الصندوق المجتمعي الأفريقي

توجيه البريد الآمن

رقم التوجيه: ACF-DIR-001 | تاريخ النفاذ: 10/11/2025 | الإصدار: 1.0

الديباجة

حيث إن الصندوق المجتمعي الأفريقي (يُشار إليه بـ"الصندوق") يعمل بوصفه مؤسسة دولية تتمتع بشخصية قانونية كاملة بموجب ميثاقه؛

وحيث إن التواصل الإلكتروني الآمن والموثق والمعترف به قانونياً أمر جوهري لسلامة عمليات الصندوق وسجل الحصص الرقمي وعلاقاته بالأعضاء؛

وحيث إن المادة 10.2 من الميثاق تُلزم بصون سجل حصص رقمي آمن، وتشترط المادة 7.4 إقرارات حسن نية منسجمة مع بروتوكولات اعرف عميلك (KYC)؛

وحيث إن الصندوق يُشغّل جهة إصدار شهادات سيادية لتمكين التوقيعات الرقمية المعترف بها قانونياً وإدارة الهوية القوية؛

لذا، يُصدر الكوميتي التنفيذي هذا التوجيه بشأن البريد الآمن لوضع حدٍّ أدنى من المعايير للتواصل الإلكتروني داخل نظام الصندوق.

المادة 1: النطاق والتطبيق

1.1 التواصلات المشمولة: يسري هذا التوجيه على جميع أنظمة البريد الإلكتروني والمراسلة ونقل المستندات المستخدمة في:

  • (أ) الأعمال الرسمية للصندوق وشؤون الحوكمة والوظائف الإدارية؛
  • (ب) تأهيل الأعضاء والاشتراك في الحصص وطلبات رأس المال؛
  • (ج) طلبات القروض وإقرارها وخدمتها بموجب المادة 17؛
  • (د) الوصول إلى سجل الحصص الرقمي والمعاملات فيه؛
  • (هـ) إرسال البيانات المالية وتقارير التدقيق ومعايير البرنامج؛
  • (و) أي تواصل يتضمن معلومات غير عامة أو حساسة أو ذات أهمية قانونية.

1.2 الأشخاص المشمولون: يُلزم هذا التوجيه:

  • (أ) جميع الأعضاء (الفئة أ والفئة ب) وموقعيهم المعتمدين وجهات الاتصال التقنية المعيّنة؛
  • (ب) أعضاء اللجنة التنفيذية والمسؤولين التشريفيين وموظفي الصندوق ومستشاريه؛
  • (ج) المدققين الخارجيين والمُقيِّمين المستقلين ومقدمي الخدمات الخارجيين المتعاقدين مع الصندوق.

1.3 الاستثناءات: تخضع التواصلات العامة المنشورة عبر الموقع الرسمي للصندوق أو بوابة البيانات المفتوحة لسياسات نشر منفصلة.

المادة 2: معايير الأمان التقنية

2.1 متطلبات التشفير:

  • (أ) يجب تشفير جميع التواصلات المشمولة أثناء الإرسال باستخدام TLS 1.3 أو أعلى، أو بروتوكولات مكافئة معترف بها دولياً؛
  • (ب) يجب تشفير الرسائل التي تحتوي على بيانات مالية أو شخصية أو حوكمية حساسة عند التخزين باستخدام AES-256 أو ما يعادله؛
  • (ج) يجب استخدام التشفير الكامل من طرف إلى طرف للتواصلات المتعلقة بنقل الحصص أو إشعارات الاسترداد أو اتفاقيات القروض.

2.2 المصادقة والتحقق من الهوية:

  • (أ) يجب على جميع المستخدمين المصادقة عبر جهة إصدار الشهادات السيادية للصندوق باستخدام شهادات X.509 الرقمية؛
  • (ب) المصادقة متعددة العوامل (MFA) إلزامية للوصول إلى الأنظمة التي تتعامل مع التواصلات المشمولة؛
  • (ج) يجب أن تتبع إصدار الشهادات وتجديدها وإلغاؤها السياسات التي وضعتها اللجنة التنفيذية وتتوافق مع RFC 5280 وأفضل ممارسات WebPKI.

2.3 التوقيعات الرقمية وعدم الإنكار:

  • (أ) يجب توقيع التواصلات ذات الأهمية القانونية (مثل اتفاقيات الاشتراك وإشعارات السحب وعقود القروض) بتوقيعات رقمية صادرة عن جهة إصدار شهادات الصندوق؛
  • (ب) يجب أن تمتثل التوقيعات الرقمية لـ eIDAS أو UETA أو الأطر المكافئة لضمان الاعتراف القانوني عبر الحدود؛
  • (ج) يجب أن تشمل الرسائل الموقعة طوابع زمنية والتحقق من السلامة لمنع الإنكار.

2.4 البروتوكولات المعتمدة وقابلية التشغيل البيني:

  • (أ) يجب على الصندوق دعم S/MIME وPGP/MIME لضمان قابلية التشغيل البيني الآمن للبريد الإلكتروني مع أنظمة الأعضاء؛
  • (ب) يجب أن تستخدم التواصلات القائمة على واجهة برمجة التطبيقات واجهة البرمجة التطبيقية للصندوق مع OAuth 2.0 أو مصادقة مكافئة قائمة على الرمز المميز؛
  • (ج) يجب على الأعضاء المتكاملين مع أنظمة الصندوق الالتزام بالمواصفات التقنية التي تنشرها اللجنة التنفيذية.

المادة 3: حماية البيانات والخصوصية

3.1 السرية: تُعامَل التواصلات المشمولة كمعلومات سرية ما لم يُحدَّد خلاف ذلك صراحةً. يُحظر الإفصاح أو الاعتراض أو الإعادة غير المصرح بهما.

3.2 التعامل مع البيانات الشخصية: حيثما تتضمن التواصلات بيانات شخصية، يجب أن تمتثل المعالجة للمعايير الدولية المعمول بها في مجال حماية البيانات وسياسة خصوصية الصندوق.

3.3 النقل عبر الحدود: يُعفي المركز فوق الوطني للصندوق بموجب الفصل الخامس من الميثاق عملياتِه من القوانين الوطنية التقييدية لتوطين البيانات. غير أن الأعضاء يظلون مسؤولين عن ضمان امتثالهم للوائح المحلية المعمول بها عند إرسال البيانات إلى الصندوق.

3.4 الاحتفاظ والأرشفة:

  • (أ) يجب الاحتفاظ بالتواصلات المشمولة لمدة لا تقل عن سبع (7) سنوات، أو لفترة أطول إذا اقتضى ذلك القانون المعمول به أو سياسة الصندوق؛
  • (ب) يجب أن تحافظ أنظمة الأرشفة على سلامة الرسائل والبيانات الوصفية وصحة التوقيعات طوال فترة الاحتفاظ بالكامل؛
  • (ج) يجوز للأعضاء طلب حذف بياناتهم الشخصية رهناً بالتزامات الصندوق المشروعة في حفظ السجلات.

المادة 4: الاستجابة للحوادث وإخطار الاختراق

4.1 التزامات الإبلاغ: يجب الإبلاغ عن أي اختراق مشتبه به أو فعلي لأنظمة البريد الآمن (مثل سرقة الشهادات أو الوصول غير المصرح به أو التصيد الاحتيالي) إلى مكتب أمن الصندوق في غضون أربع وعشرين (24) ساعة من الاكتشاف.

4.2 استجابة الصندوق: عقب التأكد من وقوع حادثة أمنية، تعمل اللجنة التنفيذية على:

  • (أ) احتواء الحادثة ومعالجتها وفق خطة الاستجابة للحوادث الخاصة بالصندوق؛
  • (ب) إخطار الأعضاء المتضررين بشكل سريع وشفاف؛
  • (ج) إلغاء الشهادات المخترقة وإعادة إصدار بيانات الاعتماد حسب الحاجة؛
  • (د) توثيق الدروس المستفادة وتحديث سياسات الأمان وفقاً لذلك.

4.3 مسؤوليات الأعضاء: يجب على الأعضاء اتخاذ تدابير أمنية معقولة لأنظمتهم الخاصة وتحديث معلومات الاتصال الخاصة بإخطارات الأمان على الفور.

المادة 5: الامتثال والمراقبة والإنفاذ

5.1 مراقبة الامتثال: تراجع اللجنة التنفيذية، بالتشاور مع لجنة التدقيق، بصفة دورية الالتزام بهذا التوجيه من خلال عمليات تدقيق تقنية واختبارات اختراق وتقييمات للسياسات.

5.2 عواقب عدم الامتثال: قد يترتب على عدم الامتثال لهذا التوجيه:

  • (أ) تعليق امتيازات التواصل الآمن؛
  • (ب) تأخير أو رفض المعاملات التي تستلزم قنوات آمنة (مثل نقل الحصص وصرف القروض)؛
  • (ج) الإحالة إلى اللجنة التنفيذية لمراجعة محتملة للعضوية بموجب المادة 4.3.

5.3 الإعفاءات والاستثناءات: يجوز للجنة التنفيذية منح إعفاءات محدودة ومؤقتة من هذا التوجيه حين يُفضي الامتثال الصارم إلى صعوبات غير مبررة وحيث توفر ضمانات بديلة حماية مكافئة. يجب توثيق الإعفاءات والإبلاغ عنها سنوياً إلى اجتماع التصويت.

المادة 6: قبول الأدلة وتسوية النزاعات

6.1 افتراض الأصالة: تُعدّ التواصلات المُرسَلة وفقاً لهذا التوجيه أصيلة وسليمة ومنسوبة إلى المُرسِل المُحدَّد لأغراض حوكمة الصندوق وتسوية النزاعات.

6.2 الوزن الإثباتي: تُقبل الرسائل الموقعة رقمياً وسجلات التدقيق وسجلات التحقق من الشهادات التي يحتفظ بها الصندوق كأدلة في الإجراءات المعروضة على اللجنة التنفيذية أو اجتماع التصويت بموجب المادة 27 من الميثاق.

6.3 عدم التنازل عن الحصانات: لا يُشكّل الامتثال لهذا التوجيه تنازلاً عن حصانات الصندوق أو امتيازاته أو إعفاءاته بموجب الفصل الخامس من الميثاق.

المادة 7: التنفيذ والمراجعة

7.1 تاريخ النفاذ: يدخل هذا التوجيه حيز التنفيذ عند اعتماده من اللجنة التنفيذية ونشره على الموقع الرسمي للصندوق.

7.2 تأهيل الأعضاء: يتلقى الأعضاء الجدد الوثائق التقنية وبيانات الاعتماد لدمج البريد الآمن ضمن إجراءات التأهيل المنصوص عليها في المادة 4.2 من الميثاق.

7.3 المراجعة الدورية: تراجع اللجنة التنفيذية هذا التوجيه مرة كل سنتين (2) على الأقل، أو في وقت أسبق استجابةً للتطورات التكنولوجية أو التهديدات الأمنية، وتقترح تعديلات على اجتماع التصويت حسب الاقتضاء.

7.4 الدعم والتدريب: يقدم الصندوق الدعم التقني والوثائق والموارد التدريبية لمساعدة الأعضاء على الامتثال لهذا التوجيه.

الملحق أ: الحد الأدنى من المواصفات التقنية

المكوّن المتطلب المعيار/المرجع
تشفير النقل TLS 1.3 أو أعلى RFC 8446
التشفير عند التخزين AES-256-GCM أو ما يعادله NIST SP 800-38D
الشهادات الرقمية X.509 v3، توقيعات SHA-256 RFC 5280
أمان البريد الإلكتروني S/MIME v3.2 أو PGP/MIME RFC 8551, RFC 3156
مصادقة واجهة التطبيقات OAuth 2.0 + JWT أو mTLS RFC 6749, RFC 7519
المصادقة متعددة العوامل TOTP أو FIDO2 أو رمز مادي RFC 6238, W3C WebAuthn
الختم الزمني TSA متوافق مع RFC 3161 RFC 3161
تسجيل التدقيق سجلات غير قابلة للتغيير ومحمية من التلاعب ISO/IEC 27001

الملحق ب: جهات الاتصال والدعم

الوظيفة جهة الاتصال الغرض
عمليات جهة إصدار الشهادات [email protected] إصدار الشهادات وتجديدها وإلغاؤها
الدعم التقني للبريد الآمن [email protected] مساعدة التكامل واستكشاف الأخطاء
الإبلاغ عن حوادث الأمان [email protected] إخطار الاختراق والاستجابة للحوادث
استفسارات الامتثال والسياسات [email protected] تفسير التوجيهات وطلبات الإعفاء
دعم العضوية العام [email protected] التأهيل وإدارة الحسابات

اعتمدتها اللجنة التنفيذية للصندوق المجتمعي الأفريقي بتاريخ 10/11/2025.
قيمة مشتركة، ازدهار مشترك.

Digital Signature md5-6NpUMQIB2xFZhnG4cvAJLw==
Verify digital signature
©2026 African Community Fund
africancommunityfund.com