نظام خدمات الدفع للتجزئة ومنظومات البطاقات
C 15/2021 يسري تنفيذه من تاريخ 6/6/2021المقدمة
يتناول النظام ("نظام خدمات الدفع للتجزئة ومنظومات البطاقات") القواعد والشروط الصادرة عن المصرف المركزي لمنح ترخيص تقديم خدمات الدفع للتجزئة. خدمات الدفع للتجزئة هي خدمات دفع رقمية في الدولة وتتضمن تسع فئات، وهي خدمات إصدار حساب الدفع، خدمات إصدار أداة الدفع، خدمات تحصيل المعاملات، خدمات تجميع الدفع، خدمات تحويل الأموال محلياً وعبر الحدود، خدمات رمز الدفع، خدمات إنشاء الدفع وخدمات معلومات حساب الدفع. يفرض هذا النظام على منظومات البطاقات الحصول على ترخيص من المصرف المركزي ويحدد شروط الحصول على الترخيص والالتزامات المستمرة لمنظومات البطاقات. للمصرف المركزي أيضاً تلقي المعلومات حول رسوم ومصاريف منظومات البطاقات، وتنظيم ومراقبة هذه الرسوم والمصاريف عند الضرورة. إضافةً لما تقدم، يلزم وجود ترتيبات تعاقدية مناسبة بين البنوك أو مقدمي خدمات الدفع الآخرين الذين يقدمون خدمات إصدار حساب الدفع من جهة، ومقدمي خدمات الدفع الذين يقدمون خدمات إنشاء الدفع وخدمات معلومات حساب الدفع من جهة أخرى. يخضع مقدمو خدمات الدفع الراغبين في المشاركة في صرف الأجور وإمكانية الوصول إلى نظام حماية الأجور لمجموعة من المتطلبات المستمرة.
يتطلب قانون المصرف المركزي إخضاع خدمات تحويل الأموال، خدمات مدفوعات التجزئة الإلكترونية وخدمات الأموال الرقمية لنظام الترخيص المدار من قبل المصرف المركزي، ويحدد الأساس القانوني لصلاحيات المصرف المركزي فيما يتعلق بالترخيص والإشراف المستمر على مقدمي خدمات الدفع ومنظومات البطاقات.
نطاق تطبيق النظام وأهدافه
يحدد هذا النظام المتطلبات المتعلقة بما يلي:
- شروط منح والحفاظ على ترخيص تقديم خدمات الدفع للتجزئة؛
- حقوق والتزامات مستخدمي خدمات الدفع للتجزئة ومقدمي خدمات الدفع؛
- الترتيبات التعاقدية المناسبة التي تسمح لمقدمي خدمات الدفع الذين يقدمون خدمات إنشاء الدفع وخدمات معلومات حساب الدفع الوصول الى حسابات الدفع لدى البنوك ومقدمي خدمات الدفع الآخرين الذين يقدمون خدمات إصدار حسابات الدفع؛
- شروط الحصول على ترخيص منظومات البطاقات؛
- شروط المشاركة والحصول على حق الوصول الى نظام حماية الأجور؛
- صلاحيات المصرف المركزي في الرقابة على مقدمي خدمات الدفع والمتطلبات المستمرة لرفع التقارير الخاصة بمنظومات البطاقات.
يراعي المصرف المركزي، في إطار ممارسة صلاحياته ومهامه المنصوص عليها ضمن هذا النظام، تحقيق الأغراض التالية:
- ضمان سلامة، وصحة وكفاءة خدمات الدفع للتجزئة؛
- اعتماد متطلبات ترخيص فعالة وقائمة على المخاطر لمقدمي خدمات الدفع؛
- تعزيز موثوقية وكفاءة منظومات البطاقات وثقة الجمهور في معاملات الدفع بواسطة البطاقات؛
- تشجيع الابتكار وخلق فرص متكافئة للمشاركين في السوق؛ و
- تعزيز مكانة دولة الإمارات العربية المتحدة كمحور رائد في تقديم خدمات الدفع في المنطقة.
- شروط منح والحفاظ على ترخيص تقديم خدمات الدفع للتجزئة؛
الاستثناءات
لا يسري هذا النظام على ما يلي:
- معاملات الدفع التي تتضمن تسهيلات القيم المخزنة؛
- المعاملات التي تتضمن رموز السلع والأوراق المالية؛
- المعاملات التي تتضمن رموز الأصول الافتراضية؛
- معاملات الدفع التي تتضمن التحويلات؛
- عمليات صرف العملات التي لا يتم فيها الاحتفاظ بالأموال في حساب الدفع؛
- أي خدمات أخرى ما عدا خدمات إنشاء الدفع وخدمات معلومات حساب الدفع، بما في ذلك، على سبيل المثال لا الحصر، ما يلي:
- 6.1 الخدمات، التي يقدمها أي مقدم خدمة فنية لدعم توفير أي خدمة دفع، دون أن تدخل أي من الأموال موضوع خدمة الدفع هذه في أي وقت في حيازته؛
- 6.2 خدمة معالجة أو تخزين البيانات؛
- 6.3 أي خدمة خاصة بأمن التكنولوجيا، أو العهد المالية أو حماية الخصوصية؛
- 6.4 أي خدمة مصادقة أو تحقق خاصة بالبيانات أو المنشآت؛
- 6.5 أي خدمة خاصة بتكنولوجيا المعلومات؛
- 6.6 خدمة توفير شبكة إتصال؛ و
- 6.7 خدمة توفير وصيانة أي محطة أو جهاز يستخدم لأي خدمة دفع.
- معاملات الدفع التي تتم ضمن نظام دفع أو نظام تسوية أوراق مالية بين مقدمي خدمات الدفع ووكلاء التسوية، الوسطاء المركزيين للتسوية، غرف المقاصة، المصارف المركزية أو المشاركين الآخرين في هذا النظام بما في ذلك نظم الإيداع المركزية للأوراق المالية؛
- معاملات الدفع والخدمات ذات الصلة فيما بين الشركة الأم والشركات التابعة لها أو فيما الشركات التابعة للشركة الأم نفسها، دون أي تدخل وسيط من مقدم خدمات الدفع فيما عدا التعهد الخاص بالمجموعة نفسها؛ و
- أي نشاط آخر ذات صلة قد يحدده المصرف المركزي.
- معاملات الدفع التي تتضمن تسهيلات القيم المخزنة؛
المادة (1): تعريفات
- الوكيل: يعني الشخص الاعتباري الذي يتولى تقديم خدمات الدفع للتجزئة نيابةً عن مقدم خدمات الدفع.
- مواجهة غسل الأموال ومكافحة تمويل الإرهاب: يعني مواجهة جرائم غسل الأموال ومكافحة تمويل الإرهاب.
- قانون مواجهة غسل الأموال: يعني المرسوم بقانون اتحادي رقم (20) لسنة 2018 في شأن مواجهة جرائم غسل الأموال ومكافحة تمويل الإرهاب وتمويل التنظيمات غير المشروعة وقرار مجلس الوزراء رقم (10) لسنة 2019 بشأن اللائحة التنفيذية للمرسوم بقانون إتحادي رقم (20) لسنة 2018 في شأن مواجهة جرائم غسل الأموال ومكافحة تمويل الإرهاب وتمويل التنظيمات غير المشروعة، والتعديلات التي قد تطرأ عليها من وقتٍ لآخر، وأية تعليمات ومبادئ توجيهية وإشعارات صادرة عن المصرف المركزي حول تنفيذها أو صادرة في هذا الشأن.
- الملحق 1: يعني قائمة خدمات الدفع للتجزئة التي يجوز لمقدم خدمات الدفع تقديمها وفق متطلبات هذا النظام.
- الملحق 2: يعني الإرشادات حول أفضل الممارسات الخاصة بمخاطر التكنولوجيا وأمن المعلومات.
- المحلق 3: يعني الحد الأدنى من المعلومات الواجب على منظومات البطاقات إبلاغها للمصرف المركزي.
- مقدم الطلب: يعني شخص اعتباري مؤسس في الدولة وفقاً للقانون الاتحادي رقم (2) لسنة 2015 بشأن الشركات التجارية، وطبقاً للمادة (74) من قانون المصرف المركزي، الذي يتقدم بطلب الى المصرف المركزي للحصول على ترخيص لتقديم خدمة أو أكثر من خدمات الدفع للتجزئة، تشغيل منظومة البطاقات أو تعديل نطاق الترخيص الممنوح له.
- طلب الترخيص: يعني الطلب الخطي للحصول على ترخيص لتقديم واحدة أو أكثر من خدمات الدفع للتجزئة المقدم من مقدم الطلب الذي يضم المعلومات والمستندات المنصوص عليها في هذا النظام أو المحددة من المصرف المركزي، حسب الاستمارة الصادرة عن قسم الترخيص في المصرف المركزي، بما في ذلك الطلب الخطي للحصول على تعديل لنطاق الترخيص الممنوح له.
- المدقق: يعني الشخص الاعتباري المستقل المعين لتدقيق الحسابات والقوائم المالية لمقدم خدمات الدفع وفقاً للبند (7) من المادة (10) من هذا النظام.
- البنك: يعني أي شخص اعتباري مرخص له وفقًا لأحكام قانون المصرف المركزي بممارسة نشاط تلقي الودائع بشكل رئيسي وأي من الأنشطة المالية المرخصة الأخرى.
- المستفيد الحقيقي: يعني الشخص الطبيعي الذي يمتلك أو يمارس سيطرة فعلية نهائية، مباشرة أو غير مباشرة، على مستخدم خدمات الدفع للتجزئة (العميل) أو الشخص الطبيعي الذي تجري المعاملة نيابةً عنه أو الذي يمارس سيطرة فعلية نهائية على شخص اعتباري أو ترتيب قانوني.
- حامل علامة تجارية: يعني الحائز على أي اسم رقمي أو مصطلح أو علامة أو شعار أو رمز أو مجموعة منها التي من شأنها تمييز منظومة البطاقات التي يتم بموجبها تنفيذ معاملات الدفع.
- المجلس: يعني مجلس إدارة مقدم الطلب أو مقدم خدمات الدفع أو منظومة البطاقات وفقاً لأحكام قانون الشركات المعمول به.
- يوم عمل: يعني أي يوم ما عدا الجمعة أو السبت أو أيام العطل الرسمية أو أيام العطل الأخرى أو الأيام غير المخصصة للعمل في الدولة.
- معاملات الدفع بواسطة البطاقة: تعني خدمة تستند إلى البنية التحتية لمنظومة البطاقات وقواعد العمل الخاصة بتنفيذ معاملات الدفع بواسطة أي بطاقة، جهاز اتصالات، جهاز رقمي، جهاز أو برنامج تكنولوجيا المعلومات إذا نتج عن ذلك معاملة على بطاقة خصم أو ائتمان.
- مُصدر البطاقة: يعني فئة من مقدمي خدمات الدفع تزود الدافع بأداة دفع لمباشرة ومعالجة معاملات الدفع بواسطة البطاقة الخاصة بالدافع.
- حامل البطاقة: يعني الشخص الذي يحمل أداة دفع، مادية أو غير ذلك، صادرة عن مُصدر البطاقة بناءً على عقد تقديم أداة دفع إلكترونية.
- منظومة البطاقات: تعني مجموعة من القواعد والممارسات والمعايير التي تمكن حامل أداة دفع من القيام بمعاملات الدفع بواسطة البطاقة داخل الدولة بشكل منفصل عن أي بنية تحتية لنظام الدفع الذي يدعم تشغيلها، وتتضمن الكيان المسؤول عن إدارة منظومة البطاقات. ولتجنب الشك، من الممكن تشغيل منظومة البطاقات من قبل كيان تابع للقطاع خاص أو هيئات القطاع العام على حدٍ سواء.
- ترخيص منظومة البطاقات: يعني ترخيص تشغيل منظومة بطاقات وفقاً لما تم الإشارة إليه في المادة (18) من النظام.
- الكيان المسؤول عن إدارة منظومة البطاقات: يعني الشخص الاعتباري الذي يتولى و/أو يكون مسؤولاً عن عمل وتشغيل منظومة بطاقات.
- ترخيص الفئة الأولى: يعني ترخيص تقديم خدمات الدفع للتجزئة المشار إليها في البند (2) من المادة (3).
- ترخيص الفئة الثانية: يعني ترخيص تقديم خدمات الدفع للتجزئة المشار إليها في البند (3) من المادة (3).
- ترخيص الفئة الثالثة: يعني ترخيص تقديم خدمات الدفع للتجزئة المشار إليها في البند (4) من المادة (3).
- ترخيص الفئة الرابعة: يعني ترخيص تقديم خدمات الدفع للتجزئة المشار إليها في البند (5) من المادة (3).
- المصرف المركزي: يعني مصرف الإمارات العربية المتحدة المركزي.
- قانون المصرف المركزي: يعني المرسوم بقانون اتحادي رقم (14) لسنة 2018 في شأن المصرف المركزي وتنظيم المنشآت والأنشطة المالية، وأي تعديل أو استبدال قد يطرأ عليه من حين لآخر.
- علامة تجارية مشتركة: تعني تضمين علامة تجارية للدفع واحدة على الأقل وعلامة تجارية غير متعلقة بالدفع في وسيلة الدفع نفسها.
- المسيطر: يعني الشخص الطبيعي أو الاعتباري الذي يملك بمفرده أو مع شركائه نسبة 20٪ على الأقل من أسهم أحد مقدمي خدمات الدفع أو الذي هو في وضع يجيز له بالتحكم بنسبة 20٪ على الأقل من الأصوات الخاصة بأحد مقدمي خدمات الدفع.
- رمز السلع: يعني نوعًا من الأصول المشفرة الذي يمنح حامله حق الوصول إلى منتج أو خدمة حالية أو مستقبلية، ولا يقبله إلا مُصدر ذلك الرمز. ويمكن أيضا الإشارة إليه كـ "رمز خدمة أو خدمات"
- الشكوى: تعني تعبير شفهي أو خطي عن عدم رضا العميل عن منتج، خدمة، إجراء، سياسة أو أفعال من قبل المنشأة المالية المرخصة والتي يتم تقديمها إما خطياً أو شفهياً إلى موظف في المنشأة المالية المرخصة.
- خدمة تحويل الأموال عبر الحدود: تعني خدمة دفع للتجزئة لتحويل الأموال حيث يكون مقدمي خدمات الدفع الخاصين بالدافع والمدفوع له موجودين في مناطق اختصاص أو دول مختلفة.
- الأصول المشفرة: تعني التمثيل الرقمي المشفر للقيمة أو الحقوق التعاقدية التي تستخدم تكنولوجيا الدفاتر الموزعة والتي يمكن تحويلها، تخزينها أو تداولها إلكترونياً.
- العناية الواجبة تجاه العملاء: تعني عملية التعرف أو التحقق من معلومات مستخدم خدمات الدفع للتجزئة أو المستفيد الحقيقي، سواء كان شخصاً طبيعياً أو اعتبارياً أو ترتيباً قانونياً، وطبيعة عمله والغرض من علاقة العمل وهيكل الملكية والسيطرة عليه.
- خدمات أمين الحفظ: تعني حفظ أو التحكم، نيابةً عن أطراف ثالثة، في رموز الدفع، ووسائل الوصول الى هذه الرموز، حيثما ينطبق ذلك في شكل مفاتيح تشفير خاصة.
- خرق البيانات: يعني اختراق نظام تكنولوجيا المعلومات حيث يشتبه في افصاح غير مصرح به، سرقة، تعديل أو إتلاف لبيانات حامل البطاقة أو مستخدم خدمات الدفع للتجزئة، ويكون من المحتمل أن يؤدي ذلك إلى خسارة لحامل البطاقة أو لمستخدم خدمات الدفع للتجزئة.
- الشخص موضوع البيانات: يعني الشخص الطبيعي المحدد أو القابل للتحديد موضوع البيانات الشخصية.
- خدمات النقود الرقمية: تعني، لأغراض هذا النظام، النشاط التجاري المتعلق بتقديم خدمات رموز الدفع.
- تكنولوجيا الدفاتر الموزعة: تعني فئة من التكنولوجيا التي تدعم التسجيل الموزع للبيانات المشفرة عبر الشبكة وهي نوع من قواعد البيانات اللامركزية التي يوجد منها نسخ متطابقة متعددة موزعة بين عدة مشاركين ويمكن الوصول إليها عبر مراكز ومواقع مختلفة، والتي يتم تحديثها بشكل متزامن بإجماع المشاركين، مما يلغي الحاجة إلى سلطة مركزية أو وسيط لمعالجة أو التحقق من صحة أو مصادقة المعاملات أو أنواع أخرى من تبادل البيانات.
- خدمة تحويل الأموال محلياً: تعني خدمة دفع للتجزئة خاصة بقبول الأموال بغرض تنفيذ أو الترتيب لتنفيذ معاملات الدفع بين دافع في الدولة ومدفوع له في الدولة.
- خدمة الدفع الالكتروني: تعني كامل وأي من خدمات الدفع للتجزئة المدرجة ضمن البنود (1) الى (4) و(8) الى (9) من المحلق 1.
- صاحب العمل: يعني الشخص الذي يستخدم نظام حماية الأجور لدفع الأجور.
- الصرافة: تعني أعمال الصرافة التي تم ترخيصها بموجب نظام ترخيص ومراقبة أعمال الصرافة.
- الشخص المعفى: يعني أي شخص معفى من شرط الحصول على ترخيص بموجب المادة (2) من هذا النظام.
- تسهيل تداول رموز الدفع: يعني خدمة الدفع للتجزئة المتعلقة بإنشاء أو تشغيل تداول رموز الدفع، في حال حيازة الشخص، الذي يُنشئ هذا التداول أو يٌشغله، لأغراض عرض أو دعوة مقدمة أو ستقدم لتبادل رمز دفع معين لشراء أو بيع أي رمز دفع مقابل الأوراق النقدية أو رمز الدفع، سواء كان من نفس النوع أو من نوع مختلف، أي أوراق نقدية أو رمز دفع، سواء في وقت صدور ذلك العرض أو الدعوة أو غير ذلك.
- مجموعة العمل المالي: هيئة مستقلة متعددة الحكومات تضع معايير دولية تستهدف منع أنشطة غسل الأموال وتمويل الإرهاب في العالم.
- الأوراق النقدية: تعني العملة الخاضعة لرقابة المصرف المركزي المعني، والتي لها قوة إبراء بموجب القانون والواجبة القبول في نطاق اختصاص معين.
- المناطق الحرة المالية: تعني المناطق الحرة الخاضعة لأحكام القانون الاتحادي رقم (8) لسنة 2004 في شأن المناطق الحرة المالية، والقوانين المعدلة أو المكملة له من وقت الى آخر.
- منظومة بطاقات رباعية الأطراف: تعني منظومة البطاقات الي تتم فيها معاملات الدفع بواسطة البطاقة من حساب الدفع الخاص بالدافع إلى حساب المدفوع له من خلال وساطة المنظومة، المصدر (من جانب الدافع) والمحصل (من جانب المدفوع له).
- الاتفاقية الإطارية: تعني اتفاقية خدمة دفع لتوفير خدمات الدفع للتجزئة التي تحكم التنفيذ المستقبلي لمعاملات الدفع الفردية والمتتالية والتي قد تحتوي على شروط وأحكام فتح حساب دفع.
- المجموعة: تعني مجموعة الشركات التي تتألف من الشركة الأم والشركات التابعة لها، والشركات التي تمتلك فيها الشركة الأم أو الشركات التابعة لها، بشكل مباشر أو غير مباشر، 5٪ أو أكثر من الأسهم، أو المرتبطة بطريقة أخرى من خلال علاقة تشاركية.
- الشكل القانوني: يعني الشكل القانوني لمقدمي الطلب المعتمد وفقاً لأحكام المادة (74) من قانون المصرف المركزي.
- أحكام المستوى الثاني: تعني الأحكام المكتوبة التي قد يعتمدها أو يصدرها المصرف المركزي لتكون مكملةً لتنفيذ هذا النظام، ومنها على سبيل المثال لا الحصر، القواعد، التوجيهات، القرارات، التعليمات، الإخطارات، التعاميم، المعايير وكتيبات القواعد.
- الترخيص: يعني ترخيص صادر عن المصرف المركزي لمقدم الطلب لتقديم خدمات الدفع للتجزئة أو إدارة منظومة بطاقات في الدولة. ويبقى هذا الترخيص ساري المفعول، ما لم يقم المصرف المركزي بسحبه، تعليقه أو إلغائه.
- الأنشطة المالية المرخصة: تعني الأنشطة المالية الخاضعة لترخيص ورقابة المصرف المركزي والمحددة في المادة (65) من قانون المصرف المركزي.
- المتطلبات الرقابية الرئيسية: تعني أي متطلبات محددة بموجب هذا النظام أو أحكام المستوى الثاني، يمكن أن تؤدي مخالفتها إلى التأثير سلبًا على تحقيق أهداف المصرف المركزي المنشودة بموجب هذا النظام، على النحو المحدد وفقًا لتقدير المصرف المركزي.
- الإدارة: تعني كبار موظفي مقدم الطلب، مقدم خدمات الدفع، الوكيل ومنظومة البطاقات الذين يشاركون في الإدارة اليومية، الإشراف والرقابة على خدمات الأعمال في المنشأة، وتضم عادةً الرئيس التنفيذي ونائبه (نوابه) وكل شخص يرفع تقاريره مباشرة إلى الرئيس التنفيذي. يجب أن يكون الرئيس التنفيذي ونائبه (نوابه) أشخاصاً طبيعيين مقيمين عادةً في الدولة، في حين أن أعضاء الإدارة الآخرين يجب أن يكون لهم مقر في الدولة ما لم يجيز المصرف المركزي بخلاف ذلك.
- وسائل الاتصال عن بعد: تعني طريقة يمكن استخدامها لإبرام اتفاقية خدمات الدفع دون التواجد الشخصي المتزامن لمقدم خدمات الدفع ومستخدم خدمات الدفع للتجزئة.
- التاجر: يعني الشخص الذي يقبل أدوات الدفع كوسيلة للسداد لشراء وبيع السلع والخدمات.
- المحصل: يعني فئة من مقدمي خدمات الدفع الذين يقدمون خدمات تحصيل المعاملات.
- خدمة تحصيل المعاملات: تعني خدمة دفع للتجزئة مقدمة من مقدم خدمات الدفع المتعاقد مع مدفوع له لقبول ومعالجة معاملات الدفع، التي ينتج عنها تحويل أموال الى المدفوع له.
- خدمة تحويل الأموال: تعني خدمة تحويل الأموال محلياً أو عبر الحدود، باستثناء التحويلات.
- قيمة الأموال: تعني القيمة المضافة الى تسهيلات القيمة المخزنة من قبل العميل، القيمة المستلمة في حساب تسهيلات القيمة المخزنة الخاص بالعميل، والقيمة المستردة من قبل العميل، دون أن يقتصر ذلك على "المال" بحد ذاته، إنما يشمل أشكال أخرى من المقابل النقدي أو الأصول مثل القيم، ونقاط المكافأة، والأصول المشفرة والافتراضية. على سبيل المثال، تعبئة رصيد حساب تسهيلات القيمة المخزنة قد يتخذ شكل القيم، نقاط المكافأة، الأصول المشفرة أو الأصول الافتراضية التي حصل عليها عميل تسهيلات القيمة المخزنة من خلال شرائه السلع والخدمات. وبالمثل، فإن القيمة المودعة في حساب عميل تسهيلات القيمة المخزنة قد تتخذ شكل تحويل عبر الانترنت للقيمة، نقاط المكافأة، الأصول المشفرة أو الأصول الافتراضية فيما بين عملاء تسهيلات القيمة المخزنة.
- حساب الدفع: يعني حسابًا مع مقدم خدمات الدفع المحتفظ به باسم مستخدم خدمات دفع للتجزئة واحد على الأقل والذي يتم استخدامه لتنفيذ معاملات الدفع.
- خدمة معلومات حساب الدفع: تعني خدمة دفع للتجزئة لتوفير معلومات متكاملة عن واحد أو أكثر من حسابات الدفع التي يحتفظ بها مستخدم خدمات الدفع للتجزئة مع مقدم خدمات دفع آخر أو مع أكثر من مقدمي خدمات الدفع. ولتجنب الشك، لا تتضمن خدمة معلومات حساب الدفع الاحتفاظ بأموال مستخدم خدمات الدفع للتجزئة في أي وقت.
- خدمة إصدار حساب الدفع: تعني خدمة دفع للتجزئة، ما عدا عن خدمات تحويل الأموال محلياً وعبر الحدود، التي تتيح (أ) فتح حساب الدفع، (ب) إيداع النقد في حساب الدفع، (ج) سحب النقد من حساب الدفع، و(د) جميع العمليات اللازمة لتشغيل حساب الدفع. يتم استخدام حساب الدفع فقط للاحتفاظ بالأموال/النقد العابر ولا يسمح بتخزين الأموال/ النقد والحفاظ عليها من خلاله.
- خدمة تجميع الدفع: تعني خدمة دفع للتجزئة تسهل قبول مواقع التجارة الإلكترونية والتجار لأدوات الدفع المختلفة من مستخدمي خدمات الدفع للتجزئة لاستكمال التزامات الدفع الخاصة بهم دون الحاجة إلى قيام التجار بإنشاء نظام تجميع دفع منفصل خاص بهم. يسهل تجميع الدفع على التجار الاتصال بالمحصلين؛ الذين يتلقون، في إطار هذه العملية، دفوعات من مستخدمي خدمات الدفع للتجزئة، فيقومون بجمعها وتحويلها إلى التجار بعد فترة من الوقت.
- بيانات الدفع: تعني أية معلومات مرتبطة بمستخدم خدمات الدفع للتجزئة، بما في ذلك البيانات المالية ولا تشمل البيانات الشخصية.
- خدمة إنشاء الدفع: تعني خدمة دفع للتجزئة لإنشاء أمر دفع بناءً على طلب مستخدم خدمات الدفع للتجزئة فيما يتعلق بحساب الدفع لدى مقدم خدمات دفع آخر. لتجنب الشك، لا تتضمن خدمة إنشاء الدفع الاحتفاظ بأموال الدافع والحفاظ عليها في أي وقت.
- أداة الدفع: تعني جهاز أو أجهزة مخصصة، بطاقة دفع و/أو مجموعة إجراءات متفق عليها بين مستخدم خدمات الدفع للتجزئة ومقدم خدمات الدفع، يتم استخدامها من أجل إنشاء أمر الدفع.
- خدمة إصدار أداة الدفع: تعني خدمة دفع للتجزئة ترتبط بتوفير أداة دفع لمستخدم خدمات الدفع للتجزئة التي تمكنه من إنشاء أوامر الدفع بالإضافة الى معالجة معاملات الدفع الخاصة بمستخدم خدمات الدفع للتجزئة.
- مقدم خدمات الدفع: يعني شخص اعتباري حائز على ترخيص بموجب هذا النظام لتقديم خدمة أو أكثر من خدمات الدفع للتجزئة والمدرج في السجل وفقاً للمادة (73) من قانون المصرف المركزي.
- إصدار رمز الدفع: يعني خدمة الدفع للتجزئة المتعلقة بإصدار رموز الدفع من قبل مقدم خدمات الدفع. لتجنب الشك، لا يجوز تقديم رموز الدفع للجمهور أو لمجموعة منه إلا إذا حصل مقدم خدمات الدفع الذي أصدر رموز الدفع على ترخيص الفئة الأولى، وأعد ورقة بيضاء فيما يتعلق برموز الدفع وحصل على موافقة المصرف المركزي قبل عرض هذه الرموز للجمهور.
- رمز الدفع: يعني نوعًا من الأصول المشفرة مغطاة بواحدة أو أكثر من الأوراق النقدية، يمكن تداوله رقميًا ويعمل باعتباره (أ) وسيلةً للتبادل؛ (ب) وحدة الحساب؛ و/أو (ج) مخزن القيمة، ولكن ليس له قوة إبراء بموجب القانون في أي منطقة اختصاص. لا يتم إصدار رمز الدفع أو ضمانه من قبل أي منطقة اختصاص، ولا يؤدي الوظائف المذكورة أعلاه إلا بالاتفاق داخل جماعة مستخدمي رمز الدفع. لتجنب الشك، لا يمثل رمز الدفع أي مطالبة بحقوق الملكية أو الديون.
- شراء رمز الدفع: يعني شراء رموز الدفع مقابل أي من الأوراق النقدية أو رموز الدفع.
- بيع رمز الدفع: يعني بيع رموز الدفع مقابل أي من الأوراق النقدية أو رموز الدفع.
- خدمات رمز الدفع: تعني خدمات الدفع للتجزئة التي تشمل أي من الأنشطة التالية المرتبطة برموز الدفع: (أ) إصدار رمز الدفع، (ب) شراء رمز الدفع، (ج) بيع رمز الدفع، (د) تسهيل تداول رموز الدفع، (هـ) تمكين الدفعات للتجار و/أو تمكين الدفعات المباشرة بين الأقران، و(و) خدمات أمين الحفظ. لتجنب الشك، يجوز لمقدم خدمات الدفع تقديم واحدة فقط من خدمات الدفع للتجزئة المشار إليها في الفقرتين (هـ) و(و)؛ وفي حال رغبته بتوفير كليهما والسماح لمستخدمي خدمات الدفع للتجزئة باسترداد رموز الدفع بأي أوراق نقدية بموجب ترتيب تعاقدي، فيجب أن يمتثل لمتطلبات تسهيلات القيم المخزنة ذات الصلة.
- معاملة الدفع: تعني إجراء ينشئه الدافع أو نيابة عنه أو المدفوع له لوضع الأموال، تحويلها أو سحبها، بصرف النظر عن أي التزامات قائمة بين الدافع والمدفوع له.
- المدفوع له: يعني الشخص المقصود المتلقي للأموال التي خضعت لمعاملة دفع.
- الدافع: يعني الشخص صاحب حساب دفع الذي يجيز أمر دفع من هذا الحساب؛ أو في حال عدم وجود حساب دفع، الشخص الذي يعطي أمر دفع.
- الشخص: يعني الشخص الطبيعي أو الاعتباري.
- البيانات الشخصية: تعني أية معلومات ترتبط بشخص طبيعي محدد أو قابل للتحديد.
- المعالجة: تعني معالجة معاملة الدفع اللازمة لتنفيذ أمر دفع، بما في ذلك المقاصة والتسوية، بين المحصل ومُصدر البطاقة.
- الترويج: يعني أي شكل من أشكال الاتصال، بأي وسيلة، يهدف إلى دعوة أو عرض تنظيم اتفاقية تتعلق بأي خدمة دفع للتجزئة. لتجنب الشك، لا يتحمل أي شخص تم تكليفه بتقديم أو المشاركة في أنشطة ترويجية من قبل شخص يقدم خدمات الدفع للتجزئة دون الحصول على ترخيص أي مسؤولية بموجب هذا النظام.
- هيئات القطاع العام: تعني الحكومة الاتحادية، حكومات الإمارات الأعضاء في الاتحاد، والهيئات والمؤسسات العامة.
- السجل: يعني السجل المشار إليه في المادة (73) من قانون المصرف المركزي.
- النظام: يعني نظام خدمات الدفع للتجزئة ومنظومات البطاقات.
- التحويل: يعني استلام الأموال من الدافع دون فتح أي حسابات دفع باسم الدافع أو المدفوع له.
- احتياطي الأصول: يعني مجموع الأوراق النقدية التي لها قوة إبراء بموجب القانون والتي تدعم قيمة رمز الدفع.
- خدمات الدفع للتجزئة: تعني أي نشاط تجاري محدد في الملحق 1.
- مستخدم خدمات الدفع للتجزئة: يعني الشخص الذي يعتزم الاستفادة أو يستفيد من خدمة دفع للتجزئة بصفته دافعًا أو مدفوع له أو كليهما.
- بيانات الدفع الحساسة: تعني البيانات، بما في ذلك بيانات الأمان المخصصة التي يمكن استخدامها لتنفيذ أنشطة غير مصرح بها. يجب ألا يشكل اسم مالك حساب الدفع ورقم حساب الدفع بيانات دفع حساسة لأغراض خدمات إنشاء الدفع وخدمات معلومات حساب الدفع.
- اتفاقية الدفع للتجزئة لمرة واحدة: يعني الاتفاقية التي تحكم تنفيذ معاملة دفع فردية.
- الدولة: تعني الإمارات العربية المتحدة.
- رمز الأوراق المالية: يعني نوعًا من الأصول المشفرة يوفر لحامله حقوقًا والتزامات تمثل مطالبة بالدين أو بحقوق الملكية في مواجهة مُصدر ذلك الرمز.
- تسهيلات القيمة المخزنة: تعني تسهيلات (غير نقدية) يدفع عنها أو بما يتعلق بها العميل، أو شخص آخر نيابةً عن العميل، مبلغاً من المال (بما في ذلك قيمة الأموال ومنها القيم، نقاط المكافأة، والأصول المشفرة أو الافتراضية) للمصدر، سواء بشكل مباشر أو غير مباشر، مقابل: (أ) تخزين قيمة هذه الاموال (بما في ذلك قيمة الأموال ومنها القيم، نقاط المكافأة، والأصول المشفرة أو الافتراضية)، سواء كلياً أو جزئياً، ضمن التسهيلات؛ و(ب) "التعهد ذات الصلة". تشمل تسهيلات القيمة المخزنة تسهيلات القيمة المخزنة القائمة على الأجهزة وغير القائمة على الأجهزة على حدٍ سواء.
- دولة ثالثة: تعني أي دولة غير دولة الإمارات العربية المتحدة.
- منظومة بطاقات ثلاثية الأطراف: يُقصد بها منظومة البطاقات التي تقدم بنفسها خدمات تحصيل المعاملات وخدمات إصدار أدوات الدفع ومعاملات الدفع بواسطة البطاقة التي تتم من حساب الدفع الخاص بالدافع إلى حساب الدفع الخاص بالمدفوع له ضمن منظومة البطاقات. عندما تقوم منظومة بطاقات ثلاثية الأطراف بترخيص مقدمي خدمات الدفع آخرين لإصدار أدوات الدفع بواسطة البطاقة أو لتحصيل معاملات الدفع بواسطة البطاقة، أو كليهما، أو إصدار أدوات الدفع بواسطة البطاقة مع شريك في العلامة التجارية أو من خلال وكيل، تعتبر منظومة بطاقات رباعية الأطراف.
- الإمارات العربية المتحدة: تعني دولة الإمارات العربية المتحدة.
- معاملة دفع غير مصرح بها: تعني معاملة دفع لم يوافق الدافع على تنفيذها. يجب إعطاء الموافقة على تنفيذ معاملة الدفع أو سلسلة من معاملات الدفع بالشكل المتفق عليه بين الدافع ومقدم خدمات الدفع. يمكن أيضًا إعطاء الموافقة على تنفيذ معاملة الدفع عبر المدفوع له أو مقدم خدمة إنشاء الدفع.
- الأصول الافتراضية: هي تمثيل رقمي للقيمة التي يمكن تداولها رقميًا أو تحويلها، ويمكن استخدامها لأغراض الدفع أو الاستثمار. لا تشمل الأصول الافتراضية التمثيل الرقمي للأوراق النقدية والمالية والأصول المالية الأخرى التي سبقت تغطيتها في التوصيات الأخرى لمجموعة العمل المالي.
- مقدمو خدمات الأصول الافتراضية: يُقصد بمقدم خدمة الأصول الافتراضية أي شخص طبيعي أو اعتباري لم يتم تغطيته في أي توصية أخرى لمجموعة العمل المالي، والذي يقوم بإجراء واحد أو أكثر من الأنشطة أو العمليات التالية لصالح أو نيابة عن شخص طبيعي أو اعتباري آخر: (1) التبادل بين الأصول الافتراضية والأوراق النقدية؛ (2) التبادل بين شكل أو أكثر من الأصول الافتراضية؛ (3) نقل الأصول الافتراضية؛ (4) حفظ و / أو إدارة الأصول الافتراضية أو الأدوات التي تمكن من التحكم في الأصول الافتراضية؛ و(5) المشاركة في وتقديم الخدمات المالية المتعلقة بعرض المصدر و / أو بيع أصل افتراضي.
- رموز الأصول الافتراضية: تعني نو عًا من الأصول المشفرة التي يمكن تداولها رقميًا وتعمل (أ) كوحدة حساب؛ و/أو (2) مخزن للقيمة. على الرغم من أنه قد يتم قبول بعض رموز الأصول الافتراضية كوسيلة للدفع، إلا أنها لا تُقبل عمومًا كوسيلة للتبادل، وقد لا يكون لها مُصدر وليس لها قوة إبراء بموجب القانون في أي منطقة اختصاص. لا يتم إصدار رمز الأصول الافتراضية أو ضمانه من قبل أي منطقة اختصاص، ولا يؤدي الوظائف المذكورة أعلاه إلا بالاتفاق داخل جماعة مستخدمي رمز الأصول الافتراضية. لتجنب الشك، لا يمثل رمز الأصول الافتراضية أي مطالبة بحقوق الملكية أو الديون، وهو غير مغطى بأي أوراق نقدية.
- خدمات رموز الأصول الافتراضية: تعني أيًا من الخدمات التالية: (أ) تمكين عمليات تحويل رمز الأصول الافتراضية من خلال المشاركة المباشرة بين الأقران، و(2) خدمات أمين الحفظ لرموز الأصول الافتراضية.
- نظام حماية الأجور: يعني أي نظام توافق مطبق في المصرف المركزي يهدف إلى توفير آلية آمنة ومؤمنة وفعالة وقوية لتسهيل دفع الأجور في الوقت المناسب وبكفاءة.
- التحويلات الإلكترونية: تعني أي معاملة تتم نيابة عن صاحب المعاملة من خلال مؤسسة مالية بوسائل إلكترونية بهدف جعل مبلغ من الأموال متوفر لشخص مستفيد في مؤسسة مالية مستفيدة، بغض النظر عما إذا كان صاحب المعاملة والمستفيد هما نفس الشخص.
- حساب دفع في نظام حماية الأجور: يعني حساب مرتبط بنظام حماية الأجور في البنية التحتية للمصرف المركزي ويتم الاحتفاظ به لأغراض حفظ الأجور ودفعها.
- صاحب حساب دفع في نظام حماية الأجور: يعني صاحب حساب دفع لدى مقدم خدمات الدفع الذي مُنح حق الوصول إلى نظام حماية الأجور بغرض تنفيذ تحويلات الأجور.
- الورقة البيضاء: تعني الوصف المفصل باللغتين العربية والإنجليزية لما يلي: (أ) إصدار مقدم خدمات الدفع رمزًا للدفع وعرضًا للمشاركين الرئيسيين المعنيين في تصميم المشروع وتطويره، (ب) وصفًا تفصيليًا للمشروع ونوع رمز الدفع الذي سيتم تقديمه للجمهور، (ج) عدد رموز الدفع التي سيتم إصدارها وسعر الإصدار، (د) وصف تفصيلي للحقوق والالتزامات المرتبطة برمز الدفع وإجراءات وشروط ممارسة تلك الحقوق، (هـ) معلومات عن التكنولوجيا والمعايير الأساسية المطبقة من قبل مقدم خدمات الدفع الذي يصدر رمز الدفع بما يجيز بالاحتفاظ برموز الدفع هذه، تخزينها وتحويلها، (و) وصفًا تفصيليًا للمخاطر المتعلقة بإصدار مقدم خدمات الدفع رموز الدفع، ورموز الدفع، والعرض للجمهور وتنفيذ المشروع، والإفصاحات الأخرى التي قد يحددها المصرف المركزي، (ز) وصفًا تفصيليًا لترتيبات الحوكمة الخاصة بمقدم خدمات الدفع، بما في ذلك وصف دور ومهام ومستوى مسؤولية الأطراف الثالثة المسؤولة عن تشغيل واستثمار وحفظ احتياطي الأصول، وحيثما ينطبق، توزيع رموز الدفع، (ح) وصفًا تفصيليًا لاحتياطي الأصول، (ي) وصفًا تفصيليًا لترتيبات الحفظ الخاصة باحتياطي الأصول، بما في ذلك فصل الأصول؛ (ح) في حالة استثمار احتياطي الأصول، وصف تفصيلي لسياسة الاستثمار؛ و(ط) معلومات عن طبيعة الحقوق وإمكانية نفاذها، بما في ذلك أي حق استرداد مباشر أو أي مطالبات قد تكون لأصحاب رموز الدفع بشأن احتياطي الأصول أو تجاه مقدم خدمات الدفع الذي أصدر رموز الدفع، بما في ذلك كيفية التعامل مع هذه الحقوق في حال إجراءات الإفلاس. لتجنب الشك، يجب صياغة الورقة البيضاء بلغة بسيطة وسهلة الفهم وغير مضللة، ويجب أن تكون مؤرخة. يجب اعتماد الورقة البيضاء من قبل إدارة مقدم خدمات الدفع ونشرها على الموقع الالكتروني لمقدم خدمات الدفع بعد الحصول على موافقة المصرف المركزي.
- الوكيل: يعني الشخص الاعتباري الذي يتولى تقديم خدمات الدفع للتجزئة نيابةً عن مقدم خدمات الدفع.
المادة (2): الترخيص
- لا يجوز لأي شخص تقديم أو المشاركة في الترويج داخل الدولة لأي من خدمات الدفع للتجزئة المنصوص عليها في الملحق 1 دون الحصول على ترخيص مسبق من المصرف المركزي، ما لم يكن هذا الشخص شخصًا معفى.
الأشخاص المعفيين
- تعتبر البنوك المرخصة من قبل المصرف المركزي تلقائيا مرخصة لتقديم خدمات الدفع للتجزئة وتكون بناءً لذلك معفاة من المنع المشار إليه في البند (1). ومع ذلك، يتعين على البنوك إخطار المصرف المركزي خطيًا في حال رغبتها تقديم خدمات الدفع للتجزئة المشار إليها في البنود (3) إلى (4) و(7) إلى (9) من الملحق 1 والحصول على خطاب عدم ممانعة قبل البدء في تقديم هذه الخدمات. تُعفى البنوك من متطلب خطاب عدم الممانعة وأي متطلبات ترخيص لتقديم خدمات الدفع للتجزئة المشار إليها في البنود (1)، (2)، (5) و(6) من الملحق 1.
- لتجنب الشك، يتعين على البنوك التي تقدم خدمات الدفع للتجزئة، بخلاف خدمات الدفع للتجزئة المشار إليها في البنود (1)، (2)، (5) و(6) من المرفق 1، الامتثال فقط للمتطلبات المنصوص عليها في المادة (11) بشأن خدمات رمز الدفع، المادة (12) بشأن مواجهة غسل الأموال ومكافحة تمويل الإرهاب والتنظيمات غير المشروعة، المادة (13) بشأن مخاطر التكنولوجيا وأمن المعلومات، والمادة (14) بشأن الالتزامات تجاه مستخدمي خدمات الدفع للتجزئة.
- تستثنى شركات التمويل المرخص لها بموجب نظام شركات التمويل من الحظر المنصوص عليه في البند (1) فيما يخص خدمة إصدار بطاقات الائتمان. لتجنب الشك، باستثناء إصدار بطاقات الائتمان، يتعين على شركات التمويل التي تعتزم تقديم خدمات الدفع للتجزئة الحصول على ترخيص مسبق من المصرف المركزي.
- يجوز للمصرف المركزي أن يطلب من شخص أو شخص معفى تزويده بأي معلومات أو مستندات يراها ضرورية لتحديد الأهلية للإعفاء أو استمرار الإعفاء تباعاً.
- يحتفظ المصرف المركزي بحق إلغاء الإعفاء الممنوح بناء على المادة 2.
المادة (3): فئات الترخيص
- يجب على الشخص الذي يعتزم تقديم خدمات الدفع للتجزئة التقدم بطلب الحصول على إحدى فئات الترخيص التالية:
- 1.1 ترخيص الفئة الألى؛
- 1.2 ترخيص الفئة الثانية؛
- 1.3 ترخيص الفئة الثالثة؛ و
- 1.4 ترخيص الفئة الرابعة.
- يجب على مقدم الطلب التقدم للحصول على ترخيص الفئة الأولى إذا كان يعتزم تقديم واحدة أو أكثر من خدمات الدفع للتجزئة التالية:
- 2.1 خدمات إصدار حساب الدفع؛
- 2.2 خدمات إصدار أداة الدفع؛
- 2.3 خدمات تحصيل المعاملات؛
- 2.4 خدمات تجميع الدفع؛
- 2.5 خدمات تحويل الأموال محلياً؛
- 2.6 خدمات تحويل الأموال عبر الحدود؛ و
- 2.7 خدمات رمز الدفع.
- يجب على مقدم الطلب التقدم للحصول على ترخيص الفئة الثانية إذا كان يعتزم تقديم واحدة أو أكثر من خدمات الدفع للتجزئة التالية:
- 3.1 خدمات إصدار حساب الدفع؛
- 3.2 خدمات إصدار أداة الدفع؛
- 3.3 خدمات تحصيل المعاملات؛
- 3.4 خدمات تجميع الدفع؛
- 3.5 خدمات تحويل الأموال محلياً؛ و
- 3.6 خدمات تحويل الأموال عبر الحدود.
- يجب على مقدم الطلب التقدم للحصول على ترخيص الفئة الثالثة إذا كان يعتزم تقديم واحدة أو أكثر من خدمات الدفع للتجزئة التالية:
- 4.1 خدمات إصدار حساب الدفع؛
- 4.2 خدمات إصدار أداة الدفع؛
- 4.3 خدمات تحصيل المعاملات؛
- 4.4 خدمات تجميع الدفع؛ و
- 4.5 خدمات تحويل الأموال محلياً.
- يجب على مقدم الطلب التقدم للحصول على ترخيص الفئة الرابعة إذا كان يعتزم تقديم واحدة أو أكثر من خدمات الدفع للتجزئة التالية:
- 5.1 خدمات إنشاء الدفع؛ و
- 5.2 خدمات معلومات حساب الدفع.
- يجب على الشخص الذي يعتزم تقديم خدمات الدفع للتجزئة التقدم بطلب الحصول على إحدى فئات الترخيص التالية:
المادة (4): شرو الترخيص
- للحصول على ترخيص، يجب على مقدم الطلب، عند تقديم الطلب:
- 1.1 استيفاء الشكل القانوني؛
- 1.2 استيفاء متطلبات رأس المال الأولي وفقاً لفئة الترخيص المحددة في المادة (6)؛ و
- 1.3 تقديم المستندات والمعلومات اللازمة والمحددة في نموذج الطلب الخاص بالمصرف المركزي كما هو منصوص عليه من قبل قسم الترخيص.
- بالإضافة إلى المتطلبات المنصوص عليها في البند (1)، للحصول على ترخيص الفئة الأولى، يجب على مقدم الطلب، عند تقديم الطلب، تقديم قائمة بجميع رموز الدفع التي يعتزم اصدارها والحصول على رأي قانوني بشأن تقييم جميع رموز الدفع.
- بالإضافة إلى المتطلبات المنصوص عليها في البند (1)، للحصول على ترخيص الفئة الرابعة، يجب على مقدم الطلب، عند تقديم الطلب، حيازة تأمين التعويض المهني وفقاً للبنود (14) الى (16) من المادة (10).
- للحصول على ترخيص، يجب على مقدم الطلب، عند تقديم الطلب:
المادة (5): إجراءات الترخيص
- يخضع ترخيص مقدمي الطلبات للإجراءات المنصوص عليها في إرشادات الترخيص الصادرة عن المصرف المركزي.
- يتم تشجيع إدارة مقدم الطلب على مقابلة قسم الترخيص بالمصرف المركزي قبل تقديم طلب رسمي.
- يخضع ترخيص مقدمي الطلبات للإجراءات المنصوص عليها في إرشادات الترخيص الصادرة عن المصرف المركزي.
المادة (6): رأس المال الأولى
- يجب على مقدم الطلب، عند منحه ترخيصًا من المصرف المركزي، أن يحتفظ برأس مال أولي وفقًا لما يلي:
- 1.1 للحصول على ترخيص الفئة الأولى:
-
- 1.1.1 رأس مال أولي لا يقل عن ثلاثة (3) ملايين درهم في حال كان متوسط القيمة الشهرية لمعاملات الدفع عشرة (10) ملايين درهم أو ما فوق؛ أو
- 1.1.2 رأس مال أولي لا يقل عن (5.1) مليون ونصف درهم في حال كان متوسط القيمة الشهرية لمعاملات الدفع أقل من عشرة (10) ملايين درهم؛
- 1.2 للحصول على ترخيص الفئة الثانية:
-
- 1.2.1 رأس مال أولي لا يقل عن (2) مليوني درهم في حال كان متوسط القيمة الشهرية لمعاملات الدفع عشرة (10) ملايين درهم أو ما فوق؛ أو
- 1.2.2 رأس مال أولي لا يقل عن (1) مليون درهم في حال كان متوسط القيمة الشهرية لمعاملات الدفع أقل من عشرة (10) ملايين درهم.
- 1.3 للحصول على ترخيص الفئة الثالثة:
- 1.4 للحصول على ترخيص الفئة الرابعة: رأس مال أولي لا يقل عن مئة ألف (100,000) درهم بغض النظر عن متوسط القيمة الشهرية لمعاملات الدفع.
- يجب على مقدم الطلب تقديم معلومات إلى المصرف المركزي عن مصدر (مصادر) الأموال التي تشكل رأس المال الأولى وفقًا للبند (1).
آلية إجراء الحساب
- يتم حساب متوسط القيمة الشهرية لمعاملات الدفع المشار إليه في البند (1) على أساس المتوسط المتبدل للأشهر (3) السابقة أو، في حالة عدم وجود هذه البيانات عند منح الترخيص من قبل المصرف المركزي، على أساس خطة العمل والتوقعات المالية المقدمة.
- يجب على مقدم الطلب، عند منحه ترخيصًا من المصرف المركزي، أن يحتفظ برأس مال أولي وفقًا لما يلي:
المادة (7): إجمالي رأس المال
- يجب على مقدم خدمات الدفع ضمان والاحتفاظ في جميع الأوقات بإجمالي رأس مال لا يقل عن متطلبات رأس المال الأولي المنصوص عليها في المادة (6)، مع الأخذ في الاعتبار فئة الترخيص المعنية.
- يجوز للمصرف المركزي أن يفرض متطلبات إجمالي رأس مال أعلى من تلك المشار إليها في البند (1) إذا اعتبر، بالنظر إلى حجم وتعقيد أعمال مقدم خدمات الدفع، أن هذه المتطلبات الأعلى ضرورية للتحقق من كون مقدم خدمات الدفع يمتلك القدرة على الوفاء بالتزاماته بموجب هذا النظام.
- في حال تجاوز متوسط القيمة الشهرية لمعاملات الدفع المحسوبة وفقًا للبند (3) من المادة (6) الحد الأقصى المعاملات الدفع البالغ عشرة (10) ملايين درهم خلال ثلاثة (3) أشهر متتالية، يتعين على مقدمي خدمات الدفع إبلاغ المصرف المركزي بهذا الشأن ليصبحوا تلقائيًا خاضعين لمتطلبات إجمالي رأس المال الأعلى التي يحددها المصرف المركزي بموجب البند (2).
- يتألف إجمالي رأس المال المشار إليه في البند (1) من واحد أو أكثر من عناصر رأس المال المشار إليها في البندين (5) و(6).
عناصر رأس المال
- يتألف إجمالي رأس المال لمقدم خدمات الدفع من التالي:
- 5.1 رأس المال المدفوع؛
- 5.2 الاحتياطيات، باستثناء احتياطيات إعادة التقييم؛ و
- 5.3 الأرباح المحتفظ بها.
- يجب عدم احتساب العناصر التالية ضمن إجمالي رأس المال:
- 6.1 الخسائر المتراكمة؛ و
- 6.2 السمعة التجارية.
- يجب على مقدم خدمات الدفع ضمان والاحتفاظ في جميع الأوقات بإجمالي رأس مال لا يقل عن متطلبات رأس المال الأولي المنصوص عليها في المادة (6)، مع الأخذ في الاعتبار فئة الترخيص المعنية.
المادة (8): الرقابة على المسيطرين
- لا يجب لأي شخص أن يصبح مسيطراً في مقدم خدمات دفع دون الحصول على موافقة مسبقة من المصرف المركزي.
- يمنح المصرف المركزي الموافقة المشار اليها في البند (1) إذا وجد أنه:
- يجوز منح الموافقة بموجب البند (2) وفقًا لأية شروط قد يفرضها المصرف المركزي على الشخص، بما في ذلك على سبيل المثال لا الحصر:
3.1 الشروط التي تقيد قدرة الشخص على التصرف أو التملك اللاحق للأسهم أو حقوق التصويت في مقدم خدمات الدفع؛ و- 3.2 الشروط التي تقيد ممارسة الشخص لحق التصويت في مقدم خدمات الدفع.
- لا يجب لأي شخص أن يصبح مسيطراً في مقدم خدمات دفع دون الحصول على موافقة مسبقة من المصرف المركزي.
المادة (9): العمل الرئيسي
- يجب أن يكون العمل الرئيسي لمقدم خدمات الدفع توفير خدمة (خدمات) الدفع للتجزئة التي تم منحه ترخيصًا لها.
- في حال اعتزم مقدم خدمات الدفع تقديم خدمة (خدمات) إضافية تقع خارج نطاق ترخيصه، فيجب عليه الحصول على موافقة المصرف المركزي قبل البدء في تقديم هذه الخدمة (الخدمات).
- يوجب المصرف المركزي الحصول على موافقة مسبقة لتقديم أي خدمة (خدمات) إضافية من قبل مقدم خدمات الدفع، وقد يطلب من مقدم خدمات الدفع الذي يعتزم تقديم خدمة (خدمات) إضافية، إنشاء كيان منفصل لتقديم هذه الخدمات، إذا وجد أن تنفيذ الأنشطة الإضافية قد يكون له تأثير سلبي على قدرة مقدم خدمات الدفع على الامتثال لمتطلبات هذا النظام وأحكام المستوى الثاني.
- يجب أن يكون العمل الرئيسي لمقدم خدمات الدفع توفير خدمة (خدمات) الدفع للتجزئة التي تم منحه ترخيصًا لها.
المادة (10): المتطلبات المستمرة
الحوكمة المؤسسية
- يجب على مقدمي خدمات الدفع الامتثال للمتطلبات التالية بشأن الحوكمة المؤسسية.
- يجب أن يكون لدى مقدمي خدمات الدفع ترتيبات حوكمة فعالة، قوية وموثقة جيدًا والحفاظ عليها، بما في ذلك هيكل تنظيمي واضح، وتوزيع محدد وشفاف وملائم للمهام والمسؤوليات.
- يجب أن تكون ترتيبات الحوكمة المؤسسية المشار إليها في البند (2) متكاملة ومتناسبة مع طبيعة، حجم وتعقيد خدمات الدفع للتجزئة المقدمة، ويجب أن تحتوي، كحد أدنى، على ما يلي:
- 3.1 هيكل تنظيمي يوضح كل قسم، إدارة أو وحدة، مع الإشارة إلى اسم كل فرد مسؤول مصحوبًا بوصف الوظيفة والمهام والمسؤوليات الموكلة إليه؛
- 3.2 ضوابط لحالات تضارب المصالح؛
- 3.3 ضوابط النزاهة والشفافية في عمليات مقدم خدمات الدفع؛
- 3.4 ضوابط لضمان الامتثال للقوانين واللوائح المعمول بها؛
- 3.5 طرق الحفاظ على سرية المعلومات؛ و
- 3.6 إجراءات المراقبة والتدقيق المنتظمين لجميع ترتيبات الحوكمة المؤسسية.
إدارة المخاطر
- يجب أن يكون لدى مقدمي خدمات الدفع سياسات وإجراءات قوية وشاملة وأن يحافظوا عليها لتحديد، إدارة، مراقبة والإبلاغ عن المخاطر الناشئة عن توفير خدمات الدفع للتجزئة التي يتعرضون أو قد يتعرضون لها، وإجراءات الرقابة الداخلية المناسبة، بما في ذلك الإجراءات الإدارية والمحاسبية.
- يجب أن تكون سياسات وإجراءات إدارة المخاطر الخاصة بمقدمي خدمات الدفع:
5.1 محدثة؛- 5.2 خاضعة للمراجعة سنوياً؛ و
- 5.3 متناسبة مع طبيعة، حجم وتعقيد خدمات الدفع للتجزئة المقدمة.
- يجب على مقدمي خدمات الدفع إحداث وظيفة لإدارة المخاطر، وظيفة تدقيق داخلي ووظيفة امتثال.
المحاسبة والتدقيق
- يجب على مقدمي خدمات الدفع تعيين مدقق ليقوم على أساس سنوي بتدقيق التالي:
- 7.1 القوائم المالية أو القوائم المالية الموحدة لمقدم خدمات الدفع المعدة وفقًا للمعايير والممارسات المحاسبية المقبولة؛ و
- 7.2 أنظمة وضوابط خدمات الدفع للتجزئة التي يقدمها مقدم خدمات الدفع، بشكل منفصل عن أي تدقيق يتناول خدمات الدفع الأخرى التي لا تشكل خدمات دفع للتجزئة.
- بناءً على طلب المصرف المركزي، يجب على المدقق المعين أن يقدم، مباشرة أو من خلال مقدم خدمات الدفع، تقرير التدقيق في شكل وفي إطار زمني مقبولين من المصرف المركزي.
- بالإضافة إلى تقرير التدقيق، يجوز للمصرف المركزي أن يطلب من المدقق ما يلي:
الاحتفاظ بالسجلات
- يجب على مقدمي خدمات الدفع الاحتفاظ بجميع السجلات الضرورية الخاصة بالبيانات الشخصية وبيانات الدفع لمدة (5) سنوات من تاريخ استلام هذه البيانات، ما لم تفرض القوانين الأخرى المعمول بها أو المصرف المركزي خلاف ذلك.
متطلبات الإخطار
- يجب على مقدم الطلب أو مقدم خدمات الدفع، بحسب الحالة، عند حصول أي تغيير جوهري من شأنه التأثير على صحة واكتمال المعلومات المقدمة في الطلب، إخطار المصرف المركزي فوراً بهذا التغيير وتقديم جميع المعلومات والمستندات اللازمة.
- يجب على مقدم خدمات الدفع إخطار المصرف المركزي فوراً بأي مخالفة مؤكدة أو محتملة لأحد المتطلبات الرقابية الرئيسية المنصوص عليها في هذا النظام أو في أحكام المستوى الثاني.
- يجب على مقدم خدمات الدفع إخطار المصرف المركزي فوراً إذا علم بوقوع أو احتمال حدوث أي من الأحداث التالية:
- 13.1 أي حدث يمنع الوصول إلى عمليات مقدم خدمات الدفع أو يعطلها؛
- 13.2 أي إجراء قانوني تم اتخاذه تجاه مقدم خدمات الدفع سواء في الدولة أو في دولة ثالثة؛
- 13.3 بدء أي إجراءات إفلاس أو حل أو تصفية أو إجراءات مماثلة، أو تعيين أي حارس قضائي أو إداري أو مصفٍ مؤقت بموجب قوانين أي دولة؛
- 13.4 أي إجراء تأديبي أو عقوبة تم اتخاذه تجاه مقدم خدمات الدفع أو فرض عليه من قبل هيئة رقابية فيما عدا المصرف المركزي، سواء في الدولة أو في دولة ثالثة؛
- 13.5 أي تغيير في المتطلبات الرقابية التي يخضع لها فيما عدا متطلبات المصرف المركزي، سواء في الدولة أو في دولة ثالثة؛ و
- 13.6 أي حدث آخر يحدده المصرف المركزي.
تأمين التعويض المهني
- يلتزم مقدمو خدمات الدفع الذين يقدمون خدمات إنشاء الدفع وخدمات معلومات حساب الدفع الحصول على تأمين التعويض المهني بالقيمة التي يحددها المصرف المركزي.
- يجب أن يغطي تأمين التعويض المهني لمقدمي خدمات الدفع الذين يقدمون خدمات إنشاء الدفع المشار إليها في البند (14) مسؤوليات مقدمي خدمات الدفع عن معاملات الدفع غير المصرح بها، وعن عدم التنفيذ، التنفيذ المعيب أو المتأخر لمعاملات الدفع.
- يجب أن يغطي تأمين التعويض المهني لمقدمي خدمات الدفع الذين يقدمون خدمات معلومات حساب الدفع المشار إليها في البند (14) مسؤولية مقدمي خدمات الدفع تجاه مقدم خدمات الدفع الذي يقدم خدمات إصدار الحساب أو مستخدم خدمات الدفع للتجزئة الناتجة عن الوصول أو الاستخدام غير المصرح بهما أو المشبوهين لمعلومات حساب الدفع.
- يجب على مقدمي خدمات الدفع الامتثال للمتطلبات التالية بشأن الحوكمة المؤسسية.
المادة (11): خدمات رمز الدفع
- لا تخل هذه المادة (11) بالأحكام الأخرى من هذا النظام ذات الصلة بمقدمي خدمات الدفع الذين يقدمون خدمات رمز الدفع.
- لتجنب الشك، لا تشمل خدمات رمز الدفع رمز الأوراق المالية، رمز السلع ورمز الأصول الافتراضية وتقديم الخدمات المرتبطة بها.
- يكون رمز الأوراق المالية ورمز السلع من اختصاص هيئة الأوراق المالية والسلع، وبالتالي يتم تنظيمهما والرقابة عليهما من هيئة الأوراق المالية والسلع.
- على الرغم من إمكانية قبول رموز الأصول الافتراضية كوسيلة للدفع، إلا أنها غير مقبولة بشكل عام كوسيلة للتبادل بسبب عدم الاستقرار والتقلبات العالية قيمتها السوقية. ونتيجةً لذلك، فإن أي خدمات مرتبطة برموز الأصول الافتراضية، بما في ذلك خدمات رموز الأصول الافتراضية تكون خارج نطاق هذا النظام.
مواجهة غسل الأموال ومكافحة تمويل الإرهاب والتنظيمات غير المشروعة
- تنطوي خدمات رمز الدفع على مخاطر عالية فيما يتعلق بغسل الأموال وتمويل الإرهاب بسبب سرعة تداولها، إخفاء الهوية وطبيعتها العابرة للحدود. تماشياً مع معايير مجموعة العمل المالي، يجب على مقدمي خدمات الدفع الذين يقدمون خدمات رمز الدفع إجراء تقييم للمخاطر واتخاذ التدابير المناسبة لإدارة المخاطر المحددة والتخفيف منها وفقًا للمتطلبات القانونية والرقابية المعمول بها. يجب على مقدمي خدمات الدفع الذين يقدمون خدمات رمز الدفع الامتثال لإرشادات مجموعة العمل المالي الخاصة بالنهج القائم على المخاطر للأصول الافتراضية ومقدمي خدمات الأصول الافتراضية، كما يمكن استكماله من وقت لآخر، أو أي معايير أو إرشادات ذات صلة في تقييم وإدارة المخاطر الخاصة بخدمات رمز الدفع.
مخاطر التكنولوجيا وأمن المعلومات
المتطلبات الأمنية
- يجب أن يكون لدى مقدم خدمات الدفع الذي يقدم خدمات رمز الدفع فهم جيد للمخاطر الأمنية والثغرات الخاصة بكل رمز دفع مقدم من قبله. كما يجب عليه إجراء تقييم للمخاطر الأمنية لكل رمز دفع.
مخاطر الأمن السيبراني
- يجب على مقدمي خدمات الدفع الذين يقدمون خدمات رمز الدفع والذين يبلغ متوسط القيمة الشهرية لمعاملات الدفع الخاصة بهم عشرة (10) ملايين درهم أو ما فوق القيام بتقييم دوري لضرورة إجراء اختبار محاكاة الاختراق والهجوم السيبراني. يجب أن تستند التغطية ونطاق الاختبار إلى ملف تحديد مخاطر الأمن السيبراني، والمعلومات الاستخباراتية السيبرانية المتاحة، والتي لا تغطي الشبكات (الخارجية والداخلية) وأنظمة التطبيقات فحسب، بل تشمل أيضاً الهندسة الاجتماعية والتهديدات السيبرانية الناشئة. كما يجب على مقدم خدمات الدفع اتخاذ الإجراءات المناسبة للتخفيف من المشاكل، التهديدات والثغرات التي تم تحديدها في اختبار محاكاة الاختراق والهجمات السيبرانية في الوقت المناسب، بناءً على تحليل التأثير والتعرض للمخاطر.
التزامات خاصة لتقديم خدمات الدفع للتجزئة على رموز الدفع
احتياطي الأصول
- يجب على مقدمي خدمات الدفع الذين يصدرون رموز الدفع الابقاء على والاحتفاظ في جميع الأوقات باحتياطي الأصول لكل فئة من رموز الدفع المصدرة.
- يجب على مقدمي خدمات الدفع الذين يصدرون رموز الدفع ضمان إدارة فعالة وحكيمة لاحتياطي الأصول. يجب عليهم التأكد من أن إنشاء وتدمير رموز الدفع يقابله زيادة أو نقصان في احتياطي الأصول، كما يجب أن تتم إدارة هذه الزيادة أو النقصان بشكل مناسب لتجنب أي آثار سلبية على سوق الأصول الاحتياطية.
آلية المحافظة على الاستقرار
- يجب أن يعتمد ويحافظ مقدمو خدمات الدفع الذين يصدرون رموز الدفع على سياسة واضحة ومفصلة حول الآلية المختارة للمحافظة على الاستقرار، على ان تتضمن هذه السياسة والإجراءات على وجه الخصوص:
- 10.1 وصف نوع، تخصيص وتكوين الأصول المرجعية التي تهدف قيمتها إلى تثبيت قيمة رموز الدفع؛
- 10.2 تناول تقييم مفصل للمخاطر، بما في ذلك مخاطر الائتمان، المخاطر المرتبطة بالطرف المقابل، مخاطر السوق ومخاطر السيولة الناتجة عن احتياطي الأصول؛
- 10.3 وصف آلية إنشاء وتدمير رموز الدفع ونتائج هذا الإنشاء أو التدمير على زيادة أو نقصان احتياطي الأصول؛
- 10.4تقديم معلومات حول ما إذا كان احتياطي الأصول مستثمرًا، وفي حال استثمار جزء من احتياطي الأصول، وصف تفصيلي لسياسة الاستثمار وتناول تقييم لكيفية تأثير سياسة الاستثمار هذه على قيمة احتياطي الأصول؛ و
- 10.5 وصف إجراءات شراء واسترداد رموز الدفع مقابل احتياطي الأصول، ووضع قائمة بالأشخاص الذين يحق لهم الاسترداد.
- يجب على مقدمي خدمات الدفع الذين يصدرون رموز الدفع التأكد من إجراء تدقيق مستقل لاحتياطي الأصول على أساس نصف سنوي اعتبارًا من استلام موافقة المصرف المركزي على الورقة البيضاء فيما يتعلق برموز الدفع.
الحفظ
- يتعين على مقدمي خدمات الدفع الذين يصدرون رموز الدفع وضع والاحتفاظ وتنفيذ سياسات وإجراءات وترتيبات تعاقدية لحفظ كل فئة من فئات رموز الدفع الصادرة والتي تضمن في جميع الأوقات ما يلي:
- 12.1 فصل احتياطي الأصول عن الأصول الخاصة بمقدم خدمات الدفع؛
- 12.2 كون احتياطي الأصول غير مرهون؛
- 12.3. حفظ احتياطي الأصول بموجب البند (14)؛ و
- 12.4. تمتع مقدمي خدمات الدفع بإمكانية الوصول الفوري إلى احتياطي الأصول لتلبية أي طلبات استرداد من حاملي رمز الدفع.
- سيتم حفظ الأصول المستلمة مقابل رموز الدفع لفترة لا تزيد عن (5) أيام عمل بعد إصدار رموز الدفع من خلال:
- 13.1 البنك؛ أو
- 13.2 مقدم خدمات الدفع الذي يقوم بحفظ رمز الدفع.
استثمار احتياطي الأصول
- يتعين على مقدمي خدمات الدفع من مصدري رموز الدفع الذين يستثمرون جزءًا من احتياطي الأصول استثمار تلك الأصول فقط في أدوات مالية عالية السيولة مع حد أدنى من مخاطر السوق والائتمان. يجب أن تكون الاستثمارات قابلة للتصفية بسرعة وبأدنى تأثير سلبي على السعر.
- يتحمل مقدمو خدمات الدفع الذين يصدرون رموز الدفع جميع الأرباح أو الخسائر، بما في ذلك التقلبات في قيمة الأدوات المالية المشار إليها في البند (14)، وأي مخاطر مرتبطة بالطرف المقابل أو مخاطر تشغيلية ناتجة عن استثمار الأصول.
الشفافية السابقة للتداول
- يجب على مقدمي خدمات الدفع الذين يقومون بتسهيل تداول رموز الدفع الإفصاح لمستخدمي خدمات الدفع للتجزئة وللجمهور حسب الحاجة، على أساس مستمر أثناء التداول العادي، عن المعلومات التالية المتعلقة بتداول كل رمز من رموز الدفع المقبولة على منصتهم:
- 16.1 العطاء الحالي وأسعار وحجم العرض؛
- 16.2 مدى الإقبال على التداول الظاهر من خلال الأسعار والأحجام المُعلن عنها من خلال أنظمتهم لرموز الدفع المقبولة؛ و
- 16.3 أي معلومات أخرى تتعلق برموز الدفع المقبولة والتي من شأنها تعزيز الشفافية المتعلقة بالتداول.
- يجب على مقدمي خدمات الدفع الذين يقومون بتسهيل تداول رموز الدفع استخدام الآليات المناسبة لتمكين إتاحة معلومات ما قبل التداول للجمهور بطريقة سهلة الوصول إليها ودون انقطاع.
الشفافية بعد التداول
- يجب على مقدمي خدمات الدفع الذين يقوم بتسهيل تداول رموز الدفع الإفصاح للجمهور عن سعر، حجم ووقت معاملات الدفع المنفذة فيما يخص رموز الدفع المقبولة في أقرب وقت ممكن من الناحية الفنية على أساس غير تقديري. يجب عليهم استخدام آليات مناسبة لتمكين إتاحة معلومات ما بعد التداول للجمهور بطريقة سهلة الوصول ودون انقطاع، أقله خلال ساعات العمل.
- لا تخل هذه المادة (11) بالأحكام الأخرى من هذا النظام ذات الصلة بمقدمي خدمات الدفع الذين يقدمون خدمات رمز الدفع.
المادة (12): مواجهة غسل الأموال ومكافحة تمويل الإرهاب والتنظيمات غير المشروعة
- يجب على مقدمي خدمات الدفع الامتثال للقوانين والمتطلبات الرقابية ذات الصلة لمواجهة غسل الأموال والتصدي لمخاطر غسل الأموال وتمويل الإرهاب من خلال تدابير وقائية مناسبة لردع إساءة استخدام القطاع كقناة للأموال غير المشروعة، والكشف عن أنشطة غسل الأموال وتمويل الإرهاب والإبلاغ عن أي معاملات مشبوهة إلى دائرة المعلومات المالية في المصرف المركزي.
- يجب على مقدمي خدمات الدفع أن يكون لديهم سياسات وإجراءات وضوابط داخلية متكاملة وفعالة لمواجهة غسل الأموال ومكافحة تمويل الإرهاب. يحظر على مقدمي خدمات الدفع اتخاذ السرية المصرفية، المهنية أو التعاقدية كذريعة لرفض أداء التزامهم القانوني بالإبلاغ عن النشاط المشبوه.
- يجب على مقدمي خدمات الدفع تحديد، تقييم وفهم مخاطر غسل الأموال / تمويل الإرهاب التي يتعرضون لها وإجراء تقييمات للمخاطر على المستوى المؤسسي وعلاقات العمل. وبناءً على ذلك، يجب أن تكون كافة عمليات العناية الواجبة تجاه العملاء بشأن مواجهة غسل الأموال / ومكافحة تمويل الإرهاب، والمراقبة والضوابط قائمة على ومتماشية مع تقييمات المخاطر.
- يجب على مقدمي خدمات الدفع إجراء معالجة دورية للمخاطر لمستخدمي خدمات الدفع للتجزئة وتقييمها بناءً على متطلبات مواجهة غسل الأموال ومكافحة تمويل الإرهاب.
- يجب على مقدمي خدمات الدفع تقييم ما إذا كانت علاقة العمل تنطوي على مخاطر غسل الأموال وتمويل الإرهاب أعلى وتحديد التصنيف المناسب لتلك المخاطر. يُحظر على مقدمي خدمات الدفع التعامل بأي شكل من الأشكال مع البنوك أو المؤسسات المالية الأخرى الوهمية وإنشاء أي علاقة عمل أو الحفاظ عليها أو إجراء أي معاملة دفع تحت اسم مجهول أو وهمي أو اسم أو رقم مستعار.
- يجب على مقدمي خدمات الدفع التأكد من أن نماذج العناية الواجبة تجاه العملاء الخاصة بهم مصممة لمعالجة المخاطر التي يثيرها الملف التعريفي لمستخدم خدمات الدفع للتجزئة وخصائص أدوات الدفع. يُحظر على مقدمي خدمات الدفع إنشاء أي علاقة أعمال أو الحفاظ عليها أو تنفيذ أي معاملة دفع في حالة عدم تمكنهم لأي سبب من الأسباب من إكمال الإجراءات المناسبة للعناية الواجبة للعملاء والقائمة على المخاطر.
- يجب على مقدمي خدمات الدفع الذين يقدمون خدمات الدفع للتجزئة اتخاذ بعض إجراءات العناية الواجبة تجاه العملاء فيما يتعلق بالتحويلات الإلكترونية على النحو المنصوص عليه في الأحكام ذات الصلة من قانون مواجهة غسل الأموال إذا كان مقدمو خدمات الدفع يقدمون خدمات التحويل الإلكتروني. يجب على مقدمي خدمات الدفع، كجزء من إجراءات العناية الواجبة تجاه العملاء، وضع أنظمة مناسبة لفحص جميع الأطراف المشاركة في معاملة بالاستناد إلى جميع قوائم الجزاءات المعمول بها (أي قوائم الجزاءات الموحدة للأمم المتحدة والأسماء الواردة في "بلاغات البحث" / "بلاغات البحث والتجميد" الصادرة عن المصرف المركزي).
- إذا كان مقدمو خدمات الدفع يقدمون خدمة التحويلات الإلكترونية، فيجب عليهم اتخاذ إجراءات التجميد وحظر إجراء المعاملات مع الأشخاص والكيانات المحددة، وفقًا للالتزامات المنصوص عليها في تعميم المصرف المركزي رقم 2020/103 بشأن تنفيذ مجلس أمن الأمم المتحدة (مجلس الأمن – الأمم المتحدة) وقرارات مجلس الوزراء في دولة الإمارات العربية المتحدة بشأن مجلس الأمن والقوائم المحلية، وتعديلاتها من وقت لآخر.
- يجب على مقدمي خدمات الدفع الاسترشاد بمعايير مجموعة العمل المالي الخاصة بمواجهة غسل الأموال ومكافحة تمويل الإرهاب وانتشار التسلح. يجب على مقدمي خدمات الدفع ادراج المراجعة المنتظمة لاتجاهات وأنماط غسل الأموال / تمويل الإرهاب في برامج التدريب حول الامتثال الخاصة بهم وكذلك في إجراءات تحديد المخاطر وتقييمها.
- يجب على مقدمي خدمات الدفع الامتثال للقوانين والمتطلبات الرقابية ذات الصلة لمواجهة غسل الأموال والتصدي لمخاطر غسل الأموال وتمويل الإرهاب من خلال تدابير وقائية مناسبة لردع إساءة استخدام القطاع كقناة للأموال غير المشروعة، والكشف عن أنشطة غسل الأموال وتمويل الإرهاب والإبلاغ عن أي معاملات مشبوهة إلى دائرة المعلومات المالية في المصرف المركزي.
المادة (13): مخاطر التكنولوجيا وأمن المعلومات
- يجب على مقدمي خدمات الدفع الامتثال لهذه المادة (13) ويتم تشجيعهم للرجوع إلى الملحق 2 للحصول على إرشادات حول أفضل الممارسات الخاصة بمخاطر التكنولوجيا وأمن المعلومات.
مخاطر التكنولوجيا
- ينبغي على مقدمي خدمات الدفع الأخذ بعين الاعتبار أفضل الممارسات والمعايير الدولية عند تصميم وتنفيذ أنظمة وإجراءات إدارة مخاطر التكنولوجيا والمخاطر الخاصة.
- يجب على مقدم خدمات الدفع إنشاء إطار فعال لإدارة مخاطر التكنولوجيا والأمن السيبراني لضمان ملاءمة ضوابط تكنولوجيا المعلومات، المرونة السيبرانية، الجودة والأمان، بما في ذلك موثوقية وقوة واستقرار وتوفر أنظمة الحاسوب لديها بالإضافة إلى سلامة وكفاءة عمليات خدمات الدفع للتجزئة. يجب أن يفي الإطار بالغرض وأن يتناسب مع المخاطر المرتبطة بطبيعة، حجم، تعقيد، ونوع الأعمال والعمليات، ومع التقنيات المعتمدة ونظام إدارة المخاطر الشامل لمقدم خدمات الدفع. وينبغي النظر في اعتماد المعايير والممارسات الدولية المعترف بها عند صياغة إطار إدارة المخاطر.
- يجب أن يحتوي إطار إدارة مخاطر التكنولوجيا الفعال لمقدم خدمات الدفع على حوكمة مناسبة لتكنولوجيا المعلومات، إجراءات مستمرة لإدارة مخاطر التكنولوجيا وتنفيذ الممارسات السليمة لضوابط تكنولوجيا المعلومات.
- يجب على مقدم خدمات الدفع وضع إطار عام لإدارة المشاريع الرئيسية المتعلقة بالتكنولوجيا، مثل تطوير البرمجيات داخلياً واقتناء أنظمة المعلومات. يجب أن يحدد هذا الإطار، من بين أمور أخرى، منهجية إدارة المشاريع التي سيتم اعتمادها وتطبيقها على هذه المشاريع.
- يجب على مقدمي خدمات الدفع الامتثال والتقيد كحد أدنى بمعايير ضمان أمن المعلومات في الدولة، وما قد يطرأ عليها من تعديلات من وقت لآخر.
حوكمة تكنولوجيا المعلومات
- يجب على مقدم خدمات الدفع وضع إطار حوكمة مناسب لتكنولوجيا المعلومات، على أن تتناول جوانب مختلفة، بما في ذلك هيكل واضح للوظائف وسياسات المراقبة. في حين قد توجد هياكل مختلفة، يجب أن تشمل الوظائف الرئيسية وظيفة فعالة لتكنولوجيا المعلومات، وظيفة قوية لإدارة مخاطر التكنولوجيا، ووظيفة مستقلة للتدقيق بشؤون التكنولوجيا.
- يكون المجلس، أو اللجنة المعينة من قبله، مسؤول عن ضمان إنشاء إطار سليم وقوي لإدارة المخاطر والمحافظة عليه لإدارة مخاطر التكنولوجيا بطريقة تتناسب مع المخاطر التي تشكلها أنشطة الدفع للتجزئة لمقدم خدمات الدفع.
المتطلبات الأمنية
- يجب على مقدم خدمات الدفع أن يحدد بوضوح متطلباته الأمنية في مرحلة مبكرة من تطوير النظام أو اقتنائه كجزء من متطلبات العمل، وأن يدرج تلك المتطلبات بشكل مناسب خلال مرحلة تطوير النظام.
- يجب على مقدم خدمات الدفع الذي يستخدم أساليب أجايل لتسريع تطوير البرامج أن يدرج الممارسات الأمنية المناسبة لضمان عدم تعرض البرامج للإختراق في أي مرحلة من مراحل عملية التطوير.
- يجب على مقدم خدمات الدفع الذي يطور واجهة برمجة التطبيقات (API) أو يوفر واجهة برمجة التطبيقات (API) وضع ضمانات لإدارة التطوير والتوفير لواجهات برمجة التطبيقات لتأمين التفاعل وتبادل البيانات بين تطبيقات البرامج المختلفة.
إدارة الشبكة والبنية التحتية
- يجب على مقدم خدمات الدفع الذي يبلغ متوسط القيمة الشهرية لمعاملات الدفع الخاصة به عشرة (10) ملايين درهم أو ما فوق أن يسند بوضوح المسؤولية العامة لإدارة الشبكات الى الأفراد الذين لديهم الخبرة لأداء مهامهم. يجب توثيق معايير الشبكات، تصميمها، مخططاتها وإجراءات تشغيلها رسميًا وتحديثها وإبلاغها لجميع موظفي الشبكات المعنيين ومراجعتها بشكل دوري.
- يجب على مقدم خدمات الدفع إنشاء وظيفة لإدارة أمن البنية التحتية ومجموعة من الإجراءات الرسمية لإدارة تعيين حقوق صلاحيات الدخول إلى موارد النظام وأنظمة التطبيقات، ومراقبة استخدام موارد النظام للكشف عن أي أنشطة غير اعتيادية أو غير مصرح بها.
- يجب على مقدمي خدمات الدفع توخي العناية الواجبة عند التحكم باستخدام المعرفات ذات الامتيازات ومعرفات الطوارئ والوصول إليها. تشمل إجراءات التحكم الضرورية ما يلي:
- 14.1 تغيير كلمة المرور الافتراضية؛
- 14.2 وضع ضوابط صارمة لكلمة المرور، مع تحديد حد أدنى لطول كلمة المرور ومرات استخدامها، وتعقيد كلمة المرور بالإضافة إلى فترة الصلاحية القصوى؛
- 14.3 تقيد عدد المستخدمين ذوي الامتيازات؛
- 14.4 تنفيذ ضوابط صارمة على صلاحيات الدخول عن بعد من قبل المستخدمين ذوي الامتيازات؛
- 14.5 منح الصلاحيات الضرورية للغاية للمعرفات ذات الامتيازات ومعرفات الطوارئ؛
- 14.6 الموافقة الرسمية من قبل كبار الموظفين المناسبين قبل السماح بالاستخدام؛
- 14.7 تسجيل، حفظ ورصد الأنشطة التي يتم تنفيذها بواسطة المعرفات ذات الامتيازات ومعرفات الطوارئ (مثل مراجعة الأقران لسجلات الأنشطة)؛
- 14.8 حظر مشاركة الحسابات ذات الامتيازات؛
- 14.9 الحماية المناسبة للمعرفات وكلمات المرور ذات الامتيازات والطوارئ (مثل الاحتفاظ بها في مظروف مغلق ومقفل داخل مركز البيانات)؛ و
- 14.10 تغيير كلمات المرور الخاصة بالمعرفات ذات الامتيازات ومعرفات الطوارئ فور إعادتها بواسطة صاحب الطلب.
خطر الأمن السيبراني
- في حال اعتماد مقدم خدمات الدفع بشكل كبير على تكنولوجيا الإنترنت وأجهزة الهاتف المحمول لتقديم خدمات الدفع للتجزئة التي يوفرها، يجب إدارة مخاطر الأمن السيبراني بشكل مناسب من خلال عملية إدارة مخاطر التكنولوجيا لمقدم خدمات الدفع. يلتزم مقدم خدمات الدفع أيضًا بتوفير موارد تتمتع بمهارات كافية لضمان قدرته على تحديد المخاطر وحماية خدماته الأساسية من الهجوم، احتواء تأثير حوادث الأمن السيبراني واستعادة الخدمات.
- يجب على مقدم خدمات الدفع وضع خطة استجابة وإدارة للحوادث السيبرانية لعزل والقضاء على التهديد السيبراني بسرعة واستئناف الخدمات المتأثرة في أقرب وقت ممكن. يجب أن تتضمن الخطة إجراءات الاستجابة لسيناريوهات التهديد السيبراني المعقولة.
- يجب على مقدم خدمات الدفع الذي يبلغ متوسط القيمة الشهرية لمعاملات الدفع الخاصة به عشرة (10) ملايين درهم أو ما فوق أن يقوم بتقييم دوري لضرورة إجراء اختبار محاكاة الاختراق والهجوم السيبراني. يجب أن تستند التغطية ونطاق الاختبار إلى ملف تحديد مخاطر الأمن السيبراني، والمعلومات الاستخباراتية السيبرانية المتاحة، والتي لا تغطي الشبكات (الخارجية والداخلية) وأنظمة التطبيقات فحسب، بل تشمل أيضاً الهندسة الاجتماعية والتهديدات السيبرانية الناشئة. كما يجب على مقدم خدمات الدفع اتخاذ الإجراءات المناسبة للتخفيف من المشاكل، التهديدات والثغرات التي تم تحديدها في اختبار محاكاة الاختراق والهجمات السيبرانية في الوقت المناسب، بناءً على تحليل التأثير والتعرض للمخاطر.
المصادقة على مستخدمي خدمات الدفع للتجزئة
- يجب على مقدم خدمات الدفع اختيار وتنفيذ تقنيات مصادقة موثوقة وفعالة للتحقق من هوية وصلاحية مستخدمي خدمات الدفع للتجزئة. يجب استخدام المصادقة المتعددة العوامل للمعاملات العالية المخاطر.
- يجب اعتماد الترميز من طرف إلى طرف لنقل كلمات مرور مستخدم خدمات الدفع للتجزئة بحيث لا يتم كشفها في أي من التقاطعات الوسيطة بين تطبيق أو متصفح جهاز الهاتف المحمول الخاص بمستخدم خدمات الدفع للتجزئة والنظام الذي يتولى التحقق من كلمات المرور.
محاولات تسجيل الدخول وإدارة الجلسات
- يجب على مقدم خدمات الدفع وضع ضوابط فعالة لعدد محاولات تسجيل الدخول والمصادقة (مثل محاولات الدخول بكلمة مرور غير صحيحة)، وتنفيذ ضوابط خاصة لنفاذ وقت جلسة الدخول ووضع قيود زمنية لصلاحية المصادقة. وفي حال استخدام كلمة مرور واحدة بهدف المصادقة، يجب على مقدم خدمات الدفع مراعاة أن تكون صلاحية مدة جلسة الدخول عند استخدام كلمات المرور أقل ما يمكن.
- يجب على مقدم خدمات الدفع وضع إجراءات من شأنها ضمان تسجيل جميع عمليات الدفع في سجل تدقيق بالشكل المناسب.
إدارة حسابات مستخدم خدمات الدفع للتجزئة
- يجب على مقدم خدمات الدفع الذي يوفر خدمات إصدار حسابات الدفع عند إجازته لمستخدم خدمات الدفع للتجزئة فتح حساب دفع عن طريق القنوات الالكترونية، إتباع طريقة موثوقة للمصادقة على هوية مستخدم خدمات الدفع للتجزئة. وبشكل عام، فإن الإجراءات المتبعة حالياً لمعرفة العميل إلكترونياً (أي مستخدم خدمات الدفع للتجزئة) (أعرف عميلك إلكترونياً) المعتمدة من المصرف المركزي الخاصة بالبنوك مقبولة للمصادقة على العميل وإجراء عمليات التحقق الخاصة بخدمات إصدار حساب الدفع.
- يجب على مقدم خدمات الدفع القيام بالتحقق المناسب من هوية مستخدم خدمات الدفع للتجزئة عند القيام بأي طلب لتغيير معلومات حساب الدفع الخاص به او معلومات الاتصال التي يتلقى من خلالها المعلومات الهامة أو يقوم بواسطتها بمراقبة العمليات المنفذة على حساب الدفع الخاص به.
- يجب على مقدم خدمات الدفع وضع ضوابط فعالة، مثل المصادقة الثنائية، لإعادة المصادقة على مستخدم خدمات الدفع للتجزئة قبل تنفيذ المعاملات العالية المخاطر. يجب أن تشمل المعاملات العالية المخاطر، على الأقل، ما يلي:
- 24.1 معاملات الدفع التي تجاوزت سقف (سقوف) عدد المعاملات المحدد مسبقاً؛
- 24.2 تغيير بيانات الاتصال الشخصية؛ و
- 24.3 ما لم يكن من غير العملي تنفيذه، معاملات الدفع التي تجاوزت سقف القيمة الإجمالية المسموح به (أي القيمة الإجمالية لمعاملات الدفع خلال فترة زمنية محددة).
استمرارية الأعمال
- يجب أن يكون لدى مقدم خدمات الدفع برنامج ملائم لإدارة استمرارية الأعمال لضمان استمرارها، تعافيها في الوقت المناسب أو في الحالات القصوى التقليص المنظم للعمليات الحيوية في حالة حدوث اضطرابات كبيرة ناجمة عن سيناريوهات طارئة مختلفة. يشمل برنامج إدارة استمرارية الأعمال الملائم تحليل التأثير على الأعمال، استراتيجيات التعافي، خطة استمرارية الأعمال والمواقع البديلة لتعافي الأعمال وتكنولوجيا المعلومات.
- يجب عل مقدم خدمات الدفع وضع مجموعة من استراتيجيات التعافي لضمان أن جميع الوظائف المهمة المحددة ضمن دراسة تحليل التأثير على الأعمال قادرة على التعافي وفقاً للإطار الزمني المحدد مسبقاً. ويجب ان يتم توثيق استراتيجيات التعافي هذه بشكل واضح، وأن يتم اختبارها بدقة ومراجعتها بشكل دوري للحرص على تحقيق أهداف التعافي.
- يجب على مقدم خدمات الدفع وضع ضوابط فعالة لضمان أن جميع السجلات الخاصة بالأعمال، وبشكل خاص سجلات مستخدم خدمات الدفع للتجزئة، يمكن استرجاعها بشكل سريع في حال ضياعها، تلفها أو فقدانها. كما يجب على مقدم خدمات الدفع أن يجيز لمستخدمي خدمات الدفع للتجزئة بالدخول إلى سجلاتهم في وقت مناسب. يجب على مقدم خدمات الدفع إخطار مستخدمي خدمات الدفع للتجزئة عن أي فقدان في سجلاتهم بسبب فشل تشغيلي أو السرقة، وبذل الجهود المعقولة لضمان عدم استخدام السجلات الشخصية المفقودة على نحو خاطئ.
- يجب على مقدم خدمات الدفع تطوير خطة استمرارية الأعمال بناءً على تحليل التأثير على الأعمال واستراتيجيات التعافي المرتبطة بها. يجب أن تتضمن خطة إدارة استمرارية الأعمال، على الأقل، ما يلي:
- 28.1 إجراءات تعافي مفصلة لضمان الإنجاز الكامل لاستراتيجيات تعافي الخدمات؛
- 28.2 إجراءات التصعيد وبروتوكول إدارة الكوارث (مثل: إنشاء مركز قيادة، تقديم التقارير للمصرف المركزي في وقت مناسب، إلخ) في حالة توقف الخدمة الحاد أو لمدة طويلة؛
- 28.3 استراتيجية استباقية للاتصال (مثل تنبيه مستخدمي خدمات الدفع للتجزئة، الرد الإعلامي، إلخ.)؛
- 28.4 تحديث بيانات الاتصال بالأشخاص المهمين المعنيين بخطة استمرارية الأعمال؛ و
- 28.5 تعيين موظف رئيسي ونائب له لتولي مهام التعافي للأنظمة الهامة.
- يجب على مقدم خدمات الدفع اختبار خطة استمرارية الأعمال على الأقل مرة واحدة سنوياً. ويجب أن تشارك الإدارة والموظف الرئيسي ونائبه في الاختبار السنوي للتعرف على مسؤولياتهم فيما يخص التعافي.
- يجب على مقدم خدمات الدفع مراجعة جميع المخاطر والافتراضات المتعلقة بخطة استمرارية الأعمال لضمان دقتها وملاءمتها كجزء من التخطيط والاختبار السنوي. يجب إعداد تقارير اختبار رسمية تتضمن خطة الاختبار، السيناريوهات، الإجراءات والنتائج. كما يجب إعداد تقرير مراجعة عند الانتهاء ليوقع رسمياً من الإدارة.
مواقع احتياطية لتعافي الأعمال وتكنولوجيا المعلومات
- يجب أن يقوم مقدم خدمات الدفع بدراسة درجة تركيز وتجميع المهام الرئيسية للأعمال في المكان نفسه أو في أماكن مجاورة، والمسافة بين المواقع الاحتياطية والرئيسية. يجب ان تتواجد المواقع الاحتياطية على مسافة وبعد كافٍ لتجنب أي مخاطر مشتركة أو التأثر بنفس الكارثة.
- يجب أن يكون الموقع الاحتياطي لمقدم خدمات الدفع قابل للوصول إليه بسرعة، مجهز بالمرافق اللازمة، متوفر وجاهز لمباشرة العمل بحسب المتطلب الزمني المحدد في خطة استمرارية الأعمال. كما يجب وضع ضوابط تسجيل الدخول إلى المكان. وعند وجوب عمل بعض أفراد فريق العمل من المنزل في حالة وقوع كارثة، يجب توفير بشكل مسبق أنظمة الحاسوب ومعدات الاتصال الملائمة.
- يجب تجهيز المواقع الاحتياطية لتعافي تكنولوجيا المعلومات بالمعدات التقنية الكافية، بما يشمل معدات الاتصال ذات معايير وقدرة تتناسب مع متطلبات التعافي.
- يجب على مقدم خدمات الدفع تجنب الاعتماد بشكل مفرط على المزودين الخارجيين لدعم خطة استمرارية الأعمال، بما يشمل توفير الموقع الاحتياطي والمعدات والمرافق الاحتياطية. يجب على مقدم خدمات الدفع أن يتحقق بنفسه من تمتع كل مزود خارجي بالقدرة الكافية لتقديم الخدمات المطلوبة عند الحاجة، وتحديد مسؤولياتهم التعاقدية بشكل واضح، وبما يشمل المهلة الزمنية لتقديم خدمات الطوارئ الضرورية، أنواع الدعم والقدرة الاستيعابية.
- في حال اعتماد مقدم خدمات الدفع بيئة حوسبة مشتركة مقدمة من مزود خدمات خارجي، مثل الاستضافة السحابية، لدعم التعافي من الكوارث، يجب عليه إدارة المخاطرة المتعلقة بهذه الخدمة.
إدارة مخاطر السمعة
- يجب على مقدم خدمات الدفع وضع وتنفيذ إجراءات فعالة لإدارة المخاطر المتصلة بالسمعة بما يتناسب مع حجم وتعقيد عملياته.
المادة (14): الالتزامات تجاه مستخدمي خدمات الدفع للتجزئة
- يجب على مقدمي خدمات الدفع العمل بدقة وكفاءة بحيث لا تتأثر سلباً مصالح مستخدمي خدمات الدفع للتجزئة ومستخدمي خدمات الدفع للتجزئة المحتملين. كما يجب عليهم الامتثال للمتطلبات الرقابية ومعايير حماية المستهلك الصادرة عن المصرف المركزي. لتجنب الشك، في حال وجود تعارض بين أحكام هذا النظام ومتطلبات ومعايير المصرف المركزي الخاصة بحماية المستهلك، تكون الأحكام ذات الصلة من هذا النظام هي الواجبة التطبيق.
حفظ الأموال أثناء نقلها
- لا يجوز لمقدمي خدمات الدفع في أي وقت الاحتفاظ بأموال مستخدمي خدمات الدفع للتجزئة ما لم تكن هذه أموالاً قيد النقل.
- يجب على مقدمي خدمات الدفع الذين يقومون بتسوية معاملات الدفع خلال أربع وعشرين (24) ساعة فصل أموال مستخدمي خدمات الدفع للتجزئة بالطرق التالية:
- 3.1 لا يجوز خلط الأموال في أي وقت بأموال أي شخص غير مستخدمي خدمات الدفع للتجزئة الذين يتم الاحتفاظ بالأموال نيابة عنهم؛ و/أو
- 3.2 يجب عزل الأموال لصالح مستخدمي خدمات الدفع للتجزئة في مواجهة مطالبات الدائنين الآخرين لمقدم خدمات الدفع، ولا سيما في حالة الإفلاس.
- يجب على مقدمي خدمات الدفع الذين يقومون بتسوية معاملات الدفع بعد أربع وعشرين (24) ساعة فصل أموال مستخدمي خدمات الدفع للتجزئة بالطرق التالية:
- 4.1 فتح حساب عهدة منفصل مع أحد البنوك وتقييد أي عمليات ومعاملات على هذا الحساب باستثناء تحويل أموال مستخدمي خدمات الدفع للتجزئة المودعة إلى المستفيد النهائي؛ و/أو
- 4.2 يجب تغطية وضمان الأموال بواسطة وثيقة تأمين أو ضمان بنكي من شركة تأمين مرخصة بموجب القوانين أو بنك لا ينتمي إلى نفس المجموعة التي ينتمي إليها مقدم خدمات الدفع.
- 4.3 بما أنه ليس مطلوب من البنوك، المقدمة لخدمات الدفع للتجزئة، فتح حساب عهدة منفصل أو ضمان أموال مستخدمي خدمات الدفع للتجزئة بواسطة وثيقة تأمين أو ضمان بنكي، فيجب عليهم بغرض حماية هذه الأموال فتح حساب مصرفي منفصل تحت اسم مستخدمي خدمات الدفع للتجزئة المعنيين.
شفافية الأحكام التعاقدية
- يجب على مقدمي خدمات الدفع عرض الشروط والأحكام التي تحكم علاقتهم التعاقدية مع:
- 5.1 كل مستخدم جديد لخدمات الدفع للتجزئة، بوقت كافٍ قبل التعاقد للسماح لمستخدم خدمات الدفع للتجزئة باتخاذ قرار مدروس؛
- 5.2 وكل مستخدم حالي لخدمات الدفع للتجزئة، بناءً على طلبه، خطيًا وتسليمها له وفقًا للقناة المفضلة لديه، بما في ذلك عبر البريد الإلكتروني، تطبيق الهاتف المحمول أو أي طريقة إلكترونية أخرى.
- يجب كتابة الشروط والأحكام المشار إليها في البند (5) بلغة واضحة ومفهومة، وبطريقة غير مضللة ويجب تسليمها لمستخدم خدمات الدفع للتجزئة باللغتين العربية والإنجليزية، وفقاً لطلب مستخدم خدمات الدفع للتجزئة.
- يجب على مقدمي خدمات الدفع إبلاغ مستخدم خدمات الدفع للتجزئة بأي تعديلات تطرأ على الشروط والأحكام المشار إليها في البند (5) بوقت كافٍ مسبقاً وبما لا يقل عن 30 يومًا تقويمياً من تاريخ سريان هذه التعديلات.
- يجوز لمستخدم خدمات الدفع للتجزئة إنهاء علاقته التعاقدية مع مقدم خدمات الدفع بدون أي مصاريف في حال عدم موافقته على الشروط والأحكام المعدلة المشار إليها في البند (7).
اتفاقية الدفع للتجزئة لمرة واحدة
- يجب على مقدمي خدمات الدفع، فيما يخص المعاملات التي سيتم تنظيمها بموجب اتفاقية الدفع للتجزئة لمرة واحدة، تزويد مستخدمي خدمات الدفع للتجزئة بالمعلومات التالية قبل التعاقد:
- 9.1 جدول الرسوم، المصاريف والعمولات، بما في ذلك سعر صرف العملات ومصاريف السحب، حيثما ينطبق؛
- 9.2 تفاصيل الاتصال بمقدم خدمات الدفع، بما في ذلك الاسم القانوني والعنوان المسجل، وعنوان الوكيل أو الفرع، حيثما ينطبق؛
- 9.3 شكل وإجراءات منح الموافقة على إنشاء أمر الدفع أو تنفيذ معاملة الدفع وسحب الموافقة؛
- 9.4 قناة الاتصال بين مقدم خدمات الدفع ومستخدم خدمات الدفع للتجزئة؛
- 9.5 طريقة حفظ الأموال وفقاً لأحكام البندين (3) و(4) من المادة 14 واحتياطي الأصول وفقاً للبند (9) من المادة 11؛
- 9.6 الآلية والجدول الزمني لقيام مستخدم خدمات الدفع للتجزئة بإخطار مقدم خدمات الدفع عن تنفيذ أو إنشاء أي معاملة دفع غير مصرح بها أو بطريقة غير صحيحة؛
- 9.7 معلومات عن مسؤولية مقدم خدمات الدفع ومستخدم خدمات الدفع للتجزئة عن معاملات الدفع غير المصرح بها؛
- 9.8 مستوى الخدمة لتنفيذ خدمات دفع للتجزئة؛
- 9.9 معلومات عن إجراءات الشكاوى الخاصة بمقدم خدمات الدفع؛ و
- 9.10 الإجراءات المعتمدة من مقدم خدمات الدفع للإبلاغ عن معاملات الدفع غير المصرح بها.
- يجب توفير المعلومات المطلوبة في البند (9) فوراً بعد تنفيذ معاملة الدفع بناءً على طلب مستخدم خدمات الدفع عند استخدامه وسيلة اتصال عن بعد لا تسمح بتوفير هذه المعلومات قبل الدخول في التعاقد.
الاتفاقيات الإطارية
- يجب على مقدمي خدمات الدفع، بالنسبة للمعاملات التي يتم تنظيمها بموجب اتفاقية إطارية، تزويد مستخدمي خدمات الدفع للتجزئة بالمعلومات التالية قبل موافقة مستخدم خدمات الدفع للتجزئة على إتمام معاملة دفع وكذلك في أي وقت آخر قد يطلب فيه مستخدم خدمات الدفع للتجزئة هذه المعلومات وذلك ضمن (5) أيام عمل من هذا الطلب:
- 11.1 جدول الرسوم والمصاريف والعمولات، بما في ذلك سعر صرف العملات ومصاريف السحب، حيثما ينطبق؛
- 11.2 تفاصيل الاتصال بمقدم خدمات الدفع، بما في ذلك الاسم القانوني والعنوان المسجل، وعنوان الوكيل أو الفرع، حيثما ينطبق؛
- 11.3 شكل وإجراءات منح الموافقة على إنشاء أمر الدفع أو تنفيذ معاملة الدفع وسحب الموافقة؛
- 11.4 قناة الاتصال بين مقدم خدمات الدفع ومستخدم خدمات الدفع للتجزئة؛
- 11.5 حفظ الأموال وفقاً لأحكام البندين (3) و(4) من المادة 14 واحتياطي الأصول وفقاً للبند (9) من المادة 11؛
- 11.6 الآلية والجدول الزمني لقيام مستخدم خدمات الدفع للتجزئة بإخطار مقدم خدمات الدفع عن تنفيذ أو إنشاء أي معاملة دفع غير مصرح بها أو بطريقة غير صحيحة؛
- 11.7 معلومات عن مسؤولية مقدم خدمات الدفع ومستخدم خدمات الدفع للتجزئة عن معاملات الدفع غير المصرح بها؛
- 11.8 المعلومات المتعلقة بالشروط التي بموجبها يمكن اعتبار أن مستخدم خدمات الدفع قد قبل بالتعديلات التي طالت الشروط والأحكام، ومدة العقد وحقوق الأطراف من أجل إنهاء الاتفاقية الإطارية؛
- 11.9 مستوى الخدمة لتنفيذ خدمات دفع للتجزئة؛
- 11.10 معلومات عن إجراءات الشكاوى الخاصة بمقدم خدمات الدفع؛ و
- 11.11 الإجراءات المعتمدة من مقدم خدمات الدفع للإبلاغ عن معاملات الدفع غير المصرح بها.
- يجب توفير المعلومات المطلوبة في البند (11) فورًا بعد تنفيذ معاملة الدفع بناءً على طلب مستخدم خدمات الدفع عند استخدامه وسيلة اتصال عن بعد لا تسمح بتوفير هذه المعلومات قبل الدخول في التعاقد.
- يجب على مقدمي خدمات الدفع تزويد مستخدمي خدمات الدفع للتجزئة بكشف مكتوب عن معاملات الدفع التي تتم بموجب اتفاقية إطارية على الأقل مرة واحدة شهريًا دون رسوم، بما في ذلك تفاصيل المبالغ، الرسوم، المصاريف، العمولات، تواريخ وأوقات التنفيذ والأرقام المرجعية لكل معاملة دفع.
متطلبات المعلومات
- فور استلام أمر معاملة الدفع، يجب على مقدم خدمات الدفع المرتبط بالدافع تقديم إيصال لمستخدمي خدمات الدفع للتجزئة مع ما يلي:
- 14.1 تأكيد نجاح أو عدم نجاح إنشاء معاملة الدفع وتنفيذها؛
- 14.2 إقرار ورقم مرجعي لتتبع حالة معاملة الدفع، بما في ذلك:
-
- 14.2.1 تاريخ وقيمة معاملة الدفع؛ و
- 14.2.2 المعلومات المتعلقة بالمدفوع له؛
- 14.3 قيمة معاملة الدفع وأي رسوم أو مصاريف ذات صلة، بما في ذلك العملة الفعلية وأسعار صرف العملات المستخدمة ومصاريف السحب، حيثما ينطبق؛ و
- 14.4 التاريخ الذي تلقى فيه مقدم خدمات الدفع أمر الدفع.
- يجب على مقدم خدمات الدفع المرتبط بالمدفوع له، فور تنفيذ معاملة الدفع، أن يزود المدفوع له بكشف يتناول المعلومات التالية:
- 15.1 مرجع يمكّن المدفوع له من تحديد معاملة الدفع، وحيثما ينطبق، الدافع وأي معلومات تم نقلها مع معاملة الدفع؛
- 15.2 قيمة معاملة الدفع بالعملة التي سيتم بها تسليم الأموال للمدفوع له؛
- 15.3 قيمة أي رسوم أو مصاريف مرتبطة بمعاملة الدفع مستحقة على المدفوع له؛
- 15.4 حيثما ينطبق، سعر صرف العملة المستخدم في معاملة الدفع من قبل مقدم خدمات الدفع المرتبط بالمدفوع له؛ و
- 15.5 التاريخ الذي يتم فيه إضافة قيمة معاملة الدفع إلى حساب الدفع الخاص بالمدفوع له.
- يجب على مقدم خدمات الدفع المرتبط بالدافع التأكد من أن أوامر الدفع مصحوبة بالمعلومات الضرورية لمعالجتها بدقة وبشكل كامل، وأيضًا لكي يكون من الممكن تحديدها، التحقق منها، مراجعتها، تدقيقها والقيام بأي تحقيق لاحق بشأنها بسهولة، إذا لزم الأمر.
- يجب على مقدم خدمات الدفع المرتبط بالمدفوع له تنفيذ إجراءات للكشف عن فقدان أو عدم صحة أي معلومات ضرورية لمعاملة الدفع.
حماية بيانات الدفع والبيانات الشخصية
- يجب أن يقوم مقدمو خدمات الدفع بوضع والحفاظ على سياسات وإجراءات مناسبة لحماية:
- 18.1 بيانات الدفع وتحديد، منع وحل أي اختراقات لأمن البيانات؛ و
- 18.2 البينات الشخصية.
- يجوز لمقدمي خدمات الدفع الافصاح عن بيانات الدفع والبيانات الشخصية الى:
- 19.1 طرف ثالث متى كان الإفصاح بموجب موافقة خطية مسبقة من مستخدم خدمات الدفع للتجزئة أو كان مفروضاً بموجب القوانين المطبقة؛
- 19.2 للمصرف المركزي،
- 19.3 للسلطات الرقابية الأخرى بناءً على طلب / تبعاً لموافقة المصرف المركزي المسبقة؛
- 19.4 المحكمة؛ و
- 19.5 الهيئات والكيانات الحكومية الأخرى التي لها حق الوصول قانوناً الى هذه المعلومات.
- إضافةً لما تم بيانه في البند (19)، يجوز لمقدمي خدمات الدفع أيضًا الإفصاح عن البيانات الشخصية للأشخاص موضوع البيانات.
- يجب على مقدمي خدمات الدفع وضع والحفاظ على ضوابط حماية بيانات الدفع والبيانات الشخصية.
- يجب تخزين البيانات الشخصية وبيانات الدفع والاحتفاظ بها في الدولة. يجب على مقدمي خدمات الدفع أيضًا إعداد نسخة احتياطية آمنة ومؤمنة لجميع البيانات الشخصية وبيانات الدفع في مكان منفصل لفترة الاحتفاظ المطلوبة والبالغة (5) سنوات.
- يجب على مقدمي خدمات الدفع الامتثال للمتطلبات الرقابية المطبقة والمعايير المتعلقة بحماية البيانات. يجب عليهم ضبط البيانات الشخصية الضرورية فقط لتوفير خدمات الدفع للتجزئة ومعالجتها والاحتفاظ بها بعد الحصول على موافقة صريحة من مستخدم خدمات الدفع للتجزئة.
المسؤولية عن معاملات الدفع غير المصرح بها والاسترداد
- يتحمل مقدمو خدمات الدفع المسؤولية الكاملة عن أي معاملة دفع مشبوهة أو غير مصرح بها، سواء قبل أو بعد أن يقوم الدافع بإبلاغ مقدم خدمات الدفع عن أي احتيال محتمل أو مشتبه به، إلا إذا كان هناك دليل على ما يلي:
- 24.1 إحتيال الدافع؛ و
- 24.2 تصرف الدافع بإهمال فادح وعدم اتخاذه الخطوات المعقولة للحفاظ على أمن بيانات الأمان الخاصة به.
الاسترداد
- يجب على مقدم خدمات الدفع رد مبلغ معاملة الدفع غير المصرح بها إلى الدافع، وحيثما ينطبق، إعادة حساب الدفع الذي تم الخصم منه إلى الحالة التي كان عليها لو لم يتم إجراء معاملة الدفع غير المصرح بها.
- يجب على مقدم خدمات الدفع أن يقوم برد المبالغ بموجب البند (25) في أقرب وقت ممكن عمليًا وعلى أي حال في موعد لا يتجاوز نهاية يوم العمل التالي لليوم الذي أخبر فيه بمعاملة الدفع غير المصرح بها.
- لا تسري أحكام البنود (25) و(26) و(30) عندما يكون لدى مقدم خدمات الدفع أسباب معقولة للاشتباه في إتباع مستخدم خدمات الدفع للتجزئة سلوك مشبوه وعليه إخطار المصرف المركزي بهذه الأسباب خطيا.
- عند إضافة رصيد إلى حساب دفع بموجب الفقرة (30)، يجب على مقدم خدمات الدفع التأكد من أن التاريخ الذي يتم فيه إيداع مبلغ معاملة الدفع في حساب الدفع الخاص بالمدفوع له لا يتجاوز التاريخ الذي تم فيه خصم مبلغ معاملة الدفع غير المصرح بها.
- في حالة إنشاء معاملة دفع غير مصرح بها من خلال مقدم خدمة إنشاء الدفع، يجب على مقدم خدمات الدفع الذي يوفر خدمات إصدار حساب الدفع الامتثال للبند (30). بالإضافة إلى ذلك، إذا كان مقدم خدمة إنشاء الدفع مسؤولاً عن معاملة الدفع غير المصرح بها، فيجب عليه، بناءً لطلب مقدم خدمات الدفع الذي يقدم خدمات إصدار حساب الدفع، تعويض مقدم خدمات الدفع الذي يقدم خدمات إصدار حساب الدفع فورًا عن الخسائر المتكبدة أو المبالغ المدفوعة نتيجة الامتثال للبند (30)، بما في ذلك مبلغ معاملة الدفع غير المصرح بها.
- فيما عدا الحالات المشار إليها ضمن البنود (25) إلى (29)، عند انتهاء مقدم خدمات الدفع من التحقيق المطلوب في خطأ أو شكوى، يتعين على مقدم خدمات الدفع دفع أي مبالغ واجبة الرد أو تعويض نقدي مستحق للعميل في غضون (7) أيام تقويمية من تاريخ التوصل الى هذه النتيجة أو تلقي التعليمات بهذا الشأن. في حالة التأخر في سداد أي مبلغ واجب الرد أو أي تعويض، يجب على مقدم خدمات الدفع إطلاع العميل عن الوقت المتوقع لإيداع المبلغ المستحق، مع تبرير التأخير.
المادة (15): استخدام الوكلاء والفروع
- في حال اعتزام مقدم خدمات الدفع تقديم خدمات الدفع للتجزئة من خلال وكيل أو فرع، يجب عليه إجراء تقييم لهذا الترتيب وتقديم تقرير سنوي إلى المصرف المركزي بما يلي:
- 1.1 اسم وعنوان الوكيل أو الفرع؛
- 1.2 تقييم مدى ملاءمة إجراءات الرقابة الداخلية التي سيعتمدها الوكيل من أجل الامتثال لمتطلبات مواجهة غسل الأموال ومكافحة تمويل الإرهاب؛
- 1.3 تقييم الأشخاص المسؤولين عن إدارة الوكيل أو الفرع، وإثبات كونهم يستوفون المتطلبات الملائمة المحددة من قبل المصرف المركزي؛ و
- 1.4 نطاق خدمات الدفع للتجزئة التي تم تفويض الوكيل أو الفرع لتقديمها.
- يجب على مقدمي خدمات الدفع إلزام الوكلاء تعاقدياً بالإفصاح عن تخويلهم بالتصرف نيابةً عنهم لمستخدمي خدمات الدفع للتجزئة.
- يجب على مقدمي خدمات الدفع إخطار المصرف المركزي فوراً بأي تغيير يتعلق باستخدام الوكلاء أو الفروع.
- في حال اعتزام مقدم خدمات الدفع تقديم خدمات الدفع للتجزئة من خلال وكيل أو فرع، يجب عليه إجراء تقييم لهذا الترتيب وتقديم تقرير سنوي إلى المصرف المركزي بما يلي:
المادة (16): التعهيد
- يجب على مقدمي خدمات الدفع الذين يقومون بتعهيد الخدمات والعمليات لمقدمي خدمات، وكلاء أو شركات المجموعة ضمان التزام الأطراف الثالثة تعاقديًا بالامتثال لمتطلبات هذا النظام، أحكام المستوى الثاني والقوانين الأخرى ذات الصلة.
- يخضع التعهيد بموجب البند (1) لموافقة المصرف المركزي المسبقة. علاوةً على ذلك، يجب على مقدمي خدمات الدفع تقديم تقرير سنوي إلى المصرف المركزي يتناول تفاصيل عن جميع ترتيبات التعهيد بموجب البند (1).
- يبقى مقدمو خدمات الدفع مسؤولين مسؤولية كاملة عن أي أعمال يقوم بها أي وكيل، فرع أو مقدم خدمة تم تعهيده لتقديم خدمات الدفع للتجزئة.
- يكون مقدمو خدمات الدفع مسؤولين عن ضمان والحفاظ على التدريب والمؤهلات المناسبة لوكلائهم.
- يجب على مقدمي خدمات الدفع الذين يقومون بتعهيد الخدمات والعمليات لمقدمي خدمات، وكلاء أو شركات المجموعة ضمان التزام الأطراف الثالثة تعاقديًا بالامتثال لمتطلبات هذا النظام، أحكام المستوى الثاني والقوانين الأخرى ذات الصلة.
المادة (17): الترتيبات التعاقدية
الوصول الى حسابات الدفع
- يجوز لمقدمي خدمات الدفع الذين يقدمون خدمات إصدار حساب الدفع و/أو البنوك الموافقة على التعاقد مع مقدمي خدمات الدفع الذين يقدمون خدمات إنشاء الدفع وخدمات معلومات حساب الدفع لتأمين الوصول، بشكل مباشر أو غير مباشر، إلى حسابات الدفع لديهم بما يجيز لهم بتقديم خدمات إنشاء الدفع وخدمات معلومات حساب الدفع بطريقة فعالة دون عوائق.
- يجب أن تكون الترتيبات التعاقدية بموجب البند (1) منظمة كما يلي:
- 2.1 أن يكون لها أساس قانوني سليم وأن تكون قابلة للإنفاذ بموجب القانون؛
- 2.2 أن تصف بوضوح حقوق والتزامات الأطراف المتعاقدة؛
- 2.3 أن تحدد توزيع المسؤولية بوضوح بين الأطراف المتعاقدة، بما في ذلك في حالات الاحتيال، الوصول غير المصرح به أو خرق البيانات، بحيث يتحمل كل طرف المسؤولية عن الأجزاء ذات الصلة من معاملة الدفع التي تحت مسؤوليته؛
- 2.4 أن تحدد أسباب رفض الوصول إلى حسابات الدفع في حالة الوصول غير المصرح به أو المشبوه من قبل مقدمي خدمات الدفع الذين يقدمون خدمات إنشاء الدفع وخدمات معلومات حساب الدفع؛ و
- 2.5 أن تلزم الأطراف المتعاقدة صراحةً بالامتثال لأحكام المادة (13) بشأن مخاطر التكنولوجيا وأمن المعلومات.
- يكون اختيار مقدمي خدمات الدفع الذين يقدمون خدمات إنشاء الدفع وخدمات معلومات حساب الدفع وفقًا للتقدير الخاص بمقدمي خدمات الدفع الذين يقدمون خدمات إصدار حساب الدفع و/أو البنوك.
- يجب على مقدمي خدمات الدفع الذين يقدمون خدمات إنشاء الدفع وخدمات معلومات حساب الدفع الالتزام بما يلي:
- 4.1 تقديم الخدمات فقط بموجب الموافقة الصريحة لمستخدم خدمات الدفع للتجزئة؛
- 4.2 التأكد من أن بيانات الأمان المخصصة لمستخدم خدمات الدفع للتجزئة ليست في متناول أطراف أخرى، باستثناء مستخدم خدمات الدفع للتجزئة ومصدر بيانات الأمان المخصصة، وأنه يتم ارسالها عبر قنوات آمنة وفعالة؛
- 4.3 عدم طلب أو تخزين بيانات الدفع الحساسة لمستخدم خدمات الدفع للتجزئة؛
- 4.4 عدم استخدام أي بيانات أو الوصول إليها أو تخزينها لأغراض أخرى فيما عدا توفير خدمات إنشاء الدفع وخدمات معلومات حساب الدفع، على النحو المطلوب صراحةً من قبل مستخدم خدمات الدفع للتجزئة؛ و
- 4.5 الامتثال لمتطلبات المادة (13) بشأن مخاطر التكنولوجيا وأمن المعلومات، حيث ينشأ الدافع معاملة دفع إلكترونية أو ينفذ أي إجراء من خلال قناة عن بعد، مما قد ينطوي على مخاطر الاحتيال في الدفع أو أي تجاوزات أخرى.
- بالإضافة إلى المتطلبات المنصوص عليها في البند (4)، يجب على مقدمي خدمات الدفع الذين يقدمون خدمات معلومات حساب الدفع الوصول فقط إلى المعلومات من حسابات الدفع المحددة ومعاملات الدفع المرتبطة بها.
- بالإضافة إلى المتطلبات المنصوص عليها في البند (4)، لا يجوز لمقدمي خدمات الدفع الذين يقدمون خدمات إنشاء الدفع تعديل المبلغ، المدفوع له أو أي خاصية أخرى لمعاملة الدفع.
- يجوز لمقدمي خدمات الدفع الذين يقدمون خدمات إصدار حساب الدفع و/أو البنوك الموافقة على التعاقد مع مقدمي خدمات الدفع الذين يقدمون خدمات إنشاء الدفع وخدمات معلومات حساب الدفع لتأمين الوصول، بشكل مباشر أو غير مباشر، إلى حسابات الدفع لديهم بما يجيز لهم بتقديم خدمات إنشاء الدفع وخدمات معلومات حساب الدفع بطريقة فعالة دون عوائق.
المادة (18): منظومات البطاقات
ترخيص منظومة البطاقات
- يجب على منظومات البطاقات العاملة في الدولة الحصول على ترخيص من المصرف المركزي قبل بدء العمليات.
- يخضع مقدمو الطلبات للإجراءات المنصوص عليها في إرشادات الترخيص الصادرة عن المصرف المركزي.
- يجب على المصرف المركزي تحديد ما إذا كان سيتم منح أو رفض منح ترخيص منظومة البطاقات لمقدم الطلب بإشعار خطي خلال (90) يوم تقويمي من تاريخ استلامه كافة المستندات والمعلومات المحددة ضمن الطلب.
- يجوز للمصرف المركزي منح الترخيص المشار إليه في البند (1) مع أو بدون شروط أو قيود ملحقة به، أو رفض منح الترخيص بحسب تقديره.
- يخطر المصرف المركزي منظومة البطاقات بالقرار المتخذ بموجب البند (3). في حالة رفض منح الترخيص، على المصرف المركزي بيان أسباب هذا الرفض.
- يحتفظ المصرف المركزي حصريا بحق بإصدار أرقام تعريف مصدر البطاقات (البنك) وفقًا لمعيار آيزو/آي أي سي 7812، وفقاً لأي تعديل أو إضافة قد تطرأ عليه من وقت لآخر.
شروط الترخيص
- يمنح المصرف المركزي ترخيصًا لمنظومة البطاقات بموجب هذه المادة (18) عند استيفاء الشروط التالية:
- 7.1. تزويد المصرف المركزي بجميع المستندات والمعلومات اللازمة التي قد يطلبها، بالشكل وفي الإطار الزمني المحدد من قبله، بما يجيز له تقييم ملاءمة، كفاءة وسلامة منظومة البطاقات، بما في ذلك:
- 7.2. يجب أن تستوفي إدارة منظومة البطاقات المتطلبات المناسبة والملائمة المحددة من المصرف المركزي، بما في ذلك أن كل عضو من أعضاء الإدارة:
-
- 7.2.1 يمتلك المعرفة والمهارات والخبرة اللازمة؛
- 7.2.2 يتمتع بسجل يدل على النزاهة والسمعة الجيدة؛
- 7.2.3 لديه الوقت الكافي للاضطلاع بالتزاماته بالكامل بموجب هذا النظام وأحكام المستوى الثاني؛
- 7.2.4 ويتمتع بسجل من السلامة المالية.
متطلبات الإبلاغ ورفع التقارير
- يجب على منظومة البطاقات التي تم منحها الترخيص التقيد بما يلي:
- 8.1 رفع التقارير الى المصرف المركزي بشأن المعلومات الواردة في الملحق 3 على أساس ربع سنوي؛
- 8.2 تقديم معلومات إضافية أو الخضوع لمتطلب إبلاغ ورفع تقارير أكثر تكرارًا، حسبما يراه المصرف المركزي ضروريًا؛ و
- 8.3 الإبلاغ فورًا عن أي تغييرات تؤثر أو من المحتمل أن تؤثر على نموذج أعماله أو جدواه المالية، أو التي يمكن اعتبارها ذات طبيعة جوهرية مثل الزيادة أو النقصان الملحوظ في حجم المعامالات.
الالتزامات المستمرة
الحوكمة
- يكون مجلس إدارة منظومة البطاقات وإدارتها مسؤولين عن التأكد من أن منظومة البطاقات المرخصة تتوفر على إطار رقابة داخلي ملائم يضمن بيئة تشغيل مراقبة بشكل صحيح لتسيير الأعمال، مع مراعاة ملف المخاطر الخاص بالمنظومة.
- تكون الإدارة مسؤولة عن تطوير إطار رقابة داخلي يحدد، يشرف على ويراقب كافة المخاطر التي تواجهها منظومة البطاقات.
- يجب أن تعتمد منظومات البطاقات المرخصة هيكل تنظيمي يتضمن نهج "خطوط الدفاع الثلاثة" التي تشمل خطوط الأعمال، وظائف الدعم والرقابة ووظيفة التدقيق الداخلي المستقلة.
وظائف الامتثال
- يكون المجلس مسؤولاً عن ضمان توفر منظومة البطاقات على وظيفة امتثال مستقلة ودائمة وفعالة لرصد ورفع التقارير حول الالتزام بجميع القوانين واللوائح والمعايير المعمول بها وعن التزام الموظفين وأعضاء المجلس بالمتطلبات القانونية وقواعد السلوك والسياسات المناسبة بشأن تضارب المصالح.
- يجب أن تعتمد منظومة البطاقات سياسة امتثال معتمدة من المجلس يتم إبلاغها لجميع الموظفين مع تحديد غرض، مكانة وسلطة وظيفة الامتثال ضمن منظومة البطاقات.
- يجب على منظومات البطاقات وضع سياسات، إجراءات وضوابط مناسبة فيما يتعلق بقيام الإدارة والموظفين بالإبلاغ داخلياً عن المعاملات المشبوهة، بما في ذلك توفير السجلات والبيانات اللازمة، لموظف الامتثال المعين لمواجهة غسل الأموال ومكافحة تمويل الإرهاب لمزيد من التحليل وإعداد التقارير بهذا الشأن. يجب على منظومات البطاقات إبلاغ السلطة المختصة عن المعاملات المشبوهة أو في حالة وجود أسباب معقولة للاشتباه في أن العائدات مرتبطة بجريمة، أو بمحاولة أو نية لاستخدام الأموال أو العائدات لغرض ارتكاب، إخفاء أو الاستفادة من جريمة.
وظيفة التدقيق الداخلي
- يكون المجلس مسؤولاً عن ضمان توفر منظومة البطاقات على وظيفة تدقيق داخلي مستقلة، دائمة وفعالة تتناسب مع حجم وطبيعة العمليات ومدى تعقيد المؤسسة.
- يجب أن توفر وظيفة التدقيق الداخلي ضماناً مستقلاً للمجلس والإدارة بشأن جودة وفعالية الضوابط الداخلية، إدارة المخاطر، الامتثال، الحوكمة المؤسسية، الأنظمة والعمليات التي أنشأتها وحدات الأعمال، ووظائف الدعم والرقابة الخاصة بمنظومة البطاقات.
- يجب أن يكون لمنظومة البطاقات ميثاق تدقيق داخلي معتمد من قبل لجنة التدقيق التابعة للمجلس والذي يوضح الغرض من وظيفة التدقيق الداخلي، مكانتها وسلطتها في منظومة البطاقات.
إدارة المخاطر
- يجب أن يكون لمنظومات البطاقات وظيفة إدارة مخاطر ذات موارد كافية برئاسة مسؤول المخاطر الرئيسي أو ما يعادله. يجب أن تكون الوظيفة مستقلة عن الإدارة وعن آلية اتخاذ القرار في الوظائف التي تحتوي على مخاطر لدى منظومة البطاقات. يجب أن تشتمل وظيفة إدارة المخاطر على سياسات، إجراءات، أنظمة وضوابط لمراقبة المخاطر والإبلاغ عنها، ولضمان تناسب حالات التعرض للمخاطر مع استراتيجية المؤسسة وخطة عملها.
استراتيجية المخاطر
- يجب أن يكون لمنظومات البطاقات استراتيجية أعمال محددة بوضوح، وقدرة على قبول المخاطر، وثقافة مؤسسية محددة معتمدة من قبل المجلس ويتم مراجعتها سنوياً على الأقل. يجب أن تضمن الإدارة الامتثال الكامل لهذه الاستراتيجية المفصلة في جميع مجالات الأعمال وسيكون المجلس مسؤولاً في النهاية عن هذا الامتثال.
أمن المعلومات
- يجب أن تطبق منظومة البطاقات وتمتثل كحد أدنى لمعايير أمن البيانات في صناعة بطاقات الدفع ومعايير ضمان أمن المعلومات في الدولة، وتعديلاتها من وقت لآخر.
- يجب تقديم تقرير الامتثال بشأن التزام منظومة البطاقات بالمعايير المشار إليها في البند (20) إلى المجلس سنوياً على الأقل وإرساله إلى المصرف المركزي.
- في حال حدوث خرق للبيانات، يجب على منظومة البطاقات إخطار المصرف المركزي دون تأخير غير مبرر وفي موعد لا يتجاوز (72) ساعة بعد علمها بخرق البيانات.
التعافي من الكوارث وإدارة استمرارية الأعمال
- يجب أن تعتمد منظومات البطاقات على خطط للتعافي من الكوارث واستمرارية الأعمال لضمان قدرتها على العمل بشكل مستمر والحد من الخسائر في حالة حدوث اضطراب شديد في الأعمال. يجب أن تكون هذه الخطط متناسبة مع ملف تعريف المخاطر وطبيعة وحجم وتعقيد أعمال وهيكل منظومة البطاقات وأن تأخذ في الاعتبار السيناريوهات المختلفة التي قد تكون منظومة البطاقات عرضة لها.
- يجب أن تضمن خطط التعافي من الكوارث واستمرارية الأعمال إمكانية الحفاظ على وظائف الأعمال الحيوية لمنظومة البطاقات وتعافيها في الوقت المناسب لتقليل المخاطر المالية، القانونية والتنظيمية وتلك المتعلقة بالسمعة والمخاطر الأخرى التي قد تنشأ عن أي خلل.
- يجب على المجلس التأكد من القيام بمراجعة دورية مستقلة لخطط التعافي من الكوارث واستمرارية الأعمال في منظومة البطاقات لضمان الملاءمة والتوافق مع العمليات، المخاطر والتهديدات الحالية، مستويات التعافي والأولويات.
تقييم المخاطر
- يجب أن تقوم منظومات البطاقات بتقييم المخاطر بانتظام من خلال تحديد المخاطر الجديدة، قياس المخاطر المعروفة وتحديد أولويات المخاطر من خلال الفهم المتكامل للأعمال والسوق.
تخفيف المخاطر
- يجب على منظومات البطاقات التخفيف من المخاطر من خلال تنفيذ التالي:
المراقبة
- يجب أن تقوم منظومات البطاقات بمراقبة دورية لجميع المخاطر وبرامج تخفيف المخاطر على أساس سنوي على الأقل لضمان قوة إجراءات وبرامج إدارة المخاطر. يجب عرض تقارير المراقبة المستمرة، بما في ذلك لوحات المعلومات، على الإدارة والمجلس للتأكد من أن جميع مستويات الإدارة على دراية بالوضع الحالي للمخاطر، بما في ذلك الاحتيال المحتمل، في منظومة البطاقات.
الضمان
- يجب أن تعطي منظومات البطاقات ضمانات لجميع الجهات المعنية من خلال التدقيق الخارجي والداخلي.
تصفية الأعمال
- يجب على منظومة البطاقات في حال اعتزامها وقف العمل في الدولة، الحصول على موافقة المصرف المركزي في هذا الشأن.
- يجب على منظومة البطاقات إخطار المصرف المركزي مسبقًا قبل (3) أشهر من تاريخ الإنهاء المزمع لأعمالها، وتقديم خطة تصفية منظمة.
التفتيش الرقابي
- يجوز للمصرف المركزي إجراء تفتيش دوري لأعمال منظومات البطاقات للتأكد من سلامتها المالية وامتثالها لمتطلبات هذا النظام وأحكام المستوى الثاني.
- يجب أن توفر منظومات البطاقات للمصرف المركزي الوصول الكامل وغير المقيد إلى حساباتها، سجلاتها ووثائقها، كما يجب أن توفر المعلومات والتسهيلات التي قد تكون مطلوبة لإجراء التفتيش المشار إليه في البند (32).
الرسوم والمضاريف
- للمصرف المركزي الحق في تلقي معلومات عن أية رسوم ومصاريف خاصة بمنظومات البطاقات وتنظيم هذه الرسوم والمصاريف حسبما يراه مناسباً .
- يجوز للمصرف المركزي الإفصاح للجمهور عن رسوم ومصاريف منظومات البطاقات المشار إليها في البند (34).
- يجب على منظومات البطاقات العاملة في الدولة الحصول على ترخيص من المصرف المركزي قبل بدء العمليات.
المادة (19): الوصول الى نظام حماية الأجور
التأهيل والشروط
- يعتبر مقدمو خدمات الدفع مؤهلين لتقديم طلب إلى المصرف المركزي للمشاركة والوصول الى نظام حماية الأجور. ويتم منحهم حق الوصول إلى نظام حماية الأجور بشرط موافقة المصرف المركزي.
- للسماح بإيداع الأجور في حساب يمكن من خلاله تخزين الأموال والاحتفاظ بها، يجوز لمقدمي خدمات الدفع التعامل مع منظومة تسهيلات القيم المخزنة أو بنك لتوفير هذا الحساب. يجب على مقدمي خدمات الدفع الذين يتقدمون للمشاركة في نظام حماية الأجور والوصول إليه، على سبيل المثال لا الحصر، إثبات اعتمادهم إجراءات أمنية صارمة لتقليل المخاطر على نظام حماية الأجور.
- يجوز لمقدمي خدمات الدفع فتح حسابات دفع في نظام حماية الأجور، لدى منحهم حق الوصول إلى نظام حماية الأجور.
- لا تلغي المتطلبات الواردة في هذه المادة (19) المتطلبات الأخرى لهذا النظام التي يخضع لها مقدمو خدمات الدفع.
الالتزامات
- يجب على مقدمي خدمات الدفع الذين نالوا حق الوصول إلى نظام حماية الأجور بموجب البند (1) القيام بما يلي:
- 5.1 تنظيم حملات تسويقية تستهدف القطاعات غير القادرة على الوصول الى الخدمات البنكية أو التي تعتمد على الخدمات المالية غير البنكية بهدف توعية أصحاب حسابات الدفع في نظام حماية الأجور بشأن الفوائد والمخاطر المرتبطة بالخدمات المقدمة من مقدمي خدمات الدفع؛
- 5.2 عقد ورش عمل بهدف توعية أصحاب العمل حول ملف معلومات الراتب الواجب تقديمه، والعقوبات والإجراءات والمتطلبات الرقابية ذات الصلة؛
- 5.3 ضمان تزويد أصحاب حسابات الدفع في نظام حماية الأجور بكشف معاملة في الوقت المناسب؛
- 5.4 تنفيذ الدفعات لأصحاب حسابات الدفع في نظام حماية الأجور في الوقت المناسب والإقرار بهذا التنفيذ تماشيا مع دليل قواعد نظام حماية الأجور؛
- 5.5 عدم تحميل أصحاب حسابات الدفع في نظام حماية الأجور المسؤولية عن أي معاملات دفع مشبوهة أو غير مصرح بها، ويجب عليهم ضمان المبلغ الكامل للأموال؛ و
- 5.6 توفير فريق متخصص يتولى خدمة وشكاوى مستخدمي خدمات الدفع للتجزئة لأصحاب حسابات الدفع في نظام حماية الأجور؛ على أن يكون هذا الفريق منفصل عن الفرق المماثلة التي تقدم خدمات الدفع للتجزئة الأخرى التي قد يتم توفيرها من قبل مقدمي خدمات الدفع.
- يخضع مقدمو خدمات الدفع الذين لا يمتثلون لمتطلبات البند (5.4) للعقوبات المحددة في دليل قواعد نظام حماية الأجور.
- يجوز للمصرف المركزي أن يطلب من مقدمي خدمات الدفع الذين تم منحهم حق الوصول إلى نظام حماية الأجور بموجب البند (1) التالي:
- 7.1 إعداد وتقديم تقارير ربع سنوية حول متوسط قيمة معاملات الدفع لكل صاحب حساب دفع في نظام حماية الأجور؛ و
- 7.2 إعداد وتقديم تقارير ربع سنوية عن عدد أصحاب حسابات الدفع في نظام حماية الأجور الذين تقدم لهم الخدمة.
- يعتبر مقدمو خدمات الدفع مؤهلين لتقديم طلب إلى المصرف المركزي للمشاركة والوصول الى نظام حماية الأجور. ويتم منحهم حق الوصول إلى نظام حماية الأجور بشرط موافقة المصرف المركزي.
المادة (20): الإنفاذ والجزاءات
قد تعرض مخالفة أي من أحكام هذا النظام أو القيام بأي من المخالفات المنصوص عليها في قانون المصرف المركزي مقدم خدمات الدفع أو منظومة البطاقات للجزاءات الإدارية والمالية والعقوبات التي يراها المصرف المركزي مناسبة.
المادة (21): الفترة الانتقالية
تبدأ فترة انتقالية، مدتها سنة واحدة، من تاريخ نفاذ هذا النظام. يجوز للمصرف المركزي الأمر بوقف تقديم خدمات الدفع للتجزئة أو تشغيل منظومة البطاقات إذا لم يحصل مقدم خدمات الدفع أو منظومة البطاقات المعني على الترخيص ذات الصلة من المصرف المركزي قبل انتهاء الفترة الانتقالية. يجوز للمصرف المركزي، وفقاً لتقديره، تمديد الفترة الانتقالية لمقدم الطلب.
المادة (22): تفسير هذا النظام
تكون دائرة تطوير الأنظمة الرقابية في المصرف المركزي المرجع لتفسير أحكام هذا النظام.
المادة (23): النشر والتطبيق
1. يُنشر هذا النظام في الجريدة الرسمية باللغتين العربية والانجليزية، ويُعمل به بعد شهر من تاريخ نشره. في حال وجود أي تعارض بين النصين العربي والانجليزي، يسود النص المحرر باللغة العربية.
الملحق 1: خدمات الدفع للتجزئة
- خدمة إصدار حساب الدفع
- خدمة إصدار أداة الدفع
- خدمة تحصيل المعاملات
- خدمة تجميع الدفع
- خدمة تحويل الأموال محلياً
- خدمة تحويل الأموال عبر الحدود
- خدمة رمز الدفع
- خدمة إنشاء الدفع
- خدمة معلومات حساب الدفع
- خدمة إصدار حساب الدفع
الملحق 2: إرشادات حول أفضل الممارسات الخاصة بمخاطر التكنولوجيا وأمن المعلومات
تمكّن أفضل الممارسات التالي ذكرها مقدمي خدمات الدفع من التوفر على مرونة سيبرانية متكيفة وسريعة الاستجابة. يتم تشجيع مقدمي خدمات الدفع على مناقشة طلباتهم ومراجعتها لتحسين مخاطر التكنولوجيا، أمن المعلومات وجاهزية المرونة السيبرانية لديهم.
مخاطر التكنولوجيا
يجب أن يتضمن إطار إدارة الحوادث ذات الإشراف الإداري المناسب لضمان الاستجابة الفعالة للحوادث والقدرة الإدارية للتعامل مع الحوادث الكبيرة بشكل ملائم ما يلي:
- (أ) إبلاغ المصرف المركزي في الوقت المناسب بأي حالات احتيال مرتبطة بالتكنولوجيا أو اختراقات أمنية كبيرة مؤكدة، بما في ذلك الهجمات السيبرانية وحالات انقطاع الخدمة لفترات طويلة والحوادث النظامية التي يعاني على اثرها مستخدمو خدمات الدفع للتجزئة من خسارة مالية أو تأثير على مصالحهم (على سبيل المثال تسرب البيانات)؛ و
- (ب) استراتيجية اتصال لمعالجة أية مخاوف للجهات المعنية التي قد تنشأ عن الحوادث، وإصلاح الضرر الذي قد يلحق بالسمعة بسبب هذه الحوادث.
إدارة التغيير
يتم تشجيع مقدمي خدمات الدفع الذين يبلغ متوسط قيمة معاملات الدفع الشهرية الخاصة بهم (10) ملايين درهم أو أكثر على التالي:
- (أ) تطوير إجراءات رسمية لإدارة التغيير لضمان سلامة وموثوقية البيئة التشغيلية وأن التغييرات التي تطرأ على أنظمة التطبيقات، وبرامج النظام (مثل أنظمة التشغيل والمرافق)، والأجهزة وأنظمة الشبكات وغيرها من مرافق ومعدات تكنولوجيا المعلومات مناسبة وليس لها أي تأثير غير مرغوب فيه على البيئة التشغيلية. يجب أيضاً وضع إجراءات رسمية لإدارة التغييرات الطارئة (بما في ذلك حفظ السجلات وترتيبات المصادقة) لتمكين معالجة المشاكل غير المتوقعة في الوقت المناسب وبطريقة محكمة؛ و
- (ب) التوثيق المناسب والدقيق لإجراءات التحكم ومتطلبات الأمن الأساسية، بما في ذلك جميع التكوينات والإعدادات لأنظمة التشغيل وبرامج النظام وقواعد البيانات والخوادم وأجهزة الشبكة. يجب إجراء مراجعات دورية حول امتثال إعدادات الأمن لمعايير الأمان الأساسية.
دورة حياة المشروع
يجب اعتماد وتطبيق منهجية لدورة حياة المشروع كاملة تحكم عمليات تطوير، تنفيذ وصيانة الحواسب.
يجب وضع عمليات رسمية لاقتناء البرمجيات من أجل إدارة المخاطر الناشئة عن الاقتناء، مثل انتهاك اتفاقية ترخيص البرمجيات أو انتهاك براءة الاختراع، وذلك في حالة اقتناء برمجيات من مزودين خارجيين.
يجب إجراء عمليات التأكد من الجودة في المشاريع الكبيرة المتعلقة بالتكنولوجيا من قبل جهة مستقلة بالاستعانة بوظائف الامتثال والشؤون القانونية.
حوكمة تكنولوجيا المعلومات
يجب وضع مجموعة من سياسات التحكم في تكنولوجيا المعلومات التي تناسب نموذج الأعمال وتطبيقات التكنولوجيا. يجب اعتماد سياسات التحكم في تكنولوجيا المعلومات التي تحدد القواعد الأساسية لضوابط تكنولوجيا المعلومات رسمياً من قبل الإدارة وتنفيذها بشكل صحيح من قبل كل من وحدات وظائف تكنولوجيا المعلومات والأعمال. كما يجب أيضاً تحديد العمليات المستخدمة للتحقق من الامتثال مع سياسات التحكم في تكنولوجيا المعلومات وعملية الحصول على الموافقة المناسبة من قبل الإدارة للإعفاء من سياسات التحكم في تكنولوجيا المعلومات، وتنفيذ النتائج والعواقب المرتبطة بأي فشل في الالتزام بهذه العلميات.
المتطلبات الأمنية
يجب وضوع مبادئ توجيهية ومعايير لتطوير البرمجيات وفقاً للممارسات المقبولة عموماً بشأن التطوير الآمن. يجب إجراء مراجعة رمز البرمجة (مثل مراجعة الأقران ومراجعة التحليل الآلي)، التي يمكن أن تكون قائمة على المخاطر، كجزء من عملية ضمان جودة البرمجيات.
يجب إجراء عمليات اختبار وقبول رسمية للأنظمة للتأكد من أنه يتم الترويج فقط للأنظمة المختبرة والمعتمدة بشكل صحيح في البيئة التشغيلية. يجب أن يغطي نطاق الاختبارات قوانين عمل النظام، والضوابط الأمنية وأداء النظام في ظل سيناريوهات اختبارات الإجهاد المختلفة وظروف تعافي النظام.
يجب الحفاظ على بيئات منفصلة لأغراض التطوير، الاختبار والتشغيل الفعلي. يجب إجراء اختبار النظام واختبار قبول المستخدم بشكل صحيح في بيئة الاختبار. لا ينبغي استخدام بيانات البيئة التشغيلية في التطوير أو اختبار القبول ما لم يتم التحقق من حساسية البيانات والحصول على موافقة مسبقة من مالك المعلومات.
يجب اعتماد فصل الواجبات بين فرق تكنولوجيا المعلومات. يجب ألا يُسمح للمطورين الوصول إلى مكتبات ونشر شفرات البرمجيات على البيئة التشغيلية. في حالة استخدام إجراءات تلقائية لنشر الشفرات على البيئة التشغيلية، يجب إجراء المراقبة الكافية والمراجعات والفحوصات من قبل فرق مستقلة. كذلك يجب مراقبة عن كثب صلاحيات دخول المزودين الخارجيين إلى بيئة اختبار قبول المستخدم، إذا لزم الأمر.
يجب الاحتفاظ بقائمة جرد للبرمجيات المطورة للمستخدم النهائي، وعند الحاجة، تحديد ضوابط المراقبة والمسؤوليات فيما يتعلق بحوسبة المستخدم النهائي لتغطية مجالات مثل الملكية، معايير التطوير، أمن البيانات، التوثيق، تخزين البيانات / الملفات والنسخ الاحتياطية، واستعادة النظام، بالإضافة الى مسؤوليات التدقيق والتدريب.
يجب وضع إجراءات إدارة المشاكل لتحديد، تصنيف، ترتيب الأولويات ومعالجة جميع مشاكل تكنولوجيا المعلومات في الوقت المناسب. يجب إجراء تحليل اتجاهي بشكل منتظم عن الحوادث الماضية لتسهيل تحديد والوقاية من المشاكل المماثلة.
إدارة الشبكة والبنية التحتية
يتم وضع أجهزة أمن الشبكة، مثل جدران الحماية، عند نقاط الربط الحرجة لبنيتها التحتية لتكنولوجيا المعلومات، لتأمين الاتصال بالشبكات الخارجية غير الموثوق بها، مثل الإنترنت والاتصالات مع أطراف ثالثة.
في الحالات التي يتم فيها توفير أجهزة الهاتف المحمول للموظفين، يجب وضع سياسات وإجراءات تغطي سلسلة من الأمور منها طلبات الشراء، المصادقة، التشديد، الترميز، والنسخ الاحتياطية للبيانات والاحتفاظ بها.
يجب اعتماد تدابير مناسبة للحفاظ على الفصل المناسب لقواعد البيانات الخاصة بأغراض مختلفة لمنع الدخول غير المصرح به أو غير المقصود أو الاسترجاع، كما يجب فرض ضوابط وصول قوية لضمان حفظ سرية وسلامة قواعد البيانات. أما فيما يتعلق بأي بيانات شخصية خاصة بمستخدمي خدمات الدفع للتجزئة، بما في ذلك التجار، يجب أن يتم تقييم قوانين حماية البيانات ذات الصلة وكذلك أي قواعد، إرشادات أو أفضل الممارسات ذات الصلة الصادرة عن المصرف المركزي أو أي من السلطات المختصة من وقت لآخر.
يجب تقييد الوصول إلى المعلومات وأنظمة التطبيقات من خلال آلية مصادقة مناسبة مرتبطة بقواعد التحكم في الوصول .ويجب اعتماد إطار عمل للتحكم في صلاحيات الدخول قائم على الأدوار والمهام ومنح صلاحيات الدخول فقط على أساس الحاجة للحصول عليها.
مخاطر الأمن السيبراني
يجب مواكبة تطورات وتوجهات التهديدات السيبرانية، بما في ذلك الاشتراك في خدمات معلومات التهديد السيبراني ذات الصلة بتقديم خدمات الدفع للتجزئة، وذلك لتعزيز القدرة على الاستجابة بدقة لأي نوع جديد من التهديدات في الوقت المناسب. قد يبحث مقدم خدمات الدفع عن فرص للتعاون مع جهات أخرى لمشاركة وجمع معلومات عن التهديدات السيبرانية بهدف تسهيل استعداد وجاهزية قطاع خدمات الدفع للتجزئة لمواجهة وإدارة مخاطر الأمن السيبراني بشكل أفضل.
يجب وضع أنظمة مراقبة أو إشراف لضمان التنبه لأي أنشطة نظامية مشبوهة أو ضارة مثل الاستخدامات المتعددة للحساب نفسه من مواقع جغرافية مختلفة. يتم تنفيذ المراقبة فوريا دون أي تأخر للأحداث السيبرانية التي تطال الأنظمة الهامة لتسهيل الكشف الفوري عن الأنشطة غير المعتادة.
يجب الانتباه الشديد للمخاطر المتطورة المتعلقة بالوصول إلى البنية التحتية الحيوية لتكنولوجيا المعلومات واتخاذ التدابير المناسبة بشأنها.
أجهزة قبول الدفع
يجب افتراض ان أجهزة مستخدمي خدمات الدفع للتجزئة معرضة للاختراق الأمني واتخاذ التدابير اللازمة بناء على ذلك عند تصميم، تطوير أو صيانة خدمات الدفع للتجزئة. يجب مراعاة وجود ضوابط أمنية للحماية ضد سيناريوهات الاختراق المختلفة بما في ذلك الوصول غير المصرح به الى الأجهزة، البرامج الضارة أو الفيروسات، وحالات عدم وجود حماية او التعرض للمخاطر الخاصة بأجهزة الهاتف المحمول او الاستخدام غير المصرح لتطبيقات أجهزة الهاتف المحمول.
في حال قيام التجار باستخدام أجهزة الهاتف المحمول لقبول عمليات الدفع للتجزئة الخاصة بمقدمي خدمات الدفع، يجب تنفيذ تدابير أمنية اضافية لحماية حلول قبول عمليات الدفع بواسطة أجهزة الهاتف المحمول، بما يشمل كشف العمليات غير المعتادة، وتسجيلها في تقارير، وتقديم معلومات وافية عن هوية التاجر لمستخدمي خدمات الدفع للتجزئة للتأكد من صحة الهوية.
مصادقة مستخدمي خدمات الدفع للتجزئة
تطبيق آلية متعددة المعايير للمصادقة على مستخدمي خدمات الدفع للتجزئة من خلال اعتماد إثنين أو أكثر من المعايير الثلاث المحددة أدناه:
- (أ) معلومات التحقق المحددة من مستخدم خدمات الدفع للتجزئة (مثل المعرفات الشخصية وكلمات المرور).
- (ب) معلومات التحقق المملوكة من مستخدم خدمات الدفع للتجزئة (مثل كلمات المرور لمرة واحدة الصادرة بواسطة رمز الأمان، أو أنظمة أمان خاصة بمقدم خدمات الدفع)؛
- (ج) ومعلومات تحقق مادية خاصة بمستخدم خدمات الدفع للتجزئة (مثل شبكة العين، بصمة الاصبع أو التعرف على الصوت).
يجب اعتماد ضوابط مناسبة فيما يتعلق بقوة كلمة المرور (كوضع حد أدنى لطول كلمة المرور) في حال استخدام كلمة المرور (بما يشمل رقم التعريف الشخصي) كرمز وحيد للدخول.
محاولات تسجيل الدخول وإدارة الجلسات
يجب توفير سجل قوي يجيز استرجاع أي بيانات سابقة بما في ذلك جميع التفاصيل الخاصة بالإضافات، التعديلات او عمليات الحذف التي طالت المعاملات المختلفة. يجب أن يكون الوصول والاستفادة من هذه الأدوات، بما في ذلك المسؤوليات المميزة، مسموحاً به فقط للأفراد المجاز لهم من خلال إجراءات ولوج مناسبة.
يجب منح مستخدمي خدمات الدفع للتجزئة القنوات المناسبة لمراجعة عمليات الدفع السابقة الخاصة بهم.
أنظمة كشف الاحتيال
يجب تشغيل آليات مراقبة معاملات الدفع المصممة لمنع، وكشف وحظر أي معاملات دفع مشبوهة من قبل مقدمي خدمات الدفع الذين يقدمون خدمات رمز الدفع ومقدمي خدمات الدفع الذين يبلغ متوسط قيمة معاملات الدفع الشهرية الخاصة بهم عشرة (10) ملايين درهم أو ما فوق. تخضع المعاملات المشبوهة أو العالية المخاطر لعملية الفحص والتنقية والتقييم.
الملحق 3: المعلومات الواجب ارسالها من قبل منظومات البطاقات باللغتين الانجليزية والعربية
أولاً – بيانات الصراف الآلي
المجال الحجم الأقصى النوع تفاصيل المجال رقم الحساب الأساسي (PAN) 19-16 رقمي رقم الحساب الأساسي عبارة عن سلسلة من الأرقام المعتمدة لتحديد حساب أو علاقة مستخدم خدمات الدفع للتجزئة. رمز المعاملة 2 رقمي رمز المعاملة – 31 (الاستعلام عن الرصيد) ، 01 (السحب النقدي). قيمة المعاملة 12 رقمي تحدد قيمة المعاملة مبلغ الأموال التي يطلبها حامل البطاقة بالعملة المحلية للمحصل أو موقع مصدر المعاملة. رمز عملة المعاملة 3 أبجدي (أو) رقمي يحدد العملة المحلية للمحصل أو موقع مصدر المعاملة. راجع آيزو 4217. تاريخ ووقت الإرسال 10 رقمي يتبع التنسيق الشهر/اليوم/الساعة/الدقيقة/الثانية التاريخ المستخدم هو يوم التقويم الحالي بتوقيت غرينتش الذي تمت فيه المعاملة (وليس يوم العمل) رقم التدقيق في أنظمة التتبع 6 رقمي يحتوي على رقم محدد من قبل محصل المعاملة لتحديد معاملة بشكل خاص. يبقى رقم التتبع دون تغيير لجميع الرسائل طوال فترة سريان وتنفيذ المعاملة. نوع التاجر 4 رقمي يحتوي على تصنيف نوع المنتج أو الخدمة الخاصة بأعمال التاجر (جهاز صراف آلي / موقع إلكتروني / إلخ). رمز دولة الجهة المحصلة 3 رقمي يحتوي على رمز الدولة التي توجد فيها الجهة المحصلة (راجع آيزو 3166). صيغة دخول نقطة الخدمة 3 رقمي يحتوي على رقمين للإشارة إلى الطريقة التي تم بها إدخال رقم الحساب الأساسي في النظام ورقم واحد للإشارة إلى إمكانات إدخال رقم التعريف الشخصي. عنصر تحديد الجهة المحصلة 11 رقمي يحتوي على رمز يحدد الجهة المحصلة (مثل بنك التجار) أو وكيله. إسم/موقع متلقي البطاقة 40 أبجدي رقمي ورموز خاصة يحتوي على اسم وموقع متلقي البطاقة (أي التاجر أو مكينة الصراف الآلي). تحديد محطة متلقي البطاقة 15 أبجدي رقمي ورموز خاصة يحتوي على رمز فريد يحدد محطة في موقع متلقي البطاقة. رد تصريح التعريف 6 أبجدي رقمي يحتوي على الرد على تعريف الهوية المحدد من قبل الطرف المرخص. غالباً ما يُشار إلى هذا المجال بعبارة "رمز المصادقة". رمز الاستجابة 2 أبجدي رقمي يحتوي على رمز يحدد محتوى الرسالة.
ثانياً – بيانات نقطة البيعالمجال الحجم الأقصى النوع تفاصيل المجال رقم الحساب الأساسي (PAN) 19-16 رقمي رقم الحساب الأساسي عبارة عن سلسلة من الأرقام المعتمدة لتحديد حساب أو علاقة مستخدم خدمات الدفع للتجزئة. رمز المعاملة 2 رقمي رمز المعاملة – 00 (شراء / بيع)، 20 (استرداد)، 31 (استعلام عن الرصيد). قيمة المعاملة 12 رقمي قيمة الأموال التي يطلبها حامل البطاقة. رمز عملة المعاملة 3 رقمي رمز يحدد العملة المحلية للمحصل أو موقع مصدر المعاملة. كما يحدد العملة المعتمدة لقيمة المعاملة. تاريخ ووقت الإرسال 10 رقمي يتبع التنسيق الشهر/اليوم/الساعة/الدقيقة/الثانية صادر ومرسل من منشئ الرسالة. يحدد بتوقيت جرينتش. رقم التدقيق في أنظمة التتبع 6 رقمي يحتوي على رقم فريد للمعاملة محدد من قبل مرسل الرسالة. يبقى رقم التتبع دون تغيير لجميع الرسائل ضمن المعاملة الواحدة بين الطرفين. ويستخدم لتأمين مسار التدقيق والمتابعة لكل رسالة يرسلها المحصل في تاريخ عمل معين. رمز نوع التاجر 4 رقمي يحتوي على تصنيف نوع المنتج أو الخدمة الخاصة بأعمال التاجر. رمز دولة الجهة المحصلة 3 رقمي يحتوي على رمز الدولة التي توجد فيها الجهة المحصلة (راجع آيزو 3166). صيغة دخول نقطة الخدمة 3 رقمي يحتوي على رقمين للإشارة إلى الطريقة التي تم بها إدخال رقم الحساب الأساسي في النظام ورقم واحد للإشارة إلى إمكانات إدخال رقم التعريف الشخصي. رمز حالة نقطة الدفع 2 رقمي يحتوي على تحديد للحالة التي تتم بموجبها المعاملة في نقطة الخدمة. 00 – التقديم العادي 59 - التجارة الإلكترونية رد تصريح التعريف 6 أبجدي رقمي يحتوي على الرد على تعريف الهوية المحدد من قبل الطرف المرخص. غالبًا ما يُشار إلى هذا المجال بعبارة "رمز المصادقة". معرفات محطة متلقي البطاقة 16 أبجدي رقمي ورموز خاصة رمز فريد يحدد المحطات في موقع المحصل. رمز تعريف متلقي البطاقة 15 أبجدي رقمي ورموز خاصة رمز فريد يحدد متلقي البطاقة. إسم وموقع متلقي البطاقة 40 أبجدي رقمي ورموز خاصة يستخدم لتحديد اسم وموقع متلقي البطاقة كما هو معروف لحامل البطاقة. رمز الاستجابة 2 أبجدي رقمي يحتوي على رمز يحدد محتوى الرسالة.
ثالثاً- بيانات الاحتيالالمجال الحجم الأقصى النوع تفاصيل المجال رقم الحساب الأساسي (PAN) 19-16 رقمي رقم الحساب الأساسي عبارة عن سلسلة من الأرقام المعتمدة لتحديد حساب أو علاقة مستخدم خدمات الدفع للتجزئة. رمز المعاملة 2 رقمي رمز المعاملة – 00 ( شراء / بيع)، 20 (استرداد)، 31 (استعلام عن الرصيد). قيمة المعاملة 12 رقمي قيمة الأموال التي يطلبها حامل البطاقة. رمز عملة المعاملة 3 رقمي رمز يحدد العملة المحلية للمحصل أو موقع مصدر المعاملة. كما يحدد العملة المعتمدة لقيمة المعاملة. تاريخ ووقت الإرسال 10 رقمي يتبع التنسيق الشهر/اليوم/الساعة/الدقيقة/الثانية صادر ومرسل من منشئ الرسالة. يحدد بتوقيت جرينتش. رقم التدقيق في أنظمة التتبع 6 رقمي يحتوي على رقم فريد للمعاملة محدد من قبل مرسل الرسالة. يبقى رقم التتبع دون تغيير لجميع الرسائل ضمن المعاملة الواحدة بين الطرفين. ويستخدم لتأمين مسار التدقيق والمتابعة لكل رسالة يرسلها المحصل في تاريخ عمل معين. رمز نوع التاجر 4 رقمي يحتوي على تصنيف نوع المنتج أو الخدمة الخاصة بأعمال التاجر. رمز دولة الجهة المحصلة 3 رقمي يحتوي على رمز الدولة التي توجد فيها الجهة المحصلة (راجع آيزو 3166). صيغة دخول نقطة الخدمة 3 رقمي تحتوي على رقمين للإشارة إلى الطريقة التي تم بها إدخال رقم الحساب الأساسي في النظام ورقم واحد للإشارة إلى إمكانات إدخال رقم التعريف الشخصي. رمز حالة نقطة الدفع 2 رقمي يحتوي على تحديد للحالة التي تتم بموجبها المعاملة في نقطة الخدمة. 00 - التقديم العادي 59 - التجارة الإلكترونية رد تصريح التعريف 6 أبجدي رقمي يحتوي على الرد على تعريف الهوية المحدد من قبل الطرف المرخص. غالبًا ما يُشار إلى هذا المجال بعبارة "رمز المصادقة". معرفات محطة متلقي البطاقة 16 أبجدي رقمي ورموز خاصة رمز فريد يحدد المحطات في موقع المحصل. رمز تعريف متلقي البطاقة 15 أبجدي رقمي ورموز خاصة رمز فريد يحدد متلقي البطاقة. اسم وموقع متلقي البطاقة 40 أبجدي رقمي ورموز خاصة يستخدم لتحديد اسم وموقع متلقي البطاقة كما هو معروف لحامل البطاقة. رمز الاستجابة 2 أبجدي رقمي يحتوي على رمز يحدد محتوى الرسالة.