الجزء التاسع
المادة (33): حوكمة الشركات
1.
في هذه المادة (33)، يشير "مزود خدمة رموز الدفع" إلى المرخص له أو حامل التسجيل، باستثناء مُصدِري رموز الدفع الأجنبية المسجلين.
2.
يجب أن يكون لدى مزود خدمة رموز الدفع هيكل تنظيمي فعّال وقوي وموثق جيداً لحوكمة الشركات، بما في ذلك هيكل تنظيمي واضح يتضمن تسلسل إداري واضح وشفاف ومتسق.
3.
يجب أن تكون ترتيبات الحوكمة المشار إليها في المادة (33)2 شاملة ومتناسبة مع طبيعة الخدمات المقدمة ونطاقها وتعقيدها، و يجب أن تتضمن، على الأقل مايلى:
(أ)
هيكل تنظيمي يبين كل قسم أو إدارة أو وحدة، مع تحديد اسم كل شخص مسؤول مرافقاً لوصف الوظيفة والمسؤوليات المعنية؛
(ب)
ضوابط للتحكم في النزاعات المصالح؛
(ج)
ضوابط لضمان نزاهة وشفافية عمليات مزود خدمة رموز الدفع المرخص؛
(د)
ضوابط لضمان الامتثال للقوانين والأنظمة السارية؛
(ه)
طرق للحفاظ على سرية المعلومات؛ و
(و)
إجراءات لمراقبة وتدقيق دوري لجميع ترتيبات حوكمة الشركات.
المادة (34): إدارة المخاطر العامة وأنظمة الرقابة الداخلية
1.
في هذه المادة (34)، يشير "مزود خدمة رموز الدفع" إلى مزود خدمات رموز الدفع المرخص له أو حامل التسجيل، باستثناء مصدري رموز الدفع الأجنبية المسجلين.
2.
يجب على مزودي خدمات رموز الدفع وضع واعتماد سياسات وإجراءات قوية وشاملة لتحديد وإدارة ومراقبة والإبلاغ عن المخاطر التي تنشأ عن تقديم خدمات رموز الدفع التي قد يتعرضون لها أو قد يتعرضون لها في المستقبل، وآليات رقابة داخلية كافية، بما في ذلك إجراءات إدارية ومحاسبية صحيحة.
3.
يجب أن تخضع سياسات وإجراءات إدارة المخاطر التي يتبعها مزودو خدمات رموز الدفع إلى:
(أ)
التحديث الدوري؛
(ب)
المراجعة السنوية؛ و
(ج)
أن تكون متناسبة مع طبيعة خدمات رموز الدفع المقدمة ونطاقها ودرجة تعقيدها.
4.
يجب على مزوّدي خدمات رموز الدفع إنشاء وظيفة لإدارة المخاطر، ووظيفة للتدقيق الداخلي، ووظيفة للامتثال.
كفاية رأس المال وتخطيط رأس المال
5.
يجب على مزودي خدمات رموز الدفع تنفيذ عملية فعالة لإدارة كفاية رأس المال الخاص بهم، بحيث تراقب هذه العملية كفاية رأس المال مع مرور الوقت وتتضمن تقديرات مستقبلية لمستوى رأس المال ومتطلبات رأس المال، وضمان التزام مزود خدمة رموز الدفع في جميع الأوقات بمتطلبات رأس المال المنصوص عليها في هذه النظام على الأقل.
إدارة مخاطر السيولة
6.
يجب على مزودي خدمات رموز الدفع إنشاء وتنفيذ عملية فعالة لإدارة مخاطر السيولة التي تكون مناسبة لحجم وتعقيد عملياتهم. يتمثل الهدف من ذلك في ضمان توافر سيولة كافية لمزود خدمة رموز الدفع لتلبية التزاماته المالية المختلفة المترتبة عن عملياته اليومية وطلبات الاسترداد في جميع الظروف الممكنة.
أنظمة الرقابة الداخلية
7.
يجب على مزودي خدمات رموز الدفع وضع نظام رقابة داخلي فاعل لدعم كفاءة العمليات، وحماية الأصول، وتوفير معلومات مالية وإدارية موثوقة، وتمكين الوقاية أو الكشف المبكر عن التجاوزات والاحتيال والأخطاء، وضمان الامتثال للمتطلبات القانونية والتنظيمية ذات الصلة والسياسات الداخلية.
8.
يجب على مزودي خدمات رموز الدفع وضع استراتيجية وخطة عمل شاملة، تتضمن تفاصيل حول الأهداف الاستراتيجية والخطة الزمنية. كما يجب أن تغطي خطة العمل الأعمال المقترحة من حيث نطاق العمليات الجغرافية، والأسواق المستهدفة وتوزيع العملاء، وأنواع العملاء وحجم القاعدة، وعرض المنتجات والخدمات، وقنوات التوزيع، واستراتيجية التسعير، وأنشطة الترويج والتسويق.
المحاسبة والتدقيق الخارجي
9.
يجب على مزودي خدمات رموز الدفع تعيين مدقق خارجي أو عدة مدققين خارجيين واحد أو أكثر للتدقيق، سنوياً:
(أ)
البيانات المالية أو البيانات المالية الموحدة لمزودي خدمات رموز الدفع المعدة وفقاً للمعايير والممارسات المحاسبية المعتمدة؛ و
(ب)
الأنظمة والضوابط والتكنولوجيا (بما في ذلك أي "عقود ذكية") لخدمات رموز الدفع المقدمة من قبل مزودي خدمات رموز الدفع، بما في ذلك نتائج أي اختبار محاكاة لاختراق أو هجوم إلكتروني يتم تنفيذه وفقاً للمادة 17(35)، بشكل منفصل عن أي تدقيق لغير خدمات رموز الدفع.
10.
بناءً على طلب المصرف المركزي، يجب على المدقق الخارجي المعين تقديم تقرير التدقيق، إما مباشرة أو من خلال مزودي خدمات رموز الدفع، في شكل وإطار زمني مقبول لدى المصرف المركزي.
11.
بالإضافة إلى تقرير التدقيق، يمكن للمصرف المركزي طلب من المدقق الخارجى:
(أ)
تقديم أي معلومات إضافية فيما يتعلق بالتدقيق، إذا اعتبر المصرف المركزي ذلك ضرورياً؛
(ب)
زيادة حجم أو توسيع نطاق التدقيق؛
(ج)
إجراء أي عمليات تدقيق ودراسة أخرى.
وظائف الامتثال والتدقيق الداخلي
12.
يجب على مزودي خدمات رموز الدفع إنشاء وظائف امتثال وتدقيق داخلى فعالة؛ لضمان الامتثال لجميع المتطلبات القانونية والتنظيمية المعمول بها، فضلاً عن سياساتهم واجراءاتهم وضوابطهم الخاصة. سيقيّم المصرف المركزي، من بين عوامل أخرى، جودة وحدات الامتثال والتدقيق الداخلي لمزودي خدمات رموز الدفع بناءً على:
(أ)
اعتماد إطار حوكمة واضح وآليات مساءلة على مستوى مجلس الإدارة لضمان وجود سياسات فعالة وسلطات كافية لأداء الوظائف؛
(ب)
المعرفة المهنية والخبرة ذات الصلة؛
(ج)
الاستقلالية عن وحدات الأعمال؛
(د)
الوصول المباشر وغير المقيد إلى مجلس الإدارة؛
(ه)
تغطية وشمول وفعالية برامج الامتثال والتدقيق الداخلى؛ و
(و)
القدرة على اتخاذ إجراءات تصحيحية في الوقت المناسب والفعال عند تحديد عدم الامتثال أو العيوب الأخرى في التحكم.
13.
يجب على مزودي خدمات رموز الدفع تقييم المخاطر سنوياً على الأقل من قبل إدارة المخاطر:
(أ)
إذا كانت نتائج تقييم المخاطر توحي بأن التقييم المستقل التفصيلي ضروري، يجب على مزودي خدمات رموز الدفع إجراء مثل هذا التقييم وتغطية المجالات الرئيسية التالية:
(1)
تقييم نموذج العمل؛
(2)
الحوكمة المؤسسية وإدارة المخاطر؛
(3)
إدارة احتياطي الأصول؛
(4)
إدارة مخاطر التكنولوجيا؛
(5)
إدارة الأمن؛
(6)
إدارة استمرارية العمل؛
(7)
سلوك الأعمال وحماية المستهلك؛
(8)
خطة الخروج من الأعمال؛ و
(9)
أنظمة مواجهة غسيل الأموال/مكافحة تمويل الإرهاب.
(ب)
إذا كان لدى مزود خدمة رموز الدفع وظيفة مستقلة في مكان آخر في مجموعته، ويتمتع بالمعرفة والخبرة ذات الصلة، يمكن إجراء التقييم المستقل بواسطة وظيفته الداخلية. وإلا يجب أن يتم تنفيذ التقييم بواسطة جهة خارجية مستقلة.
14.
يجب على مزودي خدمات رموز الدفع تقديم أي تقييم بموجب المادة 13(34) إلى المصرف المركزي بعد الموافقة عليه من قبل مجلس الإدارة، مصحوباً بملخص تنفيذي يسلط الضوء على المخاطر الرئيسية والنتائج الأكثر أهمية والإجراءات لتصحيح المشاكل.
15.
في إطار نتائج التقييم السنوي للمخاطر، يجب على مزود خدمة رموز الدفع الذي لا يستطيع تلبية التزاماته الإبلاغ عن هذا الأمر على الفور إلى المصرف المركزي.
إدارة مخاطر السمعة
16.
يجب على مزودي خدمات رموز الدفع إنشاء وتنفيذ عملية فعالة لإدارة مخاطر السمعة التي تكون مناسبة لحجم وتعقيد عملياتها.
حفظ السجلات
17.
يجب على مزودي خدمات رموز الدفع الاحتفاظ بجميع السجلات اللازمة للبيانات الشخصية وبيانات الدفع لمدة خمس (5) سنوات من تاريخ استلام هذه البيانات، ما لم ينص القانون الساري أو المصرف المركزي على خلاف ذلك.
المادة (35): مخاطر التكنولوجيا وأمن المعلومات
1.
في هذه المادة (35)، يشير "مزود خدمة رموز الدفع" إلى المرخص له أو حامل التسجيل، باستثناء مصدري رموز الدفع الأجنبية المسجلين.
2.
من المتوقع أن يأخذ مزودو خدمات رموز الدفع في الاعتبار أفضل الممارسات الدولية والمعايير عند تصميم وتنفيذ التكنولوجيا وأنظمة إدارة المخاطر المحددة والعمليات
3.
يجب على مزود خدمة رموز الدفع إنشاء إطار فعال لإدارة مخاطر التكنولوجيا وأمن السيبرانية لضمان كفاية ضوابط تقنية المعلومات، ومقاومة الهجمات السيبرانية، وجودة وأمان أنظمة الحاسوب، بما في ذلك الموثوقية والقوة والاستقرار والتوافر، وسلامة وكفاءة عمليات خدمات رموز الدفع. و يجب أن يكون الإطار مناسباً للغرض المقصود ومتناسباً مع المخاطر المرتبطة بطبيعة العمل وحجمه وتعقيده وأنواعه والتكنولوجيا المعتمدة والنظام الشامل لإدارة المخاطر لمقدم خدمة رموز الدفع. ويجب النظر في اعتماد المعايير والممارسات الدولية المعترف بها عند صياغة مثل هذا الإطار لإدارة المخاطر.
4.
يجب أن يشتمل إطار إدارة مخاطر التكنولوجيا الفعال لمقدم خدمة رموز الدفع على حوكمة تقنية صحيحة، وعملية مستمرة لإدارة مخاطر التكنولوجيا، وتنفيذ ممارسات تحكم تقنية سليمة.
5.
يجب على مزودي خدمات رموز الدفع تطبيق وتلبية على الأقل معايير ضمان المعلومات في الإمارات العربية المتحدة، بما في ذلك التعديلات.
6.
يجب على مصدري رموز الدفع المرخصين الحفاظ على سياسات وإجراءات بشأن كيفية الاستجابة لأحداث "الانقسام" أو الإجراءات الإدارية السلبية التي تؤثر على تقنية السجلات الموزعة التي تصدر فيها رموز الدفع الخاصة بهم، بما في ذلك عن طريق إنشاء عملية لضمان منح حقوق الاسترداد وفقاً للمادة (21)6(ج)ولمنع استرداد الأشخاص الذين ليسوا حاملي رموز. يجب أن تتناول مثل هذه السياسات والإجراءات كل سلسلة كتل تصدر فيها رموز الدفع.
7.
يجب على مصدري رموز الدفع المرخصين الذين يحتفظون بأي رموز دفع أصدروها (بموجب اختصاصهم الخاص) الاحتفاظ بسياسة حفظ وأمان تحدد طريقة ضمان أمان رموز الدفع تلك.
حوكمة تقنية المعلومات
8.
يجب على مزود خدمة رموز الدفع إنشاء إطار حوكمة مناسب لتقنية المعلومات، و يجب أن تغطى حوكمة تقنية المعلومات جوانب مختلفة، بما في ذلك هيكل واضح لوظائف تقنية المعلومات وإنشاء سياسات تحكم تقنية المعلومات. على الرغم من وجود هياكل مختلفة، يجب أن تشمل الوظائف الرئيسية وظيفة تقنية المعلومات الفعالة، ووظيفة إدارة مخاطر التكنولوجيا القوية، ووظيفة تدقيق التقنية المستقلة.
9.
يكون المجلس، أو اللجنة المعينة من قبل المجلس، مسؤولة عن ضمان وضع واعتماد إطار إدارة مخاطر فاعل بحيث تدار مخاطر التكنولوجيا بطريقة تتناسب مع المخاطر التي تفرضها خدمات رموز الدفع المقدمة.
المتطلبات الأمنية
10.
يجب على مزود خدمة رموز الدفع تحديد متطلباته الأمنية بوضوح في المرحلة المبكرة من تطوير النظام أو الاقتناء كجزء من متطلبات العمل ويجب بناء هذه المتطلبات بشكل كاف خلال مرحلة تطوير النظام.
11.
يجب على مزود خدمة رموز الدفع الذي يطور أو يوفر واجهة برمجة تطبيقات، إنشاء تدابير وقائية لإدارة تطوير وتوفير واجهة البرمجة لتأمين التفاعل وتبادل البيانات بين التطبيقات البرمجية المختلفة.
إدارة الشبكة والبنية التحتية
12.
يجب على مزود خدمة رموز الدفع تحديد المسؤولية العامة لإدارة الشبكة لأفراد مجهزين بالخبرة اللازمة لأداء واجباتهم بشكل واضح. يجب أن تُوثّق رسمياً المعايير والتصميم والمخططات وإجراءات التشغيل للشبكة، ويتم تحديثها باستمرار، وإيصالها إلى جميع الموظفين ذوي الصلة بالشبكة واستعراضها بانتظام.
13.
يجب على مزود خدمة رموز الدفع إنشاء وظيفة إدارة أمان ومجموعة من الإجراءات الرسمية لإدارة تخصيص حقوق الوصول إلى موارد النظام ونظم التطبيقات، ومراقبة استخدام موارد النظام لاكتشاف أي أنشطة غير عادية أو غير مصرح بها.
14.
يجب على مزود خدمة رموز الدفع ممارسة العناية الواجبة عند إدارة استخدام هويات المستخدمين ذوي الامتياز وهويات الطوارئ. تشمل إجراءات الرقابة اللازمة:
(أ)
تغيير كلمة المرور الافتراضية؛
(ب)
تنفيذ آليات صارمة لضبط كلمات المرور، من حيث الحد الأدنى لطول كلمة المرور وتاريخها وتعقيدها، وكذلك الفترة القصوى لصلاحية كلمة المرور؛
(ج)
تقييد عدد المستخدمين ذوي الامتياز؛
(د)
اعتماد إجراءات رقابة قوية على الوصول عن بعد من قبل المستخدمين ذوي الامتياز؛
(ه)
منح الصلاحيات المهمة فقط للمستخدمين ذوي الامتياز والطوارئ؛
(و)
الموافقة الرسمية من قبل الشخصيات العليا المناسبة قبل إتاحة الاستخدام؛
(ز)
تسجيل وحفظ ومراقبة الأنشطة التي تؤديها هويات المستخدمين ذوي الامتياز والطوارئ (على سبيل المثال، استعراض الأنشطة المسجلة من قبل الأقران)؛
(ح)
منع مشاركة الحسابات ذات الامتياز؛
(ط)
توفير حماية مناسبة لهويات المستخدمين ذوي الامتياز وكلمات المرور الطارئة (على سبيل المثال، الاحتفاظ بها في مظروف مختوم ومغلق داخل مركز البيانات)؛ و
(ي)
تغيير كلمات المرور لهويات المستخدمين ذوي الامتياز والطوارئ على الفور عند رجوعها من قبل مقدمي الطلبات.
مخاطر الأمن السيبراني
15.
يجب على مزود خدمة رموز الدفع التأكد من أن مخاطر أمن الشبكة السيبرانية لديه تُدار بشكل كافٍ من خلال عمليات إدارة مخاطر التكنولوجيا.
16.
و يجب أيضاً على مزود خدمة رموز الدفع تخصيص موارد كافية لضمان قدرته على تحديد المخاطر وحماية خدماته الحرجة ضد الهجمات، واحتواء تأثير حوادث الأمان السيبراني واستعادة الخدمات.
17.
يجب على مزود خدمة رموز الدفع إنشاء خطة للاستجابة لحوادث الشبكة السيبرانية وإدارتها لعزل التهديدات السيبرانية والغائها بسرعة واستئناف الخدمات المتأثرة في أقرب وقت ممكن. ويجب أن تصف الخطة الإجراءات للاستجابة لسيناريوهات التهديد السيبراني المعقولة.
يجب على مزود خدمة رموز الدفع تقييم ضرورة إجراء اختبارات اختراق ومحاكاة للهجمات السيبرانية بانتظام، بناءً على تقييم مستند إلى المخاطر لاحتمالية هجوم سيبراني وتأثيره (باعتبار أشياء أخرى مثل حجم وطبيعة عمله). ويجب أن تكون تغطية ونطاق الاختبار استناداً إلى ملف المخاطر الأمنية السيبرانية الموجود والمعلومات الاستخباراتية السيبرانية المتاحة، وتشمل ليس فقط الشبكات (الخارجية والداخلية) وأنظمة التطبيقات ولكن أيضاً الهندسة الاجتماعية والتهديدات السيبرانية الناشئة. يجب أن يتخذ مزود خدمة رموز الدفع إجراءات مناسبة للتخفيف من المشاكل والتهديدات والضعف المحددة في اختبارات اختراق ومحاكة الهجمات السيبرانية في الوقت المناسب، استناداً إلى تحليل التأثير وتعريض المخاطر. قد يطلب المصرف المركزي دليلاً على التقييم القائم على المخاطر المشار إليه في هذه الفقرة، ويمكنه توجيه إجراءات اختبارات اختراق ومحاكة هجمات سيبرانية أخرى أو بديلة.
التحقق من هوية العميل
18.
يجب على مزود خدمة رموز الدفع اختيار وتنفيذ تقنيات موثوقة وفعّالة للتحقق من هوية وصلاحية عملائه أو حاملى الرموز. و يجب فرض المصادقة متعددة العوامل.
19.
يجب تنفيذ تشفير من طرف إلى طرف لنقل كلمات مرور العملاء بحيث لا تتعرض فى أي وقت للكشف في أي عقد بين تطبيق الجوال أو المتصفح الخاص بالعميل والنظام الذي يتم التحقق فيه من الكلمات السرية.
محاولات تسجيل الدخول وإدارة الجلسات
20.
يجب على مزود خدمة الرموز الدفع تنفيذ ضوابط فعّالة لتقييد عدد محاولات تسجيل الدخول أو المصادقة (على سبيل المثال، إدخال كلمات مرور خاطئة)، وتنفيذ ضوابط الإنهاء وتحديد فترات زمنية لصلاحية التحقق. إذا تم استخدام كلمات مرور مرة واحدة لأغراض المصادقة، يجب على مزود خدمة الرموز الدفع التأكد من أن فترة صلاحية مثل هذه الكلمات المرور محدودة إلى الحد الأدنى الضروري.
21.
يجب على مزود خدمة الرموز الدفع اعتماد عمليات تضمن تسجيل جميع عمليات تحويل رموز الدفع التي تحدث في سياق خدمات الرموز الدفع الخاصة به مع سجل تدقيق مناسب.
أنظمة كشف الاحتيال
22.
يجب على مزود خدمة الرموز الدفع تشغيل آليات مراقبة عمليات الدفع مصممة لمنع وكشف وحجب عمليات الدفع الاحتيالية، بطريقة تتناسب مع تقييم مبني على المخاطر لاحتمالية وقوع عمليات الدفع الاحتيالية وتأثيرها (مع مراعاة، بين أمور أخرى، حجم وطبيعة أعماله). يجب أن تخضع المعاملات المشبوهة أو ذات المخاطر العالية لإجراء فحص وتصفية وتقييم محدد. يمكن للمصرف المركزي طلب الأدلة على مثل هذا التقييم المبني على المخاطر، وقد يوجه بأن تتم اعتماد آليات مراقبة إضافية أو بديلة.
تقديم النصائح الأمنية للعملاء
23.
يجب على مزود خدمة رموز الدفع توفير نصائح مهمة سهلة الفهم ودورية عبر وسائل فعالة وعدة قنوات لعملاء وحاملي الرموز بشأن التدابير الاحترازية الأمنية.
24.
يجب على مزود خدمة رموز الدفع إدارة المخاطر المرتبطة بالرسائل الإلكترونية الاحتيالية والمواقع الإلكترونية وتطبيقات الجوال، التي تم تصميمها لخداع العملاء للكشف عن معلومات المستخدم الحساسة مثل معرفات تسجيل الدخول وكلمات المرور وكلمات المرور لمرة واحدة.
تقرير الحوادث الأمنية
25.
يجب على مزودي خدمة رموز الدفع الإبلاغ عن الحوادث الأمنية والتشغيلية الكبيرة بما في ذلك فترات التعطل للمصرف المركزي، إما فوراً أو على الأساس الذي قد يوجه المصرف المركزي به من وقت لآخر، أو كما هو محدد في نظام المصرف المركزي.
المادة (36): استمرارية الأعمال
1.
في هذه المادة (36)، يشير "مزود خدمة رموز الدفع" إلى المرخص له أو حامل التسجيل، باستثناء مُصدِري رموز الدفع الأجنبية المسجلين.
2.
يجب أن يكون لدى مزود خدمة رموز الدفع برنامج مناسب لإدارة استمرارية الأعمال لضمان الاستمرار أو التعافي في الوقت المناسب أو في الحالات القصوى التقليص المنظم للعمليات الحيوية في حالة حدوث اضطرابات كبيرة ناجمة عن سيناريوهات طوارئ مختلفة. يشتمل البرنامج المناسب لإدارة استمرارية الأعمال على تحليل تأثير الأعمال واستراتيجيات التعافي وخطة استمرارية الأعمال والمواقع البديلة لاستعادة الأعمال وتكنولوجيا المعلومات.
3.
يجب على مزود خدمة رموز الدفع وضع مجموعة من استراتيجيات التعافي لضمان استعادة جميع وظائف العمل الحرجة المحددة في تحليل تأثير الأعمال وفقاً لإطار زمني محدد. ويجب توثيق هذه الاستراتيجيات بوضوح، واختبارها بشكل شامل، ومراجعتها بانتظام لضمان تحقيق أهداف الاستعادة.
4.
يجب على مزود خدمة الرموز الدفع وضع تدابير فعالة لضمان أن جميع السجلات التجارية، ولا سيما سجلات العملاء، يمكن استعادتها في الوقت المناسب في حال فقدانها أو تلفها أو تدميرها. كما يجب على مزود خدمة الرموز الدفع السماح للعملاء بالوصول إلى سجلاتهم الخاصة في الوقت المناسب. ويجب على مزود خدمة الرموز الدفع إخطار العملاء بأي فقد في سجلاتهم من خلال فشل تشغيلي أو سرقة، وبذل جهد معقول لضمان عدم استخدام السجلات الشخصية المفقودة بطريقة غير صحيحة.
5.
يجب على مزود خدمة رموز الدفع وضع خطة لاستمرارية العمل بناء على تحليل تأثير الأعمال واستراتيجيات التعافي ذات الصلة. و يجب أن تشتمل خطة استمرارية الأعمال، كحد أدنى، على ما يلى:
(أ)
إجراءات تعافي مفصلة لضمان الإنجاز الكامل لاستراتيجيات استرداد الخدمة؛
(ب)
إجراءات التصعيد وبروتوكول إدارة الأزمات (على سبيل المثال، إنشاء مركز قيادة، وتقديم التقارير في الوقت المناسب إلى المصرف المركزي، وما إلى ذلك) في حالة انقطاع الخدمة الشديد أو الطويل؛
(ج)
استراتيجيات الاتصال الاستباقية (مثل إخطار العملاء، واستجابة وسائل الإعلام، وما إلى ذلك)؛
(د)
تفاصيل الاتصال المحدثة للموظفين الرئيسيين المشاركين في خطة استمرارية الأعمال؛ و
(ه)
تعيين الموظفين الأساسيين والبديلين المسؤولين عن استعادة الأنظمة الحيوية.
6.
يجب على مزود خدمة رموز الدفع إجراء اختبار لخطة استمرارية الأعمال مرة على الأقل سنوياً، مع ضمان مشاركة الإدارة العليا والموظفين الرئيسيين والبديلين المعنيين في الاختبار السنوي للتعرف على دورهم في تنفيذ مسؤوليات التعافي.
7.
يجب على مزود خدمة رموز الدفع مراجعة جميع المخاطر والافتراضات ذات الصلة بالتخطيط لاستمرارية الأعمال للتأكد من مدى جدوى وملاءمتها كجزء من التخطيط السنوي للاختبار. يجب إعداد وثائق الاختبار الرسمية، بما في ذلك خطة الاختبار والسيناريوهات والإجراءات والنتائج. كما يجب إعداد تقرير مراجعة لاحقة للتوقيع الرسمي من قبل الإدارة العليا.
خطة الخروج من الأعمال
8.
لتقليل الأثر المحتمل الذي قد يحدثه فشل أو اضطراب أو خروج مزود خدمة رموز الدفع على العملاء وأنظمة الدفع في الدولة، يجب على مزود خدمة رموز الدفع اعتماد خطط قابلة للتنفيذ لخروج منتظم لأعماله وعملياته في حال عدم توفر خيارات أخرى.
9.
يجب أن تتضمن خطة الخروج من الأعمال، بين أمور أخرى ما يلى:
(أ)
تحديد مجموعة من السيناريوهات البعيدة ولكن الممكنة التي قد تجعل من الضروري على مزود خدمة الرموز الدفع النظر في الخروج؛
(ب)
تطوير مؤشرات المخاطر لقياس جدوى السيناريوهات المحددة؛
(ج)
وضع خطوات عمل مفصلة وواقعية وقابلة للتنفيذ للاتخاذ عند تفعيل خطة الخروج؛
(د)
تقييم الوقت والتكلفة المطلوبة لتنفيذ خطة الخروج بطريقة منظمة؛ و
(ه)
وضع إجراءات واضحة لضمان توفر الوقت الكافي ورأس المال الرقابي والموارد المالية الأخرى لتنفيذ خطة الخروج.
10.
يجب على مزود خدمة رموز الدفع مراجعة الخطة بشكل سنوي لضمان ملاءمتها وقابليتها للتنفيذ.