر ًا على تحديد الموقع على مستوى أعلى من التجريد‬
‫ً‬
‫(عادة‬ ‫(على سبيل المثال‪ ،‬الدولة‪ ،‬الوالية‪ ،‬مركز البيانات)‪ .‬تتضمن أمثلة الموارد التخزين‬
‫ً‬
‫(عادة على ذاكرة الوصول‬ ‫على محركات األقراص الثابتة أو الضوئية) والمعالجة والذاكرة‬
‫العشوائي الديناميكية) وعرض النطاق الترددي للشبكة واألجهزة االفتراضية‪.‬‬
‫يمكن توفير القدرات بسرعة ومرونة‪ ،‬في بعض الحاالت تلقائي ًا‪ ،‬للتوسع بسرعة‪،‬‬
‫وإطالقها بسرعة لتوسيع نطاقها بسرعة‪ .‬وبالنسبة لمستخدم الخدمة السحابية‪،‬‬
‫المرونة السريعة‬
‫غالب ًا ما تبدو اإلمكانات المتاحة للتزويد غير محدودة ويمكن شراؤها بأي كمية في أي‬
‫وقت‪.‬‬
‫تتحكم األنظمة السحابية تلقائي ًا في استخدام الموارد مع االستفادة ُ‬

‫المثلى منها‬
‫(مثل التخزين والمعالجة وعرض النطاق الترددي) وتعمل على تحسينها من خالل‬
‫االستفادة من إمكانية القياس عند مستوى ما من التجريد المناسب لنوع الخدمة‬
‫الخدمة المقاسة‬
‫(على سبيل المثال‪ ،‬عدد حسابات المستخدمين النشطة)‪ .‬ويمكن مراقبة استخدام‬
‫الموارد والتحكم فيه واإلبالغ عنه مما يوفر الشفافية لكل من ُمقدم الخدمة‬
‫السحابية ومستخدم الخدمة السحابية‪.‬‬
‫‪ -28‬تقرير االتحاد الدولي لالتصاالت والفريق المتخصص المعني بالحوسبة السحابية‪ ،‬الجزء األول‪ :‬مقدمة عن النظام البيئي السحابي‪ :‬التعريفات والتصنيفات وحاالت االستخدام‬
‫والمتطلبات عالية المستوى‪ .‬متاح على‪https://bit.ly/389v74S :‬‬
‫‪28- ITU, Focus Group on Cloud Computing Technical Report, Part 1: Introduction to the cloud ecosystem: definitions, taxonomies, use cases and high-‬‬
‫‪level requirements. Available at: https://bit.ly/389v74S‬‬
‫‪41‬‬
Category Nature
A cloud service user can unilaterally provision computing capabilities,

On-Demand Self such as server time, network storage and communication and
Service collaboration services, as needed automatically without requiring
human interaction with each service's Cloud Service Provider.
Capabilities are available over the network and accessed through

Broad Network
standard mechanisms that promote use by heterogeneous thin or
Access
thick client platforms (e.g., mobile phones, laptops, and PDAs).
The Cloud Service Provider’s computing resources are pooled to

serve multiple users using a multi-tenant model, with different
physical and virtual resources that are dynamically assigned and
reassigned according to user demand. There is a sense of location
independence in that the customer generally has no control or
Resource Pooling
knowledge over the exact location of the provided resources but may
be able to specify the location at a higher level of abstraction (e.g.,
country, state, data center). Examples of resources include storage
(typically on hard or optical disc drives), processing, memory (typically
on DRAM), network bandwidth, and virtual machines.
Capabilities can be rapidly and elastically provisioned, in some cases

automatically, to quickly scale out, and rapidly released to quickly
Rapid Elasticity scale in. To the cloud service user, the capabilities available for
provisioning often appear to be unlimited and can be purchased in
any quantity at any time.
Cloud systems automatically control and optimize resource use

(e.g., storage, processing and bandwidth) by leveraging a metering
capability at some level of abstraction appropriate to the type of
Measured Service service (e.g., the number of active user accounts). Resource usage can
be monitored, controlled, and reported, providing transparency for
both the Cloud Service Provider and cloud service user of the utilized
service.
3- Service Models ‫ نماذج الخدمة‬-3
Cloud services involve different data ،‫تتضمن الخدمات السحابية أنشطة بيانات مختلفة‬
activities and cover a broad range of ‫ بما في‬،‫وتغطي مجموعة واسعة من الخدمات‬
services including software, platforms and ،‫ ووفق ًا لذلك‬.‫ذلك البرامج والمنصات والبنية التحتية‬
infrastructure. Accordingly, cloud computing ‫يمكن تصنيف الحوسبة السحابية وفق ًا لنموذج‬
can be classified by the model of service it ‫الخدمة التي تقدمها إلى واحدة من ثالث مجموعات‬
offers into one of three different groups: :‫مختلفة‬
42
‫ •تتمثل القدرة المقدمة للمستهلك في استخدام تطبيقات‬

‫ُمقدم الخدمة التي تعمل على البنية التحتية السحابية‪ .‬ويمكن‬
‫الوصول إلى التطبيقات من أجهزة العميل المختلفة من خالل‬
‫واجهة عميل رقيقة مثل متصفح الويب (مثل البريد اإللكتروني‬
‫على الويب) أو واجهة البرنامج‪.‬‬ ‫البرمجيات كخدمة‬
‫(ساس)‬
‫ •ال يدير المستهلك أو يتحكم في البنية التحتية السحابية‬
‫األساسية بما في ذلك الشبكة أو الخوادم أو أنظمة التشغيل‬
‫أو التخزين أو حتى إمكانات التطبيق الفردية مع استثناء محتمل‬
‫إلعدادات تكوين التطبيق المحدودة الخاصة بالمستخدم‪.‬‬
‫ •تتمثل القدرة المقدمة للمستهلك في النشر على التطبيقات‬

‫السحابية التي تم إنشاؤها باستخدام لغات البرمجة والمكتبات‬
‫والخدمات واألدوات التي يدعمها ُمقدم الخدمة‪.‬‬
‫المنصة الخدمية‬
‫األساسية‪ ،‬بما في ذلك الشبكة أو الخوادم أو أنظمة التشغيل‬
‫أو التخزين‪ ،‬ولكنه يتحكم في التطبيقات المنشورة وربما‬
‫إعدادات بيئة استضافة التطبيقات‪.‬‬
‫ •تتمثل القدرة المقدمة للمستهلك في توفير المعالجة‬

‫والتخزين والشبكات وموارد الحوسبة األساسية األخرى حيث‬
‫يكون المستهلك قادر ًا على نشر البرامج المتعادلة وتشغيلها‪،‬‬
‫والتي يمكن أن تشمل أنظمة التشغيل والتطبيقات‪.‬‬
‫البنية التحتية‬
‫كخدمة‬
‫األساسية ولكنه يتحكم في أنظمة التشغيل والتخزين‬
‫والتطبيقات المنشورة وربما له سيطرة محدودة على مكونات‬
‫المحددة‪.‬‬
‫الشبكة ُ‬
‫‪43‬‬
• The capability provided to the consumer is to

use the provider's applications runing on a cloud
infrastructure. The applications are accessible from
various client devices through a thin client interface
such as a web browser (e.g. web-based email), or a
program interface.
Software as a
Service (SAAS) • The consumer does not manage or control the
underlying cloud infrastructure including network,
servers, operating systems, storage, or even
individual application capabilities, with the possible
exception of limited user-specific application
configuration settings.
• The capability provided to the consumer is to

deploy onto the cloud infrastructure consumer-
created or acquired applications created using
programming languages, libraries, services, and
tools supported by the provider.
Platform as a
Service (PAAS) • The consumer does not manage or control the
underlying cloud infrastructure including network,
servers, operating systems, or storage, but has
control over the deployed applications and possibly
application-hosting environment configurations.
• The capability provided to the consumer is

to provision processing, storage, networks,
and other fundamental computing resources
where the consumer is able to deploy and run
Infrastructure arbitrary software, which can include operating
systems and applications.
as a Service
(IAAS) • The consumer does not manage or control the
underlying cloud infrastructure but has control
over operating systems, storage, deployed
applications, and possibly limited control of
selected networking components.
44
‫‪4- Deployment Models‬‬ ‫‪ -4‬نماذج النشر‬
‫‪Cloud service can be deployed within an‬‬ ‫يمكن نشر الخدمة السحابية داخل مؤسسة أو عبر‬
‫‪organization or across multiple organizations.‬‬ ‫مؤسسات متعددة‪ .‬ويشار إلى النماذج الثالثة‬
‫‪Three main deployment models are widely‬‬ ‫الرئيسية الخاصة بالنشر على نطاق واسع بالسحابة‬
‫‪referred to as private clouds, public clouds‬‬ ‫الخاصة والسحابة العامة والسحابة الهجينة‪.29‬‬
‫‪and hybrid clouds29.‬‬
‫الـــوصــف‬ ‫نموذج النشر‬
‫تتكون السحابة الخاصة من موارد الحوسبة المستخدمة حصري ًا من قبل شركة أو مؤسسة‬
‫الساحبة الخاصة‬
‫واحدة‪ .‬ويمكن أن تكون السحابة الخاصة موجودة فعل ًيا في مركز البيانات في مؤسستك‬
‫قدم خدمة تابع لجهة خارجية‪ .‬ولكن في السحابة الخاصة‪،‬‬ ‫أو يمكن استضافتها من قبل ُم ّ‬
‫ً‬
‫يتم الحفاظ على الخدمات والبنية التحتية دائما على شبكة خاصة واألجهزة والبرامج‬
‫مخصصة لمؤسستك فقط‪ .‬وبهذه الطريقة‪ ،‬يمكن أن تجعل السحابة الخاصة من السهل‬
‫على المؤسسة تخصيص مواردها لتلبية متطلبات تكنولوجيا المعلومات المحددة‪ .‬وغالب ًا‬
‫ما يتم استخدام السحابة الخاصة من جانب الوكاالت الحكومية والمؤسسات المالية‬
‫والمؤسسات األخرى متوسطة إلى كبيرة الحجم ذات العمليات بالغة األهمية في مجال‬
‫األعمال التجارية والتي يتمثل الهدف منها في تعزيز السيطرة على بيئتها‪.‬‬
‫ُتعتبر السحابة العامة هي الطريقة األكثر شيوع ًا لنشر الحوسبة السحابية؛ حيث إن الموارد‬
‫السحابة العامة‬
‫لمقدم خدمة سحابية تابع لجهة خارجية‬ ‫السحابية (مثل الخوادم ووحدات التخزين) مملوكة ُ‬
‫ويعد كل من "مايكروسوفت أزور" و‬ ‫ويتم تشغيلها بواسطته وتسليمها عبر اإلنترنت‪ُ .‬‬
‫خدمات أمازون ويب (‪ )AWS‬و منصة جوجل السحابية (‪ )GCP‬خير مثال على السحابة العامة‪.‬‬
‫فباستخدام السحابة العامة‪ ،‬يمتلك ُمقدم السحابة ويدير جميع األجهزة والبرامج والبنية‬
‫التحتية الداعمة األخرى‪ .‬وفي السحابة العامة‪ ،‬فإنك تشارك نفس األجهزة ووحدات التخزين‬
‫وأجهزة الشبكة مع المؤسسات األخرى أو "مستأجري" السحابة‪ .‬كما يمكنك الوصول إلى‬
‫الخدمات وإدارة حسابك باستخدام متصفح الويب‪ .‬يلجأ المستخدمون من القطاع الخاص‬
‫وكذلك الهيئات الحكومية والمؤسسات المالية والمؤسسات متوسطة إلى كبيرة الحجم‬
‫إلى استخدام عمليات النشر السحابية العامة بشكل متكرر لالستفادة من المجموعة‬
‫الشاملة أو عروض المنصة الخدمية (باس) والبرمجيات كخدمة (ساس) والبنية التحتية‬
‫كخدمة التي يوفرها مشغلو السحابة العامة‪.‬‬
‫تجمع السحابة الهجينة بين البنية التحتية على جهاز العميل أو السحابة الخاصة مع السحابة‬ ‫السحابية الهجينة‬
‫العامة حتى تتمكن المؤسسات من جني مزايا االثنين‪ .‬في السحابة الهجينة‪ ،‬حيث يمكن‬
‫للبيانات والتطبيقات االنتقال بين السحابة الخاصة والعامة لمزيد من المرونة والمزيد من‬
‫خيارات النشر‪ .‬فعلى سبيل المثال‪ُ ،‬يمكنك استخدام السحابة العامة لتلبية احتياجات‬
‫الحوسبة كبيرة الحجم ذات النطاق الواسع مثل مهام الحوسبة المكثفة والسحابة‬
‫الخاصة (أو غيرها من البنية التحتية على جهاز العميل) إلدارة التخزين األرشيفي لسجالت‬
‫المؤسسة طويلة األجل‪ .‬وفي السحابة الهجينة‪ ،‬يعد "انتقال السحابة" أحد الخيارات‪ .‬ويحدث‬
‫هذا عندما يتم تشغيل تطبيق أو مورد في السحابة الخاصة حتى يكون هناك ارتفاع كبير‬
‫في الطلب (مثل حدث موسمي كالتسوق عبر اإلنترنت أو تقديم اإلقرارات الضريبية)‪ ،‬وعندها‬
‫يمكن للمؤسسة "االنتقال" إلى السحابة العامة لالستفادة من المزيد من موارد الحوسبة‪.‬‬
‫‪ -29‬يرد وصف لنماذج النشر هذه على‪https://bit.ly/31slYD2 :‬‬
‫‪29- Such deployments models are described at: https://bit.ly/31slYD2‬‬
‫‪45‬‬
Deployment Model Description
Private Cloud A private cloud consists of computing resources used exclusively

by one business or organization. The private cloud can be physically
located at your organization’s on-site datacenter, or it can be hosted
by a third-party service provider. But in a private cloud, the services
and infrastructure are always maintained on a private network and
the hardware and software are dedicated solely to your organization.
In this way, a private cloud can make it easier for an organization to
customize its resources to meet specific IT requirements. Private
clouds are often used by government agencies, financial institutions,
any other mid- to large-size organizations with business-critical
operations seeking enhanced control over their environment.
Pulic Cloud Public clouds are the most common way of deploying cloud
computing. The cloud resources (like servers and storage) are owned
and operated by a third- party Cloud Service Provider and delivered
over the Internet. Microsoft Azure, AWS and GCP is an example of
a public cloud. With a public cloud, all hardware, software, and other
supporting infrastructure is owned and managed by the cloud
provider. In a public cloud, you share the same hardware, storage,
and network devices with other organizations or cloud “tenants”.
You access services and manage your account using a web browser.
Public cloud deployments are frequently used by private users as
well as government agencies, financial institutions and mid-large size
organizations to use the wide array or PaaS, SaaS and IaaS offerings
made available by public cloud operators.
Hybrid Cloud Hybrid clouds combine on-premises infrastructure, or private clouds,

with public clouds so organizations can reap the advantages of both.
In a hybrid cloud, data and applications can move between private
and public clouds for greater flexibility and more deployment options.
For instance, the public cloud can be used for high volume, large scale
computing needs such as intensive compute jobs and the private
cloud (or other on-premises infrastructure) for managing archival
storage of long-term corporate records. In a hybrid cloud, “cloud
bursting” is also an option. This is when an application or resource
runs in the private cloud until there is a spike in demand (such as
seasonal event like online shopping or tax filing), at which point the
organization can “burst through” to the public cloud to tap into
additional computing resource.
46
‫‪6. Annex II - Table on Policy‬‬ ‫‪ .6‬الملحق الثاني ‪ -‬جدول‬

‫‪Recommendations and‬‬ ‫التوصيات السياسية‬
‫‪Regulatory Requirements‬‬ ‫والمتطلبات التنظيمية‬
‫الجدول‬
‫الزمني‬ ‫مجاالت‬
‫الصكوك ذات الصلة‬ ‫التوصيات السياسية‬
‫لالعتماد‪/‬‬ ‫السياسة‬
‫التحديث‬
‫ً‬
‫أوال للمشتريات‬ ‫ستطبق قطر سياسة السحابة‬
‫العامة للخدمات السحابية الجهات الحكومية‬
‫ً‬
‫أوال‬ ‫سياسة السحابة‬ ‫المتوافقة معها مبادئ إطار عمل السياسة‬ ‫سياسة السحابة‬
‫قانون المشتريات‬ ‫السحابية‪ .‬يجب تقييم الحلول السحابية قبل أي‬ ‫ً‬
‫أوال‬
‫حلول اخرى محلية‪ ،‬وعلى أساس سياسة تصنيف‬
‫بيانات واضحة‪.‬‬
‫عند االنتقال إلى السحابة‪ ،‬يتعين على‬

‫ً‬
‫أوال ‪/‬‬ ‫سياسة السحابة‬ ‫المؤسسات أن تلتزم بتنفيذ خطط تصنيف البيانات‪،‬‬
‫قانون األمن السيبراني‬ ‫وفق ًا لمستوى السرية والنزاهة والتوافر‪ ،‬و‬
‫تصنيف البيانات‬
‫وسياسة تصنيف البيانات‬ ‫فيما يتعلق بفئات البيانات األكثر حساسية أو في‬
‫الحكومية‬ ‫حال تطلب األمر وقت االستجابة المنخفض يتعين‬
‫إعداد حماية مرتفعة في شكل توطين البيانات‪.‬‬
‫ً‬
‫أوال ‪/‬‬ ‫سياسة السحابة‬
‫قانون األمن السيبراني‪،‬‬
‫وقانون الخصوصية‪،‬‬
‫في حالة الحاجة إلى تحديد موقع بيانات معينة‪،‬‬ ‫توطين البيانات‪،‬‬
‫واالتفاقيات الدولية‪،‬‬
‫يجب ان تقتصر متطلبات التوطين على حجم محدود‬ ‫التدفق الحر‬
‫وسياسة أمن السحابة‬
‫جدا من البيانات إما شديدة الحساسية أو في حال‬
‫ً‬ ‫للبيانات‪ ،‬البيانات‬
‫الخاصة بالوكالة الوطنية‬
‫تطلب األمر وقت استجابة منخفض‪.‬‬ ‫غير الشخصية‬
‫لألمن السيبراني ‪ ،‬البنود‬
‫التعاقدية القياسية‪،‬‬
‫الملزمة للشركات‬ ‫القواعد ُ‬
‫تعد الشفافية واليقين من العناصر األساسية‬

‫قانون حماية البيانات‪،‬‬ ‫لدى أصحاب المصلحة‪ ،‬سواء في تنفيذ مبادئ‬
‫قانون البيانات الموثوق‬ ‫الخصوصية أو فيما يتعلق بالقواعد التي تنظم‬
‫بها‪ ،‬االتفاقيات المتعددة‬ ‫الوصول إلى بيانات الطلبات عبر الحدود‪ .‬كما‬ ‫الخصوصية‬
‫والوصول إلى‬
‫األطراف‪ ،‬اتفاقيات‬ ‫يجب تقديم الطلبات عبر الحدود للحصول على‬
‫البيانات‪ ،‬والطلبات‬
‫المساعدة القانونية‬ ‫البيانات من خالل "معاهدات المساعدة القانونية‬ ‫عبر الحدود‬
‫المتبادلة‪ ،‬البنود التعاقدية‬ ‫المتبادلة" أو االتفاقيات الثنائية التي تضمن‬
‫القياسية‬ ‫المشاركة المناسبة للسلطات في البلدان التي‬
‫يتم فيها تخزين البيانات‬
‫‪47‬‬
‫‪Communications Regulatory Authority‬‬ ‫هيئة تنظيم االتصاالت‬
‫الجدول‬
‫لالعتماد‪/‬‬ ‫السياسة‬
‫فيما يتعلق بإمكانية الوصول والشمول الرقمي‬
‫وعند وضع سياسات وإجراءات الجهات الحكومية‪،‬‬
‫يجب األخذ في االعتبار استخدام خدمات الحوسبة‬
‫استراتيجية الشمول‬ ‫السحابية في تحقيق األهداف المتوخاة منها‬ ‫إمكانية الوصول‬
‫الرقمي لوزارة االتصاالت‬ ‫إلى أقصى حد ممكن‪ .‬ويوصى بالتعاون الوثيق‬ ‫والشمول‬
‫وتكنولوجيا المعلومات‬ ‫بين الجهات الحكومية ومقدمي الخدمات‬ ‫الرقمي‬
‫السحابية لجعل الخدمات السحابية متاحة إلى حد‬
‫كبير لألشخاص الذين يعانون من قصور وظيفي‬
‫واألشخاص ذوي اإلعاقة والمسنين‪.‬‬
‫يتعين اعتماد معايير معترف بها دولي ًا بشأن‬

‫إمكانية التشغيل التشغيل البيني للخدمات السحابية عند التعاقد‬
‫إنفاذ المعايير الدولية‬ ‫على الخدمات السحابية وفي عقود المشتريات‬ ‫البيني للبيانات‬
‫والبنود التعاقدية القياسية‬ ‫العامة‪ .‬كما ُتعد إمكانية التشغيل البيني‬ ‫وإمكانية نقل‬
‫للخدمات السحابية شرط ًا أساسي ًا لضمان إمكانية‬ ‫البيانات‬
‫نقل الخدمات لمستخدمي السحابة‪.‬‬
‫يتعين على الدولة االمتناع عن فرض المسؤولية‬

‫الوسيطة على مقدمي الخدمات السحابية‬
‫قانون التجارة اإللكترونية‬ ‫لمحتوى الغير؛ لتشجيع االبتكار في خدمات‬
‫وقانون البيانات الموثوقة‬ ‫المستخدمين وتعزيز التوافر الواسع للخدمات‬ ‫قواعد‬
‫قانون المالذ اآلمن والبنود‬ ‫السحابية للمستخدمين العام منهم والخاص‪.‬‬ ‫المسؤولية‬
‫التعاقدية القياسية‬ ‫ويجب أن يكون مقدمو الخدمات السحابية قادرين‬
‫على الحد من مسؤوليتهم أو استبعادها وفق ًا‬
‫للقانون المعمول به‪.‬‬
‫يتعين أن يكون متاح ًا لدى مقدمي الخدمات‬

‫السحابية في جميع األوقات اإلجراءات الفنية‬
‫والتنظيمية الالزمة إلدارة المخاطر األمنية وذلك‬
‫القواعد الدولية للمعايير‬
‫لضمان استمرارية خدماتهم‪ .‬كما يجب تحقيق‬
‫ومدونات قواعد السلوك‬
‫االمتثال من خالل اعتماد شهادات معايير األمان‬ ‫معايير األمن‬
‫واالعتمادات والبنود‬
‫المعترف بها دولي ًا‪ .‬ويجب تجنب وضع المعايير‬
‫ُ‬
‫التعاقدية القياسية‬
‫المحلية أو ازدواجية المعايير المعترف بها دولي ًا‬
‫حيث يمكن أن يكون ذلك ضار ًا بتطوير صناعة‬
‫سحابية متينة‪.‬‬
‫يجب إنفاذ "اتفاقيات مستوى الخدمة" لضمان‬

‫استيفاء الشروط المتفق عليها لتقديم‬
‫الخدمات؛ إذ تحتاج الخدمات السحابية الموثوقة‬
‫إلى مقدمي الخدمات والمستهلكين لالتفاق‬
‫ً‬
‫أوال‬ ‫سياسة السحابة‬
‫على مؤشرات مستويات الخدمة (األداء والتوافر‬ ‫اتفاقيات‬
‫والبنود التعاقدية‬
‫وإعداد الفواتير) التي يتم تقديمها في المنتج‬ ‫مستوى الخدمة‬
‫القياسية‬
‫السحابي‪ .‬كما سيساعد اعتماد الشروط‬
‫واألحكام لـ"اتفاقيات مستوى الخدمة" السحابية‬
‫بما يتماشى مع المعايير الدولية على تعزيز ثقة‬
‫الجمهور في الخدمات السحابية‪.‬‬
‫‪48‬‬
‫الجدول‬
/‫لالعتماد‬ ‫السياسة‬
‫تعد أسعار التوصيل الدولي عنصر ًا أساسي ًا الختيار‬
‫قواعد هيئة تنظيم‬ ‫المستثمرين ويجب أن تتماشى مع المعايير‬ ‫االستضافة‬
‫ كما ينبغي ضمان التوصيل الدولي بالطرق االتصاالت‬.‫الدولية‬ ‫والتوصيل‬
.‫المتعددة والمختلفة‬
‫يتعين على مقدمي الخدمات السحابية والهيئات‬

‫ بما‬،‫االستدامة البيئية الحكومية االلتزام بمبادئ االستدامة البيئية‬
.‫في ذلك كفاءة الطاقة ومحايدة الكربون‬
Timeline
for
Policy Areas Policy Recommendations Relevant Instrument
Adoption
/ Update
Qatar shall implement a cloud-first

policy for public procurement of cloud
services by government entities that
Cloud-First is consistent with the principles of Cloud-First Policy,
Policy the Cloud Policy Framework. Cloud Procurement Law
solutions shall be assessed before any
on-premise solutions and based on a
clear data classification policy.
When moving to the cloud,

organizations shall implement data
classification schemes based on their Cloud-First Policy,
Data level of confidentiality, integrity Cybersecurity Law,
Classification and availability of data. For the most Government Data
sensitive categories of data, it may Classification Policy
be appropriate to set up an elevated
protection in the form of private cloud.
Cloud-First Policy,
When the location of certain data Cybersecurity
Data
needs to be identified, the localization Law, Privacy Law,
Localization,
requirement shall be limited in scope International
Free Flow of
and volume according to the specific Agreements, NCSA
Data, Non-
nature of the data. Private cloud Cloud security policy,
Personal Data
solutions shall be chosen to guarantee Standard Contractual
security and data protection. Clauses, Binding
Corporate rules.
49
Timeline
Relevant for
Policy Areas Policy Recommendations
Instrument Adoption
/ Update
Transparency and Certainty are
key for stakeholders, both in the
implementation of privacy principles
and in relation to the rules that Data Protection Law,
Privacy and regulate access to data in cross-border Trusted Data Law,
access to data, requests. Cross-border requests for Multilateral
Cross Borders data should be made through Mutual Agreements, MLATs,
Requests Legal Assistance Treaties ("MLATs") Standard Contractual
or bilateral agreements ensuring Clauses
appropriate involvement of the
authorities in the countries where the
data is stored.
Government entities’ policies and

actions on Accessibility and Digital
Inclusion should take into utmost
account the use of cloud computing
Accessibility services in meeting their objectives.
MCIT Digital Inclusion
and Digital Strong collaboration between
Strategy
Inclusion government entities’ and cloud service
providers is recommended to make
cloud services largely available for
persons with functional limitations,
persons with disabilities and the elderly.
The adoption of internationally

recognized standards on
Data interoperability of cloud services Standard Contractual
interoperability is required when contracting cloud Clauses, International
and data services and in public procurement Standard
portability contracts. Interoperability of cloud enforcement
services is a prerequisite to guarantee
portability of services for cloud users.
The State should refrain from imposing

intermediary liability on Cloud Service
Providers for third party content to E-commerce Law,
encourage user services innovation and Safe Harbor
Liability regime promote the widespread availability Regulation, Trusted
of cloud services to public and private Data Law, Standard
users. Cloud Service Providers should Contractual Clauses
be able to limit or exclude their liability
in compliance with the applicable law.
50
Timeline
Relevant for
Policy Areas Policy Recommendations
Instrument Adoption
/ Update
Cloud Service Providers must at all
time have in place the technical and
organizational measures necessary for
managing security risks, to guarantee
the continuity of their services. International
Compliance should be achieved by standardization rules,
Security adopting internationally recognized Codes of Conduct,
Standards security standard certifications. Certifications,
The creation of local standards Standard Contractual
or duplication of internationally Clauses
recognized standards should be
avoided because it can be detrimental
to the development of a solid cloud
industry.
SLAs must be in place to ensure agreed

terms for services provision. Reliable
cloud services need providers and
consumers to agree on what service
Service Level levels parameters (performance, Cloud-First Policy,
Agreements availability, billing) the cloud product is Standard Contractual
(SLAs) offered. The adoption of standardized Clauses
terms and conditions for cloud SLAs
in line with international standards will
help reinforce the public's trust in cloud
services.
Prices of international connectivity are

a critical element for investors’ choice
Hosting and and must be aligned with international
CRA Ruling
Connectivity benchmarks. International connectivity
must be assured along multiple
different routes.
Cloud service Providers and

government entities must commit
Environmental
to principles of environmental
sustainability
sustainability, including energy
efficiency and carbon neutrality.
51
7. Annex III - The CRA ‫ األهداف‬- ‫ الملحق الثالث‬.7

Strategic Objectives ‫االستراتيجية لهيئة تنظيم‬
‫االتصاالت‬
Qatar’s government is committed to ‫تلتزم حكومة دولة قطر بدعم تطوير مراكز البيانات‬
supporting the development of data ‫والبنية التحتية السحابية في دولة قطر الستضافة‬
centers and cloud infrastructure in ‫ تم تحديد "توفير‬،‫ ومن ثم‬.‫خطتها الرقمية الطموحة‬
Qatar to host its ambitious digitalization ‫مراكز البيانات والقدرة السحابية" كهدف لتطوير قطاع‬
plan. Therefore, as part of the ongoing ‫ وذلك ضمن استراتيجية الهيئة‬،‫تكنولوجيا المعلومات‬
Authority’s Strategy 2020 - 2024, the 2024-2020 ‫القائمة‬
“supply of data centers and cloud capacity”
has been identified as a target for the
development of the IT sector.
Moreover, one of the key actions of the ‫ تتمثل إحدى اإلجراءات الرئيسية‬،‫باإلضافة إلى ذلك‬
CRA Strategy 2020 - 2024 is “to develop 2024 – 2020 ‫الستراتيجية هيئة تنظيم االتصاالت‬
a strategy on the supply of cloud services ‫في "وضع استراتيجية لتوفير الخدمات السحابية‬
and data centers within Qatar. This ‫ على أن تكون هذه‬،‫ومراكز البيانات داخل دولة قطر‬
strategy will be broad-ranging and will look ‫االستراتيجية واسعة النطاق وتضع في اعتبارها‬
at both supply and demand factors. It will ‫ كما يجب أن‬.‫العوامل المتعلقة بالعرض والطلب‬
evaluate current and future bottlenecks ‫المعوقات‬
ُ ‫تعمل هذه االستراتيجية على تقييم‬
to the growth of data centers and cloud ‫الحالية والمستقبلية التي تحول دون نمو مراكز‬
services, such as investment, innovation, ‫ مثل االستثمار واالبتكار‬،‫البيانات والخدمات السحابية‬
security, regulation, terms of access and ‫واألمن والتنظيم وشروط الوصول والتنسيق مع‬
coordination with the Government”. The ‫ ويتمثل الهدف من هذه االستراتيجية‬."‫الحكومة‬
objective of the Cloud Strategy is to ‫في زيادة المعروض من سعة مركز البيانات وتقديم‬
increase the supply of data center capacity ‫أفضل الخدمات السحابية للهيئات الحكومية والقطاع‬
and a better offering of cloud services to ‫ويعد وجود سوق تنافسي لتوفير الخدمات‬ ُ .‫الخاص‬
government and private sector entities. ‫السحابية وكفاءة مركز البيانات أمر ًا ضروري ًا لتطوير‬
A competitive market for the supply of ‫صناعة تكنولوجيا المعلومات الحديثة؛ حيث إنه يوجد‬
cloud services and data center capacity ‫بالفعل أطراف هامة فاعلة ورائدة في هذا المجال في‬
is essential for a modern IT industry to .)‫السوق القطري (مثل أوريدو وفودافون وميزة‬
develop. There are significant players
already established in this market in Qatar
(e.g., Ooredoo, Vodafone and Meeza).
52
There are also indications that the price ‫كما تجدر اإلشارة إلى أنه هناك مؤشرات على أن‬
of cloud and data center services in Qatar ‫سعر خدمات السحابة ومراكز البيانات في قطر مرتفع‬
is high by regional standards. Increasing ‫ ستتطلب زيادة‬،‫ لذا‬.‫بالمقارنة مع المعايير اإلقليمية‬
the supply of data center capacity in ‫المعروض من سعة مراكز البيانات في قطر أن تقوم‬
Qatar will require a proactive approach by ‫الحكومة باتباع نهج استباقي من أجل ضمان إنشاء‬
the government to ensure that enough ‫ باإلضافة إلى عمل مركز‬،‫بنية تحتية قوية وكافية‬
infrastructure is built and that the data ‫البيانات وسوق الخدمات السحابية على نحو يستم‬
center and cloud services market is working .‫بالفاعلية‬
effectively.
To meet the needs of the trend towards ً

‫وعمال على تلبية احتياجات االتجاه نحو استخدام‬
cloud computing large-scale use, data ‫ ستحتاج سعة‬،‫الحوسبة السحابية على نطاق واسع‬
center capacity in Qatar will need to grow. .‫مركز البيانات في قطر إلى النمو‬
53
cra.gov.qa

Cloud Policy Framework

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Cloud Policy Framework

Uploaded by

Copyright:

Available Formats

‫‪CLOUD POLICY‬‬ ‫إطار عمل سياسة‬

‫‪FRAMEWORK‬‬ ‫الحوسبة السحابية‬

Table of Content ‫جدول المحتويات‬

1. Executive Summary 3 ‫نبذة‬ .1

Policy Recommendations for

Annex II - Table on Policy

Annex III - The CRA Strategic ‫ األهداف االستراتيجية‬- ‫الملحق الثالث‬

1. Executive Summary ‫ نـبــــذة‬.1

.)https://gtnr.it/2Ze50Wx ( ‫ متاح على الموقع‬.2018 ، ‫ جارتنر‬-6

6- Gartner, 2018 (https://gtnr.it/2Ze50Wx).

8- McKinsey, 2018, “Making a Secure Transition to the Public Cloud”.(https://mck.co/3eBcLMy).

These benefits are mainly due to: ُ

2030 ‫رؤية قطر الوطنية‬

2024-2020 ‫استراتيجية هيئة تنظيم االتصاالت‬

‫إطار عمل سياسة الحوسبة السحابية لدولة قطر‬

QATAR NATIONAL VISION 2030

CRA Strategy 2020-2024

Cloud Policy Framework

Public and Private Principles of Trust, Policy and Regulatory

3. The Objective Of The ‫ الغرض من إطار عمل سياسة‬.3

• Support the growth of the national .‫ •دعم نمو االقتصاد الوطني‬

4. Policy Recommendations ‫ التوصيات السياسية‬.4

Cloud Value Chain ‫سلسلة القيمة السحابية‬

• Provide clarity and transparency, .‫ •الوضوح والشفافية‬

• Support a cloud-friendly environment; and .‫ •وجود بيئة صديقة للحوسبة السحابية‬

4.1 Cloud-First Policy ً ‫ سياسة الحوسبة السحابية أو‬4.1

Policy Recommendation ‫التوصيات السياسية‬

Qatar shall implement a cloud-first policy ً

4.2 Data Classification ‫ تصنيف البيانات‬4.2

Different requirements of information ‫ويجوز لمالكي البيانات تحديد المتطلبات المختلفة‬

‫طبيعة البيانات‬ ‫فئة المستهلك السحابي‬ ‫الصناعة التي تستخدم‬

The nature of data The category of The industry using

‫الطبيعـة‬ ‫الـفـئــة‬ ‫المستوى‬

‫يجوز مشاركة تلك البيانات مع الجمهور‬ ‫بيانات غير حساسة‬ 0

‫ والمتاحة لجميع الموظفين‬،‫البيانات المستخدمة داخلي ًا‬ ‫بيانات داخلية‬ 1

‫البيانات المتاحة لعدد محدود من األشخاص أو الوظائف داخل المنظمة أو‬

‫البيانات المقيدة والتي يجري مشاركتها على أساس "الحاجة إلى‬

‫بيانات عالية الحساسية‬

Level Category Nature

0 Non-sensitive data Data which can be shared with the public

1 Internal data Data used internally, available to all the staff

Data accessible to a limited number of persons/functions

3 Confidential data Restricted data which is shared on a "need to know" basis

Highly sensitive Data related to trade secrets or related to national security

Policy Recommendation ‫التوصيات السياسية‬

4.3.1 Data localization ‫ توطين البيانات‬4.3.1

From an operational perspective, it is no ‫ فإنه لم يعد من الضروري‬،‫من ناحية التشغيل‬

• Encryption14. . 14‫ •التشفير‬

• Anonymization. .‫ •إخفاء الهوية‬

• Security certification guaranteed by ‫ •شهادة في المجال األمني ممنوحة من جهة‬

‫تشفير البيانات وإخفاء‬

4.3.2 Free Flow of Data ‫ التدفق الحر للبيانات‬4.3.2

• Alignment with international standards ‫ •أحكام المواءمة والتي تتماشى مع المعايير‬

• Enforceable corporate cross-border ‫ •قواعد الخصوصية القابلة للتنفيذ عبر الحدود‬

• Certified codes of conduct, certifications, ‫ •مدونات قواعد السلوك والشهادات وعالمات‬

• Bilateral or multilateral arrangements

https://ec.europa.eu/commission/presscorner/api/files/attachment/872132/Trans-Atlantic%20Data%20 ( 2022 ‫ سيتم نشره بحلول نهاية‬-17

fact-sheet-united-states-/25/03/https://www.whitehouse.gov/briefing-room/statements-releases/2022 ( ‫ و‬،) Privacy%20Framework.pdf.pdf

17- To be issued by the end of 2022 (see https://ec.europa.eu/commission/presscorner/api/files/attachment/872132/Trans-Atlantic%20

Data%20Privacy%20Framework.pdf.pdf, and https://www.whitehouse.gov/briefing-room/statements-releases/202225/03//fact-sheet-

‫أحكام المالءمة‬ ‫قواعد الشركة‬

‫السلبيات‬ ‫مدونة قواعد‬

Administrative processes should be ‫يجب التقليل من العمليات اإلدارية بشكل واضح‬

4.3.3 Non-Personal Data19 19‫ البيانات غير الشخصية‬4.3.3