تجاوز إلى المحتوى الرئيسي

المادة (12): إدارة مخاطر التكنولوجيا والمخاطر المحددة

C 6/2020 يسري تنفيذه من تاريخ 30/10/2020
  1. ينبغي على المرخص له اعتماد أفضل الممارسات والمعايير الدولية عند تصميم وتنفيذ أنظمة وإجراءات إدارة مخاطر التكنولوجيا والمخاطر المحددة.
     
  2. تنطبقجميع متطلباتإدارة مخاطر التكنولوجيا والمخاطر المحددة المنصوص عليها في هذه المادة أيضًا على البنوك المرخصة التي تمارس أعمال تسهيلات القيم المخزنة في الدولة.

إدارة مخاطر التكنولوجيا

  1. يجب على المرخص له انشاء إطار فعال لإدارة مخاطر التكنولوجيا والأمن السيبراني لضمان التالي: (أ) ملاءمة ضوابط تكنولوجيا المعلومات، (ب) المرونة السيبرانية، (ج) الجودة والأمن، بما في ذلك الموثوقية، والمتانة والاستقرار الخاصة بأجهزة الكمبيوتر وأنظمة الدفع وتوفرها، و (د) سلامة وكفاءة عمليات تسهيلات القيم المخزنة. يجب أن يفي الإطار بالغرض وأن يتناسب مع المخاطر المرتبطة بطبيعة الأعمال والعمليات وحجمها وتعقيدها وأنواعها، والتقنيات المعتمدة ونظام إدارة المخاطر الشامل للمرخص له. وينبغي النظر في اعتماد المعايير والممارسات الدولية المعترف بها عند صياغة إطار إدارة المخاطر.
     
  2. يجب على المرخص له إنشاء إطار عمل لإدارة الحوادث مع إشراف إداري كاف لضمان الاستجابة الفعالة للحوادث والقدرة الإدارية على التعامل مع الحوادث الهامة بشكل صحيح. ويشمل هذا الإطار: (أ) إبلاغ المصرف المركزي في الوقت المناسب بأي حالات احتيال مرتبطة بالتكنولوجيا أو اختراقات أمنية كبيرة، بما في ذلك الهجمات السيبرانية، وحالات انقطاع الخدمة لفترات طويلة، والحوادث المنهجية التي يعاني فيها العملاء من خسارة مالية أو تأثر لمصالحهم (على سبيل المثال، تسرب البيانات) و (ب) استراتيجية تواصل لمعالجة أية مخاوف للجهات المعنية قد تنشأ عن الحوادث، واصلاح الضرر الذي قد يلحق بالسمعة بسبب هذه الحوادث.
     
  3. يجب ان يحتوي الإطار الفعال لإدارة مخاطر التكنولوجيا على حوكمة تكنولوجيا المعلومات ملائمة، واجراءات إدارة مخاطر التكنولوجيا مستمرة وتنفيذ ممارسات مراقبة تكنولوجيا المعلومات سليمة.

حوكمة تكنولوجيا المعلومات

  1. تشمل حوكمة تكنولوجيا المعلومات عدة أمور، من ضمنها، هيكل واضح لوظائف تكنولوجيا المعلومات ووضع سياسات مراقبة تكنولوجيا المعلومات. وبالرغم من امكانية وجود مجموعة مختلفة من الهياكل التنظيمية، فان الوظائف الرئيسية عادة ما تشمل وظيفة فعالة تكنولوجيا المعلومات، ووظيفة قوية لإدارة مخاطر التكنولوجيا، ووظيفة مستقلة للتدقيق على التكنولوجيا.
     
  2. يجب وضع مجموعة من سياسات التحكم في تكنولوجيا المعلومات التي تناسب نموذج الأعمال وتطبيقات التكنولوجيا للمرخص له، حيث يجب اعتماد سياسات التحكم في تكنولوجيا المعلومات التي تحدد القواعد الأساسية لضوابط تكنولوجيا المعلومات رسميًا من قبل الإدارة العليا، وتنفيذها بشكل صحيح من قبل كل من وظائف تكنولوجيا المعلومات ووحدات الأعمال. كما يجب أيضًا تحديد العمليات المستخدمة للتحقق من الامتثال مع سياسات التحكم في تكنولوجيا المعلومات وعملية الحصول على الموافقة المناسبة من قبل الإدارة العليا للإعفاء من سياسات التحكم في تكنولوجيا المعلومات، كما يجب تحديد العواقب المرتبطة بأي فشل في الالتزام بهذه العمليات.

اجراءات إدارة مخاطر التكنولوجيا

  1. يجب على المرخص له وضع نظام فعال لإدارة المخاطر يتناسب مع نموذج الأعمال وتصنيف المخاطر الخاص به.
     
  2. يجب إنشاء عملية قوية لإدارة جميع التغييرات (مثل التغييرات الناشئة عن المنتجات الجديدة أو الخدمات أو العمليات أو شروط العقد أو أي تغييرات في العوامل الخارجية مثل القانون والأنظمة) التي قد تغير تعرض المرخص له لمخاطر التكنولوجيا. يجب تقييم جميع المخاطر المحددة بشكل حاسم ومراقبتها والتحقق منها بشكل مستمر.
     
  3. يجب وضع إطار عام لإدارة المشاريع الرئيسية المتعلقة بالتكنولوجيا، مثل تطوير البرمجيات داخليا واقتناء أنظمة المعلومات .يجب أن يحدد هذا الإطار، من بين أمور أخرى، منهجية إدارة المشروع التي سيتم اعتمادها وتطبيقها على هذه المشاريع.

دورة حياة المشروع

  1. يجب اعتماد وتطبيق منهجية لدورة حياة المشاريع تحكم عمليات تطوير، وتنفيذ، وصيانة انظمة الحاسب والدفع الرئيسية.
     
  2. يجب وضع عمليات رسمية لاقتناء البرمجيات من أجل إدارة المخاطر الناشئة عن الاقتناء، مثل خروقات اتفاقية ترخيص البرمجيات او مخالفة حقوق الملكية الفكرية، وذلك في حال اقتناء المرخص له لبرمجيات من مزودين خارجيين.
     
  3. يجب اجراء عمليات التأكد من الجودة في المشاريع الكبيرة المتعلقة بالتكنولوجيا من قبل جهة مستقلة بالاستعانة بوظائف الامتثال والشؤون القانونية إذا لزم الأمر.

المتطلبات الأمنية

  1. يجب تحديد المتطلبات الأمنية بوضوح في المراحل المبكرة من تطوير الأنظمة او اقتناءها، كجزء من متطلبات العمل، ويجب ان يتم تحديدها بشكل مناسب اثناء مرحلة تطوير الأنظمة.

ممارسات البرمجة

  1. يجب وضع مبادئ توجيهية ومعاير لتطوير البرمجيات وفقا للممارسات المقبولة عمومًا بشأن التطوير الآمن. يجب إجراء مراجعة رمز البرمجة (مثل مراجعة الأقران ومراجعة التحليل الآلي)، والتي يمكن ان تكون قائمة على المخاطر، كجزء من عملية ضمان جودة البرمجيات.

اختبار النظام والقبول والنشر

  1. يجب وضع عملية رسمية لاختبار وقبول الأنظمة للتأكد من أنه يتم الترويج فقط للأنظمة المختبرة والمعتمدة بشكل صحيح في البيئة التشغيلية. يجب أن يغطي نطاق الاختبارات قوانين عمل النظام، والضوابط الأمنية وأداء النظام في ظل سيناريوهات اختبارات الإجهاد المختلفة وظروف استعادة النظام.
     
  2. يجب الحفاظ على بيئات منفصلة لأغراض التطوير والاختبار والتشغيل الفعلي. يجب إجراء اختبار النظام واختبار قبول المستخدم بشكل صحيح في بيئة الاختبار. لا ينبغي استخدام بيانات البيئة التشغيلية في التطوير أو اختبار القبول ما لم يتم التحقق من حساسية البيانات والحصول على موافقة مسبقة من مالك المعلومات.

الفصل بين الواجبات

  1. يجب الحفاظ على فصل بين الواجبات بين فرق تكنولوجيا المعلومات بشكل صحيح. يجب ألا يتمكن المطورون من الوصول إلى مكتبات ونشر شفرات البرمجيات على البيئة التشغيلية. في حالة استخدام إجراءات تلقائية لنشر الشفرات على البيئة التشغيلية، يجب إجراء المراقبة الكافية والمراجعات والفحوصات من قبل فرق مستقلة. كذلك يجب مراقبة عن كثب صلاحيات دخول مقدمي الخدمات إلى بيئة اختبار قبول المستخدم، إذا لزم الأمر.

حوسبة المستخدم النهائي

  1. يجب الاحتفاظ بقائمة جرد للبرمجيات المطورة للمستخدم النهائي، وعند الحاجة، تحديد إجراءات المراقبة والمسؤوليات فيما يتعلق بحوسبة المستخدم النهائي لتغطية مجالات مثل الملكية ومعايير التطوير وأمن البيانات والتوثيق وتخزين البيانات / الملفات والنسخ الاحتياطي، واستعادة النظام، بالإضافة الى مسؤوليات التدقيق والتدريب.

خدمات دعم تكنولوجيا المعلومات – إدارة المشاكل

  1. يجب وضع إجراءات إدارة المشاكل لتحديد وتصنيف وترتيب الأولويات ومعالجة جميع مشاكل تكنولوجيا المعلومات في الوقت المناسب. يجب إجراء تحليل اتجاهي بشكل منتظم عن الحوادث الماضية لتسهيل تحديد ومنع المشاكل المماثلة.

إدارة التغيير

  1. يجب تطوير إجراءات لإدارة التغيير لضمان سلامة وموثوقية البيئة التشغيلية، وأن التغييرات التي تطرأ على أنظمة التطبيقات وبرامج النظام (مثل أنظمة التشغيل والمرافق) والأجهزة وأنظمة الشبكات وغيرها من مرافق ومعدات تكنولوجيا المعلومات مناسبة وليس لها أي تأثير غير مرغوب فيه على البيئة التشغيلية. يجب أيضًا وضع إجراءات رسمية لإدارة التغييرات الطارئة (بما في ذلك حفظ السجلات وترتيبات المصادقة) لتمكين معالجة المشكلات غير المتوقعة في الوقت المناسب وبطريقة محكمة.

معايير الأمان الأساسية

  1. يجب توثيق إجراءات التحكم ومتطلبات الأمن الأساسية، بما في ذلك جميع التكوينات والإعدادات لأنظمة التشغيل وبرامج النظام وقواعد البيانات والخوادم وأجهزة الشبكة بشكل ملاءم ودقيق. يجب إجراء مراجعات دورية حول امتثال إعدادات الأمان لمعايير الأمان الأساسية.

عمليات تكنولوجيا المعلومات – جدولة المهام

  1. يجب الموافقة على جدولة المهام الأولية وأية تغييرات تطرأ عليها بشكل مناسب. يجب أن تكون الإجراءات في مكانها الصحيح لتحديد والتحقق والموافقة على حالات الخروج عن جداول العمل الموافق عليها.

إدارة الثغرات الأمنية وحلولها

  1. يجب نشر مجموعة من الأدوات التلقائية والأساليب اليدوية لإجراء تقييمات شاملة لأي ثغرات أمنية بشكل منتظم، وفي حالة تطبيقات الويب يجب ان يشمل نطاق التقييمات الثغرات الأمنية المعروفة لشبكة الانترنت.
     
  2. يجب صياغة إجراءات لإدارة الحلول الأمنية لتشمل تحديد وتصنيف وتقييم الأولويات وإعداد الحلول المستخدمة في سد الثغرات الأمنية، وذلك لضمان تنفيذ الحلول الأمنية في وقت مناسب، ويجب تحديد الإطار الزمني للتنفيذ لكل فئة من الحلول الأمنية بناء على شدتها ومدى تأثيرها على الأنظمة.
     
  3. يجب تنفيذ أدوات للمراقبة الأمنية للاحتفاظ بسجلات النظام والتطبيقات وأجهزة الشبكات لتسهيل عمليات التحقق عند الضرورة وفقاً لسياسة الاحتفاظ بالسجلات المحددة للمرخص له. يجب أن تقوم الأدوات أيضاً بمراقبة التكوينات وإعدادات الأمان المهمة والإبلاغ عنها، لحظيا إن أمكن، لتحديد التغييرات غير المصرح بها لهذه الإعدادات وحظر الأنشطة غير المتعارف عليها، على سبيل المثال سلوكيات المستخدم غير الطبيعية وعمليات النظام غير العادية والدخول غير المصرح إلى الذاكرة وعمليات الاستدعاء الضارة للأجهزة

صيانة مرافق ومعدات تكنولوجيا المعلومات

  1. يجب صيانة مرافق ومعدات تكنولوجيا المعلومات وفقاً لأفضل الممارسات، وفترات الخدمة والمواصفات الموصى بها من قبل الموردين لضمان دعم المرافق والمعدات بشكل جيد.

حوسبة الأجهزة المحمولة

  1. عندما يوفر المرخص له أجهزة محمولة لموظفيه، يجب تطوير سياسات وإجراءات تغطي، من بين أمور أخرى، طلبات الشراء، والمصادقة، والتشديد، والترميز، والنسخ الاحتياطي للبيانات والاحتفاظ بها.

إدارة الشبكة والبنية التحتية

  1. يجب أن تُسند المسؤولية العامة لإدارة الشبكة بوضوح إلى الأفراد الذين لديهم خبرة فنية لأداء واجباتهم. ويجب توثيق معايير الشبكة، وتصميمها، ومخططاتها، وإجراءات تشغيلها رسميا بالإضافة إلى تحديثها وإبلاغها لجميع موظفي الشبكة المختصين ومراجعتها بشكل منتظم.
     
  2. يجب أن يكون لدى المرخص له تدابير مناسبة للحفاظ على الفصل المناسب لقواعد البيانات لأغراض مختلفة لمنع الدخول غير المصرح به أو غير المقصود أو الاسترجاع، ويجب فرض ضوابط دخول قوية لضمان سرية وسلامة قواعد البيانات. فيما يتعلق بأي بيانات شخصية للعملاء، بما في ذلك التجار، يجب على المرخص له في جميع الأوقات الالتزام بهذا النظام، وقوانين حماية البيانات ذات الصلة وكذلك أي قواعد أو إرشادات أو أفضل الممارسات ذات الصلة الصادرة عن السلطات المختصة من وقت لآخر.
     
  3. يجب تقييد الوصول إلى المعلومات وأنظمة التطبيقات من خلال آلية مصادقة مناسبة مرتبطة بقواعد التحكم في الوصول. ويجب اعتماد إطار عمل للتحكم في صلاحيات الدخول قائم على الأدوار ويجب منح صلاحيات الدخول فقط على أساس الحاجة إلى الحصول عليها.
     
  4. يجب إنشاء وظيفة أمنية إدارية ومجموعة من الإجراءات الرسمية لإدارة تخصيص حقوق صلاحيات الدخول إلى موارد النظام وأنظمة التطبيقات، ومراقبة استخدام موارد النظام للكشف عن أي أنشطة غير اعتيادية أو غير مصرح بها.
     
  5. يجب توخي العناية الواجبة عند التحكم في استخدام المعرفات ذوي الامتيازات ومعرفات الطوارئ والوصول إليها. تشمل إجراءات التحكم الضرورية ما يلي: (أ) تغيير كلمة المرور الافتراضية، و(ب) تقييد عدد المستخدمين ذوي الامتيازات، و(ج) تنفيذ ضوابط قوية على صلاحيات الدخول عن بعد من قبل المستخدمين ذوي الامتيازات، و(د) منح الصلاحيات الضرورية للغاية للمعرفات ذوي الامتيازات ومعرفات الطوارئ، و(هـ) الموافقة الرسمية من قبل كبار الموظفين المناسبين قبل السماح بالاستخدام، و(و) تسجيل وحفظ ورصد الأنشطة التي يتم تنفيذها بواسطة المعرفات ذوي الامتيازات ومعرفات الطوارئ (مثل مراجعة الزملاء لسجلات الأنشطة)، و(ز) حظر مشاركة الحسابات ذوي الامتيازات، و(ح) الحماية المناسبة للمعرفات وكلمات المرور ذوي الامتيازات والطوارئ (مثل الاحتفاظ بها في مظروف مغلق ومغلقة داخل مركز البيانات)، و (ط) تغيير كلمات المرور الخاصة بالمعرفات ذوي الامتيازات ومعرفات الطوارئ فور إعادتها بواسطة صاحب الطلب.

المرونة السيبرانية

تقييم مخاطر الأمن السيبراني

  1. يجب إدارة مخاطر الأمن السيبراني بشكل مناسب من خلال إطار إدارة مخاطر تكنولوجيا المعلومات عندما يعتمد المرخص له بشكل كبير على تقنيات الإنترنت والهاتف المحمول لتقديم خدماته، ويجب على المرخص له أيضًا تخصيص موارد كافية لضمان قدراته على تحديد المخاطر وحماية خدماته الحيوية من الهجوم واحتواء تأثير الحوادث الأمنية واستعادة الخدمات بشكل مناسب.

معلومات التهديد السيبراني

  1. يجب على المرخص له مواكبة اتجاهات التهديدات السيبرانية، وقد يكون ذلك عن طريق الاشتراك في خدمات معلومات التهديد السيبراني ذات الصلة بأعمال المرخص له، وذلك لتعزيز قدرته على الاستجابة بدقة لأي نوع جديد من التهديدات في الوقت المناسب. قد يبحث المرخص له أيضًا عن فرص للتعاون مع المنظمات الأخرى لمشاركة وجمع معلومات عن التهديدات السيبرانية بهدف الارتقاء بمستوى إدارة المخاطر الأمنية لنظام تسهيلات القيم المخزنة.

اختبار محاكاة الاختراق والهجمات السيبرانية

  1. يجب على المرخص له إجراء تقييم بشكل منتظم لضرورة إجراء اختبار محاكاة الاختراق والهجمات السيبرانية. يجب أن تستند التغطية ونطاق الاختبار إلى ملف تعريف مخاطر الأمن السيبراني، والمعلومات الإلكترونية المتاحة والتي لا تغطي الشبكات (الخارجية والداخلية) وأنظمة التطبيقات فحسب، بل تغطي أيضًا الهندسة الاجتماعية والتهديدات السيبرانية الناشئة. كما ينبغي أن يتخذ الإجراءات المناسبة للتخفيف من المشاكل والتهديدات ونقاط الضعف التي تم تحديدها في اختبار محاكاة الاختراق والهجمات السيبرانية في الوقت المناسب، وذلك بناءً على تحليل التأثير والتعرض للمخاطر.

الأجهزة المتصلة بشبكة الإنترنت

  1. مع تطور الإنترنت، تم تضمين المزيد من الأجهزة أو الأدوات إمكانية الاتصال بالإنترنت، وقد تمثل تلك الأجهزة المتصلة بالإنترنت بشكل دائم نقطة دخول ممكنة للمخترقين للوصول بشكل غير قانوني للبنية التحتية لتكنولوجيا المعلومات الحيوية للمرخص له. يجب على المرخص له الانتباه إلى المخاطر ذات الصلة واتخاذ الإجراءات المناسبة وفقًا لذلك.

إدارة أمن عمليات الدفع

  1. يجب على المرخص له وضع إطار قوي لإدارة أمن عمليات الدفع يتناسب مع حجم وطبيعة المخاطر الأمنية المرتبطة بالعمليات المنفذة ضمن تسهيلات القيم المخزنة من أجل المراقبة الفعّالة للمخاطر الأمنية الناشئة من تلك العمليات، وتحديدها وتقييمها والتعامل معها والتخفيف من التأثيرات المترتبة عليها.
     
  2. يجب أن يكون لدى المرخص له سياسات وإجراءات مناسبة بشأن ملكية المعلومات التي تم جمعها من العملاء وتصنيفها وتخزينها ونقلها ومعالجتها والاحتفاظ بها من خلال تسهيلات القيم المخزنة وعمليات الدفع، وذلك لضمان سرية وسلامة المعلومات.

ملكية المعلومات

  1. يجب تعيين مالك للمعلومات التي يتم جمعها، ومعالجتها، وإنشائها وصيانتها. يجب أن يكون مالك المعلومات مسؤولاً عن التصنيف وترخيص الاستخدام وحماية المعلومات التي تتم معالجتها بواسطة الأنظمة وتخزينها فيها.

تصنيف المعلومات

  1. يجب تصنيف المعلومات إلى فئات مختلفة بناء على درجة الحساسية للدلالة على درجة الحماية المطلوبة لهذه المعلومات. للمساعدة في عملية التصنيف، يجب على المرخص له وضع مبادئ توجيهية وتعريفات لكل تصنيف وتحديد مجموعة مناسبة من الإجراءات لحماية المعلومات وفقًا لنظام التصنيف.

تخزين المعلومات

  1. يجب تأمين البيانات الحساسة المخزنة في أجهزة المستخدم النهائي وكذلك الأنظمة الخلفية للمرخص لهم، مثل بيانات الدفع ومعلومات التعريف الشخصية وبيانات التوثيق بشكل مناسب ضد السرقة والوصول غير المصرح به أو التعديل. ويجب ترميز البيانات الحساسة وتخزينها في بيئة تخزين آمنة، باستخدام تقنيات ترميز قوية ومعترف بها على نطاق واسع.

نقل المعلومات

  1. يجب على المرخص له التأكد عند نقل البيانات الهامة، على سبيل المثال من جهاز العميل إلى خادم المرخص له، يتم اعتماد ترميز قوي وآمن بين الطرفين والحفاظ عليه من أجل حماية سرية البيانات وسلامتها باستخدام تقنيات ترميز قوية ومعترف بها على نطاق واسع.
     
  2. حيثما ينطبق، يجب مراعاة أن تكون قنوات الاتصال لتبادل البيانات مفتوحة فقط على أساس الحاجة إلى الاستخدام، على سبيل المثال، حيثما ينطبق، يجب السماح بالاتصالات عبر الاتصال اللاسلكي فقط بعد التنشيط من قبل العميل وفي غضون فترة زمنية محدودة.

معالجة المعلومات

  1. إذا عرض المرخص له خدمات تحصيل المعاملات، يجب ان يقوم المرخص له بمطالبة التجار باتخاذ الإجراءات المطلوبة لحماية البيانات الهامة المتعلقة بعمليات الدفع، ويجب الامتناع عن تقديم الخدمات للتجار غير القادرين على توفير الحماية المطلوبة للبيانات. يجب ان يحرص المرخص له أيضا على تنفيذ ضوابط كافية للحفاظ على سلامة المعلومات التي تعالجها أنظمته والتحقق منها.

الاحتفاظ والتخلص من المعلومات

  1. يجب على المرخص له تنفيذ سياسة الاحتفاظ بالمعلومات والتخلص منها للحد من كمية تخزين البيانات ووقت الاحتفاظ بها، مع مراعاة المتطلبات القانونية والرقابية والتجارية المعمول بها.

تقليل المعلومات

  1. يجب ان يراعي المرخص له تقليل المعلومات اثناء تصميم، وتطوير، وصيانة خدمات الدفع ويكون هذا مبدأ أساسي للتعامل مع الوظائف الأساسية مثل تجميع، أو تحويل، أو معالجة، أو تخزين او أرشفة البيانات.
     
  2. يجب على المرخص له تنفيذ تدابير أمنية مناسبة لحماية كل قناة دفع (بما في ذلك البطاقات وأجهزة الدفع المستخدمة من العملاء) متاحة للعملاء ضمن نظام تسهيلات القيم المخزنة، ضد جميع نقاط الضعف المادية أو هجمات أمنية. كذلك يجب على المرخص له الذي يقدم خدمات بطاقات الدفع تنفيذ إجراءات وقائية كافية لحماية بيانات بطاقة الدفع الحساسة.

أجهزة العملاء

  1. يجب على المرخص له افتراض ان أجهزة العملاء معرضة للاختراق الأمني واتخاذ التدابير اللازمة بناء على ذلك عند تصميم، أو تطوير أو صيانة خدمات الدفع. يجب مراعاة وجود ضوابط أمنية للحماية ضد السيناريوهات المختلفة بما في ذلك الدخول غير المصرح الى الأجهزة، أو البرامج الضارة أو الفيروسات، وحالات عدم وجود حماية او التعرض للمخاطر خاصة بأجهزة المحمول او الاستخدام غير المصرح لتطبيقات الأجهزة المحمول.

قبول عمليات الدفع بواسطة الأجهزة المحمولة

  1. في حال توفير الجهاز المحمول للتاجر لقبول عمليات الدفع الخاصة بالمرخص له، يجب تنفيذ تدابير أمنية اضافية لحماية عمليات الدفع بواسطة الأجهزة المحمولة، بما يشمل كشف العمليات غير الاعتيادية، وتسجيل بيانات الاستخدام في تقارير، وتقديم معلومات وافية عن التاجر للعملاء للتأكد من صحة البيانات التعريفية للتاجر.

مصادقة العملاء

  1. يجب على المرخص له اختيار تقنيات مصادقة موثوقة وفعالة للتحقق من هوية وصلاحية عملائه ، ومن المتوقع بشكل عام ان يتم تفعيل التحقق المرتكز على عاملين لعمليات الدفع العالية المخاطر، حيث يوفر ذلك حماية أكبر من خلال الجمع بين أي عاملين من العوامل الثلاثة التالية: (أ) شيء يعرفه العميل (مثال: رقم تعريف شخصي او كلمة مرور)؛ (ب) شيء ما يملكه العميل (على سبيل المثال، كلمات مرور لمرة واحدة تم إنشاؤها بواسطة رمز أمان أو أنظمة أمان خاصة بالمرخص له)؛ (ج) شيء ما يمثله العميل (مثل شبكية العين أو بصمة الإصبع أو التعرف على الصوت).
     
  2. يجب على المرخص له وضع ضوابط أمنية مناسبة فيما يتعلق بقوة كلمات المرور (مثال: الحد الأدنى لعدد الخانات) عند استخدام كلمة المرور (بما يشمل رقم التعريف الشخصي) كرمز دخول.

محاولات تسجيل الدخول وإدارة الجلسات

  1. يجب وضع ضوابط لعدد محاولات تسجيل الدخول (مثال: كلمة مرور غير صحيحة) وتنفيذ تدابير أمنية لنفاذ وقت جلسة الدخول، ويجب مراعاة أن تكون صلاحية مدة جلسة الدخول عند استخدام كلمة مرور المرة الواحدة أقل ما يمكن.

تسجيل الأنشطة

  1. يجب أن يراعي المرخص له تسجيل جميع العمليات في سجل تدقيق بالشكل المناسب.
     
  2. يجب ان يكون لدى المرخص له سجل تدقيق قوي يسمح باسترجاع أي بيانات تاريخية بما يشمل جميع التفاصيل الخاصة بالتعديلات، الإضافات او عمليات المسح لمختلف العمليات المسجلة. ويتم السماح فقط للأفراد ذوي المميزات بمثل هذه الأدوات ويجب ان تكون مدققة هي الأخرى.
     
  3. يجب منح القنوات المناسبة للمستخدمين لمراجعة عملياتهم السابقة.

أنظمة كشف الاحتيال

  1. يجب على المرخص له تشغيل نظم مراقبة للعمليات مصممة للكشف عن، وحظر أي عمليات مشبوهة، او عالية المخاطر ويجب ان يتم التحقق منها من خلال نظام منفصل يختص بتنقية وتقييم العمليات المشابهة.
     
  2. يجب على المرخص له تنفيذ إجراءات تحقق مناسبة عندما يتم ربط بطاقة خصم، ائتمان او مسبقة الدفع بتسهيلات القيم المخزنة كمصدر للتمويل، ويجب ان يتم ذلك من خلال مصدر البطاقة (مثال: رسالة قصيرة تحتوي على كود التحقق او أي وسيلة حماية أخرى) للتأكد من موافقة صاحب البطاقة على ربط بطاقته بتسهيلات القيمة المخزنة. ويجب ان يتم التحقق على الأقل مرة واحدة اثناء ربط أو استخدام البطاقة للمرة الأولى، على ان يقوم المرخص له برفض ربط البطاقة إذا لم يقم مصدر البطاقة بدعم التحقق او تأكيده او في حالة فشل التحقق لأي سبب كان.
     
  3. يجب على المرخص له ان يقوم بتنفيذ التدابير الأمنية اللازمة عند تفعيل المستخدم النهائي لحساب القيمة المخزنة لإعداد عملية خصم مباشر من حساب بنكي لضمان الموافقة على هذه العملية واعتمادها بنجاح من مالك الحساب البنكي.

إدارة حسابات العملاء

  1. يجب على المرخص له إتباع طريقة موثوق بها للتأكد من هوية العميل والمصادقة عليه في حالة السماح له بفتح حساب عن طريق القنوات الإلكترونية، وبشكل عام الإجراءات المتبعة حاليا من البنوك المرخصة لإجراء عمليات اعرف عميلك الإلكترونية معتمدة لفتح حسابات القيم المخزنة.
     
  2. يحب على المرخص له إجراء التحقق المناسب للتأكد من هوية العميل عند القيام بأي طلب للتغيير على معلومات العميل او معلومات الاتصال المستخدمة لاستقبال أي معلومات هامة او مراقبة العمليات المنفذة على حسابات العميل.

الضوابط على المعاملات عالية المخاطر

  1. يجب على المرخص له تنفيذ ضوابط فعالة، مثل المصادقة المرتكزة على عاملين، لإعادة المصادقة على العميل قبل تنفيذ كل المعاملات عالية المخاطر. يجب أن تشمل المعاملات عالية المخاطر، على الأقل، ما يلي: (أ) المعاملات التي تجاوزت سقف عدد المعاملات المحدد مسبقًا؛ (ب) تغيير بيانات الاتصال الشخصية؛ و (ج) ما لم يكن ذلك عمليا في نظام تسهيلات القيم المخزنة المعني، المعاملات التي تجاوزت سقف القيمة الإجمالية المسموح به (أي القيمة الإجمالية للمعاملات على مدى فترة زمنية).
     
  2. يجب على المرخص له تعريف حد أقصى لكل معاملة والحد الإجمالي للمعاملات خلال فترة زمنية محددة لدواعي تعزيز مراقبة الاحتيال، والحد الأقصى في حسابات تسهيلات القيم المخزنة (حيثما ينطبق)، الحد اليومي للإيداع (حيثما ينطبق) وأي أساليب أخرى للحماية من محاولات الاحتيال. يجب ان يتم عرض الحدود المعرفة على العملاء بشكل واضح.

إدارة استمرارية الأعمال

  1. يجب أن يكون لدى المرخص له برنامج مناسب لإدارة استمرارية الأعمال والحرص على استمرار العمل، التعافي السريع، او خفض العمليات الهامة في الحالات القصوى للاضطرابات الهائلة للأعمال عن طريق سيناريوهات اضطرابات مختلفة. يتكون برنامج استمرارية الاعمال المناسب من تحليلات للتأثيرات على الأعمال، خطط تعافي، خطة استمرارية العمل وخطط بديلة للمواقع لمباشرة العمل وتعافي تكنولوجيا المعلومات. جميع ما سبق تم تفصيله فيما يلي:

تحليل أثر الأعمال التجارية

  1. يتكون عادة تحليل أثر الأعمال التجارية من قسمين، القسم الأول هو (أ) تعريف سيناريوهات مختلفة التي من شأنها ان تعيق الخدمات المقدمة من المرخص له خلال فترة زمنية و (ب) تعريف الحد الأدنى من الخدمات الهامة الخاصة بالأعمال والدفع والتي يجب صيانتها في حالة توقف الخدمة لفترة أطول من المتوقع.
     
  2. الجزء الثاني من تحليل أثر الأعمال التجارية هو تقييم وقت التعافي، ويهدف إلى تطوير أهداف رئيسية وعملية لوقت التعافي، يمكن قياسها وتحقيقها: (أ) الحد الأقصى من التحمل لوقف النظام للسماح بالتعافي ومعاودة الحد الأدنى من الخدمات الهامة بما يتعلق بالأعمال والدفع و (ب) هدف وقت التعافي لاستعادة المواد الهامة الخاصة بتكنولوجيا المعلومات والأعمال وخدمات الدفع و (ج) هدف لمكان تعافي البيانات بشكل آمن، وقت مناسب، وصلابة تامة.

استراتيجيات التعافي

  1. يجب وضع مجموعة من استراتيجيات التعافي لضمان أن جميع الوظائف المهمة التي لها تأثير على الأعمال معرفة وقادرة على التعافي في فترة زمنية معرفة مسبقا، ويجب ان يتم توثيق هذه الاستراتيجيات بشكل واضح، وأن يتم اختبارها ومراجعتها بشكل دوري للحرص على استيفاء أهدافها.
     
  2. وجود سجل صحيح هو أحد عناصر تعافي الخدمة، ويجب على المرخص له وضع ضوابط فعّالة لضمان أن جميع السجلات الخاصة بالأعمال، وبشكل خاص سجل العملاء، يمكن استرجاعها بشكل لحظي في حال ضياعها أو تلفها او فقدانها. من المهم للمرخص له ان يسمح للعملاء بالدخول إلى سجلاتهم في وقت سريع.
     
  3. يجب الوضع في الاعتبار عددا من العوامل عند تحديد المستوى الأدنى من الخدمات وأهداف التعافي للمرخص له، من ضمنها العلاقات بين الأنظمة والخدمات الهامة، وتوقعات العملاء وأصحاب المصالح من حيث السرعة، والاستقرار، ودرجة الثقة في الخدمة، والمخاطر القانونية ومخاطر السمعة.

خطة استمرارية الأعمال

  1. يجب تطوير خطة لاستمرارية الأعمال بناء على تحليل أثر الأعمال التجارية واستراتيجيات التعافي المرتبطة بها، ويجب ان تتضمن على الأقل (أ) خطة مفصلة لإجراءات التعافي لضمان تحقيق كامل لاستراتيجية التعافي،(ب) وإجراءات التصعيد وسياسة إدارة الكوارث (مثال: إنشاء مركز قيادة، تقرير دوري للمصرف المركزي، إلخ) في حالة توقف الخدمة لوقت طويل،(ج) واستراتيجية لمبادرة التواصل (مثال: تنبيه العملاء، الصحف، إلخ) (د) وتحديث بيانات الاتصال للأشخاص المختصين بخطة استمرارية الاعمال، (هـ) وتعيين شخص رئيس وآخر ينوب عنه لتولي مهام التعافي للأنظمة الهامة.

مواقع احتياطية لتعافي الاعمال وتكنولوجيا المعلومات

  1. يجب ان يقوم المرخص له بمراجعة درجة تركيز المهام الرئيسية للأعمال في نفس المكان او أماكن مجاورة، والمسافة بين المواقع الاحتياطية والرئيسية. يجب ان تكون المواقع الاحتياطية ملائمة من حيث المسافة بشكل فعّال لتجنب أي مخاطر قد تنتج من نفس القطاع الجغرافي.
     
  2. يجب ان يكون موقع المرخص له الاحتياطي مسموح الوصول إليه وبجاهزية عالية، حيث يكون مجهزا بالأدوات اللازمة ومتوفرا لبدء العمل حسب الخطة الزمنية المقررة في خطة استمرارية الأعمال، كما يجب تنفيذ ضوابط تسجيل الدخول إلى المكان، وفي حالة وجوب العمل من المنزل لأفراد الفريق، يجب توفير الأجهزة المحمولة والتطبيقات للأنظمة بشكل مسبق.
     
  3. يجب تجهيز المواقع الاحتياطية بالمتطلبات التكنولوجية بشكل كافي بما يشمل أجهزة الاتصالات كما يتناسب مع طبيعة ونوع متطلبات التعافي.
     
  4. على المرخص له تجنب الاعتماد بشكل كبير على شركات خارجية لدعم خطة استمرارية العمل بما يشمل توفير موقع التعافي الاحتياطي، الأدوات والأجهزة الاحتياطية. يجب على المرخص له بنفسه ان يتحقق من ان الشركات الخارجية لديها القدرة الكافية لتقديم الخدمات المطلوبة عند الحاجة، والمسؤوليات القانونية بما يشمل وقت ونوع الدعم والقدرة الاستيعابية بشكل واضح ومكتوب.
     
  5. في حالة اعتماد المرخص له على بيئة تكنولوجية مشتركة مقدمة من احدى الشركات الخارجية، مثل الاستضافة السحابية، لدعم التعافي من الكوارث، يجب إدارة المخاطرة المتعلقة بهذه الخدمة.

إشراف الإدارة العليا

  1. يجب على الإدارة العليا للمرخص له تحديد المسؤولية بشكل واضح لكل مهام إدارة استمرارية العمل وإجراءاتها، والتأكد من وجود موارد وخبرات كافية لتنفيذها.
     
  2. نظرا لأهمية إدارة استمرارية العمل، يجب على المدير التنفيذي للمرخص له تجهيز وتوقيع تصريح سنوي يتم تقديمه إلى مجلس الإدارة عما إذا كانت استراتيجيات التعافي مازالت فعّالة وخطة استمرارية العمل تم اختبارها ومراجعتها بشكل صحيح.

تنفيذ خطة استمرارية العمل

  1. من المتوقع ان يقوم المرخص له باختبار خطة استمرارية العمل مرة واحدة على الأقل سنويا، وتقوم الإدارة العليا والمسؤول الأول والمسؤول المناوب بالمشاركة في الاختبار السنوي ليتم تعريفهم بمسؤولياتهم.
     
  2. يجب مراجعة جميع الخطط والمخاطر المتعلقة، والافتراضات الخاصة باستمرارية العمل لضمان الدقة والصحة وذلك كجزء من التخطيط والاختبار السنوي. يجب إصدار تقرير رسمي موثق (يتضمن خطة الاختبار، السيناريوهات، الإجراءات والنتائج)، وتجهيز تقرير نهائي بعد الانتهاء وتوقيعه من الإدارة العليا.

إدارة مخاطر السمعة

  1. يجب على المرخص له وضع وتنفيذ عملية فعالة لإدارة مخاطر السمعة بما يتناسب مع حجم وتعقيد عملياته. يجب على المرخص له أن يدمج في عملياته التجارية أعمال العناية الواجبة المناسبة من أجل (أ) إجراء تقييم نقدي للآثار المحتملة على السمعة لخططه وأنشطته بالنسبة للمرخص له وللقطاع ككل، و(ب) اتخاذ إجراءات استباقية لتجنب أو احتواء المخاطر المحددة، و (ج) الاستجابة بسرعة للتخفيف من الأثر المحتمل في حالة حدوث مثل هذه المخاطر.
     
  2. يجب على المرخص له أيضًا تخصيص الموارد المناسبة لإجراء أعمال المراقبة بهدف تحديد أي مشكلات لها آثار على السمعة لعملياته. الهدف هوحماية المرخص له من التهديدات المحتملة لسمعته، وفي حالة وجود حدث يتعلق بالسمعة، يجب تقليل آثار مثل هذا الحدث.
     
  3. يجب على المرخص له التأكد من أن العملية ذات الصلة قادرة على الكشف عن التهديدات الجديدة والناشئة التي تهدد السمعة والاستجابة لها بسرعة، ومراقبة الوضع المتغير للمخاطر، وتوفير الإنذار المبكر بشأن المشكلات المحتملة للتمكن من اتخاذ الإجراءات العلاجية، وتقديم ضمانات بأن المخاطر التي تؤثر على السمعة تحت السيطرة.