المدونة · 21 مايو 2026

بناء سجل تدقيق متوافق مع DORA باستخدام Didit Webhooks (AR)

تتوقع DORA من الشركات المالية تقديم دليل على ما حدث، ومتى، ولمن عبر أنظمة تكنولوجيا المعلومات والاتصالات الخاصة بها. إليك كيفية بناء سجل تدقيق مقاوم للتلاعب من خلال Webhooks التحقق من Didit – مع مثال JSON عملي.

بواسطة Didit21 مايو 2026تحديث 21 مايو 2026

يطرح قانون المرونة التشغيلية الرقمية (DORA) على الكيانات المالية سؤالاً صعباً بشكل مخادع: هل يمكنك إثبات ما حدث؟ عندما يحقق المشرف في حادثة، أو عندما يقوم المدقق بأخذ عينات من ضوابطك، أو عندما يطعن عميل في قرار الإعداد، فإنك تحتاج إلى سجل — كامل، ومختوم بالوقت، ومقاوم للتلاعب — لكل حدث في أنظمة تكنولوجيا المعلومات والاتصالات (ICT) الخاصة بك. التحقق من الهوية هو أحد تلك الأنظمة، وهو يولد بالضبط الأحداث التي تحتاج إلى التقاطها.

هذه المقالة هي المقالة العملية: كيفية تحويل Webhooks التحقق والمعاملات من Didit إلى سجل تدقيق جاهز لـ DORA، وماذا يجب تخزينه، وكيفية جعله صامداً أمام التدقيق. يتضمن مثال Webhook عملي يمكنك البناء عليه اليوم.

النقاط الرئيسية

تتوقع DORA أدلة — سجل موثوق به لأحداث تكنولوجيا المعلومات والاتصالات للاستجابة للحوادث، واختبار المرونة، والمراجعة الإشرافية.
يرسل Didit أحداث webhook عند كل تغيير مهم للحالة: status.updated، data.updated، transaction.status.updated، و business.status.updated.
كل حدث هو حقيقة منفصلة ومختومة بالوقت تقوم بإلحاقها بسجل غير قابل للتغيير — اللبنة الأساسية لسجل التدقيق.
تحقق من توقيع كل webhook، وقم بتخزين الحمولة الأولية، ولا تعدل سجلاً مسجلاً مطلقًا — قاعدة الإلحاق فقط هي القاعدة.
تدعم ضوابط Didit نفسها السجل: SOC 2 Type 1 (ATOM)، ISO/IEC 27001:2022 (شهادة رقم ES144068)، و iBeta Level 1 PAD — ضمان على مستوى البائع لسجل الطرف الثالث لتكنولوجيا المعلومات والاتصالات الخاص بك.
تفي النتيجة بكل من سجل ما حدث الذي تريده DORA وإثبات من هذا الذي يدعم التحكم في الوصول.

ما يتطلبه المعيار

تستند DORA إلى خمس ركائز: إدارة مخاطر تكنولوجيا المعلومات والاتصالات، والإبلاغ عن الحوادث، واختبار المرونة التشغيلية الرقمية، وتبادل المعلومات، وإدارة مخاطر الطرف الثالث لتكنولوجيا المعلومات والاتصالات. سجل التدقيق هو النسيج الرابط بينها. على وجه التحديد، تحتاج الكيانات المالية إلى:

اكتشاف وتسجيل والإبلاغ عن الحوادث المتعلقة بتكنولوجيا المعلومات والاتصالات — مما يفترض وجود سجل مفصل بما يكفي لإعادة بناء ما حدث.
اختبار المرونة، بما في ذلك القدرة على تتبع المعاملات والأحداث عبر النظام.
إدارة مخاطر الأطراف الثالثة، بما في ذلك السجلات التي تأتي من مزود مثل بائع التحقق من الهوية.
الاحتفاظ بالسجلات في شكل يمكن للمشرفين طلبه والاعتماد عليه.

تتبع المتطلبات الضمنية لسجل تدقيق قابل للاستخدام من هذا: يجب أن تكون الأحداث كاملة (لا توجد فجوات صامتة)، دقيقة (مخلصة لما حدث)، مرتبة زمنياً (بأختام زمنية موثوقة)، قابلة للإسناد (مرتبطة بموضوع وممثل)، و مقاومة للتلاعب (يمكنك إظهار أن السجل لم يتم تعديله بعد الحقيقة).

لماذا يهم

عندما تحدث حادثة — اختراق حساب مشتبه به، أو تحقق متنازع عليه، أو معاملة معلمة — فإن الفرق بين حدث محتوي ومشكلة تنظيمية غالبًا ما يكون جودة سجلاتك. يتيح لك السجل الكامل إعادة بناء التسلسل، وإثبات أن ضوابطك عملت كما هو مصمم، وإظهار للمشرف أنك تعاملت مع الأمر بشكل صحيح. السجل المتذبذب يتركك تخمن، ويترك المشرف غير مقتنع.

تعتبر أحداث الهوية ذات قيمة عالية هنا لأنها تقع عند حدود النظام: اللحظة التي يتم فيها التحقق من شخص، أو إعادة التحقق منه، أو تغيير حالته هي بالضبط اللحظة التي تريد تسجيلها أكثر من غيرها. إن التقاط تلك الأحداث فور حدوثها — بدلاً من إعادة بنائها لاحقًا من سجلات التطبيق — هو ما يحول "نعتقد أن هذا ما حدث" إلى "هذا ما حدث".

كيف تساعد Didit

يرسل Didit webhook لكل انتقال حالة في جلسة تحقق أو معاملة أو عمل. أنت لا تستعلم؛ تتلقى حدثًا موقعًا لحظة حدوث أي تغيير.

الحدث	يحدث عندما	قيمة التدقيق
`status.updated`	تتغير حالة جلسة التحقق (مثل إلى `Approved`، `Declined`، `In Review`)	يسجل القرار وتوقيته
`data.updated`	تتغير البيانات التي تم التحقق منها في الجلسة	يسجل ما تم التقاطه/تغييره
`transaction.status.updated`	تتغير حالة معاملة مراقبة	يسجل قرارات المراقبة وحلول المحللين
`business.status.updated`	تتغير حالة كيان عمل KYB (`ACTIVE`/`FLAGGED`/`BLOCKED`)	يسجل نتائج إعداد العمل

كل حدث هو حقيقة مستقلة بذاتها. مهمتك هي التحقق منه، وتخزينه كبيانات خام، وعدم تغييره أبدًا. تشكل هذه الأحداث معًا سجلًا إلحاقيًا فقط لكل ما قامت به Didit نيابة عنك — سجل التدقيق الذي تريده DORA لشريحة التحقق من الهوية في ملكية تكنولوجيا المعلومات والاتصالات الخاصة بك.

ولأن Didit نفسها معتمدة — SOC 2 Type 1 (ATOM، اعتبارًا من 2026-04-09)، ISO/IEC 27001:2022 (Bureau Veritas، شهادة رقم ES144068، صالحة حتى 2027-06-03)، و iBeta Level 1 PAD — فإن المزود وراء تلك الأحداث يحمل دليله الخاص لسجل الطرف الثالث لتكنولوجيا المعلومات والاتصالات الخاص بك والمتوافق مع DORA.

تعمق: تحويل webhook إلى سجل تدقيق

إليك status.updated webhook لجلسة تحقق تم حلها للتو إلى Approved:

{
  "event": "status.updated",
  "session_id": "sess_7b21e0c4",
  "vendor_data": "user_4521",
  "status": "Approved",
  "previous_status": "In Review",
  "workflow_id": "wf_kyc_eu_substantial",
  "checks": {
    "id_verification": "passed",
    "passive_liveness": "passed",
    "face_match": "passed"
  },
  "created_at": "2026-05-21T10:32:04Z",
  "signature": "t=1747824724,v1=9f86d081884c7d659a..."
}

لتحويل ذلك إلى سجل تدقيق جاهز لـ DORA، قم بأربعة أشياء عند الاستلام:

تحقق من التوقيع. أعد حساب HMAC على نص الطلب الخام باستخدام سر توقيع نقطة النهاية الخاصة بك وقارنه برأس signature قبل أن تثق في الحمولة. ارفض أي شيء يفشل — لا يمتلك الحدث غير المتحقق منه أي قيمة إثباتية.
قم بتخزين الحمولة الخام حرفياً. احتفظ بالبايتات الدقيقة التي تلقيتها، جنبًا إلى جنب مع طابع استيعابك الزمني. لا تقم بالتوحيد أو إعادة التشكيل قبل التخزين؛ الحدث الخام هو الدليل.
الإلحاق، لا التحديث أبدًا. اكتب إلى مخزن إلحاقي فقط (أو جدول بدون صلاحيات UPDATE/DELETE لدور التطبيق). إذا حل حدث لاحق محل حدث سابق، فاكتب صفًا جديدًا يشير إلى session_id القديم — لا تقم بالكتابة فوقه أبدًا.
اجعله مقاومًا للتلاعب. قم بتجزئة كل سجل وربط التجزئة في السجل التالي (يخزن كل صف تجزئة الصف السابق)، أو اكتب إلى مخزن يكتب مرة واحدة. الآن يمكنك إثبات أن السجل لم يتم تعديله بعد الحقيقة.

النتيجة هي دفتر أستاذ زمني، قابل للإسناد، ومقاوم للتلاعب: لأي session_id يمكنك إعادة تشغيل كل تغيير في الحالة، ومعرفة أي الفحوصات نجحت، وإظهار بالضبط متى تم اتخاذ القرار — وإثبات أن السجل لم يتم المساس به منذ ذلك الحين. هذا هو المعيار الذي يبحث عنه المشرف أو المدقق، وهو نفس النمط الذي ستطبقه على transaction.status.updated لقرارات المراقبة و business.status.updated لنتائج KYB.

حالات الاستخدام

البنوك والمؤسسات المالية الإلكترونية التي تبني سجل أحداث تكنولوجيا المعلومات والاتصالات المتوافق مع DORA والذي يتضمن قرارات الهوية.
مزودو خدمات الأصول المشفرة (VASPs) الذين يجب عليهم إثبات قرارات الإعداد ومراقبة المعاملات للمشرفين.
فرق الامتثال التي تستعد لاختبار المرونة الذي يتتبع الأحداث من البداية إلى النهاية.
فرق الهندسة التي تستبدل الاستعلامات الهشة باستيعاب الأحداث الموقعة والإلحاقية فقط.

الأسئلة المتداولة

ما هي أحداث Webhook التي يجب أن ألتقطها لسجل التدقيق؟

على الأقل status.updated و data.updated لعمليات التحقق؛ أضف transaction.status.updated لمراقبة المعاملات و business.status.updated لـ KYB. التقط كل حدث — الاكتمال هو الهدف.

هل أحتاج إلى التحقق من توقيعات Webhook؟

نعم. يمكن تزوير Webhook غير المتحقق منه وليس له وزن إثباتي. أعد حساب التوقيع على النص الخام للطلب وارفض عدم التطابق قبل التسجيل.

لماذا الإلحاق فقط؟ ألا يمكنني فقط تحديث سجل عندما تتغير الحالة؟

تقدر DORA مقاومة التلاعب. إذا قمت بالكتابة فوق السجلات، فلا يمكنك إثبات أن التاريخ لم يتم تعديله. يؤدي إلحاق حدث جديد لكل تغيير إلى الحفاظ على التسلسل الكامل والقابل للإثبات.

هل يلبي التقاط أحداث Didit جميع متطلبات DORA؟

لا — DORA واسعة النطاق. تغطي أحداث Didit شريحة التحقق من الهوية والمراقبة في ملكية تكنولوجيا المعلومات والاتصالات الخاصة بك. ستجمعها مع السجلات من بقية أنظمتك للحصول على سجل كامل.

هل لدى Didit شهاداتها الخاصة لسجل الطرف الثالث لـ DORA؟

نعم — SOC 2 Type 1 (ATOM)، ISO/IEC 27001:2022 (شهادة رقم ES144068، صالحة حتى 2027-06-03)، و iBeta Level 1 PAD، كلها متاحة لدعم العناية الواجبة للبائع الخاص بك.

هل أنت مستعد للبدء؟

راجع شهادات Didit في مركز الثقة، واقرأ تفاصيل تكامل Webhook في الوثائق، وراجع التسعير الشفاف في صفحة التسعير. عندما تكون جاهزًا، ابدأ مجانًا — 500 عملية تحقق KYC مجانية كل شهر، مع تدفق تحقق أساسي يبدأ من 0.33 دولار.