الفصل السادس معايير إصدار وقبول المدفوعات اإللكترونية الالتالمسية

1 مقدمة

في ضوء االهتمام الذي يوليه البنك المركزي المصري لدعم وتحفيز استخدام وسائل وقنوات الدفع اإللكترونية بهدف اقتصااااد قل اعتمادا ونظرا إلي التطور التكنولوجي الراهن في ل التحول إلى عأي ورال النود وتحويل اللااامول المالي مجاال المادفوعاات اإللكترونياة وظهور المادفوعاات اإللكترونياة ال ت مسااااااياة Contactless Payments ) والحاجه إلي مواكبة هذا التطور بما يضاامن تحويل خطوات مأموسااة في مجال المدفوعات اإللكترونية بصااور منة لكافة األطراف الملاركة في عمأية الدفع اإللكترونية فود تم إصدار الوواعد التالية.

	تعريفا
	ت
	عامة
	وهو
	ا
	الت
	صا
	ل
	ف
	ي
	ن
	طا
	ل
	ق
	ري
	ب
	م
ن
خ
ل
م
جمو
عة
م
ن
ب
روتوكو
ال
ت	Near field
	التوا
	ص
	ل والت
	ي تمك
	ن
	جها
	زي
	ن و داتي
ن لأتوا
ص
ل
عب
ر ن
طا
ل ق
ري
ب
ال يتعد
ى	communication "NFC"
	4
	سم.	Payments
	Contactless
	وه
	ي المدفو
	عا
	ت الت
	ي تتم بدو
	ن ت
	م
س با
ست
خدام الب
طاقا
ت
ب
طاقا
ت ا
الئتما
ن	, ب
	طاقا
	ت ال
	خ
	صم , الب
	طاقا
	ت المدفو
عة مودما(
و ا
أل
جه
ز
الذكية
و
ي
	جه
	ز
	يمك
	ن ا
	رتدائها
	Wearable
)وت
ست
خدم
RFID
و
NFC والت
ي	تتي
	ح لأ
	ل
	ري
	حة المدم
	جة
	Chip
	)وكذل
ك الهوائ
ي
Antenna
)التوا
ص
ل مع	نوا
	ط البيع ا
	إللكت
	رونية م
	ن
	خ
	ل م
سافة ق
ريبة
إلتمام
عمأية ال
ل
راء ب
ط
ريوة	منة.	خدمة الكود ا
	ألم
	ن
	هو الكود الذ
	ي يتم إ
	ر
	ساله لأعمي
	ل
سواء كا
ن كود ثاب
ت
Static
)و متغي
ر
	Dynamic
	)
	سواء
	عب
	ر
	ر
	سالة
ن
صيه
و
م
ن
خ
ل
جه
ز
الت
لفي
ر	"Secure Code"
	Token
	)وذل
	ك كعام
	ل تأمي
	ن إ
ضاف
ي يمك
ن ا
ست
خدامه ف
ي
حاله ا
ست
خدام	دا
	الدفع لأ
	ل
	راء
	عب
	ر ا
	إلنت
	رن
	ت.
	ن تد
	عم الب
	طاقة ا
	الت
	صا
	ل ال
	ت
	م
	س
ي
ع
ن
ط
ري
ل ا
الت
صا
ل ف
ي ن
طا
ل ق
ري
ب	Dual Interface EMV
	NFC
	)و ا
	إلت
	صا
	ل الت
	م
	س
	ي
	ع
	ن
ط
ري
ل ق
راءه بيانا
ت الب
طاقا
ت.	contactless
	ن تد
	عم ماكينة نوا
	ط البيع ا
	إللكت
رونية ق
راءه
دوا
ت الدفع ال
ت
م
سية	Dual Interface POS
	والب
	طاقا
	ت الت
	م
	سية ف
	ي ذا
	ت الوق
	ت.	terminals Collision
	تدا
	خ
	ل ت
	رددا
	ت
	دوا
	ت الدفع ال
	ت
	م
سية ف
ي
حالة و
جود
كث
ر م
ن
دا
دفع	الت
	م
	سية ف
	ي نف
	س الن
	طا
	ل.

.1 نطاق القواعد

• تسري هذه الوواعد عأى كافة البنوك العامأة بجمهورية مصر العربية وفروع البنوك األجنبية وهي الحد األدنى ال زم لتوديم خدمات الدفع ال ت مسية بطريوة آمنة, وعأى كافة البنوك ال تكتفى بذلك و ن تتأكد من اتخاذ كافة ما يأزم نحو إدار المخاطر المرتبطة بتوديم هذا النوع من الخدمات المصرفية.

• تنظم هذه الوواعد إصدار وقبول المدفوعات ال ت مسية فوط ال غير وذلك دون اإلخ ل بالضوابط الرقابية لأعمأيات المصرفية اإللكترونية السابل صدورها عن البنك المركزي المصري وكذلك التعأيمات والوواعد الخاصة بتنفيذ العمأيات المصرفية وضوابط مكافحة غسل األموال وتمويل اإلرهاب الصادر عن البنك المركزي المصري وإجراءات العناية الواجبة الصادر عن وحد مكافحة غسل األموال وتمويل اإلرهاب.

.2 مسئوليات والتزامات مجلس اإلدارة واإلدارة العليا

• يتولى مجأس اإلدار مسئولية إعتماد استراتيجية العمل المعد من قبل اإلدار العأيا بالبنك وكذا اتخاذ قرار استراتيجي واضح بلأن رغبة البنك في توديم خدمات الدفع باستخدام المدفوعات اإللكترونية ال ت مسية Contactless Payments )من عدمه, وبصفة خاصة يجب عأى مجأس اإلدار التأكد مما يأي: o توافل خطط خدمات الدفع باستخدام تأك البطاقات مع األهداف االستراتيجية لأبنك.

o تحأيل المخاطر الخاصة بتأك الخدمات.

o إعداد إجراءات مناسبة لمراقبة المخاطر والحد منها.

o المراجعة المستمر لتوييم نتائج خدمات الدفع باستخدام المدفوعات ال ت مسية وفوا لأخطط واألهداف المحدد .

o قيام البنك بوضع سياسة مخاطر تخص اللركات الملتركة بالخدمة ودراسة المخاطر المرتبطة بما يأي:

• رد العمأيات Refunds).

• األحتيال Fraud).

• عمأيات االعتراض Disputes).

.3 قواعد مكافحة غسل األموال وتمويل اإلرهاب وأمن المعلومات

• يجب عأى البنوك التي تووم بإصدار وسائل استخدام المدفوعات ال ت مسية و قبولها تنفيذ ما يأي: o االلتزام بوانون مكافحة غسل األموال الصادر بالوانون رقم 80 لسنة 2002 والئحته التنفيذية والضوابط الرقابية لأبنوك في لأن مكافحة غسل األموال وتمويل اإلرهاب وقواعد التعرف عأي هوية العم ء الصادر عام 2011 وكافة التعدي ت ال حوة لها عن البنك المركزي المصري وكذا إجراءات العناية الواجبة بعم ء خدمة البطاقات المدفوعة مودما الصادر في مارس 2019 عن وحد مكافحة غسل األموال وتمويل اإلرهاب.

o إي ء عناية كافية لما يتفل مع طبيعة الخدمة لأتعرف عأى العمأيات التي يلتبه في نها تتضمن غسل موال و تمويل إرهاب وفوا والضوابط الرقابية لأبنوك في لأن مكافحة غسل األموال وتمويل اإلرهاب الصادر عن البنك المركزي المصري عام .2008 o في حالة االلتباه في ية عمأيات تتم من خ ل تأك الوسائل , الويام بإخطار وحد مكافحة غسل األموال وتمويل اإلرهاب بلأنها, وذلك وفوا ألحكام قانون مكافحة غسل األموال الصادر بالوانون رقم 80 لسنة .2002 o االلتزام بأي تعأيمات تصدر الحوا من البنك المركزي المصري تخص بطاقات الدفع اإللكترونية بكافة نواعها و وسائل استخدام / قبول المدفوعات ال ت مسية.

o ضرور إب غ إدار من المعأومات بالبنك المركزي المصري عأي البريد اإللكتروني eg.org.cbe@infosec.cbe وإدار األمن السيبراني عأي البريد اإللكتروني -csirc eg.org.cbe@team وقطاع الرقابة واإللراف بلكل فوري عن ي حاالت اخترال لأبيانات تخص الخدمة.

.4 قواعد إصدار وسائل الدفع الالتالمسية

• فيما يخص البنوك المصدر لوسائل الدفع ال ت مسية يكون الحد األقصى لمبأغ العمأية الواحد التي تتم بدون إدخال الرقم السري Go & Tap )مبأغ 300 جنيه مصري مع قيام كل بنك بوضع الحد األقصى المناسب له بما ال يتجاوز الحد األقصى المصرح به من البنك المركزي المصري لأمعام ت التي تتم بدون إدخال الرقم السري ولمحافظ البنك المركزي المصري تعديل الحد األقصي لأعمأيات التي تتم بدون إدخال الرقم السري.

• يجب ن يووم البنك بوضع األلية الخاصة بعمأيات االعتراضات التي تخص تأك النوعية من الحركات.

• ن يووم البنك بوضع حدود قصوي لعدد العمأيات اليومية واللهرية وفوا ورؤية إدار المخاطر بالبنك.

• يجب ن يووم البنك المصدر ألدا الدفع ال ت مسية بإرسال رسالة نصية SMS )فور اتمام ي عمأية لراء لأحركات التي تتعدي مبأغ 100 جنيه مصري لأمدفوعات ال ت مسية.

• يجب ن تكون دوات الدفع ال ت مسية غير مفعأة قبل تسأيمها لأعم ء , ويتم التفعيل فور التأكد من است م العميل ألدا الدفع ال ت مسية عأي ن يووم البنك المصدر بوضع األلية الخاصة بالتحول من است م العميل لها.

• ضرور وجود حم ت التوعية ال زمة من قبل البنك لأعم ء بكيفية التعامل مع دوات الدفع ال ت مسية المودمة من قبل البنك.

في حالة كون أداة الدفع الالتالمسية هي بطاقة دفع إلكترونية :

o يجب ن تكون تأك البطاقات contactless EMV Interface Dual متوافوة مع المعايير .ISO/IEC 7816 , ISO/IEC 14443 العالمية o يمكن استخدام البنك حافظ / جراب خاص بتأك النوعية من البطاقات Card Blocking Sleeves )لحماية العم ء والبنك من عمأيات االحتيال نتيجة سرقة بيانات البطاقات باستخدام األجهز المخصصة لذلك.

o ضرور تفعيل خدمة الكود األمن Code Secure )عأي التعام ت التي تتم باستخدام تأك البطاقات عبر اإلنترنت present not Card).

o ضرور وجود ع مة مميز لأبطاقات ال ت مسية التي توبل Contactless o ن يأتزم البنك في مرحأة إصدار البطاقة Personalization Card )بوجود مفتاح تلفير مختأف Key Encryption Unique )لكل بطاقة يتم إصدارها مع استخدام بروتكوالت التلفير techniques Encryption )المعتمد من قبل اللركات صاحبة ع مة الوبول عأي ن ال يتم استخدام الطريوة الخاصة بالتلفير('SDA 'Authentication Data Static ( ويمكن استخدام Combined و) Dynamic Data Authentication 'DDA') التالية الطرل إحدى . )Data Authentication 'CDA' o المد الوصوى لص حية البطاقة هي 5 سنوات فوط ال غير.

في حالة إستخدام الهاتف المحمول )Payment NFC )أو أي أجهزة أخري ) -non / Wearable wearable )تحتوي علي خاصية الـ Contactless فيجب التأكد مما يلي : o ن تكون األنظمة الخاصة بالبنك المصدر قادر عأي التعامل وتمييز الحركات الوارد بوسائل التأمين )Consumer Device Cardholder Verification Method "CDCVM" المختأفة من عدمه.

o يمكن ن تكون وسيأة التحول لأعميل "CDCVM "عن طريل :

• الرقم السري.

• الرقم السري لأهاتف Passcode Phone Mobile).

• الخصائص الحيوية لأمستخدم Authentication User Biometric )مثل بصمة العين / الوجه / اليد / الصوت(.

o ن يكون التعاقد مع مودم خدمة التلفير provider Service Tokenization )وكذا محول التلفير hub Tokenization )بالتعاون وتحت إلراف اللركات صاحبة ع مة الوبول التجارية .

وفي جميع األحوال يجب استيفاء موافوة البنك المركزي المصري قبل االعتماد عأي ي مودم لخدمة التلفير و ي محول لأتلفير.

.5 قواعد قبول المدفوعات الالتالمسية 4

• فيما يخص البنوك الوابأة لوسائل الدفع ال ت مسية Go & Tap )يكون الحد األقصى لمبأغ العمأية الواحد التي تتم بدون إدخال الرقم السري مبأغ 300 جنيه مصري ولمحافظ البنك المركزي تعديل الحد األقصي لأعمأيات التي تتم بدون إدخال الرقم السري.

• يوصي ن تدعم جهز نواط البيع اإللكترونية التي توبل تأك البطاقات POS Interface Dual .terminals 5

• ضرور إتباع المعايير العالمية 14443 IEC/ISO , 7816 IEC/ISO في وسائل التواصل الخاصة بالعمأيات الـ ت مسية بين دا الدفع ال ت مسية ونواط البيع اإللكترونية.

• ضرور وجود ع مة مميز لأماكينات التي توبل الدفع باستخدام األدوات الـ ت مسية.

• يجب ضمان وضع ماكينات نواط البيع اإللكترونية التي تعمل بتأك الخاصية مواجهة مبالر لأعميل وبعيد عن ي مصدر لأكهرباء و مصدر معدني خر يمكن ن تؤثر اإللارات الخاصة به عأي عمأية الدفع بحيث يكون الحد األقصي بين دا الدفع ال ت مسية والماكينة إلتمام العمأية هي 4 سم فوط ال غير.

• ال يجوز الحصول عأي توقيع العميل عأي تأك العمأيات ويستثني من ذلك الحركات التي يتم تنفيذها بإستخدام دوات دفع الت مسية مصدر من خارج جمهورية مصر العربية.

• ضرور وجود حم ت التوعية ال زمة من قبل البنك لأتجار بكيفية التعامل مع األنواع المختأفة ألدوات الدفع ال ت مسية.

• ن يووم البنك بوضع اإلجراءات التي تضمن عدم تكرار الحركات عأي العم ء من قبل نواط البيع اإللكترونية الخاصة بالتجار بطريوة خاطئة.

• يجب ن تووم ماكينة نواط البيع اإللكترونية برفض عمأية اللراء في حالة وجود كثر من دا دفع الت مسية قريبة من الماكينة Collision ) وذلك لضمان ن حامل دا الدفع ال ت مسية لم يوم بالدفع باألدا الخاطئة ثناء عمأية اللراء نتيجة تداخل اإللارات الخاصة بالبطاقات.

• يجب ن يووم البنك بتوفير التدريب ال زم لأموظفين والخاص بأدوات الدفع ال ت مسية لكي يتم الرد عأي إستفسارات العم ء ودعمهم بطريوة صحيحة.

• يجب قيام البنك قبل تفعيل الخدمة بتوييم المخاطر الناتجة عن تفعيل قبول المدفوعات ال ت مسية لدي كل تاجر.

في حالة السداد من خالل الهاتف المحمول )Payment NFC )أو أي أجهزة أخري ) / Wearable wearable-non )تحتوي علي خاصية الـ Contactless فيجب التأكد مما يلي : o في حالة عدم تمكن ماكينة نواط البيع اإللكترونية من التعرف عأي وسيأة التحول الخاصة بالعميل فيجب( Consumer Device Cardholder Verification Method "CDCVM" إدخال الرقم السري و رفض الحركة.

o يجب عأي البنك دراسة تأثير تطبيل تلفير البطاقات Tokenization )عأي األنظمة الخاصة به ودراسة حل بديل لأتاجر في حالة اعتماده عأي رقم البطاقة في معام ت االعتراض Disputes ) / الوالء Loyalty )الخاصة بعم ئه , ويمكن عأي سبيل المثال االعتماد عأي Payment ("PAR "Reference Account )لأحصول عأي بيانات تأك المعام ت.

o يجب عأي البنك توفير التدريب الكافي لأتجار الذين لديهم ماكينات نواط البيع اإللكترونية عأي تعدد وسائل التحول الخاصة بالعميل "CDCVM "Cardholder Device Consumer Method Verification )التي يمكن استخدامها ثناء عمأية اللراء.

وفي جميع األحوال يجب استيفاء موافوة البنك المركزي المصري قبل االعتماد عأي ي مودم لخدمة التلفير

.6 رصد األنشطة غير العادية

• يتعين عأى البنوك وضع تدابير فعالة لأرقابة المستمر لضمان سرعة اكتلاف ي معام ت غير عادية لأمدفوعات ال ت مسية يُلتبه ن تؤدى إلى عمأيات احتيال.

• يجب ن تتمتع آلية الرقابة المتبعة بالودر عأى سرعة إصدار تحذيرات إلى المختصين بالمتابعة والرصد لخدمات الدفع ال ت مسية عند رصد ي نلطة غير معتاد ألدوات الدفع ال ت مسية. ويجب عأى البنوك في تأك الحاالت ن تووم بالتحول من ذلك مع صحاب دوات الدفع التي تتم عأيها هذه المعام ت و األنلطة في سرع وقت ممكن وإخطار الجهات المختصة.

• إخطار العم ء فورال في حالة رصد ي نلطة غير معتاد محل لبهة احتيال عأى دوات الدفع الخاصة بهم.

.7 توعية ُمستخدم أدوات الدفع الالتالمسية

• نظرال الحتمال ظهور مخاطر منية تزداد في حالة عدم معرفة ُمستخدم دوات الدفع ال ت مسية باالحتياطات لتوعيةاألمنية الضرورية الستخدام الخدمة و سوء فهمها ولذلك, يجب عأى البنك ن يولي اهتمامال خاصال العم ء عن طريل توديم نصائح سهأة الفهم وواضحة تتعأل باالحتياطات األمنية الواجب اتخاذها عند التعامل مع خدمات الدفع ال ت مسية والتزامهم حيال ذلك.

• التأكيد عأى العم ء وتوعيتهم ن موظفي البنك - و وك ءه - ال يجوز لهم ن يطأبوا من ُمستخدم دا الدفع اإلفصاح عن البيانات السرية كاألرقام التعريفية و الرقم السري و بيانات البطاقات( عن طريل البريد اإللكتروني و غيره. وفي حالة وقوع ذلك يجب عأى ُمستخدم دا الدفع ال ت مسية االتصال بالبنك في سرع وقت ممكن.

• قيام البنك باتخاذ االحتياطات األمنية الواجب إتباعها وفوا لطبيعة العم ء, وطبيعة خدمات الدفع ال ت مسية المودمة.

• يجب عأي البنوك إيجاد ساليب فعالة إلب غ العم ء وتوعيتهم باالحتياطات التأمينية التي يجب اتخاذها من جانبهم. ويمكن لأبنك االستفاد من العديد من األساليب فعأي سبيل المثال ال الحصر المواقع اإللكترونية لأبنك, والرسائل المطبوعة عأى كلوف حسابات العم ء, والمنلورات الترويجية( كما يمكن لأبنك إستخدام اللالات الترويجية وماكينات الصراف األلي لعرض مواد إرلادية لتوعية العم ء, وكذلك في األحوال التي يتواصل فيها عاد موظفي المكاتب األمامية لأبنك و ُمودم الخدمة مع العم ء - لأتأكيد عأى ضرور االلتزام ببعض التدابير االحتياطية األساسية.

6

.8 إجراءات الحصول على ترخيص لتقديم الخدمة

• يجب عأى البنوك التي ترغب في إصدار / قبول دوات الدفع ال ت مسية لعم ئها ن تتودم بطأب لأحصول عأى موافوة البنك المركزي المصري وذلك باستيفاء المستندات التالية كحد دنى: o قائمة بالوظائف والخدمات التي يرغب البنك في توديمها و إضافتها.

o خطة البنك الخاصة بإصدار دوات الدفع و قبول المدفوعات ال ت مسية مبين بها عأي سبيل المثال ال الحصر عداد البطاقات / دوات الدفع المستهدف إصدارها , عدد نواط البيع اإللكترونية الجديد والوائمة التي ستدعم انتلار تأك المدفوعات(.

o بيان يوضح ي حالة من حاالت عدم االلتزام الجزئي و الكأى بالوواعد الخاصة بإصدار / قبول المدفوعات ال ت مسية الصادر من البنك المركزي المصري.

• إجراء جميع االختبارات ال زمة عأي البطاقات وكذا نواط البيع اإللكترونية واجتياز جميع اختبارات اللركات صاحبة ع مة الوبول في هذا اللأن وإفاد البنك المركزي المصري بما يفيد اجتياز تأك االختبارات.

• في حالة رغبة البنك في إضافة ي خدمة جديد خاصة بالمدفوعات ال ت مسية فيتعين الحصول عأي موافوة جديد من البنك المركزي المصري عأي تأك الخدمة.

• يجب عأي البنك موافا البنك المركزي - قطاع نظم الدفع وتكنولوجيا المعأومات ربع سنويا بتورير ورقي / الكتروني( يحتوي عأي البيانات التالية بحد دني : o عدد نواط البيع اإللكترونية التي توبل تأك النوعية من البطاقات / دوات الدفع الخاصة بالبنك.

o عدد البطاقات / دوات الدفع المصدر من قبل البنك بتأك الخاصية.

o عدد العمأيات اللهرية لتأك البطاقات / دوات الدفع التي تمت بدون إدخال الرقم السري.

o إجمالي المبالغ المدفوعة من قبل العم ء بدون إدخال الرقم السري.

o عدد العمأيات اللهرية لتأك البطاقات التي تمت بإدخال الرقم السري.

o إجمالي المبالغ المدفوعة من قبل العم ء بإدخال الرقم السري.

• االلتزام التام بأي توارير و قواعد تصدر من البنك المركزي المصري فيما يخص تأك البطاقات / المعام ت.

يحل لأبنك المركزي المصري التفتيش عأى ي جزء من جزاء النظام لأتأكد من مطابوته لأمعايير ولأمواصفات المبأغة من قِبل البنك المركزي المصري ويعتبر عدم تسهيل مهمة البنك المركزي المصري في هذا اللأن إخ ال بهذه الوواعد من قِبل البنك الذي يُدير النظام.