Saudi-built · NCA · PDPL · SAMA صنع سعودي · NCA · PDPL · ساما

Cybersecurity built for Saudi mid-market companies. أمن سيبراني مبني للشركات السعودية متوسطة الحجم.

Hisn is a Saudi cybersecurity practice helping mid-sized companies raise their security maturity at a reasonable cost — with technical depth aligned to NCA, PDPL, and SAMA requirements. حِصن منشأة سعودية متخصصة في الأمن السيبراني، تساعد الشركات متوسطة الحجم على رفع نضجها الأمني بتكلفة معقولة وبعمق فني يطابق متطلبات NCA و PDPL وساما.

See all services استعرض الخدمات
1
Readiness Checkفحص الجاهزية 7 questions in 5 minutes. We send a one-page report within 24 hours covering your areas of strength, areas of exposure, and the recommended first step.٧ أسئلة في ٥ دقائق. نرسل تقرير صفحة واحدة خلال ٢٤ ساعة يوضح نقاط القوة، نقاط الانكشاف، والخطوة الموصى بالبدء بها.
2
Scoped proposalعرض محدد النطاق If the service is a fit, we send a detailed proposal covering the deliverables, timeline, and price — within a clearly defined and agreed scope.إذا كانت الخدمة مناسبة، نرسل عرضاً تفصيلياً يشمل المخرجات والجدول الزمني والسعر، وفق نطاق محدد ومتفق عليه.
3
Deliveredيتم التسليم Productized work ships in days. Scope-based engagements in weeks. Every deliverable applicable on day one.الخدمات الجاهزة تُسلَّم بأيام. التقييمات الأكبر بأسابيع. كل مخرج قابل للتطبيق من يومه الأول.
Who we work withمع من نعمل

This is for you if…هذه الصفحة لك إذا…

Your company has 20–500 employeesشركتك بين ٢٠ و ٥٠٠ موظف
You're under NCA, PDPL, or SAMA pressure — or expect to beتحت متطلبات NCA أو PDPL أو ساما — أو تتوقع أن تكون قريباً
You need practical deliverables — policies, reports, evidence packsتحتاج مخرجات عملية — سياسات، تقارير، حِزَم أدلة
You want the work done in weeks, not quartersتريد إنجاز العمل بأسابيع، لا بأرباع سنة
You value working with a Saudi practice that lives Saudi auditsتُقدّر التعامل مع منشأة سعودية تعايش التدقيقات السعودية
Productized — fixed price, fixed scopeخدمات جاهزة — سعر ثابت، نطاق محدد

Five services that ship in days.خمس خدمات تُسلَّم بأيام معدودة.

Scope is fixed. Price is published. No discovery calls required to commit.النطاق محدد. السعر معلن. لا يلزم اتصال استكشاف للالتزام.

Policiesسياسات

Security Policy Packحزمة السياسات الأمنية

10 NCA ECC-aligned policies · 7 days١٠ سياسات مطابقة لـ NCA ECC · ٧ أيام
2,900 SAR
One-time · VAT exclusiveدفعة واحدة · غير شامل الضريبة
  • 10 customized policies (Word + PDF)١٠ سياسات مخصصة (Word + PDF)
  • Tailored to your industry and sizeمناسبة لقطاع وحجم شركتك
  • Kickoff + review call includedمكالمة انطلاق + مكالمة مراجعة
  • Ready for board sign-offجاهزة لاعتماد مجلس الإدارة
Right for you if you have no written policies and need the foundation first.مناسبة إذا لم تكن لديك سياسات مكتوبة وتحتاج الأساس أولاً.
PDPLPDPL

PDPL Readiness SprintPDPL Readiness Sprint

Full PDPL compliance pack · 10 daysحزمة امتثال PDPL كاملة · ١٠ أيام
3,800 SAR
One-time · VAT exclusiveدفعة واحدة · غير شامل الضريبة
  • Personal data mapping for your operationsخريطة البيانات الشخصية لعملياتك
  • Privacy policy (Arabic + English)سياسة خصوصية (عربي + إنجليزي)
  • Data-subject rights procedureإجراءات حقوق أصحاب البيانات
  • Breach notification playbookدليل إجراءات إبلاغ التسرّب
  • Staff training briefإيجاز تدريبي للموظفين
Right for you if you collect customer data and need PDPL compliance quickly.مناسبة إذا كنت تجمع بيانات عملاء وتحتاج امتثالاً لـ PDPL في وقت قصير.
NCA ECCNCA ECC

NCA ECC Express Auditتدقيق NCA ECC السريع

114-control audit + 90-day roadmap · 7 daysتدقيق ١١٤ ضابطاً + خارطة طريق ٩٠ يوماً · ٧ أيام
4,500 SAR
One-time · VAT exclusiveدفعة واحدة · غير شامل الضريبة
  • Remote audit covering all 114 ECC controlsتدقيق عن بُعد يشمل الـ١١٤ ضابطاً
  • Maturity assessment across the 5 domainsتقييم نضج للمجالات الخمسة
  • Prioritized gap analysisتحليل فجوات بأولويات
  • 90-day remediation roadmapخارطة معالجة ٩٠ يوماً
  • 5-page executive summary + 30-day follow-upملخص تنفيذي + جلسة متابعة بعد شهر
Right for you if you have an audit on the horizon or want to know exactly where you stand.مناسبة إذا كان لديك تدقيق قادم أو تريد معرفة موقفك بدقة.
Incident Responseاستجابة الحوادث

Incident Response Setupتجهيز الاستجابة للحوادث

IR plan + playbooks + tabletop · 5 daysخطة IR + Playbooks + تمرين Tabletop · ٥ أيام
3,500 SAR
One-time · VAT exclusiveدفعة واحدة · غير شامل الضريبة
  • Incident response plan tailored to your contextخطة استجابة مفصّلة لسياق شركتك
  • 3 playbooks (ransomware, phishing, data leak)٣ Playbooks (فدية، تصيّد، تسريب بيانات)
  • Roles, escalation paths, regulator notification timelinesالأدوار، مسارات التصعيد، توقيتات إبلاغ الجهات
  • 1 tabletop exercise with your teamتمرين Tabletop واحد مع فريقك
Right for you if you have no formal IR process or need to satisfy an audit requirement.مناسبة إذا لم تكن لديك عملية استجابة موثقة أو تحتاج تلبية متطلب تدقيق.
Vendor riskمخاطر المورّدين

Vendor Risk Assessmentتقييم مخاطر المورّدين

Single-vendor assessment · 4 daysتقييم مورّد واحد · ٤ أيام
1,900 SAR
Per vendor · VAT exclusiveلكل مورّد · غير شامل الضريبة
  • Standardized vendor questionnaireاستبيان مورّد قياسي
  • Evidence collection and reviewجمع ومراجعة الأدلة
  • Risk rating with rationaleتقييم مخاطر مع المبررات
  • Recommendation: accept, monitor, replaceتوصية: قبول، متابعة، استبدال
Right for you if a regulator or customer asked you to evidence vendor due diligence.مناسبة إذا طلب منك تنظيم أو عميل توثيق العناية الواجبة لمورّدين.
Scope-based — starting fromحسب النطاق — يبدأ من

Technical assessments & broader audits.تقييمات تقنية وتدقيقات تنظيمية أوسع.

When scope varies with environment size, we publish a starting price and tailor the engagement to your actual estate. Price grows with the real surface — not with discovery time.حين يتغيّر النطاق بحسب حجم البيئة، نعلن السعر الابتدائي ونصمّم المشروع بناءً على واقعك. السعر يرتفع مع السطح الفعلي، لا مع وقت الاستكشاف.

A
Penetration testing & technical reviewsاختبار الاختراق والمراجعات التقنية
VAPT — Web Applicationاختبار اختراق — تطبيق ويب
Fromيبدأ من18,000 SAR
Single app, authenticated & unauthenticated, OWASP Top 10 + business logicتطبيق واحد، اختبار مع وبدون مصادقة، OWASP Top 10 + منطق الأعمال
VAPT — Mobile Applicationاختبار اختراق — تطبيق جوال
Fromيبدأ من22,000 SAR
iOS or Android, OWASP MASVS, static + dynamic analysisiOS أو Android، OWASP MASVS، تحليل ساكن وديناميكي
VAPT — APIاختبار اختراق — API
Fromيبدأ من14,000 SAR
REST or GraphQL, OWASP API Top 10, auth and authorizationREST أو GraphQL، OWASP API Top 10، المصادقة والتفويض
VAPT — External Networkاختبار اختراق — شبكة خارجية
Fromيبدأ من15,000 SAR
Internet-facing footprint, recon + targeted exploitationالسطح المكشوف للإنترنت، استطلاع واستغلال موجّه
VAPT — Internal Networkاختبار اختراق — شبكة داخلية
Fromيبدأ من20,000 SAR
Assumed-breach internal test, lateral movement, AD assessmentاختبار داخلي بافتراض الاختراق، التحرك الجانبي، تقييم AD
Architecture & Configuration Reviewمراجعة المعمارية والإعدادات
Fromيبدأ من12,000 SAR
Cloud (AWS/Azure) or on-prem, security architecture review against best practiceسحابة (AWS/Azure) أو On-Prem، مراجعة المعمارية مقابل الممارسات الموصى بها
Firewall Configuration Reviewمراجعة إعدادات الجدار الناري
Fromيبدأ من7,500 SAR
Per firewall, rule-base review, segmentation effectiveness, CIS benchmarksلكل جدار، مراجعة قواعد، فعالية التجزئة، معايير CIS
Source Code Review (SAST + Manual)مراجعة الكود المصدري (SAST + يدوي)
Fromيبدأ من18,000 SAR
Up to 50K LOC, automated scanning + manual review of critical pathsحتى ٥٠ ألف سطر، فحص آلي + مراجعة يدوية للمسارات الحرجة
B
Regulatory audits & maturity assessmentsالتدقيقات التنظيمية وتقييمات النضج
NCA CSCC — Critical Systems Cybersecurity ControlsNCA CSCC — ضوابط الأمن السيبراني للأنظمة الحساسة
Fromيبدأ من28,000 SAR
Additional layer over ECC for systems classified as critical (higher-rigor controls)طبقة إضافية فوق ECC للأنظمة المُصنَّفة حساسة (ضوابط بمستوى صرامة أعلى)
NCA CCC — Cloud Cybersecurity ControlsNCA CCC — ضوابط الأمن السيبراني للحوسبة السحابية
Fromيبدأ من20,000 SAR
Additional layer over ECC for cloud-hosted workloads (CSP & tenant responsibilities)طبقة إضافية فوق ECC للأحمال المُستضافة سحابياً (مسؤوليات المزوّد والعميل)
NCA DCC — Data Cybersecurity ControlsNCA DCC — ضوابط أمن البيانات
Fromيبدأ من15,000 SAR
Additional layer over ECC for data lifecycle, classification, and residencyطبقة إضافية فوق ECC لدورة حياة البيانات وتصنيفها وإقامتها
SAMA CSF Maturity Assessmentتقييم نضج إطار ساما السيبراني
Fromيبدأ من30,000 SAR
Full SAMA CSF mapping, maturity score per domain, board-ready reportربط كامل بإطار ساما، درجة نضج لكل مجال، تقرير جاهز لمجلس الإدارة
ISO/IEC 27001 Gap Analysisتحليل فجوات ISO/IEC 27001
Fromيبدأ من20,000 SAR
Pre-certification gap analysis, Annex A coverage, action roadmapتحليل فجوات قبل الشهادة، تغطية الملحق A، خارطة عمل

All scope-based engagements start with a free 20-minute scoping call. We send a sized proposal within 48 hours — no obligation. كل مشاريع النطاق تبدأ بمكالمة تحديد نطاق مجانية مدتها ٢٠ دقيقة. نرسل عرضاً مقاساً خلال ٤٨ ساعة — دون التزام.

Ongoing leadershipقيادة أمنية مستمرة

vCISO — embedded security leadership.vCISO — قيادة أمنية مدمجة.

A senior security partner on retainer — without the cost or commitment of a full-time hire.شريك أمن سيبراني خبير بنظام Retainer — بدون تكلفة أو التزام التوظيف بدوام كامل.

For companies that need security thinking present in board decisions, vendor reviews, audit prep, and incident calls — as an ongoing relationship rather than a project that ends.للشركات التي تحتاج التفكير الأمني حاضراً في قرارات مجلس الإدارة، ومراجعات المورّدين، وتجهيز التدقيقات، ومكالمات الحوادث — كعلاقة مستمرة لا مشروعاً ينتهي.

  • Strategic security roadmap aligned with your businessخارطة طريق أمنية استراتيجية متوافقة مع أعمالك
  • Monthly board-ready security reportتقرير أمني شهري جاهز لمجلس الإدارة
  • Audit prep (NCA, PDPL, SAMA) and stakeholder managementتجهيز التدقيقات (NCA، PDPL، ساما) وإدارة العلاقات
  • Vendor risk decisions, contract reviews, security clausesقرارات مخاطر المورّدين، مراجعة العقود، بنود الأمن
  • Incident triage and post-incident reviewاحتواء الحوادث والمراجعة بعد الحادثة
  • On-call advisory — email, call, or chat — within agreed SLAاستشارات فورية — بريد، اتصال، أو محادثة — ضمن SLA متفق عليه

Engagement structure and rate are scoped against your size, sector, and current maturity. Most clients run 6 or 12-month engagements with monthly retainer fees.بنية الارتباط والمعدّل تُحدد حسب حجمك، قطاعك، ومستوى نضجك الحالي. غالب العملاء يرتبطون لمدة ٦ أو ١٢ شهراً برسوم Retainer شهرية.

vCISO Engagementارتباط vCISO

Tailored to your maturity, not a price list.مفصّل على نضجك، لا قائمة أسعار جاهزة.

Share your context — size, sector, top concerns, audit horizon. We respond with a clear retainer proposal, scope, and rate within 48 hours.شاركنا سياقك — الحجم، القطاع، أبرز المخاوف، أفق التدقيق. نعود إليك بعرض Retainer واضح، النطاق، والسعر خلال ٤٨ ساعة.

About Hisnعن حِصن

A Saudi practice with one purpose.منشأة سعودية بهدف واحد.

Hisn is a Saudi cybersecurity practice, built by practitioners who work inside Saudi organizations and have lived their audits and operations firsthand. Our mission is to contribute to raising the Kingdom's cybersecurity maturity by serving mid-market companies with practical deliverables at fair, transparent prices.حِصن منشأة سعودية متخصصة في الأمن السيبراني، بناها ممارسون يعملون داخل منشآت سعودية ويعايشون تدقيقاتها وعملياتها عن قرب. هدفنا الإسهام في رفع نضج الأمن السيبراني في المملكة من خلال خدمة الشركات متوسطة الحجم بمخرجات عملية وأسعار عادلة وشفافة.

Our deliverables align with NCA, PDPL, SAMA, and ISO 27001 — the frameworks Saudi companies operate under. Structured, defensible work that withstands regulatory review.مخرجاتنا مرتبطة بأطر NCA و PDPL وساما و ISO 27001 — وهي الأطر التي تعمل بموجبها الشركات السعودية. عمل منظَّم، قابل للدفاع، يصمد أمام المراجعات التنظيمية.

01
Saudi-rootedجذور سعودية Built by Saudi practitioners who understand the local regulatory landscape and business context.بناها ممارسون سعوديون يفهمون المشهد التنظيمي المحلي وسياق الأعمال.
02
Practical depthعمق عملي Every deliverable maps to a real control, a real regulator, and a real next step you can act on.كل مخرج مرتبط بضابط حقيقي، جهة حقيقية، وخطوة تالية يمكن تنفيذها.
03
Fair, transparent pricingتسعير عادل وشفّاف Pricing reflects the actual work involved. Scope and timeline are shared transparently before any commitment.السعر يعكس الجهد الفعلي. النطاق والجدول الزمني يُشاركان بشفافية قبل أي التزام.
حِصن · Hisn · Saudi-built cybersecurity أمن سيبراني سعودي
Frequently askedالأسئلة الشائعة

Questions every client asks first.أسئلة يسألها كل عميل في البداية.

Why publish fixed prices instead of quoting hourly?لماذا تنشرون أسعاراً ثابتة بدلاً من التسعير بالساعة؟
Transparency. You know the number before we start, and we own the outcome regardless of hours spent. For work where scope genuinely varies (like a pentest), we publish a starting price and tailor the engagement from there.الشفافية. تعرف الرقم قبل البداية، ونحن المسؤولون عن النتيجة بغض النظر عن الساعات. وللأعمال التي يتغيّر نطاقها فعلياً (مثل اختبار الاختراق)، ننشر السعر الابتدائي ونحدد المشروع منه.
Do you deliver theory or applicable output?هل تسلّمون نظرية أم مخرجات قابلة للتطبيق؟
Every deliverable is applicable on day one. Policies are written for board sign-off. Audit reports come with prioritized remediation. Playbooks are ready to use during an actual incident.كل مخرج قابل للتطبيق منذ يومه الأول. السياسات مكتوبة لاعتماد المجلس. تقارير التدقيق تأتي مع معالجات بأولويات. الـ Playbooks جاهزة للاستخدام خلال حادث فعلي.
My company is under 20 employees — can you still help?شركتي أقل من ٢٠ موظفاً — هل يمكنكم مساعدتي؟
Sometimes yes. Book a Readiness Check and we'll tell you honestly whether we're the right fit for your stage.أحياناً نعم. احجز فحص الجاهزية وسنخبرك بصراحة هل نحن المناسبون لمرحلتك الحالية.
Do you guarantee regulatory compliance?هل تضمنون الامتثال التنظيمي؟
We guarantee the quality of the deliverable — the policies, the audit, the report. Compliance itself depends on how you implement and operate the controls. We provide everything needed to get there.نضمن جودة المخرج — السياسات، التدقيق، التقرير. الامتثال نفسه يعتمد على كيفية تطبيقك وتشغيلك للضوابط. نوفّر كل ما يلزم للوصول.
How does pentest scope translate to price?كيف يتحوّل نطاق اختبار الاختراق إلى سعر؟
Three factors: surface size (pages, endpoints, IP count), authentication complexity (number of roles), and depth (OWASP Top 10 only vs. business-logic testing). After a 20-minute scoping call we send a fixed-price proposal — no hourly billing once the proposal is signed.ثلاثة عوامل: حجم السطح (الصفحات، نقاط النهاية، عدد IPs)، تعقيد المصادقة (عدد الأدوار)، والعمق (OWASP Top 10 فقط أم اختبار منطق الأعمال). بعد مكالمة تحديد نطاق ٢٠ دقيقة نرسل عرضاً ثابت السعر — لا تسعير ساعي بعد توقيع العرض.
What's the difference between NCA ECC, CSCC, CCC, and DCC?ما الفرق بين NCA ECC و CSCC و CCC و DCC؟
ECC is the baseline — 114 essential cybersecurity controls applicable broadly. CSCC adds higher-rigor controls for systems classified as critical. CCC adds cloud-specific controls when workloads run in the cloud. DCC adds controls for data lifecycle and classification. The additional frameworks layer on top of ECC where they apply to your environment.ECC هو الأساس — ١١٤ ضابطاً جوهرياً تنطبق بشكل واسع. CSCC تضيف ضوابط أعلى صرامة للأنظمة المُصنَّفة حساسة. CCC تضيف ضوابط خاصة بالسحابة للأحمال السحابية. DCC تضيف ضوابط لدورة حياة البيانات وتصنيفها. الأطر الإضافية تُبنى فوق ECC حيث تنطبق على بيئتك.
How does payment work?كيف تتم عملية الدفع؟
Bank transfer or Mada. 50% upfront, 50% on delivery for one-time engagements. Monthly invoicing for vCISO retainers. VAT invoice issued for all corporate clients.تحويل بنكي أو مدى. ٥٠٪ مقدماً، ٥٠٪ عند التسليم للارتباطات لمرة واحدة. فوترة شهرية لارتباطات vCISO. تصدر فاتورة ضريبية لكل العملاء من الشركات.
Who signs the contract on your side?من يوقّع العقد من جانبكم؟
Hisn operates under a Saudi Freelancing Permit (وثيقة العمل الحر). The practitioner behind Hisn signs and invoices personally; Hisn is the operating brand.حِصن يعمل تحت وثيقة العمل الحر. الممارس خلف حِصن يوقّع ويصدر الفاتورة باسمه؛ حِصن هو الاسم التشغيلي للممارسة.
Free · 5 minutes · 24-hour turnaroundمجاناً · ٥ دقائق · ٢٤ ساعة

Not sure which service fits? Start here.غير متأكد أي خدمة تناسبك؟ ابدأ من هنا.

Seven short questions about your context. We email you a one-page Readiness Check within 24 hours — your top exposures, whether you can address them in-house, and which Hisn service (if any) actually fits where you are.٧ أسئلة قصيرة عن سياقك. نرسل لك تقرير جاهزية صفحة واحدة خلال ٢٤ ساعة — أكبر المخاطر عندك، هل تستطيع معالجتها داخلياً، وأي خدمة من حِصن (إن وجدت) تناسب وضعك فعلاً.

No sales callبدون مكالمة بيع We don't call unless you ask us to. The report is the report.لا نتصل ما لم تطلب. التقرير هو التقرير.
Honest assessmentتقييم صريح If our services don't fit your stage, we say so and suggest what would.إذا لم تناسبك خدماتنا، نخبرك ونوجّهك إلى ما يناسبك.
Privateخصوصية Your answers stay with Hisn. We don't sell email lists. Ever.إجاباتك تبقى مع حِصن. لا نبيع قوائم البريد. أبداً.
Prefer email? تفضّل التواصل بالبريد؟ hello@hisnsec.com

Readiness Check — 7 questions, 5 minutesفحص الجاهزية — ٧ أسئلة، ٥ دقائق

We email a 1-page report to you within 24 hours. No sales call.نرسل لك تقرير صفحة واحدة خلال ٢٤ ساعة. بدون مكالمة بيع.

Something went wrong. Please email hello@hisnsec.com directly.حدث خطأ. الرجاء التواصل عبر hello@hisnsec.com مباشرة.

vCISO Engagement Inquiryاستفسار ارتباط vCISO

Share your context. We respond with a scoped retainer proposal within 48 hours.شاركنا سياقك. نرد بعرض Retainer محدد النطاق خلال ٤٨ ساعة.

Something went wrong. Please email hello@hisnsec.com directly.حدث خطأ. الرجاء التواصل عبر hello@hisnsec.com مباشرة.

Scoping Call Requestطلب مكالمة تحديد نطاق

Free 20-minute call. Sized proposal within 48 hours.مكالمة مجانية ٢٠ دقيقة. عرض مقاس خلال ٤٨ ساعة.

Something went wrong. Please email hello@hisnsec.com directly.حدث خطأ. الرجاء التواصل عبر hello@hisnsec.com مباشرة.