سياسة الاستجابة للحوادث الأمنية والتشغيلية – بوابة إصدار رقم UICS/ICN Incident Response Policy (Security & Operational) – UICS/ICN Issuance Portal
ملخص:
Summary:
تحدد هذه السياسة الأدوار والمهل والإجراءات القياسية للاستجابة للحوادث بهدف الحد من الأثر، حماية البيانات، واستعادة الخدمة بسرعة.
This policy defines roles, timelines, and standard actions to minimize impact, protect data, and restore service quickly.
1) النطاق والتعاريف1) Scope & Definitions
- حادث أمني/تشغيلي: حدث يؤثر سلبًا على سرّية/سلامة/توفر الأنظمة أو بيانات المستخدمين.
- تشمل السياسة: بوابة الإصدار، واجهات التحقق، الشهادات، المدفوعات، مزامنة الهوية، التنبيهات، ولوحة الإدارة.
- بلاغات الثغرات عبر برنامج الإبلاغ عن الثغرات (قناة منفصلة).
- Security/Operational Incident: Event adversely affecting confidentiality, integrity, or availability of systems or user data.
- Applies to Issuance Portal, Verification APIs, Certificates, Payments, Identity Sync, Notifications, and Admin Console.
- Vulnerability reports use the separate Vulnerability Disclosure Program.
2) سُلّم الشدة وأهداف الزمن2) Severity & Time Targets
| Sev | الوصفDescription | Examples | TTD | TTA | TTR |
|---|---|---|---|---|---|
| S0 | Global outage / data-at-risk | Verification API down globally; confirmed data exfiltration risk | ≤5m | ≤15m | ≤1h initial mitigation |
| S1 | Major regional impact / critical path | Issuance blocked regionally; critical payment failures | ≤10m | ≤30m | ≤4h restore |
| S2 | Degradation / limited subset | Latency spikes; degraded certificates service | ≤30m | ≤2h | ≤24h |
| S3 | Minor / informational | Low-risk bug; cosmetic issues | — | ≤1d | As planned |
TTD وقت الاكتشاف، TTA وقت الإقرار، TTR وقت الاستعادة الأولية. الأهداف إرشادية وتُستكمل بشروط مستوى الخدمة.
TTD time-to-detect, TTA time-to-ack, TTR time-to-initial-restore. Indicative targets; see SLA.
3) دورة حياة الحادث3) Incident Lifecycle
- الاكتشاف والإنذار: مراقبة، بلاغات العملاء/الشركاء، أو تنبيهات أمنية.
- الفرز والتصنيف: تعيين الشدة، تعيين قائد الحادث، فتح سجل زمني.
- الاحتواء: عزل الأثر (تعطيل ميزة، قوائم حظر، حدود).
- المعالجة: تصحيح السبب الجذري أو الالتفاف المؤقت.
- الاستعادة والتحقق: إعادة الخدمة، فحوصات السلامة، مراقبة لصيقة.
- المراجعة اللاحقة (PIR): خلال ≤ 5 أيام عمل، دروس مستفادة وخطة تحسين.
- Detect & Alert via monitoring, customer/partner reports, or security signals.
- Triaging & Classification set severity, assign IC, open timeline.
- Containment isolate impact (feature kill, denylists, rate limits).
- Eradication/Remediation fix root cause or temporary workaround.
- Recovery & Verification restore service, safety checks, close watch.
- Post-Incident Review within ≤ 5 business days; actions tracked.
4) الأدوار والمسؤوليات4) Roles & Responsibilities
| Role | المهامTasks |
|---|---|
| Incident Commander (IC) | Owns severity, timeline, decisions, handoffs |
| Security Lead | Threat triage, containment guidance, evidence integrity |
| SRE/Infra | Mitigation, scaling, failover/failback |
| App Owner | Root-cause, code/config changes, validation |
| Comms Lead | Status page, customer notices, regulatory liaison |
| Legal/Privacy | Obligations assessment, data-subject notices |
| Recorder | Accurate minute-by-minute log with UTC timestamps |
5) الاتصالات والإشعارات5) Communications & Notices
- القناة الرسمية: صفحة الحالة و RSS.
- الإشعارات الخاصة تُرسل إلى العملاء المتأثرين عبر البريد المسجل في الحساب.
- عند اقتضاء الأنظمة العالمية للخصوصية: سنقيّم ونصدر إشعارات شفافة وفي الوقت المناسب.
- Official channel: Status page and RSS.
- Targeted notices sent to affected customers via account email.
- Where global privacy regimes require, we assess and provide timely transparent notices.
قالب إشعار
Notice Template
Subject: [UICS/ICN] Incident Update – {title}
When (UTC): {start} → {current}
Impact: {systems, scope, severity}
What happened: {summary}
What we did: {actions}
What you can do: {steps if any}
Next update: {eta/interval}
Contact: security@uics.online
6) حفظ الأدلة والتحقيق6) Evidence & Forensics
- حفظ سجلات المصدر بنمط كتابة فقط، وختم زمني UTC، وسلاسل تجزئة للتحقق.
- سلسلة عهدة (Chain of Custody) لأي لقطات أنظمة/أقراص تُنشأ عند الحاجة.
- عدم الوصول المباشر لبيانات العملاء إلا للضرورة وبأقل قدر ممكن.
- Source logs preserved WORM-style with UTC timestamps and integrity hashing.
- Chain-of-custody for any system/disk images created when necessary.
- No direct access to customer data unless strictly necessary and minimized.
7) الأطراف الخارجية7) Third-Party Coordination
- نتواصل مع المورّدين (سحابة/دفع/بريد) عبر قنوات الدعم ذات الأولوية.
- في حالات إساءة استخدام: التعاون مع الجهات المختصة وفق القوانين السارية دون الإخلال بالحياد.
- Coordinate with vendors (cloud/payments/email) via priority channels.
- For abuse cases: cooperate with competent authorities per applicable laws while remaining neutral.
8) الخصوصية والاحتفاظ8) Privacy & Retention
تُعالَج بيانات الحوادث لأغراض الأمان والامتثال فقط وتُحفظ وفق سياسة الاحتفاظ والحذف و سياسة الخصوصية.
Incident data is processed for security/ compliance purposes only and retained per the Retention & Deletion Policy and Privacy Policy.
9) أتمتة وإشعارات آلية9) Automation & Webhooks
نوفّر موجزات JSON و Webhooks للتكامل مع أدوات العملاء.
We expose JSON feeds and webhooks for customer tooling.
POST /webhooks/incidents
Content-Type: application/json
{
"id":"inc_2025_10_12_001",
"severity":"S1",
"title":"Elevated errors on Issuance API",
"started_at":"2025-10-12T07:40:00Z",
"status":"investigating",
"components":["issuance_api"],
"next_update_in_minutes":30
}
10) تمارين واختبارات10) Drills & Testing
- تمرين جدولي ربع سنوي، وتمرين تقني نصف سنوي (تحويل/استعادة).
- مؤشرات: زمن إعلان الحادث، زمن الاستعادة، جودة الملاحظات، نسبة إكمال الإجراءات التصحيحية.
- Quarterly tabletop; semiannual technical drills (failover/restore).
- KPIs: time-to-declare, time-to-restore, notes quality, corrective action completion.
11) النفاذ وروابط11) Effective & Links
هذه الوثيقة محايدة الاختصاص وتكمل سياساتنا دون تعارض معها.
Jurisdiction-neutral document; complements our policies without conflict.