في العام الماضي أرسل لنا أحد عملائنا استبياناً من فريق الأمن لديه يقع في أربع وأربعين صفحة. وكان من بين الأسئلة هذا السؤال: "هل يحوز مزوّد البرمجيات على شهادة ISO 27001 أو ما يعادلها؟" وإن كان الجواب لا، فلا داعي لمواصلة القراءة.
اليوم الجواب نعم. ففي الحادي والعشرين من أبريل عام 2026 حصلت Odoo SA على شهادة ISO/IEC 27001:2022. وهذه هي النسخة الحالية من المعيار، والتي حلّت محل نسخة 2013 التي لا تزال راسخة في أذهان كثيرين؛ والفرق ليس شكلياً، والمدققون الجادون باتوا يفحصون أكثر فأكثر السنة المحددة على الشهادة. وأجرت التدقيق شركة SGS، وهي إحدى أكبر هيئات الاعتماد في العالم، وختمها نادراً ما يستدعي أسئلة مضادة.
ثمة توضيح مهم يضيع عادةً في النقل: شمل التدقيق Odoo SA ككل، وليس فقط منصة الاستضافة. وأشار المدققون تحديداً إلى نضج إدارة النسخ الاحتياطي، وضبط الوصول المنطقي، ودورة التطوير الآمن (Secure Development Lifecycle)، وثقافة الوعي الأمني بين الموظفين، والالتزام الشخصي للإدارة التنفيذية. وبالنسبة لمسؤول الامتثال، هذه إشارة جوهرية: الأمن مدمج في الحمض النووي للمؤسسة، لا محصور في فريق واحد أو منتج واحد.
في الظاهر هذه مجرد اختصار آخر في بيان صحفي. أما عملياً، فهي السطر الذي بدونه لا تُغلق صفقات Enterprise في البنوك، وشركات التأمين، والمجموعات التعليمية، وكل جهة تملك فيها إدارة الأمن حق النقض.
ما هي ISO 27001 في الواقع
كثيراً ما يوصف المعيار بصورة مجردة: "إدارة أمن المعلومات". وبحلول الصفحة الخامسة عشرة يكون القارئ قد غرق. وإن أزلنا الضباب، يبقى أمر بسيط: ISO 27001 ليست عن التقنية، بل عن العملية. تؤكد الشهادة أن المزوّد لم "يقرر حماية البيانات بشكل صحيح" فحسب، بل بنى منظومة تفعل ذلك بصورة قابلة للتكرار: بسياسات، وقياسات، وتدقيق خارجي منتظم. التدابير التقنية (التشفير، إدارة الوصول، السجلات) موجودة داخل الشهادة أيضاً، لكنها ثانوية. الأساسي هو التعامل مع الأمن بوصفه عملية هندسية لا تنهار حين يغادر شخص محوري الشركة.
من المفيد التمييز بين ISO 27001 ومفهومين قريبين كثيراً ما يُخلط بينهما في الأحاديث:
- SOC 2 معيار أمريكي التوجه موجّه لمزوّدي الخدمات. تحوز Odoo.sh على هذه الشهادة، وهي تخص طبقة الاستضافة تحديداً.
- الامتثال للائحة GDPR هو امتثال قانوني، وليس تدقيقاً على العمليات.
أما ISO 27001 فهي دولية، ومعترف بها في الاتحاد الأوروبي والمملكة المتحدة والإمارات واليابان ومعظم الأنظمة القانونية الأخرى التي يعمل فيها عملاؤنا.
ماذا يكسب عميل Rteam عملياً
حين نساعد شركة على اختيار نظام ERP، يمر حديث الأمن دائماً تقريباً بثلاث مراحل. ISO 27001 لدى المزوّد تُغلق المرحلة الأولى منها مرة واحدة وإلى الأبد.
1. التحقق من المورد (Vendor Due Diligence). على فريق الأمن لدى المشتري الكبير أن يتأكد من نضج عمليات المورد. ومن دون شهادة، يعني ذلك عشرات الصفحات من الاستبيانات، ومراسلات مع المدير التقني، وأحياناً تدقيقاً ميدانياً. ومع وجود الشهادة، يكفي رابط إليها مع بيان قابلية التطبيق (Statement of Applicability) المرفق. صفقات كانت تقضي ستة أشهر في "برزخ الامتثال" باتت تتحرك الآن بإيقاع الأعمال.
2. مناقصات بشرط حازم. المشتريات الحكومية ومناقصات القطاع المصرفي وعقود التعليم تشير بشكل متزايد إلى ISO 27001 كشرط إلزامي للمشاركين أو لمقاوليهم من الباطن المحوريين. كانت Rteam في تلك المناقصات تدخل بتحفّظ: "Odoo SA ليست معتمدة، لكن هذه سياستنا الداخلية المبنية على مبادئ المعيار". لم يعد هذا التحفظ ضرورياً.
3. خفض أقساط التأمين. التأمين السيبراني، الذي تضاعفت أسعاره خلال العامين الماضيين، يعامل المورد المعتمد لنظام ERP بوصفه عامل تخفيف. وعملياً نلاحظ خصومات في نطاق 10 إلى 25 بالمئة على البوالص لدى عملاء يعملون على Enterprise. والرقم الدقيق يعتمد على شركة التأمين، وعلى ما تقومون به أنتم في طرفكم.
ما لا توفره الشهادة
هنا، الصراحة أهم من التسويق. سوء فهم هذه النقطة يُولّد وهماً بالأمن أكلف ثمناً من غياب الأمن نفسه.
ISO 27001 لدى Odoo SA تؤكد نضج المزوّد. ولا تؤكد أمن منظومتكم تحديداً. فإذا ثبّت أحد أعضاء فريقكم وحدة مخصصة من مستودع غير موثوق، أو وزّعت صلاحيات الوصول وفق مبدأ "الجميع Administrator احتياطاً"، أو احتُفظ بالنسخ الاحتياطية على الخادم نفسه الذي يحمل بيئة الإنتاج، فلن تُصلح أي شهادة من المزوّد هذه الصورة.
أمن منظومة Enterprise يحيا في طبقتين. الطبقة الأولى هي المزوّد، وهي مؤكدة الآن بشهادة SGS. والطبقة الثانية هي منظومتكم وممارساتكم التشغيلية. وهذه الطبقة من مسؤولية شريك التكامل وقسم تقنية المعلومات لديكم، والمعيار لا يغطيها بحكم تعريفه.
كيف نبني الطبقة الثانية
في Rteam نعامل ISO 27001 لدى Odoo بوصفها الأساس الذي نبني فوقه ما لا يصفه المعيار لكنه حاسم لعمل بعينه. تتضمن باقتنا الأساسية لـ Enterprise من زاوية الأمن:
- بيئات منفصلة (تطوير، اختبار، إنتاج) دون أي وصول متبادل
- تسجيل إجراءات المستخدمين بفترة احتفاظ مضبوطة وفق تشريع بلد العميل
- تدقيق صلاحيات الوصول كل ربع سنة، مع تقرير لفريق الأمن
- نسخ احتياطية مشفّرة مع تمارين استرجاع منتظمة: ليس "النسخ موجودة" بل "النسخ تُستعاد خلال ساعة"
- قوائم تدقيق للحوادث وإجراءات تواصل جاهزة بين يدي المناوب
- مراجعة وحدات الجهات الخارجية قبل تثبيتها في بيئة الإنتاج
كل بند في القائمة ليس عبارة تسويقية. بل إجراء نمر به قبل التسليم، ومن دونه لا نوقّع على قبول المشروع.
ماذا تفعلون الآن
إن كنتم تعملون على Odoo بالفعل، فثمة ثلاثة أمور يستحق القيام بها:
1. اطلبوا من Odoo SA نسخة من الشهادة ومن بيان قابلية التطبيق، وأرفقوها بحزمة الامتثال الخاصة بشركتكم. 2. سلّموا الوثائق إلى فريق الأمن لديكم وإلى المدققين. في قائمتهم الطويلة، يغلق ذلك واحداً من أثقل البنود. 3. اتخذوا من الشهادة سبباً لمراجعة طبقتكم الثانية. وإن كان آخر تدقيق لصلاحيات الوصول قبل عام، فهذه لحظة مناسبة.
أما إن كنتم لا تزالون تختارون نظام ERP، فقد تحرّكت الصورة بهدوء لكن بفاعلية. باتت شهادة Odoo تضعها الآن على قدم المساواة مع SAP و Microsoft Dynamics في الحديث ذاته الذي كانت تُعدّ فيه المصادر المفتوحة رهاناً محفوفاً بالمخاطر. حجة "نحن نشغّل كل شيء على منصة تجارية حائزة على ISO" لم تعد قائمة.
باختصار
نادراً ما يربح الأمن الصفقات. أما غيابه فيخسرها. شهادة Odoo وفق ISO/IEC 27001:2022 لا تجعل المنصة منيعة؛ هي ببساطة تنقلها من خانة "اشرح لماذا هي آمنة" إلى خانة "أَرِ الشهادة". وللعملاء الذين تملك فرق الأمن لديهم حق النقض، هذا هو الفرق بين موافقة تستغرق ستة أشهر وصفقة مغلقة.
إن كنتم تدرسون Odoo Enterprise أو ترغبون في التحقق من مدى مطابقة مشروعكم الحالي لما يتوقعه مسؤول الامتثال لديكم، فاكتبوا لنا. سنُريكم أين تغلق شهادة المزوّد الأسئلة بالفعل، وأين يبقى عمل مطلوب من طرفكم.
المصدر: المدوّنة الرسمية لـ Odoo، "Odoo has officially achieved ISO/IEC 27001:2022 certification"، 21 أبريل 2026.