كتاب روابط اجتياز لـ Article (35): Technology Risk and Information Security
المادة (35): مخاطر التكنولوجيا وأمن المعلومات
2/2024 يسري تنفيذه من تاريخ 31/8/2024
1. | في هذه المادة (35)، يشير "مزود خدمة رموز الدفع" إلى المرخص له أو حامل التسجيل، باستثناء مصدري رموز الدفع الأجنبية المسجلين. |
2. | من المتوقع أن يأخذ مزودو خدمات رموز الدفع في الاعتبار أفضل الممارسات الدولية والمعايير عند تصميم وتنفيذ التكنولوجيا وأنظمة إدارة المخاطر المحددة والعمليات |
3. | يجب على مزود خدمة رموز الدفع إنشاء إطار فعال لإدارة مخاطر التكنولوجيا وأمن السيبرانية لضمان كفاية ضوابط تقنية المعلومات، ومقاومة الهجمات السيبرانية، وجودة وأمان أنظمة الحاسوب، بما في ذلك الموثوقية والقوة والاستقرار والتوافر، وسلامة وكفاءة عمليات خدمات رموز الدفع. و يجب أن يكون الإطار مناسباً للغرض المقصود ومتناسباً مع المخاطر المرتبطة بطبيعة العمل وحجمه وتعقيده وأنواعه والتكنولوجيا المعتمدة والنظام الشامل لإدارة المخاطر لمقدم خدمة رموز الدفع. ويجب النظر في اعتماد المعايير والممارسات الدولية المعترف بها عند صياغة مثل هذا الإطار لإدارة المخاطر. |
4. | يجب أن يشتمل إطار إدارة مخاطر التكنولوجيا الفعال لمقدم خدمة رموز الدفع على حوكمة تقنية صحيحة، وعملية مستمرة لإدارة مخاطر التكنولوجيا، وتنفيذ ممارسات تحكم تقنية سليمة. |
5. | يجب على مزودي خدمات رموز الدفع تطبيق وتلبية على الأقل معايير ضمان المعلومات في الإمارات العربية المتحدة، بما في ذلك التعديلات. |
6. | يجب على مصدري رموز الدفع المرخصين الحفاظ على سياسات وإجراءات بشأن كيفية الاستجابة لأحداث "الانقسام" أو الإجراءات الإدارية السلبية التي تؤثر على تقنية السجلات الموزعة التي تصدر فيها رموز الدفع الخاصة بهم، بما في ذلك عن طريق إنشاء عملية لضمان منح حقوق الاسترداد وفقاً للمادة (21)6(ج)ولمنع استرداد الأشخاص الذين ليسوا حاملي رموز. يجب أن تتناول مثل هذه السياسات والإجراءات كل سلسلة كتل تصدر فيها رموز الدفع. |
7. | يجب على مصدري رموز الدفع المرخصين الذين يحتفظون بأي رموز دفع أصدروها (بموجب اختصاصهم الخاص) الاحتفاظ بسياسة حفظ وأمان تحدد طريقة ضمان أمان رموز الدفع تلك. |
حوكمة تقنية المعلومات
8. | يجب على مزود خدمة رموز الدفع إنشاء إطار حوكمة مناسب لتقنية المعلومات، و يجب أن تغطى حوكمة تقنية المعلومات جوانب مختلفة، بما في ذلك هيكل واضح لوظائف تقنية المعلومات وإنشاء سياسات تحكم تقنية المعلومات. على الرغم من وجود هياكل مختلفة، يجب أن تشمل الوظائف الرئيسية وظيفة تقنية المعلومات الفعالة، ووظيفة إدارة مخاطر التكنولوجيا القوية، ووظيفة تدقيق التقنية المستقلة. |
9. | يكون المجلس، أو اللجنة المعينة من قبل المجلس، مسؤولة عن ضمان وضع واعتماد إطار إدارة مخاطر فاعل بحيث تدار مخاطر التكنولوجيا بطريقة تتناسب مع المخاطر التي تفرضها خدمات رموز الدفع المقدمة. |
المتطلبات الأمنية
10. | يجب على مزود خدمة رموز الدفع تحديد متطلباته الأمنية بوضوح في المرحلة المبكرة من تطوير النظام أو الاقتناء كجزء من متطلبات العمل ويجب بناء هذه المتطلبات بشكل كاف خلال مرحلة تطوير النظام. |
11. | يجب على مزود خدمة رموز الدفع الذي يطور أو يوفر واجهة برمجة تطبيقات، إنشاء تدابير وقائية لإدارة تطوير وتوفير واجهة البرمجة لتأمين التفاعل وتبادل البيانات بين التطبيقات البرمجية المختلفة. |
إدارة الشبكة والبنية التحتية
12. | يجب على مزود خدمة رموز الدفع تحديد المسؤولية العامة لإدارة الشبكة لأفراد مجهزين بالخبرة اللازمة لأداء واجباتهم بشكل واضح. يجب أن تُوثّق رسمياً المعايير والتصميم والمخططات وإجراءات التشغيل للشبكة، ويتم تحديثها باستمرار، وإيصالها إلى جميع الموظفين ذوي الصلة بالشبكة واستعراضها بانتظام. | ||||||||||||||||||||
13. | يجب على مزود خدمة رموز الدفع إنشاء وظيفة إدارة أمان ومجموعة من الإجراءات الرسمية لإدارة تخصيص حقوق الوصول إلى موارد النظام ونظم التطبيقات، ومراقبة استخدام موارد النظام لاكتشاف أي أنشطة غير عادية أو غير مصرح بها. | ||||||||||||||||||||
14. | يجب على مزود خدمة رموز الدفع ممارسة العناية الواجبة عند إدارة استخدام هويات المستخدمين ذوي الامتياز وهويات الطوارئ. تشمل إجراءات الرقابة اللازمة:
|
مخاطر الأمن السيبراني
15. | يجب على مزود خدمة رموز الدفع التأكد من أن مخاطر أمن الشبكة السيبرانية لديه تُدار بشكل كافٍ من خلال عمليات إدارة مخاطر التكنولوجيا. |
16. | و يجب أيضاً على مزود خدمة رموز الدفع تخصيص موارد كافية لضمان قدرته على تحديد المخاطر وحماية خدماته الحرجة ضد الهجمات، واحتواء تأثير حوادث الأمان السيبراني واستعادة الخدمات. |
17. | يجب على مزود خدمة رموز الدفع إنشاء خطة للاستجابة لحوادث الشبكة السيبرانية وإدارتها لعزل التهديدات السيبرانية والغائها بسرعة واستئناف الخدمات المتأثرة في أقرب وقت ممكن. ويجب أن تصف الخطة الإجراءات للاستجابة لسيناريوهات التهديد السيبراني المعقولة. يجب على مزود خدمة رموز الدفع تقييم ضرورة إجراء اختبارات اختراق ومحاكاة للهجمات السيبرانية بانتظام، بناءً على تقييم مستند إلى المخاطر لاحتمالية هجوم سيبراني وتأثيره (باعتبار أشياء أخرى مثل حجم وطبيعة عمله). ويجب أن تكون تغطية ونطاق الاختبار استناداً إلى ملف المخاطر الأمنية السيبرانية الموجود والمعلومات الاستخباراتية السيبرانية المتاحة، وتشمل ليس فقط الشبكات (الخارجية والداخلية) وأنظمة التطبيقات ولكن أيضاً الهندسة الاجتماعية والتهديدات السيبرانية الناشئة. يجب أن يتخذ مزود خدمة رموز الدفع إجراءات مناسبة للتخفيف من المشاكل والتهديدات والضعف المحددة في اختبارات اختراق ومحاكة الهجمات السيبرانية في الوقت المناسب، استناداً إلى تحليل التأثير وتعريض المخاطر. قد يطلب المصرف المركزي دليلاً على التقييم القائم على المخاطر المشار إليه في هذه الفقرة، ويمكنه توجيه إجراءات اختبارات اختراق ومحاكة هجمات سيبرانية أخرى أو بديلة. |
التحقق من هوية العميل
18. | يجب على مزود خدمة رموز الدفع اختيار وتنفيذ تقنيات موثوقة وفعّالة للتحقق من هوية وصلاحية عملائه أو حاملى الرموز. و يجب فرض المصادقة متعددة العوامل. |
19. | يجب تنفيذ تشفير من طرف إلى طرف لنقل كلمات مرور العملاء بحيث لا تتعرض فى أي وقت للكشف في أي عقد بين تطبيق الجوال أو المتصفح الخاص بالعميل والنظام الذي يتم التحقق فيه من الكلمات السرية. |
محاولات تسجيل الدخول وإدارة الجلسات
20. | يجب على مزود خدمة الرموز الدفع تنفيذ ضوابط فعّالة لتقييد عدد محاولات تسجيل الدخول أو المصادقة (على سبيل المثال، إدخال كلمات مرور خاطئة)، وتنفيذ ضوابط الإنهاء وتحديد فترات زمنية لصلاحية التحقق. إذا تم استخدام كلمات مرور مرة واحدة لأغراض المصادقة، يجب على مزود خدمة الرموز الدفع التأكد من أن فترة صلاحية مثل هذه الكلمات المرور محدودة إلى الحد الأدنى الضروري. |
21. | يجب على مزود خدمة الرموز الدفع اعتماد عمليات تضمن تسجيل جميع عمليات تحويل رموز الدفع التي تحدث في سياق خدمات الرموز الدفع الخاصة به مع سجل تدقيق مناسب. |
أنظمة كشف الاحتيال
22. | يجب على مزود خدمة الرموز الدفع تشغيل آليات مراقبة عمليات الدفع مصممة لمنع وكشف وحجب عمليات الدفع الاحتيالية، بطريقة تتناسب مع تقييم مبني على المخاطر لاحتمالية وقوع عمليات الدفع الاحتيالية وتأثيرها (مع مراعاة، بين أمور أخرى، حجم وطبيعة أعماله). يجب أن تخضع المعاملات المشبوهة أو ذات المخاطر العالية لإجراء فحص وتصفية وتقييم محدد. يمكن للمصرف المركزي طلب الأدلة على مثل هذا التقييم المبني على المخاطر، وقد يوجه بأن تتم اعتماد آليات مراقبة إضافية أو بديلة. |
تقديم النصائح الأمنية للعملاء
23. | يجب على مزود خدمة رموز الدفع توفير نصائح مهمة سهلة الفهم ودورية عبر وسائل فعالة وعدة قنوات لعملاء وحاملي الرموز بشأن التدابير الاحترازية الأمنية. |
24. | يجب على مزود خدمة رموز الدفع إدارة المخاطر المرتبطة بالرسائل الإلكترونية الاحتيالية والمواقع الإلكترونية وتطبيقات الجوال، التي تم تصميمها لخداع العملاء للكشف عن معلومات المستخدم الحساسة مثل معرفات تسجيل الدخول وكلمات المرور وكلمات المرور لمرة واحدة. |
تقرير الحوادث الأمنية
25. | يجب على مزودي خدمة رموز الدفع الإبلاغ عن الحوادث الأمنية والتشغيلية الكبيرة بما في ذلك فترات التعطل للمصرف المركزي، إما فوراً أو على الأساس الذي قد يوجه المصرف المركزي به من وقت لآخر، أو كما هو محدد في نظام المصرف المركزي. |