يستخدم بروتوكول الإشارة الضوئية TLP لتصنيف المعلومات وآلية مشاركة واستخدام هذه المعلومات، ويضم البروتوكول أربعة ألوان (إشارات ضوئية) تفصيلها كالتالي:
تنطبق السياسة الأمنية على كافة الأطراف المشاركة في إنشاء وتطوير وتشغيل التطبيق الوطني بعنوان (شلونك)، التطبيق مقدم من قبل الجهاز المركزي لتكنولوجيا المعلومات وشركة زين تلبية لمتطلبات وزارة الصحة الخاصة، وسيخضع لإشراف وإدارة وزارة الصحة الكويتية بالتعاون مع الجهاز المركزي لتكنولوجيا المعلومات، في حين أنه سيتم استضافة التطبيق بشكل كامل تحت حساب الهيئة العامة للاتصالات وتقنية المعلومات في الحوسبة السحابية (Microsoft Azure) وتلتزم الهيئة بتوفير المصادر السحابية المطلوبة لتشغيل النظام وحمايته على الحوسبة السحابية.
وكما أوصى الجهاز المركزي بتمكين شركة زين من إدارة تلك المصادر والقيام بعمليات التطوير والتشغيل وإدارة الاستضافة السحابية للنظام تحت مظلة الهيئة العامة للاتصالات وتقنية المعلومات، وكما تلتزم شركة زين بتقديم الدعم الفني اللازم لوزارة الصحة لتشغيل النظام بالأسلوب الأمثل فنيا وعمليا وإدارة كافة البيانات والمعلومات الخاصة بالنظام والمسجلين فيه وإجراء كافة عمليات الاختبار اللازمة لقياس دقة وظيفة التتبع ومعرفة المخالطين وتعزيزها وتطويرها مراعاة جوانب الأمن السيبراني وحماية الخصوصية ووفقا للضوابط الأمنية الصادرة من الهيئة لهذا الغرض وذلك خلال فترة أزمة كرونا.
1. أن كافة البيانات المسجلة في التطبيق ستستخدم فقط لأغراض تتبع الحالات المرتبطة بانتشار فايروس كورونا COVID-19.
2. تقوم وزارة الصحة بالحصول على موافقة المستخدم وقبوله بجميع شروط والتزامات التطبيق أثناء عملية التسجيل من خلال الضغط على زر الموافقة (الموافقة الالكترونية)، وبموجبه تلتزم الوزارة مع الحفاظ على سرية البيانات وعدم استخدامها لغير أغراض التطبيق، وفي حال ان اضطرت وزارة الصحة لاستخدامها لجهات أخرى فيتوجب عليها أخذ موافقة مسبقة من المستخدم.
3. تطبق الموافقة الالكترونية على استخدام التطبيق ووفقا للأنظمة والأحكام الخاصة به على كافة المواطنين والمقيمين الذين تنطبق عليه شروط الحجر المنزلي و/ أو المؤسسي. يقوم التطبيق بالحصول على موافقة صريحة من قبل ولي أمر القاصر اقل من ١٨ سنة بالتزامه بأحكام الحجر المنزلي او المؤسسي مع اتاحة التقنيات المتاحة للتحقق من سن المستخدم.
6. تلتزم وزارة الصحة وشركة زين بتوفير كافة التدابير الأمنية المناسبة لحماية المعلومات الشخصية لأي شخص ضد الضرر أو الإفصاح أو استبدال البيانات أو المعلومات بأخرى غير صحيحة أو إضافة معلومات غير صحيحة.
7. تقوم وزارة الصحة بإتلاف البيانات الشخصية حال انتهاء الغرض منها مع صاحب البيانات.
ثانيا: ضوابط عمل التطبيق
1. يعمل التطبيق باستخدام تقنيات لتحديد موقع المستخدم مثل الموقع الجغرافي GPS والبلوتوث Bluetooth للتعرف على المسافة بين الأشخاص في الحجر المنزلي/ المؤسسي وذلك بغرض التأكد من عدم مخالطتهم للأشخاص.
2. يقوم التطبيق وبموافقة المستخدم بتخزين بيانات شبكة الهاتف أو شبكة WIFI والموقع الجغرافي GPS للمستخدم.
3. لا يسمح التطبيق بالكشف عن هوية وبيانات المستخدم للأشخاص القريبين والمتصل فيهم من خلال البلوتوث.
4. يتم انشاء رمز تعريفي مؤقت للمستخدم أثناء التسجيل في التطبيق ويقرنه ببيانات الشخص المسجلة في الهيئة العامة للمعلومات المدنية، تخزن هذه البيانات بعد تشفيرها في قاعدة بيانات لا يمكن الوصول اليها الا من خلال وزارة الصحة.
5. يتم استخدام الرمز التعريفي المؤقت للمستخدمين وتبادله من خلال البلوتوث، ولا يكشف عن هوية المستخدم أو الشخص المتصل به حفاظا على خصوصية المستخدمين.
6. لا يسمح التطبيق لأية تطبيقات من الطرف الثالث بجمع أو متابعة بيانات المستخدم.
7. يقوم التطبيق بجمع بيانات حول جهاز المستخدم والتطبيق لأغراض تتعلق فيي تحسين أداء التطبيق.
8. تحفظ البيانات الشخصية للمستخدم في هاتفه، ويسمح بإرسال البيانات الى وزارة الصحة من خلال التطبيق.
9. تقوم وزارة الصحة وشركة زين بإلغاء التطبيق في نهاية خطة الطوارئ فايروس كورونا COVID-19، كما تختص وزارة الصحة بتحديد المدة الزمنية اللازمة للاحتفاظ ببيانات المستخدمين بعد الغاء حسابهم في التطبيق، وذلك بما يتناسب مع الامكانيات الفنية لدى شركة زين.
ثالثا: ضوابط التسجيل واستخدام التطبيق
1. يعمل التطبيق بعد الحصول على موافقة المستخدم على كافة شروط وأحكام وسياسة الاستخدام الخاصة بالتطبيق والتي تعد بمثابة إقرار منه بأنه قد قام بقراءة وفهم هذه الشروط والأحكام، وأنه يوافق عليها وعلى الالتزام بها.
2. تعتبر هذه الشروط والأحكام بمثابة اتفاق قانوني ملزم فيما بين المستخدم ووزارة الصحة، بالإضافة الى اعتباره اتفاق قانوني وتنظيمي فيما بين كافة الاطراف القائمة على هذا التطبيق، وفيما بين المستخدمين بعضهم البعض سواءً كان هذا المستخدم شخصاً طبيعياً أو شخصاً اعتبارياً.
3. يجوز لوزارة الصحة تغيير أي من الشروط والأحكام متى ما تطلبت الحاجة لذلك دون الرجوع إلى موافقة المستخدم ويتعين على المستخدم الاطلاع عليها بشكل دوري طوال فترة استخدام التطبيق.
4. يقوم التطبيق بالتواصل من خلال تقنية البلوتوث والموقع الجغرافي GPS وبغرض جمع بيانات لتتبع المستخدم، مما يحتم على المستخدم السماح للتطبيق بتشغيل هذه التقنيات.
رابعا: ضوابط عمل الأطراف المشاركة في إنشاء وتطوير وتشغيل التطبيق
1. تقوم الهيئة العامة للاتصالات وتقنية المعلومات باستضافة التطبيق بشكل كامل تحت حسابها في الحوسبة السحابية (Microsoft Azure) وتلتزم الهيئة بتوفير المصادر السحابية المطلوبة لتشغيل التطبيق بكافة مصادره وحمايته على الحوسبة السحابية.
2. تقوم شركة زين بإدارة الاستضافة السحابية (Microsoft Azure) للتطبيق والقيام بعمليات التطوير والتشغيل وتحت مظلة الهيئة العامة للاتصالات وتقنية المعلومات.
3. تلتزم شركة زين بتقديم الدعم الفني اللازم لوزارة الصحة لتشغيل التطبيق بالأسلوب الأمثل فنيا وعمليا وحل كافة المشاكل التي تطرأ عليه وتحسين وظائفه وذلك خلال فترة أزمة كرونا بمدة لا تقل عن 120 يوم ويمكن أن تجدد بناء على التعليمات الصادرة عن وزارة الصحة وبموافقة شركة زين.
4. تلتزم شركة زين بإدارة كافة البيانات والمعلومات الخاصة بالنظام والمسجلين فيه وإجراء كافة عمليات الاختبار اللازمة لقياس دقة وظيفة التتبع ومعرفة المخالطين وتعزيزها وتطويرها.
5. تلتزم كل من شركة زين ووزارة الصحة بمراعاة جوانب الأمن السيبراني وحماية الخصوصية ووفقا لهذه السياسة الأمنية الصادرة من الهيئة لهذا الغرض وذلك خلال فترة خطة طوارئ كورونا.
6. أن الملكية الفكرية للتطبيق كالبرمجيات الخاصة به والأجهزة المستخدمة وكافة المسائل والأمور الفنية والتقنية والتكنولوجية مملوكة لشركة زين، أما البيانات والمعلومات التي سيقوم المستخدم بإدخالها في هذه التطبيق فهي خاصة بوزارة الصحة فقط، ويحق للوزارة لاحقا وبعد تجهيز بيئة التشغيل المناسبة بالطلب من شركة زين والجهاز المركزي لتكنولوجيا المعلومات بنقل النظام إلى مركز بيانات الوزارة وذلك بناءاً على اتفاق لاحق بهذا الشأن.
7. يحق لوزارة الصحة طلب نسخة من النظام(back-office ) وكافة البيانات(DB) وذلك في نهاية عمل التطبيق، على أن تقوم شركة زين والهيئة العامة للاتصالات وتقنية المعلومات بتسليم نسخة من النظام.
8. تقوم شركة زين بإنشاء مركز عمليات لمتابعة نظام وتطبيق شلونك يحتوي على أجهزة إتصال إنترنت وأجهزة هاتفية وأجهزة حاسوب محمولة وبالتنسيق مع وزارة الصحة.
9. تقوم الهيئة للاتصالات وتقنية المعلومات بالتنسيق مع وزارة الصحة والجهاز المركزي لتكنولوجيا المعلومات بتحديد صلاحيات الدخول على النظام وقواعد البيانات الخاصة بمستخدمي التطبيق.
10. تقوم وزارة الصحة وبالتنسيق مع شركة زين بالمراجعة الدورية لصلاحيات الدخول والصلاحيات المستخدمة للعمل على النظام وبالاستعانة بالهيئة العامة للاتصالات وتقنية المعلومات ان لزم الأمر، وذلك بعد اعتماد الإجراءات اللازمة لهذه الصلاحيات فيما بين وزارة الصحة والأطراف الأخرى المشاركة.
11. تقوم كل من وزارة الصحة وشركة زين باستخدام خاصية المصادقة المتعددة (Multi factor Authentication) للدخول على قاعدة بيانات النظام.
12. يقوم الموظفون المخولون بالدخول من شبكة المنزل سواء من وزارة الصحة أو شركة زين بالعمل وفقا للضوابط الأمنية للعمل عن بعد الصادرة من الهيئة العامة للاتصالات وتقنية المعلومات.
13. يلتزم العاملين على البيانات بعدم طباعة البيانات الخاصة بالنظام نهائيا.
14. تقوم وزارة الصحة أو الجهاز المركزي لتكنولوجيا المعلومات بإبلاغ المختصين بالهيئة العامة للاتصالات وتقنية المعلومات وشركة زين عن أي تهديد أو اختراق الكتروني.
15. لا يلزم في حال تم حدوث اختراق الكتروني إبلاغ صاحب البيانات إذا ما تم اتخاذ تدابير الحماية الفنية، وتم تطبيق هذه التدابير على البيانات الشخصية المتأثرة بحدوث الاختراق، أو تم اتخاذ التدابير اللاحقة التي تكفل عدم ارتفاع المخاطر على حقوق وحريات الأشخاص أصحاب البيانات.
16. تقوم شركة زين بتفعيل سجلات الأحداث Event logs على الأجهزة المحمولة وأجهزة الخدمة الرئيسية المستخدمة في الدخول على النظام ومراجعتها بصورة دورية وبالاستعانة بالهيئة العامة للاتصالات وتقنية المعلومات أن لزم الأمر.
17. تقوم شركة زين بالاحتفاظ بسجلات أنشطة المعالجة وأن تتضمن السجلات كافة المعلومات المطلوبة (مثل اسم وبيانات الاتصال، أغراض معالجة البيانات، وصف فئات أصحاب البيانات وفئات البيانات الشخصية الأخرى) ووفقا للمدة التي سيتم الاتفاق عليها لاحقا مع وزارة الصحة ومدى توافقها مع الامكانيات الفنية لدى زين، وبالاستعانة بالهيئة العامة للاتصالات وتقنية المعلومات أن لزم الأمر.
18. ستقوم شركة زين باتخاذ كافة التدابير اللازمة لضمان مستوى الحماية والخصوصية المناسبة للبيانات بما في ذلك الأمور التالية:
- ضمان السرية المستمرة للتطبيق والبيانات المخزنة.
-
- استعادة التوافر والوصول إلى البيانات الشخصية في الوقت المناسب في حالة وقوع قوه قاهره.
-
- اختبار وتقييم فعالية التدابير الأمنية والتقنية.
19. ستقوم شركة زين وبالتنسيق مع الهيئة العامة للاتصالات وتقنية المعلومات بتأمين البيانات من التدمير العرضي أو غير القانوني أو الفقد أو التغيير أو الكشف غير المصرح به أو الوصول إلى البيانات الشخصية المرسلة أو المخزنة.
20. تلتزم كافة الأطراف بالالتزام بأية قواعد أو توجيهات من قبل الهيئة العامة للاتصالات وتقنية المعلومات فيما يتعلق باستمرارية الأعمال، والتعافي من الكوارث، وإدارة المخاطر
21. تطبق كافة الأطراف سياسات واجراءات داخلية تضمن حماية النظام وخصوصية البيانات.
22. تقوم شركة زين بوضع اجراءات داخلية لتلقي الشكاوى ودراستها على مدار الساعة، وطلبات الوصول للبيانات، وطلبات تصحيحها أو حذفها.
