هل موقعك على الويب متوافق مع DPA؟ ربما لا.

##الملاحظة المزعجة

أقوم بانتظام بتدقيق مواقع الويب الخاصة بالشركات السويسرية PME، والملاحظة هي نفسها دائمًا تقريبًا: غالبية المواقع لا تمتثل لـ LPD الجديد.

في معظم الحالات، هو مجرد جهل. المطور أو الوكالة التي قامت ببناء الموقع لم تفكر في حماية البيانات. ليس لدى الرئيس أي فكرة عما يتطلبه القانون. وبعد ذلك “كان الأمر دائمًا يعمل بهذه الطريقة”.

تكمن المشكلة في أنه منذ الأول من سبتمبر 2023، دخل القانون الفيدرالي الجديد لحماية البيانات (nLPD) حيز التنفيذ. تصل الغرامات إلى 250,000 فرنك سويسري، وتستهدف الأفراد المسؤولين، وليس الشركة. بمعنى آخر، المدير هو الذي يدفع.

الانتهاكات السبعة الأكثر شيوعًا

1. Google تحليلات بدون أساس قانوني

المشكلة: تعمل معظم المواقع السويسرية ضمن تحليلات Google. يقوم Google بجمع بيانات الزائرين ونقلها إلى الولايات المتحدة ومن المحتمل أن يستخدمها لإعلاناته الخاصة.

ما يقوله القانون: يتطلب النقل إلى بلد لا يتمتع بحماية كافية (الولايات المتحدة، منذ حكم شريمز الثاني) ضمانات إضافية، مثل الشروط التعاقدية القياسية أو الموافقة الصريحة.

ما تفعله معظم المواقع: لا شيء. Google تم تثبيت التحليلات، وهي قيد التشغيل، ولا أحد يسأل آراء الزوار.

الحل:

• استخدم “إحصاءات Google"‏ 4 مع تفعيل إخفاء هوية IP
• الحصول على موافقة صريحة قبل تحميل البرنامج النصي. الشعار القديم “باستمرارك في التصفح، أنت تقبل…” لم يعد كافيا.
• انظر إلى البدائل الأوروبية مثل Matomo (المستضاف ذاتيًا) أو المعقول (الاتحاد الأوروبي)

2. يتم وضع ملفات تعريف الارتباط قبل الموافقة

المشكلة: عند وصولك إلى أحد المواقع، يتم عرض شعار ملفات تعريف الارتباط، ولكن ملفات تعريف الارتباط مثبتة بالفعل. الموافقة هي مجرد واجهة.

ما يقوله القانون: في سويسرا، يتطلب قانون LPD الشفافية. يتطلب RGPD موافقة مسبقة على ملفات تعريف الارتباط غير الضرورية بمجرد وصول زوار أوروبيين. لا ينبغي وضع أي ملفات تعريف ارتباط للتتبع أو التسويق قبل النقر فوق “قبول”.

ما تفعله معظم المواقع: أنها تقوم بتحميل Google Analytics وFacebook Pixel وHubSpot وحوالي خمسة عشر متتبعًا آخر بمجرد فتح الصفحة. عصابة الرأس مزخرفة بحتة.

الحل:

• تنفيذ إدارة الموافقة الحقيقية: لا يتم تحميل البرامج النصية غير الضرورية قبل النقر
• تصنيف ملفات تعريف الارتباط (الضرورية والتحليلية والتسويقية)
• اجعل الرفض بسيطًا مثل القبول، دون أنماط قاتمة
• في موقعي الخاص، أستخدم نظامًا يمنع GA4 حتى يقبل الزائر. في نظري هذا هو النهج الصحيح الوحيد.

3. نماذج الاتصال بدون معلومات

المشكلة: نموذج اتصال يجمع الاسم والبريد الإلكتروني والهاتف والرسالة، دون أن تذكر أبدًا ما تفعله بهذه البيانات.

ما يقوله القانون: أي عملية جمع يجب أن تكون مصحوبة بمعلومات واضحة. من يقوم بجمع البيانات، ولماذا، وإلى متى، وإلى من يتم نقل البيانات.

ما تفعله معظم المواقع: نموذج، زر “إرسال”، وهذا كل شيء.

الحل:

• إضافة رابط لسياسة الخصوصية أسفل النموذج
• حدد شيئًا مثل “يتم استخدام بياناتك فقط للرد على طلبك ويتم الاحتفاظ بها لمدة X أشهر”
• إذا انتقلت البيانات إلى طرف ثالث (FormSubmit، Mailchimp…)، قل ذلك
• أضف مربع اختيار غير محدد مسبقًا للموافقة، عند الضرورة

4. سياسة الخصوصية مفقودة أو تم لصقها

المشكلة: إما أنه لا توجد سياسة خصوصية على الإطلاق، أو أنه نص عام منسوخ من الإنترنت ولا علاقة له بواقع الموقع.

ما يقوله القانون: يجب أن تكون السياسة خاصة بموقعك. فهو يصف الأدوات التي تستخدمها بالفعل، والبيانات التي تجمعها، وكيفية معالجتها.

الأخطاء التي أراها في أغلب الأحيان:

• اذكر الأدوات التي لا تستخدمها، أو انسَ الأدوات التي تستخدمها
• التزم الصمت بشأن عمليات نقل البيانات خارج سويسرا
• لا تشير إلى تفاصيل الاتصال بمراقب البيانات
• النص باللغة الفرنسية فقط، مع أن الموقع متعدد اللغات

الحل:

• اكتب سياسة مصممة خصيصًا لتناسب وضعك الحقيقي
• قم بتحديثه بمجرد إضافة أداة (مكون إضافي جديد، تكامل جديد)
• إمكانية الوصول إليها من كل صفحة، عبر رابط التذييل

5. لا توجد شهادة HTTPS أو شهادة SSL منتهية الصلاحية

المشكلة: في عام 2026، يبدو الأمر واضحًا. ومع ذلك، ما زلت أصادف مواقع PME بتنسيق HTTP، أو بشهادة SSL التي انتهت صلاحيتها منذ أشهر.

ماذا يعني هذا:

• يتم تداول البيانات من نموذج الاتصال بشكل غير مشفرة على الشبكة
• يمكن لأي شخص على نفس شبكة WiFi اعتراضها
• Google يعاقب الموقع في نتائج البحث
• يعرض المتصفح تحذير “غير آمن” مما يخيف الزائرين

الحل:

• تثبيت شهادة SSL (Let’s Encrypt مجاني)
• تكوين إعادة توجيه HTTP إلى HTTPS
• التأكد من أن الشهادة تجدد نفسها
• أضف رأس HSTS لفرض HTTPS

6. رؤوس الأمان مفقودة

المشكلة: حتى مع HTTPS، إذا لم يتم تكوين رؤوس أمان HTTP، فسيظل الموقع عرضة للخطر.

العناوين التي تهم:

• تعمل سياسة أمان المحتوى (CSP) على حظر تحميل البرامج النصية الضارة (حماية XSS)
• تمنع X-Frame-Options موقعك من الاندماج في إطار iframe احتيالي (clickjacking)
• تمنع X-Content-Type-Options المتصفح من تفسير الملف بشكل مختلف عن المتوقع
• يفرض “أمان النقل الصارم” (HSTS) HTTPS، دون إمكانية العودة إلى HTTP
• تتحكم “سياسة المُحيل” في المعلومات المرسلة عند النقر على موقع آخر
• تتحكم Permissions-Policy في الوصول إلى API الخاص بالمتصفح (الكاميرا والميكروفون وتحديد الموقع الجغرافي)

ما تفعله معظم المواقع: لم يتم تكوين أي من هذه الرؤوس.

الحل: تحديدها في خادم الويب (Apache، Nginx، CloudPanel). انتظر حوالي ثلاثين دقيقة، وسيتغير مستوى الأمان للموقع تمامًا.

7. بيانات الحجز/النموذج مخزنة بدون تشفير

المشكلة: يتم تخزين البيانات المرسلة عبر النموذج في قاعدة البيانات بنص واضح. في حالة الاختراق، كل شيء يمكن قراءته مرة واحدة.

ماذا يقول القانون: يتطلب قانون حماية البيانات اتخاذ تدابير فنية مناسبة لحماية البيانات الشخصية. التخزين الواضح غير مناسب.

الحل:

• تشفير البيانات الحساسة في القاعدة
• قم بتجزئة كلمات المرور باستخدام bcrypt أو Argon2، ولا تقم أبدًا بتخزينها في نص عادي
• تقييد الوصول إلى قاعدة البيانات (مبدأ الامتياز الأقل)
• حذف البيانات بمجرد عدم الحاجة إليها

كيفية التحقق من موقعك في 10 دقائق

يمكنك إجراء التشخيص الأولي بنفسك، دون أي أدوات خاصة.

الاختبار الأول: HTTPS

يبدأ عنوان URL الخاص بك بـ https:// ويتم عرض القفل في المتصفح؟ إذا لم يكن الأمر كذلك، فهي الأولوية رقم واحد.

الاختبار الثاني: ملفات تعريف الارتباط

افتح موقعك في التصفح الخاص. قبل النقر في أي مكان، افتح DevTools (F12) ثم التطبيق ثم ملفات تعريف الارتباط. هل تم وضع ملفات تعريف الارتباط بالفعل؟ إذا لم تكن ضرورية للغاية، فهو انتهاك.

الاختبار 3: النموذج

هل يشير نموذج الاتصال الخاص بك بوضوح إلى ما يحدث للبيانات؟ هل هناك رابط لسياسة الخصوصية الخاصة بك؟

الاختبار الرابع: سياسة الخصوصية

هل لديك واحدة؟ وهل يذكر بالاسم Google التحليلات والنماذج وملفات تعريف الارتباط والتحويلات المحتملة خارج سويسرا؟

الاختبار الخامس: رؤوس الأمان

انتقل إلى securityheaders.com وأدخل عنوان URL الخاص بك. تحت B، هناك عمل.

لماذا لا تفعل وكالات الويب هذا

سأكون مباشرًا: معظم وكالات الويب في سويسرا لا تتحقق من امتثال المواقع التي تقدمها لـ LPD. لماذا ؟

1. هذه ليست وظيفتهم. إنهم يقومون بالتصميم والتطوير SEO. الامتثال القانوني هو عالم آخر.
2. يستغرق الأمر وقتًا. لا يتناسب تكوين ملفات تعريف الارتباط والعناوين وسياسة الخصوصية بشكل صحيح مع عرض أسعار بقيمة 5000 فرنك سويسري.
3. لا يطلب العميل ذلك. إذا لم يكن يعلم أنه ضروري، فلا أحد يطرح الموضوع.
4. CMS يسهل الممارسات السيئة. خذ WordPress مع خمسة عشر مكونًا إضافيًا يضع كل منها ملفات تعريف الارتباط الخاصة به في الزاوية الخاصة به، دون أي تنسيق.

وهذا ليس اتهاما، بل مجرد ملاحظة. وهذا هو بالضبط السبب وراء أهمية المحترف الذي يفهم التقنية بقدر ما يفهم القانون.

ما هو على المحك

إن الامتثال لنظام LPD ليس ترفا. وهذا التزام قانوني، ومسألة أخلاقية أيضًا.

يخبرك زوار موقعك بأسمائهم وبريدهم الإلكتروني وأسئلتهم. إنه ليس لا شيء. كل البيانات التي يتم جمعها هي بمثابة أمانة فيك، ولا تكفي لافتة ملفات تعريف الارتباط المزخرفة للوفاء بها. هناك حاجة إلى تدابير فنية حقيقية.

على موقعي الخاص، إليك كيفية التعامل مع الأمر:

• موافقة حقيقية على ملفات تعريف الارتباط، مع حظر GA4 حتى يتم النقر عليه
• رؤوس الأمان المكونة
• HTTPS في كل مكان، باستخدام HSTS
• سياسة خصوصية مصممة خصيصًا
• لا يتم إرسال أي بيانات إلى أطراف ثالثة دون سبب

هذا ليس جنون العظمة، إنه مجرد الحد الأدنى الذي يجب أن يفعله أي موقع ويب في سويسرا.

---

المصادر والموارد

• الاتحاد السويسري، قانون حماية البيانات الجديد (nLPD)، 1 أيلول (سبتمبر) 2023
• PFPDT، دليل عملي للشركات، 2024
• محكمة العدل الأوروبية، حكم شريمز الثاني (C-311/18)، يوليو 2020
• OWASP، أهم 10 ثغرات ويب، 2021
• Mozilla، المرصد (رؤوس الأمان)
• SecurityHeaders.com، أداة فحص رأس HTTP

---

هل موقعك متوافق؟ حجز تدقيق مجاني: أتحقق من امتثال موقعك للتحقق من امتثال LPD والأمان الفني والأداء خلال 30 دقيقة.