الخصوصية العالمية والامتثال التنظيمي

يوفر EDDI امتثالاً مدمجاً لـ GDPR و CCPA وقانون الذكاء الاصطناعي الأوروبي و HIPAA و PIPEDA و LGPD و APPI و POPIA و PDPA و6 أطر عمل إضافية — مع حذف البيانات المتتالي ومسارات التدقيق المشفرة وواجهة API موحدة.

ابدأ الآن → عرض على GitHub ↗

الامتثال بالتصميم المعماري

لا يمكن للصناعات المنظمة إضافة الامتثال إلى أنظمة الذكاء الاصطناعي بعد وقوعها. يُدمج EDDI الأسس التقنية للامتثال التنظيمي العالمي في بنية المنصة ذاتها — مسارات التدقيق غير القابلة للتغيير، وحذف البيانات المتتالي، وقيود المعالجة، والسلامة التشفيرية، والتحكم في الوصول القائم على الأدوار هي قدرات أساسية وليست إضافات. واجهة API موحدة واحدة تغطي حقوق أصحاب البيانات في كل ولاية قضائية.

أطر حوكمة الذكاء الاصطناعي

مع قيام الحكومات في جميع أنحاء العالم بتقديم تشريعات خاصة بالذكاء الاصطناعي، تحتاج المؤسسات إلى منصات توفر الشفافية والتتبع والرقابة البشرية من اليوم الأول. تلبي بنية EDDI المتطلبات التقنية الأساسية لأطر حوكمة الذكاء الاصطناعي الرئيسية.

قانون الذكاء الاصطناعي الأوروبي — الاتحاد الأوروبي

قانون الذكاء الاصطناعي الأوروبي (اللائحة 2024/1689) هو أول قانون شامل للذكاء الاصطناعي في العالم، يُرسي متطلبات قائمة على المخاطر لأنظمة الذكاء الاصطناعي. يوفر EDDI الأسس التقنية للامتثال لمتطلبات أنظمة الذكاء الاصطناعي عالية المخاطر:

مسارات تدقيق غير قابلة للتغيير — كل عملية مسجلة بسلامة تشفيرية HMAC-SHA256 (المادة 12 — حفظ السجلات)
شفافية القرار — تتبع كامل لخط الأنابيب يوضح كيفية اتخاذ قرارات الذكاء الاصطناعي، بما في ذلك اسم النموذج والموجه والاستجابة (المادة 13 — الشفافية)
الرقابة البشرية — تتيح واجهة الإدارة المراجعة البشرية والتدخل والإيقاف الطارئ (المادة 14 — الرقابة البشرية)
تصنيف المخاطر — تدعم البنية متطلبات أنظمة الذكاء الاصطناعي عالية المخاطر مع ضوابط قابلة للتكوين (المادة 9 — إدارة المخاطر)
قابلية التكرار — يتيح التكوين-كشفرة التكرار الدقيق لسلوك الذكاء الاصطناعي للتدقيق التنظيمي (المادة 17 — إدارة الجودة)
حوكمة البيانات — OIDC/Keycloak RBAC، إدارة الأسرار القائمة على الخزنة، تسجيل المدخلات/المخرجات (المادة 10 — حوكمة البيانات)

إطار إدارة مخاطر الذكاء الاصطناعي NIST — الولايات المتحدة

يوفر إطار NIST AI RMF (AI 100-1) إطاراً طوعياً لإدارة مخاطر الذكاء الاصطناعي عبر أربع وظائف: الحوكمة والتخطيط والقياس والإدارة. توفر بنية EDDI القدرات التقنية التي تدعم المؤسسات في سعيها لمواءمة NIST AI RMF:

الحوكمة (Govern) — أدوار RBAC (eddi-admin, eddi-editor, eddi-viewer)، دفتر أستاذ تدقيق غير قابل للتغيير، وتدفقات بيانات موثقة تدعم هياكل حوكمة الذكاء الاصطناعي
التخطيط (Map) — تتبع خط الأنابيب وتسجيل المحادثات يتيحان تحديد وتوثيق شامل لمخاطر الذكاء الاصطناعي
القياس (Measure) — مقاييس Prometheus وتتبع الرموز/التكاليف وتحليلات الاستخدام لكل وكيل توفر مؤشرات قابلة للقياس لأداء ومخاطر الذكاء الاصطناعي
الإدارة (Manage) — واجهة API لتقييد المعالجة، والرقابة البشرية عبر واجهة المدير، وسياسات الاحتفاظ القابلة للتكوين تتيح ضوابط تخفيف المخاطر

ISO/IEC 42001 — أنظمة إدارة الذكاء الاصطناعي

يحدد معيار ISO/IEC 42001:2023 متطلبات نظام إدارة الذكاء الاصطناعي (AIMS). يوفر EDDI القدرات التقنية التي تدعم المؤسسات في سعيها للحصول على شهادة ISO 42001:

سياسات ذكاء اصطناعي موثقة — التكوين-كشفرة يعني أن جميع سلوكيات الوكيل محددة في JSON قابل للتدقيق — القواعد وسير العمل وتكوينات LLM ووصفات النشر
تقييم المخاطر — تلتقط مسارات التدقيق تاريخ القرارات الكامل لتقييم المخاطر وتحليل الأثر
الضوابط التشغيلية — RBAC وإدارة الأسرار القائمة على الخزنة وقيود المعالجة توفر الحوكمة التشغيلية
مراقبة الأداء — مقاييس Prometheus ولوحات Grafana وقياس CQRS تتيح التقييم المستمر لأداء الذكاء الاصطناعي

لوائح خصوصية البيانات

يوفر EDDI نقاط نهاية موحدة لحقوق أصحاب البيانات تلبي المتطلبات التقنية لكل لائحة خصوصية رئيسية في العالم. واجهة API واحدة تغطي الحذف المتتالي والتصدير الكامل للبيانات وتقييد المعالجة — بغض النظر عن الولاية القضائية.

GDPR — الاتحاد الأوروبي / المنطقة الاقتصادية الأوروبية

اللائحة العامة لحماية البيانات (EU 2016/679) هي المعيار الذهبي لخصوصية البيانات. ينفذ EDDI حقوق أصحاب البيانات وفق GDPR كـنقاط نهاية API من الدرجة الأولى مدعومة بعمليات متتالية عبر جميع مخازن البيانات الخمسة:

CCPA / CPRA — كاليفورنيا، الولايات المتحدة

يمنح قانون خصوصية المستهلك في كاليفورنيا وقانون حقوق الخصوصية في كاليفورنيا المستهلكين حقوق المعرفة والحذف وإلغاء الاشتراك في بيع البيانات. يلبي EDDI المتطلبات التقنية لـ CCPA من خلال واجهة API المتوافقة مع GDPR:

حق المعرفة (§1798.100) — توفر نقطة نهاية التصدير الخاصة بـ GDPR جميع المعلومات الشخصية بصيغة منظمة وقابلة للقراءة آلياً
حق الحذف (§1798.105) — توفر نقطة نهاية المحو الخاصة بـ GDPR حذفاً متتالياً عبر جميع مخازن البيانات
عدم البيع (§1798.120) — لا يستطيع EDDI معمارياً بيع المعلومات الشخصية — فهو بنية وسيطة تحتية تعالج البيانات حصرياً نيابة عن المُنشر

PIPEDA — كندا

يحكم قانون حماية المعلومات الشخصية والوثائق الإلكترونية الكندي (2000، مُعدّل 2023) معالجة البيانات التجارية من خلال 10 مبادئ للمعلومات العادلة. تتوافق بنية EDDI مباشرة مع كل مبدأ:

المساءلة — دفتر أستاذ تدقيق موقع بـ HMAC غير قابل للتغيير يتتبع جميع العمليات
تحديد الجمع — النوافذ المدركة للرموز تحد من البيانات المرسلة إلى LLMs؛ الاحتفاظ القابل للتكوين يحذف تلقائياً المحادثات القديمة
تحديد الاستخدام/الإفصاح — تُستخدم البيانات فقط لتفاعلات الوكيل المكوّنة؛ يسجل مسار التدقيق كل استدعاء لـ LLM
الضمانات — تشفير مغلف AES-256-GCM (خزنة الأسرار)، سلامة تدقيق HMAC-SHA256، Keycloak OIDC، RBAC
الوصول الفردي — تصدير بيانات كامل عبر REST API يُرجع جميع الذكريات والمحادثات وتعيينات المحادثات المُدارة بصيغة JSON
الطعن في الامتثال — حذف متتالي عبر جميع مخازن البيانات الخمسة؛ مسار التدقيق مُستعار (غير محذوف) لالتزامات الاحتفاظ القانوني

LGPD — البرازيل

يمنح القانون العام لحماية البيانات البرازيلي (2018، ساري 2020) حقوقاً واسعة لأصحاب البيانات تعكس GDPR بشكل وثيق. يغطي EDDI جميع حقوق المادة 18 بقدرات تقنية مدمجة:

الوصول إلى البيانات (المادة 18، II) — تصدير بيانات JSON كامل
التصحيح (المادة 18، III) — ذاكرة المستخدم قابلة للتحديث عبر PUT /usermemorystore/memories
إخفاء الهوية/الحذف (المادة 18، IV) — حذف متتالي مع استعارة SHA-256 لسجلات التدقيق
قابلية نقل البيانات (المادة 18، V) — تصدير JSON قابل للقراءة آلياً يشمل جميع بيانات المستخدم
حذف البيانات غير الضرورية (المادة 18، VI) — سياسات احتفاظ قابلة للتكوين مع تنظيف تلقائي
سحب الموافقة (المادة 18، IX) — نقاط نهاية إنهاء المحادثة والحذف المتتالي توفر الآلية التقنية

APPI — اليابان

قانون حماية المعلومات الشخصية الياباني (2003، مُعدّل بشكل كبير 2022) هو أحد أنضج قوانين حماية البيانات في آسيا. تمتلك اليابان قرار كفاية من الاتحاد الأوروبي. يوفر EDDI:

التدابير الأمنية (المادة 23) — تشفير خزنة AES-256-GCM، سلامة تدقيق HMAC-SHA256، Keycloak OIDC، RBAC، حماية SSRF
الإفصاح لأصحاب البيانات (المادة 33) — تصدير بيانات كامل عبر REST API
التصحيح والحذف (المادة 34-35) — تحديثات الذاكرة للتصحيح؛ حذف متتالي للمحو
المعلومات المُستعارة (تعديل 2022) — يستخدم محو GDPR استعارة SHA-256، مما يلبي فئة المعلومات المُستعارة في APPI
توثيق النقل عبر الحدود (المادة 28) — تدفقات بيانات مزود LLM موثقة؛ يسجل مسار التدقيق أي نموذج/مزود عالج كل جولة

POPIA — جنوب أفريقيا

يُرسي قانون حماية المعلومات الشخصية في جنوب أفريقيا (2013، ساري 2021) 8 شروط لمعالجة البيانات متوافقة مع المعايير الأوروبية. يوفر EDDI قدرات تقنية مدمجة لكل شرط:

المساءلة (الشرط 1) — دفتر أستاذ تدقيق موقع بـ HMAC، تدفقات بيانات موثقة، شفرة مفتوحة المصدر Apache 2.0
تحديد المعالجة (الشرط 2) — نوافذ مدركة للرموز، احتفاظ قابل للتكوين، إنهاء تلقائي للمحادثات الخاملة
جودة المعلومات (الشرط 5) — حالة محادثة مؤرخة ومُرقّمة الإصدارات؛ ذاكرة المستخدم قابلة للتحديث عبر REST API
الضمانات الأمنية (الشرط 7) — تشفير AES-256-GCM، سلامة HMAC، Keycloak OIDC، RBAC، حماية SSRF
مشاركة أصحاب البيانات (الشرط 8) — نقاط نهاية تصدير البيانات الكامل والحذف المتتالي

PDPA — سنغافورة وتايلاند

تُعد قوانين حماية البيانات الشخصية في سنغافورة (2012، مُعدّل 2021) وتايلاند (2019، ساري 2022) أنضج أطر الخصوصية في جنوب شرق آسيا. يغطي EDDI الالتزامات التقنية لكلا الولايتين القضائيتين:

التزام الوصول — تصدير بيانات كامل عبر REST API وأدوات MCP
التزام التصحيح — ذاكرة المستخدم قابلة للتحديث عبر REST API
التزام الحماية — تشفير AES-256-GCM، سلامة تدقيق HMAC، Keycloak OIDC، RBAC
تحديد الاحتفاظ — تنظيف تلقائي قابل للتكوين مع مهلة المحادثات الخاملة
إشعار خرق البيانات — قالب كتاب تشغيل الاستجابة للحوادث مضمن في وثائق EDDI

PDPA — ماليزيا

قانون حماية البيانات الشخصية الماليزي 2010 (القانون 709، المعدل 2024) يحكم المعالجة التجارية للبيانات الشخصية من خلال 7 مبادئ لحماية البيانات. يوفر EDDI الضوابط التقنية لدعم امتثال المنشر:

المبدأ العام (§6) — سياسات الاحتفاظ القابلة للتكوين ونقطة نهاية تقييد المعالجة تدعم المعالجة المحدودة الغرض والقائمة على الموافقة
مبدأ الأمان (§9) — تشفير الخزنة AES-256-GCM، سلامة التدقيق HMAC-SHA256، Keycloak OIDC، RBAC، حماية SSRF
مبدأ الاحتفاظ (§10) — احتفاظ قابل للتكوين حسب الفئة مع تنظيف تلقائي؛ إنهاء تلقائي للمحادثات الخاملة
مبدأ سلامة البيانات (§11) — حالة محادثة مُعَنْوَنة بالإصدار مع طابع زمني؛ ذاكريات المستخدم قابلة للتحديث عبر REST API
مبدأ الوصول (§12) — تصدير كامل للبيانات عبر GET /admin/gdpr/{userId}/export يرجع جميع بيانات المستخدم كـ JSON منظم
التحويلات عبر الحدود (§129) — البنية المستضافة ذاتياً تمكن المنشرين من التحكم في إقامة البيانات؛ مسار التدقيق يوثق جميع تدفقات بيانات مزودي LLM

PIPL — الصين

قانون حماية المعلومات الشخصية الصيني (2021) هو أحد أشمل قوانين حماية البيانات في العالم، ويحكم معالجة المعلومات الشخصية للأفراد داخل الصين. يوفر EDDI البنية التحتية التقنية لعمليات النشر المتوافقة مع PIPL:

المعالجة المشروعة (المادة 13) — سلوك الوكيل المدفوع بالتكوين يضمن بقاء المعالجة ضمن الأغراض المحددة؛ واجهة تقييد المعالجة تجمد النشاط عند الطلب
الحقوق الفردية (المادة 44-49) — نقاط نهاية تصدير البيانات الكاملة والحذف المتتالي وتقييد المعالجة تغطي حق المعرفة والنسخ والتصحيح والحذف والتقييد
أمن البيانات (المادة 51) — تشفير الخزنة AES-256-GCM، سلامة التدقيق HMAC-SHA256، Keycloak OIDC، RBAC، صفر eval()
التحويلات عبر الحدود (المادة 38-39) — البنية المستضافة ذاتياً تمكن النشر المحلي داخل الصين؛ مسار التدقيق يوثق جميع تدفقات البيانات الخارجية لتقييمات الأمان
اتخاذ القرار الآلي (المادة 24) — مسارات تدقيق غير قابلة للتغيير مع تتبع كامل لخط الأنابيب توفر الشفافية في اتخاذ قرارات الذكاء الاصطناعي؛ إشراف بشري عبر واجهة الإدارة
الاحتفاظ بالبيانات (المادة 19) — سياسات احتفاظ قابلة للتكوين مع تنظيف تلقائي تفرض فترات تخزين ضرورية كحد أدنى

ولايات قضائية إضافية

UK GDPR (المملكة المتحدة) — يعكس بشكل جوهري GDPR الأوروبي؛ تلبي نقاط نهاية GDPR في EDDI جميع حقوق أصحاب البيانات وفق UK GDPR. إشراف ICO.PIPA (كوريا الجنوبية) — متطلبات موافقة صارمة، DPO إلزامي، إشعار بالخرق خلال 72 ساعة. يوفر EDDI البنية التحتية التقنية للتدقيق والمحو.DPDPA (الهند، 2023) — إطار قائم على الموافقة مع قيود عبر الحدود. تلبي نقاط نهاية التصدير والمحو في EDDI متطلبات قانون حماية البيانات الشخصية الرقمية.Privacy Act + APPs (أستراليا) — 13 مبدأً أسترالياً للخصوصية. تغطي مسارات التدقيق وتصدير البيانات في EDDI الالتزامات التقنية.قوانين الولايات على نمط CCPA (فرجينيا VCDPA، كولورادو CPA، كونيتيكت CTDPA، إلخ) — تلبي واجهة API المتوافقة مع GDPR/CCPA جميع قوانين الخصوصية الناشئة في الولايات الأمريكية.

الامتثال الخاص بالصناعة

HIPAA — الرعاية الصحية في الولايات المتحدة

يُرسي قانون قابلية نقل التأمين الصحي والمساءلة ضمانات للمعلومات الصحية المحمية (PHI). يوفر EDDI البنية التحتية التقنية لعمليات نشر الذكاء الاصطناعي المتوافقة مع HIPAA:

ضوابط الوصول (§164.312(a)) — Keycloak OIDC مع وصول قائم على الأدوار (eddi-admin, eddi-editor, eddi-viewer)
ضوابط التدقيق (§164.312(b)) — دفتر أستاذ تدقيق غير قابل للتغيير موقع بـ HMAC يسجل كل عملية مع الطوابع الزمنية ومعرّفات المستخدمين والنتائج
ضوابط السلامة (§164.312(c)) — كشف التلاعب HMAC-SHA256 على جميع إدخالات التدقيق
أمن النقل (§164.312(e)) — TLS للنقل؛ AES-256-GCM للأسرار في حالة السكون عبر خزنة الأسرار
التخلص من البيانات (§164.310(d)(2)(i)) — نقطة نهاية الحذف المتتالي لـ GDPR تزيل PHI نهائياً عبر جميع مخازن البيانات
قالب BAA — قالب اتفاقية شريك الأعمال مضمن في وثائق EDDI لعمليات نشر الرعاية الصحية

جاهزية SOC 2

يقيّم SOC 2 Type II الأنظمة وفق معايير خدمات الثقة. توفر بنية EDDI ضوابط تقنية تدعم المؤسسات في سعيها للحصول على شهادة SOC 2:

الأمان — مصادقة OIDC/Keycloak، RBAC، خزنة الأسرار (AES-256-GCM)، صفر eval()، حماية اجتياز المسار، التحقق من URL
التوافر — توسع أفقي عبر NATS JetStream، دعم قاعدة بيانات مزدوجة (MongoDB/PostgreSQL)، نشر أصلي على Kubernetes
سلامة المعالجة — دفتر أستاذ تدقيق غير قابل للتغيير موقع بـ HMAC مع التحقق من السلامة التشفيرية لكل عملية
السرية — مرشح تنقيح الأسرار يزيل مفاتيح API ومراجع الخزنة من إدخالات التدقيق؛ تسجيل آمن لـ PII مع أسماء مستعارة SHA-256
الخصوصية — واجهة API كاملة لحقوق أصحاب البيانات (المحو، التصدير، التقييد)، احتفاظ قابل للتكوين، ضوابط تقييد المعالجة

واجهة API واحدة للامتثال العالمي

كل لائحة خصوصية مذكورة أعلاه تُخدم بواسطة نفس واجهة REST API الموحدة وأدوات MCP. سواء كنت تستجيب لطلب محو GDPR في ألمانيا، أو طلب حذف CCPA في كاليفورنيا، أو طلب وصول PDPA في سنغافورة — نفس النقاط النهائية تتعامل مع كل شيء:

DELETE /admin/gdpr/{userId} — حذف متتالي عبر 5 مخازن بيانات (ذاكرة المستخدم، المحادثات، التعيينات المُدارة، السجلات، إدخالات التدقيق)

GET /admin/gdpr/{userId}/export — تصدير بيانات المستخدم الكاملة بصيغة JSON منظمة (الذكريات، المحادثات، سجلات التدقيق)

POST /admin/gdpr/{userId}/restrict — تجميد المعالجة مع الحفاظ على البيانات لحل النزاعات

MCP: delete_user_data — حذف متتالي مُنسق بالذكاء الاصطناعي (يتطلب تأكيداً صريحاً)

MCP: export_user_data — تصدير بيانات مُنسق بالذكاء الاصطناعي لسير عمل DSAR الآلي

مبني للصناعات المنظمة في جميع أنحاء العالم

يمكن لقطاعات الرعاية الصحية والخدمات المالية والحكومة والتصنيع والقطاعات المنظمة الأخرى نشر EDDI بثقة. توفر المنصة الشفافية والقابلية للتدقيق وآليات التحكم المطلوبة من أكثر من 15 إطاراً تنظيمياً — من قانون الذكاء الاصطناعي الأوروبي وGDPR في أوروبا إلى HIPAA في الولايات المتحدة وPIPEDA في كندا وLGPD في البرازيل وAPPI في اليابان وPOPIA في جنوب أفريقيا وPDPA في جنوب شرق آسيا. الامتثال ليس فكرة لاحقة — إنه أساس معماري.