توجيهات ARPCE: خارطة SaaS والاستضافة 2026

نُشر في أبريل 24, 2026 · آخر تحديث أبريل 27, 2026 · بواسطة ALGERIATECH Editorial

⚡ أبرز النقاط

تُنظّم ARPCE الاستضافة السحابية في الجزائر بموجب القانون 22-39 وتعتمد مزودين محليين مثل ISAAL وAYRADE وeBS وADEX Cloud. يرتكز الامتثال على إثبات ضوابط السرية والنزاهة والإتاحة ودمجها مع التزامات القانون 18-07 / القانون 25-11. رسوم إدارة ملف ترخيص السحابة 28,000 دج دون الرسوم.

الخلاصة: على مؤسسي SaaS ومشغّلي الاستضافة الجزائريين اتخاذ القرار مبكراً في 2026 بين حيازة اعتماد ARPCE مباشرةً أو الشراكة مع مزوّد معتمد، وتوثيق ضوابط CIA مع التزامات القانون 25-11 كمسار امتثال موحد.

اقرأ التحليل الكامل ↓

🧭 رادار القرار

الأهمية بالنسبة للجزائر
عالي
▾

كل مؤسس SaaS، ومشغّل استضافة، ومهندس تقني مؤسسي في الجزائر يتعامل بشكل ما مع إطار ARPCE، ما يجعل الامتثال موضوعاً عابراً للقطاعات.

الجدول الزمني للعمل
فوري
▾

القانون 22-39 ساري وARPCE تمنح الاعتماد بنشاط؛ ستفترض عقود وصفقات 2026 الاتساق مع توجيهاتها.

أصحاب المصلحة الرئيسيون
مؤسسو SaaS، المديرون التقنيون للمستضيفين، مهندسو السحابة، DPOs

نوع القرار
تكتيكي
▾

تُساعد المقالة المؤسسين وقادة الهندسة على اختيار مسار الترخيص الصحيح، وانتقاء شركاء معتمدين من ARPCE، ومواءمة ضوابطهم مع ثلاثية CIA.

مستوى الأولوية
عالي
▾

العمل دون اتساق واضح يُعرّض المؤسسين للمخاطر التجارية (رفض العميل) والمخاطر التنظيمية (مشاكل الاعتماد).

خلاصة سريعة: على مؤسسي SaaS ومزوّدي الاستضافة الجزائريين اتخاذ القرار في وقت مبكر من 2026 بين الحصول على اعتماد ARPCE ذاتياً أو البناء على شريك مُعتمَد، ثم توثيق ضوابط CIA ودمج التزامات القانون 25-11 فوقها. اعتبار الاتساق مع ARPCE وحماية البيانات مساراً موحداً للامتثال، لا مسارين منفصلين.

لماذا تُهم ARPCE الشركات السحابية الناشئة

سلطة ضبط البريد والمواصلات السلكية واللاسلكية (ARPCE) هي الجهة التي تمنح التراخيص لمشغلي الاتصالات الإلكترونية في الجزائر، بما في ذلك مزودو الاستضافة السحابية وتخزين البيانات. ضمن الإطار الذي أرساه القانون رقم 22-39 المؤرخ في 10 يناير 2022، تمنح ARPCE الاعتماد للمزودين السحابيين وتُراقب امتثالهم لقواعد الاستضافة.

وفقاً لـبوابة ARPCE السحابية ومتابعة state-of-algeria.dev، منحت ARPCE الاعتماد لأبرز مشغلي مراكز البيانات المحلية — بما في ذلك ISAAL وAYRADE وeBS وADEX Cloud — لتقديم الاستضافة والخدمات السحابية. هذا هو الكون المُنظَّم الذي يعمل فيه مؤسسو SaaS ومزودو الاستضافة في الجزائر.

هذه المقالة خارطة امتثال عملية للمؤسسين والمديرين التقنيين ومهندسي البنية التحتية الذين يُخططون للعمل من الجزائر، أو بيع SaaS لعملاء جزائريين، أو الشراكة مع مستضيف معتمد من ARPCE. تُوضّح الالتزامات، لا السياسة.

ثلاثية CIA مُترجَمة إلى توقعات ARPCE

في قلب مقاربة ARPCE ثلاثية أمن مألوفة — السرية والنزاهة والإتاحة — مبنية فوق قانون الاتصالات الإلكترونية ومُواءمة مع إطار حماية البيانات الشخصية (القانون 18-07 المُعدَّل بالقانون 25-11).

السرية

يجب على مشغلي قطاع الاتصالات الإلكترونية ضمان سرية البيانات التي يُعالجونها والتعاون مع السلطات المختصة. يُلزم القانون رقم 18-04 للاتصالات الإلكترونية المزودين بحماية سرية البيانات ومنع أي اعتراض غير مُصرَّح به. بالنسبة لمكدس SaaS، يُترجَم ذلك إلى:

تشفير أثناء السكون لبيانات المستأجرين (على مستوى قاعدة البيانات أو التطبيق).
TLS 1.2+ لكل حركة المرور الخارجية، وTLS متبادل للروابط الخلفية الحرجة.
تحكم في الوصول قائم على الأدوار مع فصل واضح للمسؤوليات بين المطورين والتشغيل والدعم.
إدارة المفاتيح مع سجلات تدقيق، ويُفضَّل خزنة مدعومة بعتاد للأحمال الحساسة.

النزاهة

تُغطّي النزاهة كلاً من البيانات والأنظمة التي تُعالجها. على المزودين إثبات أن البيانات لا يمكن تعديلها بصمت أثناء التخزين أو النقل، وأن تغييرات الأنظمة تَمر بعملية مُوثَّقة. ضوابط عملية:

قيود النزاهة على مستوى قاعدة البيانات وبصمات تحقق تشفيرية للكائنات عالية القيمة.
إدارة التغيير بمراجعة الأقران، والتحكم بالإصدارات، وإمكانية التراجع.
Infrastructure-as-code لبيئات قابلة للإعادة.
اختبارات نزاهة النسخ الاحتياطية (تمارين استرداد) على الأقل كل ربع سنة.

الإتاحة

الإتاحة هي المكان الذي تتقاطع فيه ARPCE بوضوح مع حماية المستهلك. مستضيف يُسقط الخدمة بانتظام يُخفق أمام زبائنه، وأيضاً أمام المنظّم. الضوابط المتوقعة:

SLAs موثّقة وأرصدة خدمة مُتوائمة مع بيانات المراقبة الفعلية.
معمارية مُتكررة عبر نطاقات الفشل (الطاقة، الشبكة، التخزين).
خطط استعادة من الكوارث مُختبَرة بأهداف RPO وRTO مُحددة.
تخطيط سعوي يسبق النمو بدل ملاحقته.

التراخيص والمنظومة

يجب أن يكون مشغّل استضافة سحابية أو تخزين بيانات في الجزائر مُعتمَداً من ARPCE. حُدِّدت رسوم إدارة الملف لترخيص الحوسبة السحابية بمبلغ 28,000 دج دون احتساب الرسوم، وفقاً لـالجدول المنشور لدى ARPCE. الحصول فعلياً على الاعتماد يستلزم إثبات قدرة المشغّل على الوفاء بقواعد الاستضافة — لا مجرد دفع الرسوم.

بالنسبة لشركة SaaS ناشئة لا تريد تشغيل مكدّس الاستضافة الخاص بها، الطريق البراغماتي هو الاعتماد على مزوّد مُعتمَد من ARPCE:

ISAAL وAYRADE وeBS وADEX Cloud — أربعة مزودين محليين ضمن منظومة ARPCE. يُعدّ AYRADE DC 1 في الرحمانية (الجزائر العاصمة) من أكثر مراكز البيانات الخاصة رسوخاً، ويستضيف أكثر من 1000 شركة.
يجب أن تتضمن العقود مع هؤلاء المزودين ضوابط الأمن والإتاحة المذكورة أعلاه كملاحق تعاقدية، لا التزامات شفهية.
يَبقى مؤسسو SaaS مسؤولين عن الطبقة التطبيقية حتى مع إسناد البنية التحتية من الباطن — فالمنظّمون ينظرون دائماً إلى تجربة العميل من طرف إلى طرف.

دمج توقعات ARPCE مع حماية البيانات

يعمل الإطار المُعدَّل لحماية البيانات (القانون 18-07 المُعدَّل بالقانون 25-11) فوق طبقة ARPCE. كما يُلخّص ذلك دليل CMS للجزائر ودليل CookieYes، على مزوّد SaaS أو استضافة متوافق أن يجمع بين النظامين:

رسم خريطة لضوابط الاستضافة مقابل توقعات ARPCE (ثلاثية CIA، التراخيص).
رسم خريطة لأنشطة المعالجة مقابل التزامات القانون 25-11 (السجل، DPO، DPIA، الإخطار).
مواءمة العقود مع العملاء: يجب أن يُسمّي عقد الاستضافة المعالِج، ويُحدد الأغراض، ويتضمن بند إخطار بالانتهاكات.
بالنسبة للتحويلات العابرة للحدود، توثيق الأساس القانوني وتطبيق الضمانات — إطار ARPCE ونقاشات إقامة البيانات يجعلان الاستضافة المحلية المسار الأبسط لبيانات العملاء الجزائريين في معظم الحالات.

إطار استعداد من أربع خطوات لمؤسسي SaaS الجزائريين

تُحدد ثلاثية CIA التوقعات التقنية لـARPCE، لكن المؤسسين يحتاجون أيضاً إلى ترتيب عمل الامتثال بالتسلسل الصحيح. الخطوات التالية تبني على بعضها: تخطّي الخطوة الثانية مع إنجاز الثالثة يُولّد ثغرات تَظهر خلال مفاوضات العقود أو المراجعات التنظيمية.

الخطوة 1: تحديد مسار الترخيص مبكراً

يستلزم ترخيص الحوسبة السحابية لدى ARPCE رسوم إدارة ملف تبلغ 28,000 دج دون احتساب الرسوم، لكن الرسوم هي أصغر جزء من القرار. السؤال الجوهري هو: هل تحمل الاعتماد مباشرةً — مع المسؤولية الكاملة عن ضوابط CIA وزمن التشغيل والإخطار بالانتهاكات — أم تبني على مزوّد معتمد (ISAAL وAYRADE وeBS وADEX Cloud) وتَرث امتثاله على مستوى البنية التحتية؟ بالنسبة لشركة SaaS ناشئة بأقل من عشرة مهندسين، البناء على مزوّد مُعتمَد هو الطريق الصحيح في الغالب: يُفوّض التزامات الاستضافة لمتخصص ويُتيح لفريق الهندسة التركيز على أمن الطبقة التطبيقية والامتثال للقانون 25-11. يجب اتخاذ هذا القرار قبل أن يطلب أول عميل مؤسسي وثائق الامتثال — لا بعده.

الخطوة 2: دمج ضوابط ARPCE والتزامات القانون 25-11 في مسار واحد

إطار حماية البيانات (القانون 18-07 المُعدَّل بالقانون 25-11) وإطار استضافة ARPCE ليسا مسارَي امتثال منفصلَين — بل يتداخلان في كل نقطة يتعامل فيها منتج SaaS مع بيانات شخصية. DPO (أو DPO خارجي مُشترَك)، وسجل أنشطة معالجة، وDPIA للمعالجة عالية المخاطر متطلبات للقانون 25-11؛ أما التشفير أثناء السكون وسجلات مراقبة الوصول والإخطار بالحوادث فضوابط CIA متوائمة مع ARPCE. معالجتهما بشكل منفصل يُضاعف عبء التوثيق. المقاربة النظيفة هي سجل امتثال واحد يَربط كل ضابط بأساسه لدى ARPCE وبأساسه في القانون 25-11، بحيث يمكن الإجابة على استبيانات العناية الواجبة للعملاء وعمليات التدقيق الأمني وطلبات المنظّم من مصدر حقيقة واحد.

الخطوة 3: اختبار الاستعادة من الكوارث قبل توقيع أي عقد مؤسسي

تتضمن توقعات إتاحة ARPCE خطط استعادة من الكوارث مُختبَرة بأهداف RPO وRTO مُحددة. لمعظم مؤسسي SaaS الجزائريين، هذا الضابط الأكثر توثيقاً والأقل اختباراً. RPO مدته أربع ساعات وRTO مدته ثماني ساعات لا يعنيان شيئاً إذا لم تُشغَّل إجراءات الاستعادة قط في ظروف مماثلة للإنتاج. أجرِ تمرين استعادة كاملاً واحداً على الأقل — من النسخة الاحتياطية إلى الحالة التشغيلية، على مجموعة بيانات مكافئة للإنتاج — قبل تقديم بيان امتثال لعميل مؤسسي. نتيجة التمرين (وقت الاستعادة، البيانات المُتحقق منها، الثغرات المُحددة) يجب أن تكون موثّقة خطياً. تبدأ فرق المشتريات المؤسسية في قطاعات البنوك والاتصالات والصناعة بطلب سجلات التمارين تحديداً بدلاً من قبول هدف RPO/RTO مُعلَن فحسب.

قائمة تحقق الامتثال للمؤسس

للمؤسس في مجال SaaS أو مشغّل استضافة جزائري يستعد لعام 2026، الإجراءات الملموسة هي:

[ ] اتخاذ قرار بالحصول على اعتماد ARPCE مباشرةً أو البناء على مزوّد مُعتمَد (ISAAL وAYRADE وeBS وADEX Cloud، إلخ).
[ ] توثيق ضوابط CIA التي يُنفّذها المنتج وتلك المُكتسَبة من المزوّد الأساسي.
[ ] تعيين DPO (أو DPO خارجي مُشترَك) وسجل أنشطة معالجة متوائم مع القانون 25-11.
[ ] تطبيق تخزين مُشفَّر، وTLS افتراضياً، وأقل الصلاحيات في جميع البيئات.
[ ] إجراء تمرين استعادة واحد على الأقل سنوياً، مع أهداف RPO/RTO موثّقة.
[ ] تضمين بنود ذات صلة بـARPCE (السرية، التعاون مع السلطات، معالجة البيانات) في كل عقد عميل ومعالِج ثانوي.
[ ] تتبع التدفقات العابرة للحدود وتوثيق الأساس القانوني لكل منها.
[ ] الانضمام إلى الجمعيات المهنية ومتابعة منشورات ARPCE وANPDP — فكثير من القواعد تُدقَّق عبر الإرشاد لا النصوص الجديدة.

تابعوا AlgeriaTech على LinkedIn للتحليلات التقنية المهنية تابعوا على LinkedIn

تابعونا @AlgeriaTechNews على X للحصول على أحدث تحليلات التكنولوجيا تابعنا على X

الأسئلة الشائعة

هل أحتاج إلى رخصة ARPCE لبيع SaaS في الجزائر؟

إذا كان SaaS الخاص بك يعمل على بنية تحتية تُشغّلها كنشاط استضافة أو تخزين بيانات، فأنت على الأرجح بحاجة إلى الحصول على اعتماد ARPCE أو الشراكة مع حامل اعتماد. إذا كنت تقدم فقط وظيفة تطبيقية فوق مزوّد مُعتمَد بالفعل، فإن ترخيص الاستضافة يَبقى لدى المزوّد، لكن SaaS الخاص بك لا يزال ملزَماً بـاحترام التزامات القانون 25-11.

ما هم مزودو السحابة الجزائريون المعتمَدون من ARPCE؟

اعتمدت ARPCE عدة مشغلي مراكز بيانات محليين — بما في ذلك ISAAL وAYRADE وeBS وADEX Cloud — لتقديم خدمات الاستضافة والسحابة. قد تتطور القائمة، لذا يجب مراجعة النشرة الحالية لـARPCE قبل الالتزام مع مزوّد.

كيف تتفاعل توجيهات ARPCE السحابية مع قانون حماية البيانات الشخصية في الجزائر؟

تُركّز ARPCE على أمن وإتاحة خدمات الاستضافة والاتصالات الإلكترونية، بينما يَحكم القانون 18-07 (المُعدَّل بالقانون 25-11) معالجة البيانات الشخصية. حين يتعامل مزوّد SaaS أو استضافة مع بيانات شخصية، يُطبَّق الإطاران معاً: ضوابط متوائمة مع ARPCE، إضافةً إلى المساءلة وDPO وDPIA والإخطار بالانتهاكات في القانون 25-11.