Regulatory Alerts2023-03-12 | CBE12.4CBE Regulation Book 12.4 - The Rules Regulating The Services Of The Real Time Payment Network
هذه القواعد تحدد إطار عمل البنوك وتطبيقات الهاتف المحمول لمقدمي الخدمات على شبكة المدفوعات اللحظية، مما يتيح للعملاء والبنوك إجراء التحويلات اللحظية من خلال أدوات الدفع الإلكترونية وتقديم الخدمات المصرفية المناسبة لجميع فئات المجتمع. وتنطبق هذه القواعد على جميع البنوك العاملة في مصر، وتعتبر الحد الأدنى المطلوب لتقديم الخدمات المختلفة من خلال شبكة المدفوعات اللحظية. وتتضمن هذه القواعد أيضًا ضوابط وأهدافًا رقابيةً عامةً يجب التوافق معها لتقديم خدمات شبكة المدفوعات اللحظية. وتسري هذه القواعد فيما يتعلق بتقديم خدمات شبكة المدفوعات اللحظية، دون الإخلال بالضوابط الرقابية للعمليات المصرفية الإلكترونية والتعليمات والقواعد الخاصة بتنفيذ العمليات المصرفية وضوابط مكافحة غسل الأموال وتمويل الإرهاب. وتناقش القواعد أيضًا إدارة مخاطر خدمات
الفصل الرابع 1 القواعد المنظمة لخدمات شبكة المدفوعات اللحظية
مقدمة
في إطار خطة البنك المركزي المصري لتحقيق الشمول المالي ووصول الخدمات المصرفية لكل افراد المجتمع، وفي ضوء خطة البنك المركزي للتحول الرقمي والحاجة إلي زيادة أعداد المعامالت االلكترونية واتاحة وسائل السداد والتحصيل المختلفة لتلبية احتياجات العمالء، تهدف هذه القواعد إلى تحديد إطار عمل البنوك وتطبيقات الهاتف المحمول لمقدمي الخدمات على شبكة المدفوعات اللحظية بما يتيح للعمالء والبنوك القيام بعمليات التحويالت اللحظية من خالل أدوات الدفع االلكترونية وتقديم الخدمات المصرفية المالئمة لكافة فئات المجتمع.
تعريفات عامة
| ه | ||
|---|---|---|
| ي إتمام عملية الخ | ||
| صم من حسابا | ||
| ت العميل المرسل وإ | ||
| ضافتها لحسابا | ||
| ت العميل المستفيد | الدفع اللحظ | |
| ي | ||
| . | لح | |
| ظياً هي األدوا | ||
| ت الم | ||
| صرفية اإللكترونية الت | ||
| ي تتم إتاحتها من قبل البنو | ||
| ك الم | ||
| صدرة الستخدامها من | أدوا | |
| ت الدفع اإللكترونية | ||
| خ | ||
| الل شبكة المدفوعا | ||
| ت اللح | ||
| ظية. | ه | |
| ي شبكة التشغيل البين | ||
| ي بين مختل | ||
| ف البنو | ||
| ك والت | ||
| ي تتيح إتمام عمليا | ||
| ت التحويل اللح | ||
| ظ | ||
| ي | شبكة المدفوعا | |
| ت اللحظية | ||
| والعديد من الخدما | ||
| ت اإل | ||
| ضافية األخر | ||
| ى المشار اليها بالقواعد وذل | ||
| ك للبنو | ||
| ك وعم | ||
| الئها عل | ||
| ى | (IPN( | |
| مدار الساعة و | ||
| طوال أيام األسبوع | البن | |
| ك المسؤول عن إدارة حسابا | ||
| ت العم | ||
| الء والت | ||
| صدي | ||
| ق عل | ||
| ى معام | ||
| التهم المالية من خ | ||
| الل أدوا | ||
| ت | البنك الم | |
| صدر | ||
| ال | ||
| صادرة من خ | ||
| الله ووفقاً | الدفع اإللكترونية | |
| إلجراءا | ||
| ت العمل المعتمدة من شبكة المدفوعا | ||
| ت | (Issuer Bank) | |
| اللح | ||
| ظية. | هو البن | |
| ك المسؤول عن التعاقد مع وتشغي�ل مقدم | ||
| ي خدما | ||
| ت الدفع وإتاحة خدماتهم لعم | ||
| الء شبكة | البنك مقدم خدما | |
| ت الدفع | ||
| المدفوعا | ||
| ت اللح | ||
| ظية باإل | ||
| ضافة إل | ||
| ى تفعيل قنوا | ||
| ت التوزيع اإللكترونية الخا | ||
| صة به والت | ||
| ي تشمل | (PSP Bank) | |
| عل | ||
| ى سبيل المثال ال الح | ||
| صر اإلنترن | ||
| ت البنك | ||
| ي والهات | ||
| ف المحمول البنك | ||
| ي. | هو البن | |
| ك المسؤول عن التعاقد مع وتشغيل الشركا | ||
| ت/التجار من خ | ||
| الل شبكة المدفوعا | ||
| ت | البنك القابل | |
| اللح | ||
| ظية وذل | ||
| ك لتمكين الشركا | ||
| ت/التجار من قبول المدفوعا | ||
| ت الخا | ||
| صة بعم | ||
| الء شبكة المدفوعا | ||
| ت | (Acquirer Bank) | |
| اللح | ||
| ظية من خ | ||
| الل وسائل قبول المدفوعا | ||
| ت المعتمدة من قبل الشبكة. |
يكون لكل من الكلمات والعبارات اآلتية المعنى المبين لها أدناه أينما وردت في هذه القواعد:
كتاب السيد محافظ البنك المركزي الصادر بتاريخ 4 نوفمبر 2021 1
| هو شركة مرخ | ||
|---|---|---|
| ص لها بالعمل مع البن | ||
| ك مقدم خدما | ||
| ت الدفع لتقديم خدما | ||
| ت الدفع من خ | ||
| الل | الهات | |
| ف المحمول الخا | ||
| صة بها وفقاً | ت | |
| طبيقا | ||
| ت | ||
| لقواعد شبكة المدفوعا | ||
| ت اللح | ||
| ظية وذل | ||
| ك لعم | ||
| الئها | من األفراد والتجار بعد الح | |
| صول عل | ||
| ى موافقة البن | ||
| ك المركز | ||
| ي الم | ||
| صر | ||
| ي. | مقدم خدما | |
| ت الدفع ل | ||
| شبكة المدفوعا | ||
| ت | اللحظية | |
| (Instant Payment Network Service Provider) مقدم الخدمات التكنولوجية لشبكة | ||
| هو شركة لتقديم الخدما | ||
| ت التكنولوجية المختلفة بالنيابة عن �البن | ||
| ك وذل | ||
| ك فيما يخ | ||
| ص خدما | ||
| ت | المدفوعا | |
| ت اللحظية | ||
| شبكة المدفوعا | ||
| ت اللح | ||
| ظية بعد الح | ||
| صول عل | ||
| ى موافقة البن | ||
| ك المركز | ||
| ي الم | ||
| صر | ||
| ي. | Technology | Service ( )Provider |
| ه | ||
| ي ت | ||
| طبي | ||
| ق آمن خا | ||
| ص بشبكة المدفوعا | ||
| ت اللح | ||
| ظية وه | ||
| ي المسؤولة عن تشفير البيانا | ||
| ت الحساسة | مكتبة الواجهة اآلمنة | |
| الخا | ||
| صة بعم | ||
| الء شبكة المدفوعا | ||
| ت اللح | ||
| ظية. | )Secure library" SL") | |
| هو عنوان يتم إنشاءه بواس | ||
| طة العميل لكل حسا | ||
| ب م | ||
| صرف | ||
| ي ويتم تعريفه عل | ||
| ى شبكة المدفوعا | ||
| ت | عنوان الدفع اللحظ | |
| ي | ||
| اللح | ||
| ظية من خ | ||
| الل مقدم خدما | ||
| ت الدفع لتمكين العم | ||
| الء من استقبال المعام | ||
| ال | ||
| ت المالية بداللة | (Instant Payment Address | |
| عنوان الدفع اللح | ||
| ظ | ||
| ي. | "IPA") | |
| القوائم السلبية: تشمل قوائم الكيانا | ||
| ت اإلرهابية واإلرهابيين المن | ||
| ظمة بموج | ||
| ب القانون رقم ٨ | لسنة | |
| ٢٠١٥ وتعدي | ||
| الته، والقوائم ال | ||
| صادرة عن مجل | ||
| س األمن التابع ل | ||
| ألمم المتحدة ذا | ||
| ت ال | ||
| صلة | القوائم ال | |
| سلبية | ||
| باإلرها | ||
| ب وتمويله وتمويل انتشار أسلحة الدمار الشامل، وأية قوائم أخر | ||
| ى يعدها البن | ||
| ك أو | ير | |
| ى | ||
| ضرورة الرجوع إليها. |
.1 نطاق القواعد
1-1 تسري هذه القواعد على كافة البنوك العاملة في جمهورية مصر العربية وتعتبر هذه القواعد والضوابط هي الحد األدنى الالزم لتقديم البنوك ومقدمي �خدمات الدفع المصرح لهم من قبل البنك المركزي المصري للخدمات المختلفة من خالل شبكة المدفوعات اللحظية وعلى كافة البنوك أال تكتفى بذلك وأن تتأكد من اتخاذ كافة ما يلزم نحو إدارة المخاطر المرتبطة بتقديم هذا النوع من الخدمات.
2-1 تتضمن هذه القواعد بعض الضوابط واألهداف الرقابية العامة الواجب التوافق معها لتقديم خدمات شبكة المدفوعات اللحظية.
3-1 تسري هذه القواعد فيما يتعلق بتقديم خدمات شبكة المدفوعات اللحظية وذلك دون اإلخالل بالضوابط الرقابية للعمليات المصرفية اإللكترونية السابق صدورها عن البنك المركزي المصري وكذلك التعليمات والقواعد الخاصة بتنفيذ العمليات المصرفية وضوابط مكافحة غسل األموال وتمويل اإلرهاب الصادرة عن البنك المركزي المصري، وإجراءات العناية الواجبة بعمالء البنوك الصادرة عن وحدة مكافحة غسل األموال وتمويل اإلرهاب.
.2 إدارة مخاطر خدمات شبكة المدفوعات اللحظية 1-2 المخاطر المرتبطة بخدمات تنفيذ العمليات المصرفية اللحظية من خالل القنوات اإللكترونية
يقترن تقديم خدمات تنفيذ العمليات المصرفية اللحظية من خالل القنوات اإللكترونية بالعديد من المخاطر، وبينما ال تعتبر تلك المخاطر جديدة على البنوك إال أن خصائص خدمات المدفوعات اللحظية قد تزيد من درجات المخاطر باإلضافة إلى خلق تحديات جديدة إلدارة تلك المخاطر والتي يتعين على كافة الجهات المعنية بتقديم تلك الخدمات وضع األطر والضوابط الالزمة إلدارة والحد من تلك المخاطر وتتمثل هذه المخاطر فيما يلي وذلك على سبيل المثال ال الحصر:
1-1-2 المخاطر االستراتيجية
تتمثل في قرار تقديم العمليات المصرفية اللحظية ونوع الخدمات المقدمة واختيار الوقت المناسب لتقديمها، ويقصد بذلك على وجه التحديد مدى الجدوى االقتصادية لتقديم هذه الخدمات أو استمرارها وما إذا كانت نسبة العائد على االستثمار سوف تفوق االستثمارات األولية ومصروفات استمرار تقديم هذه الخدمات، كما أن سوء تنفيذ العمليات المصرفية اللحظية والقرارات االستثمارية غير المدروسة يمكنها أن تزيد المخاطر االستراتيجية التي تتعرض لها البنوك.
2-1-2 مخاطر التشغيل /مخاطر المعامالت
تتمثل في المخاطر الناجمة عن االحتيال أو األخطاء في تنفيذ المعامالت، أو غيرها من األحداث غير المتوقعة التي قد تؤدى إلى عدم قدرة البنك والشركة على تقديم الخدمات أو تعرض البنك أو عمالئه لخسائر مالية.
وبينما تكمن المخاطر في كل المنتجات والخدمات المقدمة، إال أن مستوى المخاطر الخاصة بالمعامالت اللحظية يتأثر بهيكل اإلجراءات والمعامالت البنكية ويتضمن ذلك أنواع الخدمات المقدمة ودرجة تعقيد العمليات والوسائل التكنولوجية المساعدة.
3-1-2 مخاطر االلتزام/ المخاطر القانونية
تنشأ هذه المخاطر نتيجة تفعيل خدمات الدفع من خالل شبكة المدفوعات اللحظية، وقد تتضمن التحديات التنظيمية/القانونية الخاصة ما يلي:
- بالنسبة للبنك المصدر ألدوات الدفع اإللكترونية: o األساليب التي يستخدمها البنك للتحقق من هوية العمالء حائزي أدوات الدفع اإللكترونية المصدرة من قبل البنك.
o عملية التصديق على المعامالت المالية.
o االحتفاظ بالسجالت وكشوف الحسابات.
o االلتزام بالقوانين السارية والخاصة بسرية الحسابات وحقوق العمالء وحماية البيانات الشخصية باإلضافة إلى المسؤولية القانونية للبنوك تجاه العمالء نتيجة احتماالت حدوث أية اختراقات لخصوصية البيانات، القرصنة أو االحتياالت واإلخفاقات التكنولوجية.
- بالنسبة للبنك مقدم خدمات الدفع: o تفعيل قنوات الدفع الخاصة بالبنك )s'eChannel )الستخدامها من قبل عمالء البنك لتنفيذ المعامالت المالية من خالل شبكة المدفوعات اللحظية.
o إبرام التعاقدات مع مقدمي خدمات الدفع )PSPs )الستخدام شبكة المدفوعات اللحظية.
o مسئولية البنوك القانونية تجاه مقدمي خدمات الدفع لضمان آمن وسرية البيانات والعمل على حماية تلك البيانات، أو أي من اإلخفاقات التكنولوجية األخرى.
o مخاطر االلتزام الناشئة عن الطبيعة المتغيرة للتكنولوجيا والتعديالت الرقابية التي تهدف إلى التعامل مع المشاكل الخاصة بتقديم هذا النوع من الخدمات.
- بالنسبة للبنك القابل: o إبرام التعاقدات مع الشركات والتجار.
o االلتزامات القانونية والتنظيمية الناشئة عن التعامالت مع الشركات والتجار.
4-1-2 مخاطر السمعة:
يتزايد مستوى المخاطر المتعلقة بالسمعة وذلك نتيجة تطور النظم وزيادة عدد المستخدمين، وفيما يلي بعض المخاطر التي قد تؤثر على سمعة البنك: o انعدام الثقة نتيجة وجود معامالت غير مصرح بها على حسابات العمالء.
o الفشل في تقديم خدمات يمكن االعتماد عليها نتيجة لتكرار تعطل الخدمة أو طول مدة توقفها.
o شكاوى العمالء من صعوبة استخدام الخدمات أو عدم قدرة موظفي خدمة العمالء على حل هذه المشكالت.
o استغالل خدمات التحويل اللحظي عبر البنوك في عمليات غسل األموال أو تمويل اإلرهاب.
5-1-2 مخاطر أمن المعلومات واألمن السيبراني:
ينشأ هذا النوع من المخاطر نتيجة احتمال استغالل إحدى الجهات غير المشروعة لنقاط الضعف بأنظمة البنك مما ينتج عنه آثار تتعلق بمستوى سالمة وإتاحة وسرية البيانات.
2-2 مسئوليات والتزامات مجلس اإلدارة واإلدارة العليا
1-2-2 يتولى مجلس اإلدارة بالبنك مسئولية اإلشراف على إعداد استراتيجية العمل الخاصة وكذا اتخاذ قرار استراتيجي و�اضح بشأن الخدمات التي سوف يقوم البنك بتقديمها، وعلي األخص يجب على مجلس اإلدارة التأكد مما يأتي: 1-1-2-2 توافق خطط تطوير خدمات المدفوعات اللحظية المختلفة مع األهداف االستراتيجية للبنك.
2-1-2-2 تحديد مدى قدرة البنك على تقبل المخاطر(Appetite Risk (وذلك فيما يتعلق بالخدمات المصرفية اللحظية مع ضمان إدراج عمليات إدارة المخاطر المتعلقة بهذه الخدمات في المنهجية العامة للبنك إلدارة المخاطر كما يجب أن تتم مراجعة السياسات والعمليات الحالية والخاصة بإدارة المخاطر وذلك للتأكد من كفايتها لتغطية المخاطر الجديدة التي قد تنتج عن خدمات المدفوعات اللحظية.
3-1-2-2 وضع أطر الرقابة الفعالة على المخاطر المرتبطة بتقديم تلك الخدمات بما في ذلك تحديد المسؤوليات والسياسات والضوابط الرقابية إلدارة هذه المخاطر.
4-1-2-2 وضع سياسة واضحة للحد من المخاطر المصاحبة للمعامالت الناشئة عن شبكة المدفوعات اللحظية على أن يتم تقييم تلك السياسة بصورة سنوية على أن تشمل تلك السياسة على األخص النقاط األتية:
-
التصديق على المعامالت.
-
التسويات.
-
عمليات االعتراض (Disputes(.
-
رد العمليات (Refunds(.
-
االحتيال (Fraud(.
-
اإلفالس للتجار والشركات المشتركة بالخدمة.
-
مستوي الخدمة وكفاءتها.
2-2-2 يجب على اإلدارة ا�لعليا ضمان تحليل المخاطر المرتبطة بالمدفوعات اللحظية حال قيام البنك بتقديم هذه الخدمة والحد منها بالطرق المالئمة، وذلك وفقا لما يأتي: 1-2-2-2 تحليل المخاطر الخاصة بتنفيذ المعامالت اللحظية قبل إطالقها.
2-2-2-2 إعداد إجراءات مناسبة لمراقبة المخاطر التي يتم تحديدها والحد منها.
3-2-2-2 المراجعة المستمرة لتقييم نتائج الخدمات المقدمة من خالل شبكة المدفوعات اللحظية وفقا للخطط واألهداف المحددة.
4-2-2-2 اإلشراف على التطوير والصيانة المستمرة للبنية التحتية للرقابة األمنية التي توفر الحماية المناسبة لنظم وبيانات المعامالت التي يتم تنفيذها من خالل شبكة المدفوعات اللحظية من أي تهديدات داخلية أو خارجية، ومن أجل ضمان فعالية عملية المعامالت المالية، يجب اإلدارة العليا التأكد من اتخاذ اإلجراءات اآلتية: 1-4-2-2-2 تحديد مسئوليات واضحة خاصة باإلشراف على وضع وإدارة السياسات األمنية الخاصة بالبنك.
2-4-2-2-2 توفير الحماية الالزمة لمنع دخول األشخاص غير المصرح لهم إلى بيئة الحاسب اآللي، والتي تتضمن كافة األنظمة الحيوية وخوادم الشبكة وقواعد البيانات والتطبيقات واالتصاالت، واألنظمة األمنية الخاصة بشبكة المدفوعات اللحظية.
3-4-2-2-2 توفير الضوابط اإللكترونية الالزمة والتي من شأنها منع أي أطراف داخلية أو خارجية غير مصرح لها من الوصول إلى التطبيقات وقواعد البيانات الخاصة بخدمات شبكة المدفوعات اللحظية ووضع أسس لتحديد حق االطالع على البيانات والذي بدوره يتطلب قيام البنك بتصنيف البيانات وتحديد صالحيات الوصول إليها.
5-2-2-2 ضمان عدم تقديم البنك خدمات جديدة بالتعاون مع مقدمي خدمات الدفع أو تبنى وسائل تكنولوجية جديدة إال إذا توافرت لدي البنك الخبرات الالزمة التي تمكن من إدارة المخاطر بكفاءة وينبغي ان تتناسب خبرات الموظفين واإلدارة مع الطبيعة الفنية ودرجة تعقيد التطبيقات والتقنيات الخاصة بخدمات المدفوعات اللحظية.
6-2-2-2 قيام إدارتي المراجعة الداخلية وااللتزام تقديم تقييم مستقل وموضوعي لمجلس اإلدارة ولجنة المراجعة واإلدارة العليا عن مدى فعالية الضوابط الداخلية التي يتم تطبيقها للحد من المخاطر الناتجة عن تقديم المدفوعات اللحظية بما في ذلك مخاطر التكنولوجيا ومخاطر غسل األموال وتمويل اإلرهاب.
7-2-2-2 مراجعة واعتماد الجوانب الرئيسية لعملية الرقابة األمنية الخاصة بالبنك بما يشمل المراجعة الدورية لعمليات اختبار اإلجراءات والنظم األمنية - على سبيل المثال إجراء اختبار االختراق دوريًا كما هو موضح في البند )3-7 ( بما في ذلك المتابعة المستمرة للتطورات في النظم األمنية في هذا المجال، وتحميل وإعداد التحديثات الخاصة بالبرامج وح�زم الخدمات المناسبة والتدابير الالزمة وذلك بعد إجراء االختبارات المطلوبة.
8-2-2-2 إعداد آلية شاملة ومستمرة إلجراء األبحاث النافية للجهالة Diligence Due والرقابة على عمليات التعهيد وعالقات المتعهد باألطراف الخارجية األخرى التي يتم االعتماد عليهم لتقديم تلك الخدمات مع تركيز اإلدارة العليا على األخص بالنقاط األتية: 1-8-2-2-2 اإللمام الكامل بالمخاطر المترتبة على إبرام أي ترتيبات خاصة باإلسناد أو الشراكة أو الوكالة فيما يتعلق بالنظم الخاصة بشبكة المدفوعات اللحظية باإلضافة إلى توفير الموارد الالزمة لإلشراف على هذه الترتيبات والحصول على موافقة البنك المركزي المصري قبل الشروع في إسناد الخدمات الخارجية.
2-8-2-2-2 إجراء األبحاث النافية للجهالة الالزمة فيما يتعلق بالكفاءة والبنية التحتية للنظام والقدرة المالية للشريك أو الطرف الخارجي وذلك قبل إبرام أي اتفاقيات خاصة باإلسناد أو الشراكة أو الوكالة.
3-8-2-2-2 تحديد المسؤوليات التعاقدية لكافة األطراف الخاصة باتفاقيات اإلسناد أو الشراكة أو الوكالة بشكل واضح على سبيل المثال، يتم تحديد مسئوليات توفير المعلومات إلى مقدم خدمات الدفع وتلقيها منه بشكل واضح وضرورة قيام البنك بتحديد المعايير التنظيمية مع ضمان االلتزام بكافة القواعد والقوانين السارية في هذا الشأن.
4-8-2-2-2 تتضمن تعاقدات خدمات اإلسناد أو الوكالة اتفاقية لعدم اإلفصاح عن المعلومات السرية ألطراف خارجية واتفاقية مستوى الخدمة والتي تشمل على سبيل المثال ال الحصر: تحديد األدوار والمسؤوليات والوقت المطلوب لتنفيذ الخدمة وإجراءات وبيانات التصعيد والعقوبات في حال عدم االلتزام، هذا باإلضافة إلى البنود التي تحفظ حق البنك في التدقيق على المتعهد أو االعتماد على تقارير التدقيق المعتمدة )الصادرة عن جهات تدقيق معتمدة(.
5-8-2-2-2 خضوع كافة النظم والعمليات الخاصة بخدمات شبكة المدفوعات اللحظية التي تتم من خالل عملية اإلسناد أو الوكالة لنظام إدارة المخاطر وسياسات الخصوصية وأمن المعلومات التي تتفق مع المعايير الخاصة بالبنك.
6-8-2-2-2 إجراء التدقيق الداخلي و/أو الخارجي بصفة دورية على العمليات التي تتم عن طريق اإلسناد أو الوكالة، وينبغي أال يقل نطاق تغطية أعمال التدقيق عن مثيلتها التي يتم تطبيقها على المستوى الداخلي في البنك.
7-8-2-2-2 توفير كافة تقارير التدقيق والتقييم لمفتشي قطاع الرقابة واإلشراف بالبنك المركزي المصري.
8-8-2-2-2 وضع خطط طوارئ مناسبة لخدمات شبكة المدفوعات اللحظية التي تتم عن طريق اإلسناد أو الوكالة والتأكد من اختبارها بشكل دوري.
9-8-2-2-2 أن تتسم إجراءات فسخ/إنهاء التعاقد بالفاعلية، كما يجب أن تضمن هذه اإلجراءات الحفاظ على استمرارية العمل وسالمة البيانات وكذلك نقلها والتخلص منها.
10-8-2-2-2 وبالرغم من قيام البنك بإسناد بعض الخدمات ألطراف خارجية، فإن البنك يظل مسئوالً مسئولية كاملة تجاه مستخدمي النظام وتجاه التزام األطراف الخارجية بهذه القواعد، والتأكد مما يأتي:
-
االحتفاظ بسجل محدث يشتمل على جميع اتفاقات وتعاقدات اإلسناد واالستعانة باألطراف الخارجية.
-
وضع حدود إلسناد أكثر من وظيفة إلى مقدم خدمة واحد للحد من مخاطر التركز والتشغيل.
ُمعتمدةُمطَّبقة بالبنك - وال11-8-2-2-2 يجب على اإلدارة العليا التأكد من أن سياسة أمن المعلومات ال من مجلس اإلدارة ويتم تحديثها بشكل دوري وإنها تراعي الخدمات المقدمة من خالل شبكة المدفوعات اللحظية، ويسهم ذلك في تحديد السياسات واإلجراءات والضوابط الرقابية الالزمة لحماية العمليات البنكية من االختراقات واالنتهاكات األمنية، كما يحدد المسؤوليات الفردية وكذا يوضح آليات التنفيذ واإلجراءات التي يجب اتخاذها في حال مخالفة هذه السياسات واإلجراءات.
12-8-2-2-2 تتولى اإلدارة العليا تعزيز ونشر الثقافة األمنية على كافة مستويات البنك عن طريق التأكيد على التزامهم بالمعايير العالية ألمن المعلومات، ونشر هذه الثقافة على كافة العاملين بالبنك.
13-8-2-2-2 ضرورة أن تكون منهجية التأمين قائمة على تحليل المخاطر والتهديدات الخاصة، مع األخذ في االعتبار المخاطر المتأصلة (Risk Inherent (والضوابط الرقابية التعويضية (Controls Compensating (من أجل الوصول لمستوى من المخاطر المتبقية (Risk Residual(التي تقع ضمن مستويات المخاطر المقبولة.
3-2 ضوابط مكافحة غسل األموال وتمويل اإلرهاب
1-3-2 يجب على البنوك المشتركة بشبكة المدفوعات اللحظية االلتزام بما يلي: o االلتزام بقانون مكافحة غسل األموال الصادر بالقانون رقم 80 لسنة 2002 وتعديالته والئحته التنفيذية وتعديالتها والضوابط الرقابية للبنوك في شأن مكافحة غسل األموال وتمويل اإلرهاب الصادرة عن البنك المركزي المصري، وإجراءات العناية الواجبة بالعمالء السارية الصادرة عن وحدة مكافحة غسل األموال وتمويل اإلرهاب.
o اتباع االرشادات الصادرة للبنوك في شأن تنفيذ آليات تنفيذ العقوبات المالية المستهدفة وكذا إرشادات المعنيين بالتنفيذ في شأن قوائم الكيانات اإلرهابية واإلرهابيين بشأن الوصول إلى القوائم المحدثة )المنشورة على موقع وحدة مكافحة غسل األموال وتمويل اإلرهاب eg.org.mlcu.www تحت بند القوائم السلبية(.
o ايالء عناية كافية لما يتفق مع طبيعة الخدمة من المؤشرات االسترشادية الواردة بالبند السابع )المؤشرات االسترشادية للتعرف على العمليات التي يشتبه في أنها تتضمن غسل أموال أو تمويل إرهاب( من الضوا�بط الرقابية للبنوك في شأن مكافحة غسل األموال وتمويل اإلرهاب الصادرة عن البنك المركزي المصري.
o في حالة االشتباه في أية عمليات تتم من خالل شبكة المدفوعات اللحظية وتتضمن غسل أموال أو متحصالت جريمة أصلية أو تمويل إرهاب القيام على الفور بإخطار وحدة مكافحة غسل األموال وتمويل اإلرهاب بشأنها، وذلك وفقا ألحكام قانون مكافحة غسل األموال الصادر بالقانون رقم 80 لسنة 2002 وكافة تعديالتها.
o تطبيق إجراءات فعالة تشمل استخدام النظم اآللية للكشف عن مدى إدراج العميل والمستفيد الحقيقي للتعريف الوارد بإجراءات العناية الواجبة بعمالء)وفقا البنوك الصادرة عن الوحدة وتعديالتها( على ً القوائم السلبية قبل التعامل بما يشمل قيام بنك مرسل التحويل بالكشف عن مدي ادراج طالب التحويل على القوائم السلبية قبل تنفيذ التحويل وقيام بنك متلقي التحويل بالكشف عن مدي ادراج المستفيد على القوائم السلبية قبل الصرف له أو اإلضافة لحسابه.
o متابعة موقع الوحدة بشكل يومي للتعرف على التحديثات على القوائم السلبية سواء بالحذف أو اإلضافة أو التعديل.
لما ورد بكل من قانون مكافحة o االحتفاظ بالسجالت والمستندات الخاصة بالعمالء والعمليات وفقاً غسل األموال الصادر بالقانون رقم 80 لسنة 2002 وتعديالته والئحته التنفيذية وتعديالتها والضوابط الرقابية للبنوك في شأن مكافحة غسل األموال وتمويل اإلرهاب الصادرة عن البنك المركزي المصري.
.3 القواعد العامة المنظمة للبنوك المشاركة في شبكة المدفوعات اللحظية
يتعين على البنك الراغب في الحصول على ترخيص لالشتراك في شبكة المدفوعات اللحظية التقدم للحصول على الموافقات الالزمة من البنك المركزي المصري ومراعاة ما يلي: o االلتزام بالقواعد الصادرة عن البنك المركزي المصري وتحديثاتها.
o االلتزام بالقواعد الصادرة عن شبكة المدفوعات اللحظية وتحديثاتها.
o االلتزام بالمواصفات الفنية للربط الفني وقواعد تشغيل شبكة المدفوعات اللحظية وتحديثاتها.
1-3 التزامات البنك المصدر (Bank Issuer (ألدوات الدفع اإللكترونية
1-1-3 البنك المصدر هو المسؤول عن توثيق ومصادقة بيانات أدوات الدفع اإللكترونية الخاصة بعمالئه لالشتراك في شبكة المدفوعات اللحظية من خالل أي من تطبيقات مقدمي خدمات الدفع )PSPs ) وفق الضوابط واإلجراءات المعتمدة من قبل البنك المركزي المصري.
2-1-3 عدم قيام البنك المصدر بإتاحة أي بيانات تخص حسابات العمالء قبل نجاح عملية المصادقة اإللكترونية لعمالئه.
3-1-3 البنك المصدر هو المسؤول الرئيسي عن التصديق على أي معامالت لعمالئه المتعاملين على شبكة المدفوعات اللحظية سواء من خالل تطبيقات مقدمي خدمات الدفع او من خالل قنوات البنك اإللكترو�نية.
4-1-3 يتعين على البنك في ضوء تقييمه للمخاطر المرتبطة بالخدمة قيام البنك بوضع الحدود المناسبة لقيم وعدد العمليات الشهرية وفقا ورؤية إدارة المخاطر لدي البنك وبما ال يتجاوز الحدود التالية )اعتباراً 2 من 15 مارس 2023( في حال قيام العميل باستخدام تطبيقات مقدمي الخدمة المعتمدين: o الحد األقصى لقيمة المعاملة: 70,000 )سبعون ألف( جنيها مصريا.
o الحد األقصى اليومي لقيمة المعامالت: 120,000 )مائة وعشرون ألف( جنيها مصريا.
o الحد األقصى الشهري لقيمة المعامالت: 400,000 )اربعمائة ألف( جنيها مصريا.
ولمحافظ البنك المركزي المصري أن يعدل تلك الحدود القصوى.
5-1-3 يمكن للبنك زيادة تلك الحدود في حال قيام البنك باستخدام وسائل تصديق إضافية من خالل قنوات بناءا على ترخيص البنك كبنك مقدم خدمات دفع من خالل قنوات البنك ً البنك اإللكترونية وذلك .)Pre-authorized PSP Bank( اإللكترونية 6-1-3 إتاحة استخدام العمالء لحساباتهم المصرفية من خالل تطبيقات مقدمي خدمات الدفع المعتمدين والتي تشمل إتاحة أنواع الحسابات المصرفية التالية كحد أدني للتعامل على شبكة المدفوعات اللحظية )حساب جاري-حساب توفير(.
كتاب السيد / محافظ البنك المركزي المصري بتاريخ 9 مارس 2023 2 7-1-3 توفير أدوات الدعم الفني الكاملة للعمالء بما يتناسب مع مستوي أداء الخدمات ال�مصرفية.
8-1-3 ضرورة إخطار العمالء بالرسوم الخاصة بالمعامالت بصوره واضحة قبل تنفيذ أي معاملة.
9-1-3 ضرورة إخطار العمالء بالمعامالت التي تمت على أدوات الدفع اإللكترونية الخاصة بهم بصوره واضحة من خالل رسائل نصية أو أية وسيلة أخرى يتم اعتمادها 10-1-3 تخضع رسوم المعامالت المنفذة من خالل التطبيقات الخاصة بمقدمي خدمات الدفع )PSPs )إلى قواعد شبكة المدفوعات اللحظية.
2-3 التزامات البنك مقدم خدمات الدفع لشبكة المدفوعات اللحظية (Bank PSP( 1-2-3 يمكن للبنك مقدم خدمات الدفع الحصول على التراخيص التالية: o مقدم خدمات دفع من خالل قنوات البنك اإللكترونية )Bank PSP authorized-Pre).
o مقدم خدمات الدفع من خالل تطبيقات مقدمي خدمات الدفع )Bank PSP Fledge Full).
o حال قيام البنك بالحصول على ترخيص تقديم خدمات الدفع من خالل قنوات البنك اإللكترونية )-Pre Bank PSP authorized )يلتزم البنك بإتاحة خدمات شبكة المدفوعات اللحظية من خالل القنوات اإللكترونية المختلفة للبنك فقط ال غير وذلك مع االلتزام بالمحددات التالية:
- يمكن للبنك تفعيل القنوات اإللكترونية مثل اإلنترنت البنكي )Banking Internet ) وتطبيق الهاتف المحمول البنكي )Banking Mobile).
لتقييم- يقوم البنك بتحديد الحدود القصوى لعدد وقيم المعامالت اليومية والشهرية وفقاً المخاطر لدي البنك.
- يقتصر تفعيل تلك الخدمة على قنوات البنك اإللكترونية الخاصة بالبنك فقط ال غير وللحسابات الصادرة عن البنك فقط.
2-2-3 حال قيام البنك بالحصول على ترخيص مقدم خدمات الدفع )Bank PSP Fledge Full ) فيمكن للبنك التعاقد مع مقدمي خدمات الدفع وذلك بعد استيفاء كافة الموافقات الالزمة من البنك المركزي المصري ومراعاة ما يلي: o يتم السماح للبنك مقدم الخدمة (Bank PSP Fledge Full (بإطالق عدد 5 تطبيقات كحد أقصي مع مقدمي الخدمة المعتمدين.
ولمحافظ البنك المركزي المصري أن يقوم بتعديل عدد مقدمي خدمات الدفع التي يتم السماح للبنك مقدم الخدمة بالتعاقد معهم.
o يُسمح للبنك مقدم خدمات الدفع التعاقد مع مقدمي خدمات الدفع لتوفير القنوات اإللكترونية لعمالء شبكة المدفوعات اللحظية من خالل تطبيق هاتف محمول خاص بمقدم خدمات الدفع يستخدم من قبل العمالء لتنفيذ عمليات مالية مختلفة من خالل حساباتهم لدي البنوك المصدرة.
o يسمح لمقدم خدمات الدفع )PSP )بالتعاقد مع بنك واحد فقط ال غير كبنك مقدم خدمات الدفع .)PSP Bank( o يكون البنك مقدم خدمات الدفع مسئول عما يلي:
-
التعاقد مع مقدمي الخدمة وإتاحة خدمتهم للعمالء وذلك بعد الحصول على موافقة البنك المركزي المصري.
-
توافق والتزام مقدمي خدمات الدفع )PSPs )بكافة التعليمات والقواعد الصادرة عن البنك المركزي المصري وشبكة المدفوع�ات اللحظية.
-
الربط المباشر مع شبكة المدفوعات اللحظية وتفعيل تطبيق الواجهة اآلمنة ) Secure "SL "library )الخاصة بشبكة المدفوعات اللحظية على كافة تطبيقات مقدمي خدمات الدفع.
-
معامل التصديق األول )authentication of factor st1 )من خالل عملية الربط مع هاتف العميل المحمول )Binding Hard )وذلك بالتعاون مع مقدم خدمات الدفع (PSP( لقواعد شبوفقا كة المدفوعات اللحظية. ً
-
يتم معالجة كافة البيانات التي تتسم بالسرية من خالل تطبيق الواجهة اآلمنة ) Secure "SL "library )والتي تشمل على سبيل المثال ال الحصر على بيانات التصديق وتأكيد الهوية، الرقم السري الخاص بحساب العميل )PIN IPN)، الرقم السري المتغير ) Time One OTP - Password)، عرض رصيد العميل وكذلك كشف الحساب المختصر الخاص به.
-
يحظر علي مقدم خدمات الدفع )PSP )تسجيل أو طلب او عرض اي من البيانات التي تتسم بالسرية المشار لها سابقاً والمشار إليها كذلك في قواعد شبكة المدفوعات اللحظية خارج
تطبيق الواجهة اآلمنة )"Sl "Library Secure).
-
التأكد من أن كافة المعامالت والمعلومات المعالجة بواسطة مقدمي خدمات الدفع )المرخص لهم تتم على أنظمة مؤمنة متواجدة داخل جمهورية مصر العربية( وال يتم معالجة هذه المعامالت خارج جمهورية مصر العربية إال بعد الحصول على موافقة البنك المركزي المصري.
-
إتمام عمليات التفتيش الدوري على مقر وأنظمة مقدمي خدمات الدفع للتأكد من توافق قواعد العمل التي يتم إتباعها مع القواعد المصدرة من البنك المركزي المصري وشبكة المدفوعات اللحظية وشروط التعاقد الخاصة بالبنك.
-
يتعين على البنك في ضوء تقييمه للمخاطر المرتبطة بالخدمة القيام بوضع اآلليات والسبل الالزمة للتأكد من تشغيل المنظومة بكفاءة وفقاً ألعلي المعايير.
3-3 التزامات البنك القابل (Bank Acquirer (من خالل شبكة المدفوعات اللحظية 1-3-3 يلتزم البنك القابل لمعامالت شبكة المدفوعات اللحظية بقبول كافة المعامالت وفقاً والمواصفات الفنية القياسية المحددة من قبل شبكة المدفوعات اللحظية.
2-3-3 يلتزم البنك القابل بقبول كافة المعامالت من قبل أي تطبيق/ قناة الكترونية معتمدة من قبل البنك المركزي المصري وشبكة المدفوعات اللحظية.
3-3-3 اعتماد وسيلة القبول اإللكتروني من قبل البنك المركزي المصري وشبكة المدفوعات اللحظية.
4-3-3 إمكانية قيام البنك القابل بالتعاقد مع التجار/الشركات مباشرة أو من خالل االستعانة بميسري عمليات الدفع )Facilitator Payment )بعد الحصول على الموافقات الالزمة من قبل البنك المركزي المصري.
4-3 الخدمات المتاحة من قبل شبكة المدفوعات اللحظية
يمكن للبنوك تقديم الخدمات التالية للعمالء من خالل شبكة المدفوعات اللحظية: 1-4-3 المعامالت المالية:
-
تحويل األموال.
-
عمليات الشراء.
2-4-3 المعامالت غير المالية:
-
االستعالم عن الرصيد.
-
كشف الحساب المختصر.
-
تعيين رقم سري )PIN IPN )لكل حساب مصرفي مسجل.
3-4-3 تسجيل العمالء من خالل تطبيقات مقدمي خدمات الدفع وتشمل ما يلي:
-
إنشاء عنوان دفع لحظي لكل حساب )IPA - Address Payment Instant).
-
ربط رقم الهاتف المحمول بعنوان الدفع اللحظي )IPA to Mapped Number Mobile).
-
تفعيل الحسابات على شبكة المدفوعات اللحظية وتعيين الرقم السري للحساب.
.4 ضوابط عامة
1-4 يجب على جميع أطراف منظومة شبكة المدفوعات اللحظية االلتزام بتنفيذ جميع المعامالت المالية والغير مالية بصورة لحظية على مدار ال 24 ساعة وطوال العام وفقا لقواعد شبكة المدفوعات اللحظية.
2-4 يحق للبنك االستعانة بمقدم خدمة تكنولوجية )TSP - Provider Service Technology )بعد اعتماده من قبل البنك المركزي المصري وشبكة المدفوعات اللحظية للقيام ببعض المهام التكنولوجية بالنيابة عن البنك كتوفير وإدارة نظم البنك اإللكترونية المتعاملة مع شبكة المدفوعات اللحظية على أن يكون هناك تعاقد مباشر بين البنك ومقدم الخدمات التكنولوجية.
3-4 االلتزام بتعليمات حماية حقوق العمالء الصادرة عن البنك المركزي المصري في فبراير 2019 وكافة تعديالتها، كما يلتزم كافة أطراف المنظومة بالنقاط التالية على سبيل المثال ال الحصر: 1-3-4 إخطار العمالء برسوم المعامالت قبل تنفيذها.
2-3-4 عدم استخدام بيانات العمالء بما يخالف الشروط واألحكام التي تمت موافقة العمالء عليها.
بنتيجة المعاملة المنفذة )مقبولة أو مرفوضة(.3-3-4 إخطار العمالء لحظياً 4-3-4 إضافة أو خصم المبالغ المالية لحظياً من وإلى حسابات العمالء.
5-3-4 توفير وسائل خدمة ودعم فني مناسبة للعمالء.
6-3-4 توفير آليات لقيام العمالء بعمليات االعتراض.
4-4 فيما يخص تطبيقات الهاتف المحمول الخاصة بمقدمي الخدمات، فيلتزم البنك مقدم خدمات الدفع بالتأكد مما يلي: 1-4-4 موافقة العميل علي الشروط واألحكام الخاصة بالخدمة وذلك بعد تحقق البنك المصدر ألدوات الدفع للشروط المشار الاإللكترونية وفقا يها بالبند الخاص بإدارة وسائل التصديق والذي بدوره يعد موافقة ً من قبل العميل على تنفيذ المعامالت من خالل التطبيق الخاص بمقدم الخدمة.
2-4-4 يُفضل ان تكون لغة التطبيق موحدة مع لغة نظام التشغيل )System Operating )الخاص بجهاز المحمول مع اتاحة حرية االختيار للعميل في تغيير اللغتين العربية/اإلنجليزية.
5-4 فيما يخص عناوين المستفيدين )Addresses Payment )فيتم االلتزام بما يلي: يتم السماح بتبادل المعامالت المالية من خالل أحد عناوين المستفيدين التالية:
o رقم الحساب وكود البنك.
o رقم الحساب المصرفي الدولي )IBAN).
o رقم محفظة هاتف محمول مقبولة من خالل المحول القومي لخدمات الدفع باستخدام الهاتف المحمول.
o رقم بطاقة دفع إلكترونية.
o األكواد اإلشارية الخاصة بشبكة المدفوعات اللحظية والتي تشمل ما يلي: .Instant Payment Address (IPA) اللحظي المدفوعات عنوان -
-
رقم الهاتف المحمول )Number Mobile).
-
الكود التعريفي للتاجر )ID Merchant).
6-4 فيما يخص عنوان الدفع اللحظي فيتم اإللتزام بالمعايير التالية: 1-6-4 إمكانية تعيين عنوان دفع لحظي )IPA - Address Payment Instant )لكل حساب مصرفي يتم إضافته من خالل تطبيقات مقدمي خدمات الدفع.
2-6-4 عنوان الدفع اللحظي هو عنوان ال يتكرر على مستوي الشبكة وتعود ملكيته األصلية إلي العميل ويقوم على حفظه مقدمي خدمات الدفع.
3-6-4 يتم تعيين المميز اإلشاري الخاص بمقدم خدمات الدفع من خالل شبكة المدفوعات اللحظية.
7-4 فيما يخص إدارة وسائل التصديق: 1-7-4 تخضع كافة المعامالت المالية المنفذة من خالل شبكة المدفوعات اللحظية لعامل توثيق مزدوج .)two factors of authentication( 8-4 فيما يخص المعامالت المنفذة من خالل تطبيقات مقدمي خدمات الدفع )PSPs): 1-8-4 التأكد من التزام مقدم خدمات الدفع بكافة اإلجراءات الواجبة للمحافظة على تنفيذ عملية التصديق األول )authentication of factor st1 )بشكل سليم والتأكد من إتمام عملية الربط مع هاتف العميل المحمول )Binding Hard )والذي يقوم بربط بصمة الجهاز المحمول ) Mobile ًء على عملية التنشيط( في أنظمةMDF - Fingerprint Device )ورقم الهاتف المحمول )بنا لقواعد شبكة المدفوعات اللحظية.مقدم الخدمة وفقاً 2-8-4 التزام البنك المصدر بأن يكون الرقم السري الخاص بكل حساب مصرفي داخل شبكة المدفوعات )2st factor of authentication( الثاني التصديق معامل هو( IPN PIN( اللحظية ويكون مسؤولية البنك المصدر ألداة الدفع اإللكترونية )Bank Issuer )الذي يدير الحساب المصرفي منفردا،ً على أن يقوم العميل بتعيين رقم سري )PIN IPN )خاص بكل حساب يقوم بتسجيله من خالل تطبيقات الدفع المقدمة من خالل مقدمي خدمات الدفع.
3-8-4 التزام البنك المصدر بإنشاء الرقم السري عند إضافة الحساب ألول مره على أي من تطبيقات الدفع وذلك من خالل استخدام مكتبة التأمين المشفرة الخاصة بشبكة المدفوعات اللحظية ) IPN .)Secure Library 4-8-4 التزام البنك المصدر بالحفاظ على الرقم السري الخاص بحساب العميل بصورة مشفرة وفي كل األحوال يحظر على أطراف المنظومة بما فيهم شبكة المدفوعات اللحظية تسجيل او حفظ الرقم السري الخاص بالعميل )أو اي بيانات سرية آخري( وتكون مسؤولية حفظ وحماية الرقم السري هي مسئولية مشتركة بين البنك المصدر للحساب والعميل الخاص به.
5-8-4 فيما يخص المعامالت المنفذة من خالل قنوات البنك اإللكترونية )s'eChannel)، تخضع العمليات المنفذة من خالل قنوات البنك اإللكترونية ) transaction authorized-Pre للموافقات الخاصةs'eChannel through )لنفس معايير المصادقة الخاصة بهذه القنوات وفقاً بها والصادرة عن البنك المركزي المصري.
9-4 فيما يخص إدارة الرقم السري من خالل شبكة المدفوعات اللحظية )PIN IPN )فيلتزم البنك بما يلي: 1-9-4 الرقم السري يتكون من 6 ارقام وال يحتوي على حروف او رموز خاصة 2-9-4 ال ينبغي السماح باألرقام السهلة كرقم سرى مثال: 111111 أو .123456 3-9-4 يجب تغيير الرقم السري باستخدام آلية تشفير قوية ال يوجد لها أي ثغرات او نقاط ضعف معروفة وان يكون طول مفاتح التشفير مناسب.
4-9-4 أن الرقم السري ال يتم معالجته او ارساله او تخزينه كنص واضح وأال يظهر الرقم السري بشكل مقروء على أي جزء من شبكة المدفوعات اللحظية.
5-9-4 التزام البنك المصدر ألداة الدفع اإللكترونية بالتنبيه على العمالء ان الرقم السري (PIN IPN( هو أساس تأمين حساباتهم وضرورة عدم تبادله مع اي طرف آخر.
6-9-4 أن يتم تعليق التعامل على أداة الدفع من خالل شبكة المدفوعات اللحظية بشكل مؤقت عند تكرار دخول الرقم السري بطريقه خاطئة مع تحديد آليه واضحة إلعادة التفعيل.
10-4 فيما يخص االستعانة بمقدمي الخدمات التكنولوجية ) - Provider Service Technology TSP )فيلتزم البنك باإلجراءات التالية: 1-10-4 تحديد المسؤوليات التعاقدية للبنك ومقدم الخدمة في التعاقد بشكل واضح على سبيل المثال ال الحصر، يتم تحديد مسؤوليات إدارة وتشغيل األنظمة بشكل واضح ومسؤوليات كل طرف.
2-10-4 بنود تخص بإدارة البنك لبيانات عمالءه والتزام مقدم الخدمة بالحفاظ علي سرية تلك البيانات وعدم اإلفصاح عنها أو استخدامها إال في حدود التعاقد مع البنك أو لألسباب القانونية المعتد بها.
3-10-4 وضع بنود تخص حق البنك والبنك المركزي في الرقابة والتفتيش على أداء مقدم الخدمة ودورية ذلك.
4-10-4 أن تتسم إجراءات فسخ/إنهاء التعاقد بالفاعلية، كما يجب أن تضمن هذه اإلجراءات الحفاظ على استمرارية العمل وسالمة البيانات وكذلك نقلها والتخلص منها.
5-10-4 ال يصرح لمقدم الخدمة بالتعاقد مع شركات أخرى )أطراف ثالثة( من الباطن )-Sub Contracting )للقيام باألعمال الموكلة له من قبل البنك من خالل هذا التعاقد إال بالموافقة الكتابية من البنك مع بيان قائمة باألعمال المسندة من قبل مقدم الخدمة لألطراف اآلخرين. 6-10-4 التزام مقدمي الخدمات من خالل العقود المبرمة معهم بإخطار البنك عن أية أحداث يمكن أن يكون لها أثر كبير على مقدرتهم باالضطالع بالمهام الموكلة إليهم بالفاعلية المطلوبة.
7-10-4 ضرورة التزام مقدم الخدمة بإخطار البنك في حالة حدوث أي حاالت قد يشتبه أنها غير مشروعه سواء كانت فعلية أو مشتبه بها أو انقطاع / عدم ثبات الخدمة على األنظمة.
.5 مسؤوليات شركة بنوك مصر 1-5 شركة بنوك مصر هي المسؤولة عن إصدار قواعد شبكة المدفوعات اللحظية وتحديثاتها وذلك بعد استيفاء موافقة البنك المركزي المصري.
2-5 تحدد شركة بنوك مصر اللوائح والمبادئ التوجيهية واألدوار والمسؤوليات وااللتزامات الخاصة بالمشاركين فيما يتعلق بشبكة المدفوعات اللحظية ويشمل ذلك أي ًضا معالجة المعامالت وتسويتها، وإدارة المنازعات.
3-5 تدير شركة بنوك مصر شبكة المدفوعات اللحظية )Network Payment Instant- IPN). 4-5 تحديد العموالت التبادلية ألطراف المنظومة. 5-5 تحديد القواعد واألطر التنظيمية إلنشاء عنوان الدفع اللحظي وتحديثها بصورة دورية بما يضمن وجود قائمة بالعناوين المحظور استخدامها على المنظومة.
6-5 تقوم شركة بنوك مصر بتسوية كافة معامالت شبكة المدفوعات اللحظية من خالل منظومة التسويات اللحظية للمدفوعات كبيرة القيمة )Settlement Gross Time Real )الخاصة بالبنك المركزي على حسابات البنوك األعضاء بالشبكة.
7-5 تلتزم شركة بنوك مصر بكافة القواعد الصادرة عن البنك المركزي المصري.
.6 التسويات
1-6 تتم �عملية التسوية في حسابات البنوك داخل البنك المركزي المصري من خالل منظومة التسوية اللحظية بالجنيه المصري.
2-6 يجب على البنك في ضوء تقييمه لمخاطر التسوية التأكد من وجود رصيد كاف لتسوية كافة المعامالت.
.7الضوابط الرقابية على خدمات شبكة المدفوعات اللحظية
1-7 سرية وسالمة المعلومات 1-1-7 يتضمن تقديم خدمات التحويل اللحظية من خالل تطبيقات الدفع اإللكترونية لمقدمي خدمات الدفع تداول بيانات سرية عبر تطبيقات الهاتف المحمول والشبكة الداخلية للبنك لذلك يجب على البنوك ومقدمي خدمات الدفع لشبكة المدفوعات اللحظية استخدام األساليب المناسبة للحفاظ علي سرية وسالمة المعلومات المتداولة عبر الشبكة الداخلية والخارجية للبنك وذلك بما يتوافق مع متطلبات شبكة المدفوعات اللحظية.
2-1-7 يجب على البنوك اختيار تكنولوجيا التشفير التي تتناسب مع حساسية وأهمية المعلومات وكذا درجة الحماية المطلوبة، وفي هذا السياق يوصى دائما بتبني البنوك لتكنولوجيا التشفير التي تستخدم طرق التشفير المتعارف عليها دوليا،ً حيث تخضع نقاط القوة في هذه الطرق الختبارات شاملة. وينبغي أن تطبق البنوك الممارسات السليمة إلدارة مفاتيح التشفير الالزمة لحماية هذه المفاتيح وذلك بما يتوافق مع متطلبات شبكة المدفوعات اللحظية.
3-1-7 قيام البن�ك بتأمين عملية تبادل أي بيانات أو ملفات بين البنك وشركاءه من مقدمي خدمات الدفع على أن تكون البيانات او الملفات مشفرة ويكون التبادل من خالل القنوات التالية: o خط ربط مؤمن )Line Leased).
.)Virtual Private Network( افتراضية ربط شبكة o 4-1-7 في حالة استخدام مقدمي خدمات الدفع بنية تحتية خارج مقره من قبل مقدمي البنية التحتية، فيجب على البنك الحصول على موافقة من البنك المركزي المصري قبل التعاقد مع مقدم خدمات الدفع.
5-1-7 أال يتم اتصال البنك واألنظمة الخاصة به بالشبكة العالمية )االنترنت( أو أي من الشبكات غير المعتمدة دون الحصول على موافقة البنك المركزي المصري.
تنفيذ ضوابط أخرى بخالف أساليب التشفير، وذلك للحفاظ على سرية وسالمة6-1-7 يجب على البنوك أيضاً المعلومات التي يتم تداولها من خالل المنظومة ويتضمن هذا على سبيل المثال ال الحصر: o الضوابط وأعمال التدقيق الالزمة للتأكد من سالمة تسوية أرصدة العمالء بعد تنفيذ المعامالت باإلضافة إلى التأكد من سالمة البيانات التي يتم نقلها بين األنظمة المختلفة.
o مراقبة المعامالت غير المعتادة بما في ذلك المعامالت محل االشتباه أو السجالت التي يشتبه التالعب فيها o يجب على البنوك التأكد من تشفير العملية بداية من قناة الدفع المستخدمة إلجراء العملية وصوالً إلى أجهزة الخادم Servers الخاصة بتنفيذ أم�ر الدفع.
7-1-7 ينبغي على البنك تطبيق سياسة الفصل بين المهام، وذلك للتأكد من عدم إمكانية قيام أي موظف داخل البنك بأي عمل غير مصرح له وإخفائه، ويتضمن هذا على سبيل المثال ال الحصر، إدارة حساب المستخدم وتنفيذ المعامالت وحفظ وإدارة مفاتيح الشفرة الخاصة بالنظام وإدارة النظام System .System Operations وتشغيله Administration 8-1-7 يجب الحد من تخزين بيانات على الذاكرة الداخلية للهاتف المحمول، وفى حالة االحتفاظ باي بيانات على الهاتف المحمول - للضرورة القصوى - يجب استخدام الوسائل المناسبة لحماية ما تم تخزينه.
9-1-7 يجب بان يقوم تطبيق الهاتف المحمول بتنفيذ أليات كشف كافية تضمن ان الهاتف المحمول ليس عرضة للمخاطر مثل Rooted/Jailbroken مثال: يقوم المخترق بتحميل برنامج على الجهاز المحمول يمكنه من الدخول إلى الملفات السرية الخاصة بالمستخدم.
10-1-7 يجب بأن يتم حماية تطبيقات الهاتف المحمول ضد أي لقطات تلقائية Screenshots والتي يمكن أن تتم عن طريق برامج تجسس تعمل على نفس جهاز الهاتف المحمول حال وجود إمكانية فنية لتطبيقه.
11-1-7 يجب أن تخضع أنظمة البنك وكذلك تطبيقات مقدمي خدمات الدفع إلى اختبارات ُمتعددة قبل التشغيل للتأكد من قدرتها على القيام بالمهام ال وفى حالة تحديث تلك األنظمة يتم إعادة اختبارها ُموكلة لها بذات الوسائل لضمان استمرار سالمتها.
12-1-7 يجب استخدام وتفعيل المصادقة الثنائية ) authentication factor2- ) في جميع التطبيقات.
2-7 البنية التحتية والمتابعة األمنية للمنظومة
1-2-7 يجب على البنوك إنشاء بيئة تشغيل مالئمة تعمل على دعم وحماية أنظمتها الخاصة المرتبطة بتطبيقات شبكة المدفوعات اللحظية، بحيث تحتوي تلك البيئة على بنية تحتية آمنة لتلك الخدمات - والتي تشمل على سبيل المثال ال الحصر إعداد خوادم الشبكة وأنظمة اكتشاف ومنع االختراق وأجهزة جدار الحماية Firewall وأجهزه التوجيه وخالفه - كما تحتوي أيضا على إجراءات حماية مالئمة للشبكات الداخلية وروابط الشبكات مع الجهات الخارجية بما يشمل شركة بنوك مصر بصفتها الشركة المسؤولة عن شبكة المدفوعات اللحظية.
2-2-7 تقع المسؤولية الكاملة لتقديم الخدمات على البنوك المشتركة بالخدمة والتي يجب عليها بذل العناية الواجبة لضمان أمان كافة المعامالت، وكذا مراقبة كل من األنظمة المتصلة بالشبكة والبنية التحتية بصورة استباقية بشكل دائم على مدار 24 ساعة طوال األسبوع، وذلك لرصد وتسجيل أي مخالفات أمنية، أو أي اختراقات، أو نقاط ضعف مشتبه فيها، وكذلك أي أنشطة غير طبيعية محل اشتباه تتم على األنظمة.
3-2-7 يجب على البنوك التأكد من وجود مسارات التدقيق Trails Audit لكل المعامالت المصرفية التي تتم عبر أنظمة/تطبيقات شبكة المدفوعات اللحظية كما يجب ضمان حما�ية تلك المسارات ضد أي تالعب أو تغيير غير ُمص َّرح به، وأن يتم االحتفاظ بها لمدة زمنية تتوافق مع ما تحدده سياسات للضوابط والتعليمات الرقابية الصادرة في هذا الشأن ويهدفللمتطلبات القانونية وطبقاًالبنك تطبيقاً هذا اإلجراء إلى تسهيل إجراءات التحقيق في أي عملية احتيال، وحل أي نزاع أو شكوى إذا لزم األمر وعند تحديد ما سيتم االحتفاظ به في مسارات التدقيق، يمكن األخذ في االعتبار األنواع التالية من األنشطة وذلك كحٍد أدنى: o عمليات فتح أو تعديل أو إغالق حساب مستخدم على االنظمة المختلفة الخاصة بالخدمة.
o أي عملية ذات تبعات مالية.
o أي تصريح يمنح مستخدم لتجاوز أي من الحدود أو الصالحيات.
o أي تعديل أو إضافة أو إلغاء لصالحيات المستخدمين أو امتيازات خاصة بالدخول على األنظمة.
4-2-7 يجب أن يتم مراجعة كافة ما يتم إصداره من سجالت تدقيق Logs Audit وإنذارات التأمين اللحظية Alerts Security Time Real -مثل إنذارات أنظمة كشف ومنع االختراق - بواسطة الموظفين أو فرق العمل المعنية وذلك بطريقة دورية وفى الوقت المناسب.
5-2-7 تطبيق معايير وإجراءات حصيفة فيما يخص إمكانية الدخول إلى أماكن عمل النظام Physical ُمش ِغلة للنظام والشبكات وأجهزة التشفير ومراكزSecurity بما في ذلك البرامج واألجهزة ال المعلومات التي تقوم بتشغيل جزء أو أجزاء من النظام.
3-7 تقييم النظام األمني للخدمة
تقييم الوضع األمني لكافة األنظمة - التطبيقات، والشبكات، وأجهزة التأمين، 1-3-7 يجب على البنوك دورياً وخوادم نظام أسماء النطاقات وخوادم البريد اإللكتروني، إلخ - المتعلقة بتشغيل المنظومة، وذلك فـي المركز الرئيسي للمعلومات والمركز االحتياطي الذي يستخدم في حاالت الكوارث.
2-3-7 يجب على البنوك إجراء تقييم دوري لنقاط الضعف Assessment Vulnerability كل ثالثة أشهر على األقل أو عند حدوث تغييراً جوهرياً في البيئة التشغيلية لألنظمة المختلفة الخاصة بالخدمة الكتشاف نقاط الضعف في بيئة تكنولوجيا المعلومات، وتقييمها. ويمكن أن يتولى هذا التقييم مستشار أو مقدم خدمة خارجي للبنك وأن يكون مقدم الخدمة مختلف عن مقدم الخدمة القائم باختبارات االختراق، أو أن يتولى هذا التقييم إدارة أمن المعلومات بالبنك، وذلك على النحو التالي: o يجب أن يحتوي نطاق تقييم نقاط الضعف على اختبار الثغرات الشائعة في الشبكة )مثل: الثغرات التي تُم ك Injection SQL وتخطى عملية التصديق ِن المخترق من حقن قواعد البيانات Bypass Authentication والتخزين غير اآلمن للبيانات Storage Insecure.. إلخ(.
o يجب على البنك إعداد خطة لمعالجة المشاكل التي تظهر في تقييم نقاط الضعف، ثم التحقق من صحة هذه المعالجة عن طريق إعادة االختبار إلثبات أنه قد تم التعامل مع هذه المشاكل بالكامل.
3-3-7 التزام البنك بعدم إطالق الخدمات الجديدة قبل االنتهاء من موافاة البنك المركزي المصري بتقرير اختبارات االختراق Report Test Penetration على بيئة العمل الفعلية والذي يفيد عدم وجود أي نقاط ضعف عالية أو متوسطة الخطورة ومن ثم الحصول على موافقة البنك المركزي المصري بتفعيل الخدمة، على ان يتم تقديم التقرير المشار اليه إلى البنك المركزي المصري في مدة ال تتجاوز ثالثة أشهر من تاريخ اصداره.
4-3-7 يجب على البنك القيام باختبارات االختراق Testing Penetration وذلك لعمل تقييم مفصل ومتعمق للوضع األمني للنظام من خالل محاكاة للهجمات الفعلية على النظام على أن يتم ذلك على األقل مرة واحدة سنويا، أو عند حدوث تغيير في النظام، على أن تتم مراعاة ما يلي: o يجب أن يتولى إجراء اختبار االختراق أحد مقدمي الخدمة الخارجيين المستقلين، حيث يجب عليه أوالً Disclosure-Non التوقيع على اتفاقية السرية وعدم اإلفصاح قبل مزاولة العمل .Agreement o يجب أن يكون لدى البنوك تقرير مبدئي عن اختبار االختراق وخطة المعالجة Penetration Plan Remediation & Report Test، التي تم اصدارها والموقعة من مقدم الخدمة الخارجي.
o يجب على البنوك التحقق من صحة معالجة المالحظات الناتجة عن اختبار االختراق سواء كان على األنظمة الرئيسية أو األنظمة البديلة المستخدمة لمواجهة الكوارث مع مراعاة إجراء اختبار االختراق على االنظمة في مركز الطوارئ.
o يجب على مقدم الخدمة الخارجي إصدار تقرير نهائي موقع منه عن اختبار االختراق لكي يقوم البنك بتقديمه إلى البنك المركزي المصري، بجانب التقرير المبدئي األول.
o غير مسموح باختيار نفس مقدم الخدمة الخارجي ألداء أكثر من اختباري اختراق متتاليين.
4-7 االستجابة لألحداث وإداراتها
1-4-7 يجب على البنوك وضع إجراءات لالستجابة للحدث وإدارته خالل تقديم الخدمة، بهدف اإلبالغ والمعالجة الفورية ألي اختراقات أمنية سواء كانت فعلية أو مشتبه فيها، وكذلك أي حاالت احتيال أو انقطاع/عدم ثبات الخدمة، سواء أثناء أو بعد ساعات العمل. ويجب على البنوك اتخاذ اإلجراءات الضرورية التالية )على سبيل المثال ال الحصر(: o سرعة اكتشاف مصدر الحدث، وتحديد ما إذا كان قد وقع نتيجة وجود نقاط ضعف في النظم التأمينية بالبنك من عدمه.
o تقييم النطاق المحتمل للحدث ومدي تأثيره.
o تصعيد األمر إلى اإلدارة العليا للبنك بشكل فوري، إذا كان هذا الحدث قد يضر بسمعة البنك أو يؤدى إلى خسائر مالية.
o إخطار العمالء المتضررين على الفور، إذا لزم األمر.
o احتواء الخسائر المتعلقة بأصول البنوك وبياناتها وسمعتها، وبوجه خاص الخسائر المتعلقة بعمالئها.
o جمع األدلة الجنائية الرقمية واألدلة الجنائية وحفظها بطريقة مناسبة وبأسلوب يضمن الرقابة على تلك األدلة وضمان عدم التالعب بها لتغيير محتواها، لتسهيل التحقيقات الالحقة وإقامة دعوى قضائية ضد مخترقي النظام والمشتبه فيهم إذا لزم األمر باإلضافة إلى تنفيذ عملية مراجعة لهذا الحدث.
2-4-7 يجب تكوين فريق للتدخل السريع إلدارة الحدث للتعامل معه بما يتوافق مع اإلجراءات الموضحة أعاله على أن يتم منح هذا الفريق الصالحيات الالزمة للتصرف في حالة الطوارئ، كما يجب أن يتلقى التدريب الكافي على استخدام األجهزة التأمينية، والقدرة على تفسير أهمية البيانات ذات الصلة في سجالت التدقيق، وتحديد اإلجراءات المناسبة الالزم اتخاذها - كمنع حركة مرور معينة على الشبكة، أو غلق بعض الخدمات.
3-4-7 يجب على البنوك إعداد سجل باألحداث العارضة المرتبطة بالخدمة المقدمة والتفاصيل الخاصة بها باإلضافة إلى إعداد تقرير دوري للعرض على اإلدارة العليا التخاذ اإلجراءات المناسبة لتالفي تكرارها.
4-4-7 يتولى مسئول االلتزام بالبنك مسئولية التأكد من إبالغ البنك المركزي المصري بصورة صحيحة وفي خالل 6 ساعات من اكتشاف الحادث بكافة الحاالت الواردة أدناه:
o أي هجمات احتيال لتسريب أو إفشاء هوية ُمستخدم النظام أو وثائق اعتماد الشخصية )كاالحتيال Phishing، وملفات التجسس )حصان طروادة Trojans(، والبرمجيات الخبيثة Malware.. إلخ(.
o الدخول غير المصرح به إلى أنظمة تكنولوجيا المعلومات بالبنك لتسريب بيانات ُمستخدم النظام المتعلقة بالخدمات المقدمة.
o أي عملية تخريبية للبيانات المتعلقة بأنظمة الخدمات المقدمة والتي ال يمكن استرجاعها.
o اإليقاف التام المتعمد أو العارض للخدمات المقدمة لفترة تزيد عن الفترة المحددة كهدف لوقت االسترجاع RTO المحدد من قبل البنك.
o أي حالة من حاالت االحتيال الداخلي ذات الصلة بتلك الخدمات المقدمة على أن يتم إرسال هذه التقارير بالبريد االلكتروني على العناوين التالية: cbe.infosec@cbe.org.eg − eg-fincirt@cbe.org.eg −
5-7 اعتبارات األداء وضمان استمرارية العمل
1-5-7 يجب على البنوك توفير الخدمات المقدمة على مدار الساعة، مع ضمان أداء الخدمة للعمالء بالسرعة المناسبة طبقا لما تم ذكره في األحكام والشروط الخاصة بالخدمة مع أخذ توقعات العمالء بعين االعتبار.
2-5-7 يجب على البنوك وضع معايير لتقييم ومتابعة مستوى أداء تقديم الخدمات المقدمة كما يجب اتخاذ التدابير الالزمة للتأكد من قدرة نظم تلك الخدمات والنظم الداخلية الخاصة بتقديم الخدمة على التعامل مع حجم العمليات المتوقعة والنمو المستقبلي لهذا النوع من الخدمات.
3-5-7 يجب أن تأخذ البنوك في اعتبارها التخطيط لضمان استمرارية العمل عند تطويرها للخدمات المقدمة، على أن يتم أيضا مراعاة الممارسات التالية: o في حال حدوث عطل في الخدمة، يجب أن تحتوي خطة استمرارية العمل على خطوات محددة لكيفية استئناف أو استرجاع تلك الخدمات، تحدد هذه الخطوات بناء على أهداف وقت ونقطة المحددين مسبقا مع ضرورة دورية المراجعة والتحديث بأي ً االسترجاع RPO & RTO مستجدات أو مخاطر.
o وجود نسخ احتياطية للبيانات الستعادة البيانات ووجود خطط عمل بديلة للطوارئ.
o يجب أن تتمتع خطة استمرارية العمل الخاصة بالخدمات المقدمة بالقدرة على التعامل مع أي من الحاالت التي يتم فيها اإلسناد ألطراف خارجية.
.8أمن العمالء وضوابط لبعض المخاطر األخرى
1-8 يجب على البنوك أن تحدد بدقة كافة االحكام والشروط بينها وبين عمالئها من خالل تطبيقات مقدمي خدمات الدفع او من خالل أي قناة دفع الكترونية متصلة بشبكة المدفوعات اللحظية وبما ال يتعارض مع تعليمات حماية حقوق عمالء البنوك المصدرة في فبراير 2019 وكافة تعديالتها مع مراعاة ما يلي: 1-1-8 تحديد كافة الشروط واالحكام الخاصة باالشتراك على شبكة المدفوعات اللحظية وتنفيذ المعامالت من خالل تطبيق الهاتف المحمول وانه ال يتم االشتراك في الخدمة اال بعد الموافقة الكترونيا على تلك الشروط واالحكام.
2-1-8 صياغة الشروط واالحكام بصورة واضحة ومحددة بحيث يسهل فهمه بالنسبة ألي عميل مع تجنب استخدام الكلمات والعبارات التي تحمل أكثر من معنى.
3-1-8 توضيح التزامات كل من مقدم خدمات الدفع و ُمستخدم النظام في حالة اإلخالل بأي من شروط التعاقد.
4-1-8 تحتوي الشروط واالحكام على بنود محددة واضحة والتي يجب أن تتضمن ما يلي كحد أدنى: o تفويض مقدم خدمات الدفع بإرسال المعامالت لشبكة المدفوعات اللحظية لتقديم الخدمات المتفق عليها واحقية العميل في ايقاف الخدمة.
o توضيح مستوى خصوصية بيانات العمالء ومدى إتاحتها للغير بما يتوافق مع التعليمات الرقابية الصادرة من البنك المركزي المصري أو القوانين المنظمة لذلك.
o توضيح بشكل ُمف َّصل الخطوات الواجب على ُمستخدم النظام إتباعها لتفعيل الخدمة في حالة الوقتاالشتراك ألول مرة أو في حالة وقف الخدمة أو إعادة تشغيلها، موضحا الالزم إليقاف ً الخدمة من لحظة طلب إيقافها من قِبل ُمستخدم النظام والطرق المختلفة لطلب إيقاف الخدمة.
o إتاحة امكانية إيقاف استخدام الخدمة عند إساءة استخدامها من قبل مستخدم النظام.
5-1-8 يقوم البنك المصدر الداه الدفع اإللكترونية وكذلك مقدم خدمات الدفع بإيجاد آلية لدراسة الشكاوى ويُنص صراحة في بنود واحكام تقديم الخدمة على طريقة تقديم الشكوى إلى البنك أو مقدم خدمات ُمستغرق للتحقيق في الشكوى من قِبل األطراف المختلفة.الدفع والحد األقصى للوقت ال 6-1-8 في حالة وجود منازعات على المعامالت المالية أو وجود شكاوى من قِبل ُمستخدمي النظام، تخضع ُمستخدم النظام وتكون تسوية المنازعات وفقاًعمليات تسوية المنازعات إلى قواعد ثابتة و ُمعلنة ل بأن سجالت النظام هي حجة قاطعة بشرط عدم حدوث خلللقواعد شبكة المدفوعات اللحظية، علماً في النظام وبشرط وجود سجالت كاملة للمعامالت محل المنازعة.
7-1-8 التأكيد على التزام ُمستخدم النظام بقراءة التحذيرات واإلطارات التنبيهية )مثل التنبيهات األمنية أو تنبيهات محاوالت االحتيال/الهندسة االجتماعية Engineering Social.. إلخ( والتأكيد أي ًضا على أن قبول ُمستخدم النظام ألي تغيير في الشروط واألحكام الذي سيظهر من خالل النظام إلكترونيا والموافقة عليها الكترونيا لالستمرار في الحصول على الخدمة.
8-1-8 التأكيد بوضوح على أن القوانين المصرية ذات الصلة ولوائحها التنفيذية والتعليمات والقواعد الرقابية هي التي تحكم الخدمات التي يقوم البنك ومقدمي خدمات الدفع )PSPs )بتقديمها للعمالء من خالل شبكة المدفوعات اللحظية ويتم تسوية النزاعات داخل جمهورية مصر العربية.
ُمستخدم في الحفاظ على كلمة السر/الرقم السري الخاص به وإبالغ البنك في9-1-8 توضيح مسئوليات ال حال فقدانه للرقم السري او اشتباه العميل في ان بياناته السرية التي قد تؤدي إلي اإلخالل بسالمة حساباته قد تم االطالع عليها من قبل الغير.
2-8 رصد األنشطة غير العادية
1-2-8 يتعين على البنوك وضع تدابير فعالة للرقابة المستمرة لضمان سرعة اكتشاف أي معامالت غير عادية تحدث من خالل المنظومة يُشتبه أن تؤدى إلى عمليات احتيال وعلى وجه الخصوص، ينبغي أن تكون تلك التدابير قادرة على اكتشاف حاالت مثل: o حدوث العديد من عمليات تحويل أموال باستخدام تطبيقات الهاتف المحمول إلى حساب مستفيد آخر خالل فترة زمنية وجيزة، وخاصة إذا كانت المبالغ المحولة تقترب من الحد األقصى المسموح به. وكذلك الزيادة المفاجئة في األموال المحولة لحسابات مستفيدين.
2-2-8 يجب أن تتمتع آلية الرقابة المتبعة بالقدرة على سرعة إصدار تحذيرات إلى المختصين بالمتابعة والرصد للخدمات المقدمة عند حدوث أي تحويل أموال محل شبهة احتيال، وكذلك أي أنشطة غير معتادة ويجب على البنوك في تلك الحاالت أن تقوم بالتحقق من ذلك مع أصحاب هذه الحسابات التي تتم عليها هذه المعامالت أو األنشطة في أسرع وقت ممكن وإخطار الجهات المختصة.
3-2-8 يتم الرجوع الى العمالء فور رصد أي معاملة غير اعتيادية للتحقق من قيامهم بها.
4-2-8 يجب على البنك تطبيق إجراءات محددة و ُمعتمدة للتعامل مع المعامالت المشتبه بها.
3-8 توعية مستخدمين النظام
1-3-8 نظراً ألن األجهزة التي يستخدمها العمالء للدخول على تطبيق الهاتف المحمول �الخاص بمقدمي خدمات الدفع وكذلك القنوات اإللكترونية الخاصة بالبنك تقع خارج نطاق سيطرة البنك، فإن احتمال ظهور مخاطر أمنية تزداد في حالة عدم معرفة ُمستخدم النظام باالحتياطات األمنية الضرورية لتوعية العمالء عنالستخدام الخدمة أو سوء فهمها ولذلك يجب على البنك أن يولي اهتماماً خاصاً طريق تقديم نصائح سهلة الفهم وواضحة تتعلق باالحتياطات األمنية الواجب اتخاذها عند التعامل مع تلك الخدمات والتزامهم حيال ذلك.
2-3-8 التأكيد على العمالء وتوعيتهم أن موظفي البنك أو وكالءه أو مقدمي خدمات الدفع ال يجوز لهم أن يطلبوا من ُمستخدم النظام اإلفصاح عن البيانات السرية )كاألرقام التعريفية أو كلمات السر( عن طريق البريد اإللكتروني أو غيره وفي حالة وقوع ذلك يجب على ُمستخدم النظام االتصال بالبنك في أسرع وقت ممكن.
3-3-8 توعية عمالء تلك الخدمات بالطرق التي يمكنهم من خاللها التأكد من صحة التطبيق الرسمي.
4-3-8 تختلف النصائح الخاصة باالحتياطات األمنية الواجب إتباعها وفقا لطبيعة العمالء، وطبيعة الخدمات المقدمة، وتشمل النصائح ما يلي كحد أدنى: o اختيار وحماية كلمات السر الخاصة بالعميل )وأيضا اسم المستخدم في حالة السماح للعميل باختياره(. على سبيل المثال، يجب على البنوك أن تنصح العمالء بإنشاء كلمة سر معقدة وعدم اختيار كلمات سر تتضمن معلومات �مثل تاريخ الميالد أو رقم الهاتف قد يكون من السهل التعرف عليها.
o الحماية ضد تقنيات الهندسة االجتماعية Techniques Engineering Social حيث يجب توعية العمالء بضرورة عدم اإلفصاح عن أي معلومات شخصية - كبطاقة الهوية أو جواز السفر أو العناوين أو أرقام حسابات البنك الخاصة بهم - ألي شخص لم يتأكد من هويته أو استخدام تطبيقات هواتف محمولة موضع شك. كما يجب التأكيد على العمالء بعدم اإلفصاح عن كلمات السر ألي شخص بما في ذلك موظفي البنك أو وكالئه.
o يجب على البنوك مراجعة النصائح واإلرشادات الخاصة باالحتياطات التأمينية التي يتم تقديمها للعمالء للتأكد من كفايتها ومالئمتها للتغيرات التي تستجد على البيئة التكنولوجية والخدمات المقدمة.
o يتم إخطار مستخدم النظام بوسيلة التصرف في حالة اكتشاف أي شخص آخر للرقم السري الخاص ب ُمستخدم النظام.
لوجود صعوبة في توفير العمالء لوقت طويل الستيعاب اإلرشادات الطويلة والمعقدة، يمكن5-3-8 نظراً للبنوك ابتكار أساليب وقنوات فعالة إلبالغ العمالء وتوعيتهم باالحتياطات التأمينية التي يجب اتخاذها من جانبهم, ويمكن للبنك االستفادة من العديد من األساليب - كالمواقع اإللكترونية للبنك، ووسائل التواصل االجتماعي المعتمدة، والرسائل المطبوعة واإللكترونية لكشوف حسابات العمالء، والمنشورات الترويجية، وكذلك في األحو�ال التي يتواصل فيها عادة موظفي المكاتب األمامية للبنك أو ُمقدم الخدمة مع العمالء - للتأكيد على ضرورة االلتزام ببعض التدابير االحتياطية األساسية.
.9 إجراءات الحصول على التراخيص 1-9 يجب على البنوك التي ترغب في الحصول على تراخيص العمل كبنك مصدر (Bank Issuer (من خالل شبكة المدفوعات اللحظية أن تتقدم بطلب للحصول على موافقة البنك المركزي المصري، وذلك مع استيفاء ما يلي: لخطة عمل ال1-1-9 االلتزام بإنهاء كافة االختبارات واإلجراءات الخاصة بشبكة المدفوعات اللحظية وفقاً تتجاوز 6 أشهر اعتبارا من تاريخه.
2-1-9 تقديم خطة عمل لمدة ثالث سنوات تتضمن التالي:
-
عدد الحسابات والبطاقات الخاصة بالعمالء المستهدف إتاحتها لشبكة المدفوعات اللحظية.
-
عدد وقيم المعامالت السنوية المستهدف تنفيذها.
-
تقديم خطة تسويقية شاملة للتعريف بالخدمة وتفعيل استخدامها على أن يوضح بالخطة الميزانية المعتمدة لذلك.
2-9 يجب على البنوك التي ترغب في الحصول على تراخيص العمل كبنك مقدم خدمات الدفع (Bank PSP( من خالل شبكة المدفوعات اللحظية أن تتقدم بطلب للحصول على موافقة البنك المركزي المصري وذلك مع استيفاء ما يلي: 1-2-9 في حال طلب ترخيص مقدم خدمات دفع من خالل قنوات البنك اإللكترونية ) authorized-Pre : )PSP Bank
-
االلتزام بإنهاء كافة االختبارات واإلجراءات الخاصة بشبكة المدفوعات اللحظية.
-
القنوات اإللكترونية التي سيتم إتاحتها لتنفيذ المعامالت على سبيل المثال ال الحصر )اإلنترنت البنكي –تطبيق الهاتف المحمول البنكي(.
-
تقديم خطة عمل لمدة ثالث سنوات تتضمن ما يلي: o عدد وقيم المعامالت السنوية المستهدف تنفيذها.
o تقديم خطة تسويقية شاملة للتعريف بالخدمة وتفعيل استخدامها على ان يوضح بالخطة الميزانية المعتمدة لذلك.
2-2-9 في حال تقديم البنك تطبيق هاتف محمول خاص به لجميع عمالء شبكة المدفوعات اللحظية ) Full :)Fledge PSP Bank
-
بيان يوضح اسم التطبيق والفئات المستهدفة به.
-
اسم الشركة الراغبة في الحصول على ترخيص مقدم خدمات دفع )PSP )من خالل شبكة المدفوعات اللحظية
-
سجل تجاري ساري وبطاقة ضريبية سارية للشركة الراغبة في الحصول على الترخيص.
-
قيام البنك بإخضاع مالكي الشركة والقائمين على إدارتها إلجراءات العناية الواجبة بعمالء البنوك وجمع أي معلومات يري ضرورة الحصول عليها بشأنهم.
-
قيام البنك بالتحقق من عدم تعرض أي من مالكي الجهة والقائمين على إدارتها لعقوبات تتعلق بجنايات أو عقوبات على جرائم مخلة بالشرف أو األمانة.
-
تضمين شروط التعاقد مع الجهة ضرورة توافر نظم وإجراءات لديها تشترط توافر مستويات مرتفعة من الكفاءة والنزاهة لدى العاملين بها وبالمنافذ التابعة لها، على أن تتضمن هذه النظم واالجراءات كحد أدنى االستفسار عن العمل السابق والحصول على صحيفة الحالة الجنائية.
-
االلتزام بإنهاء كافة االختبارات واإلجراءات الخاصة بشبكة المدفوعات اللحظية.
-
قائمة بأنواع الخدمات التي سوف يقوم مقدم الخدمة بتقديمها.
-
خطوات العمل التفصيلية التي سيتم اتباعها لكل خدمة على حدة.
-
تقديم خطة عمل لتفعيل الخدمة مدتها ثالث سنوات تتضمن التالي: o عدد وقيم المعامالت الشهرية والسنوية المستهدف تنفيذها.
o خطة تسويقية شاملة للتعريف بالخدمة وتفعيل استخدامها على ان يوضح بالخطة الميزانية المعتمدة لذلك.
o نموذج التسعير الخاص بالخدمة.
3-9 يجب على البنوك التي ترغب في الحصول على تراخيص العمل كبنك قابل )Bank Acquirer (من خالل شبكة المدفوعات اللحظية أن تتقدم بطلب للحصول على موافقة البنك المركزي المصري وذلك باستيفاء المستندات التالية كحد أدنى: 1-3-9 بيان يوضح ما إذا كان نشر القبول لدي التجار سوف يتم من خالل البنك مباشرة أو من خالل مقدم خدمات دفع )PSP )متعاقد مع البنك.
2-3-9 بيان يوضح الفئات المستهدفة من خالل البنك او مقدمي خدمات الدفع )PSPs).
3-3-9 االلتزام بإنهاء كافة االختبارات واإلجراءات الخاصة �بشبكة المدفوعات اللحظية.
4-3-9 قائمة بأنواع الخدمات التي سوف يقوم مقدم الخدمة بتقديمها.
5-3-9 خطوات العمل التفصيلية التي سيتم اتباعها لكل خدمة على حدة.
6-3-9 بيان يوضح قنوات التوزيع التي يرغب البنك أو مقدم خدمات الدفع )PSP )في الحصول على ترخيص لها فعلي سبيل المثال ال الحصر )القبول اإللكتروني من خالل رمز االستجابة السريع
)Code QR - )القبول اإللكتروني من خالل تطبيقات هاتف محمول خاصة بالتجار - القبول اإللكتروني من خالل نقاط البيع - القبول اإللكتروني من خالل الشراء عبر األنترنت(.
7-3-9 تقديم خطة عمل لتفعيل الخدمة مدتها ثالث سنوات تتضمن التالي:
-
خطة البنك لعدد التجار المستهدف التعاقد معهم.
-
عدد وقيم معامالت الشراء المستهدف قبولها من خالل جميع قنوات التوزيع على شبكة المدفوعات اللحظية.
-
خطة تسويقية شاملة للتعريف بالخدمة وتفعيل استخدامها على أن يوضح بالخطة الميزانية المعتمدة لذلك.
4-9 في حال تعاقد البنك مع مقدم الخدمات التكنولوجية )Provider Service Technology )يلتزم البنك بتقديم نفس البيانات الخاصة السابق ذكرها فيما يخص التعاقد مع الشركات مقدمة خدمات الدفع .)PSPs(