الفصل الثانى القواعد المنظمة لتقديم الخدمات المصرفية عبر اإلنترنت

-1 مقدمـة 1-1 الغـرض

أصبحت الخدمات المصرفية اإللكترونية أحد العناصر الجوهرية للعديد من الخدمات المصرفية، حيث تشكل توقعات العمالء ضغوطاً على البنوك لتبني إستراتيجيات مصرفية جديدة. ويشير مصطلح الخدمات المصرفية اإللكترونية إلى توصيل المنتجات والخدمات المصرفية التقليدية بشكل آلي ومميكن لتحقيق االستفادة المباشرة للعمالء وذلك عن طريق قنوات إتصال إلكترونية وتفاعلية. وتضم الخدمات المصرفية اإللكترونية النظم الالزمة التي تّمكن عمالء البنوك سواء من األفراد أو األشخاص االعتبارية من الدخول على الحسابات وإجراء المعامالت الخاصة بهم 1 أو الحصول على معلومات عن المنتجات والخدمات المالية من خالل قنوات إتصال إلكترونية .

بالرغم من أن الخلل في الخدمات المصرفية اإللكترونية أو تعطلها قد ال يؤثر على إستقرار النظام المالي، إال أنها تؤثر سلبا اإللكترونية وتهدد سمعة البنك. وتساعد ً على ثقة المتعاملين في الخدمات المقدمة من خالل قنوات اإلتصال القواعد المنظمة البنوك على تقديم تلك الخدمات بشكل يحافظ على سرية وأمن المعلومات ويمكن العمالء من اإلعتماد عليها من خالل ضبط وتأمين البنية التحتية بالشكل المناسب .

لزيادة توجه الخدمات المصرفية في مصر نحو اإلعتماد على التكنولوجيا فإن ذلك يتطلب المزيد من ونظراً اإلصالحات التنظيمية الالزمة في هذا المجال.

2-1 نطاق القواعد

• بالرغم من تشابه المخاطر والضوابط بين مختلف قنوات التواصل الخاصة بالخدمات المصرفية إال أن هذه القواعد ضاً تختص بالخدمات المصرفية عبر اإلنترنت )المعروفة أي باإلنترنت البنكي( التي يستخدمها العمالء من األفراد أو األشخاص االعتبارية .

.

كتاب السيد محافظ البنك المركزي المصري بتاريخ 4 نوفمبر 2014 1

• ال يغطي نطاق القواعد قنوات التنفيذ األخرى )مثال: ماكينات الصراف اآللي ATM، والخدمات المصرفية عبر الهاتف األرضي والخدمات المصرفية عبر الهاتف المحمول( ، وسيتم إصدار القواعد التفصيلية المنظمة لهذه الخدمات بشكل مستقل الحقا . ً

• تعتبر هذه القواعد والضوابط هى الحد األدنى الالزم لتقديم الخدمات المصرفية عبر شبكة اإلنترنت بطريقة آمنة، وعلى كافة البنوك أال تكتفى بذلك وأن تتأكد من اتخاذ كافة ما يلزم نحو إدارة المخاطر المرتبطة بتقديم هذا النوع من الخدمات المصرفية.

• تتضمن هذه القواعد بعض الضوابط أو األهداف الرقابية العامة المتعلقة باستمرارية األعمال وإسناد األعمال إلى أطراف خارجية وإدارة مخاطر نظم المعلومات، وبالرغم من ذلك سيتم إصدار القواعد التفصيلية المنظمة لهذه ا لمجاالت بشكل مستقل الحقاً.

• هذه القواعد ال تشمل عمليات الخصم من البطاقات المصرفية التي تتم من خالل المنظومة ذات األطراف األربعة Model Party-Four وعمليات الدفع من المنظومات المغلقة والتي تتم عن طريق اإلنترنت.

• تسرى هذه القواعد فيما يتعلق بتقديم الخدمات المصرفية عبر اإلنترنت وذلك دون اإلخالل بالضوابط الرقابية للعمليات المصرفية اإللكترونية السابق صدورها عن البنك المركزى وكذلك التعليمات والقواعد الخاصة بتنفيذ العمليات المصرفية.

• تسري هذه القواعد على جميع البنوك المسجلة لدى البنك المركزي المصري بما فيها فروع البنوك األجنبية.

3-1 المالحق

• ملحق )أ(: الممارسات السليمة لوضع البنية التحتية للخدمات المصرفية عبر اإلنترنت
• ملحق )ب(: أمثلة عن الهجمات اإللكترونية األكثر شيوعا
• ملحق )ج(: التعريفات -2 إدارة مخاطر خدمات اإلنترنت البنكي 1-2المخاطر المرتبطة بخدمات اإلنترنت البنكي يقترن تقديم خدمات اإلنترنت البنكي بالعديد من المخاطر والمميزات في نفس الوقت. وبينما ال تعتبر تلك المخاطر جديدة على البنوك إال أن خصائص خدمات اإلنترنت البنكي قد تزيد من درجات المخاطر باإلضافة إلى خلق تحديات جديدة إلدارة تلك المخاطر. وتتمثل هذه المخاطر فيما يلي وذلك على سبيل المثال ال الحصر:

- المخاطر اإلستراتيجية:

تتمثل في قرار تقديم خدمات اإلنترنت البنكي ونوع الخدمات المقدمة واختيار الوقت المناسب لتقديمها. ويقصد بذلك على وجه التحديد مدى الجدوى اإلقتصادية لتقديم هذه الخدمات أو استمرارها وما إذا كانت نسبة العائد على اإلستثمار سوف تفوق اإلستثمارات األولية ومصروفات استمرار تقديم هذه الخدمات. كما أن سوء التخطيط لخدمات اإلنترنت البنكي والقرارات اإلستثمارية غير المدروسة يمكنها أن تزيد المخاطر اإلستراتيجية التي تتعرض لها البنوك.

- مخاطر التشغيل/ مخاطر المعامالت:

تتمثل في المخاطر الناجمة عن االحتيال أو األخطاء في تنفيذ المعامالت، أو الخلل في عمل النظام، أو غيرها من األحداث غير المتوقعة التي قد تؤدى إلى عدم قدرة البنك على تقديم الخدمات أو تعرض البنك أو عمالئه لخسائر مالية. وبينما تكمن المخاطر في كل المنتجات والخدمات المقدمة، إال أن مستوى المخاطر الخاصة بالمعامالت يتأثر بهيكل اإلجراءات والمعامالت البنكية ويتضمن ذلك أنواع الخدمات المقدمة ودرجة تعقيد العمليات والوسائل التكنولوجية المساعدة.

- مخاطر اإللتزام/ المخاطر القانونية:

تنشأ هذه المخاطر نتيجة الزيادة السريعة الستخدام خدمات اإلنترنت البنكي واالختالف بين العمليات اإللكترونية والعمليات اليدوية. وقد تتضمن التحديات التنظيمية/القانونية الخاصة ما يلي:

• إبرام اتفاقية قانونية إلكترونياً مع العمالء إلستخدام خدمة اإلنترنت البنكي.

• األساليب التي تستخدمها البنوك للتحقق من هوية العمالء بإعتبارها أحد مصادر المخاطر القانونية التي ينبغي وضع ضوابط كافية للحد منها .

• في ضوء إلتزام البنوك بقانون البنك المركزي ، يتعين على البنوك وضع إجراءات وضوابط للحفاظ على خصوصية البيانات وسرية حسابات العمالء للتمكن من إدارة المخاطر المتزايدة التي تتعلق بتقديم خدمات اإلنترنت البنكي، وكذلك مسئولية البنوك القانونية تجاه العمالء نتيجة إلحتمال حدوث إختراق لخصوصية البيانات، أو أي مشاكل أخرى بسبب عمليات القرصنة أو االحتيال أو اإلخفاقات التكنولوجية األخرى والعمل على حماية تلك البيانات من االستيالء عليها.

3

• تتحمل البنوك التي تقدم خدمات اإلنترنت البنكي درجة أعلى من مخاطر اإللتزام وذلك بسبب الطبيعة المتغيرة للتكنولوجيا والتعديالت الرقابية التي تهدف إلى التعامل مع المشاكل الخاصة بتقديم هذا النوع من الخدمات.

• االحتفاظ بمستندات اإللتزام المطلوبة والخاصة بالسجالت والتطبيقات وكشوف الحسابات واإلفصاحات واإلشعارات.

• تحديد وتقييم مخاطر غسل األموال وتمويل اإلرهاب التي قد تنشأ عن الخدمات المصرفية المقدمة عبر شبكة اإلنترنت، حيث يجب اإلنتهاء من هذا التقييم قبل إطالق خدمات اإلنترنت البنكي.

• مخاطر السمعة : يتزايد مستوى المخاطر المتعلقة بالسمعة بشكل كبير وذلك نتيجة قرار البنك بتقديم خدمات اإلنترنت البنكي، لمعامالت األكثر تعقيدا.ً وفيما يلي بعض المخاطر التي قد تؤثر على سمعة البنك من خالل فيما يتعلق باوخاصةً تقديم خدمات اإلنترنت البنكي:

• إنعدام الثقة نتيجة وجود معامالت غير مصرح بها على حساب العميل.

• اإلفصاح عن معلومات سرية خاصة بالعميل ألطراف غير مصرح لها، أو سرقتها.

• الفشل في تقديم خدمات يمكن اإلعتماد عليها نتيجة لتكرار تعطل الخدمة أو طول مدة توقفها.

• شكاوى العميل من صعوبة إستخدام خدمات اإلنترنت البنكي أو عدم قدرة موظفي الدعم الفني بالبنك على حل هذه المشاكل.

- مخاطر أمن المعلومات:

ينشأ هذا النوع من المخاطر نتيجة احتمال إستغالل إحدى الجهات غير المشروعة لنقاط الضعف بالنظام اإللكتروني إلحداث الضرر، والذي ينتج عنه آثار تتعلق بمستوى سالمة وإتاحة وسرية البيانات.

2-2 مسئوليات وإلتزامات مجلس اإلدارة واإلدارة العليا

1-2-2 يتولى مجلس اإلدارة واإلدارة العليا مسئولية اإلشراف على إعداد إستراتيجية العمل الخاصة بالبنك وكذا إتخاذ قرار إستراتيجي واضح بشأن رغبة البنك في تقديم خدمات اإلنترنت البنكي من عدمه، وبصفة خاصة يجب على مجلس اإلدارة التأكد مما يلي:

• توافق خطط اإلنترنت البنكي مع األهداف اإلستراتيجية للبنك.

• تحليل المخاطر الخاصة بخدمات اإلنترنت البنكي المقترحة.

• إعداد إجراءات مناسبة لمراقبة المخاطر والحد منها وذلك فيما يتعلق بالمخاطر التي يتم تحديدها.

2-2-2 يجب على مجلس اإلدارة واإلدارة العليا ضمان تحليل المخاطر المرتبطة بخدمات اإلنترنت البنكي المشار اليها في البند 1-2 والحد منها بالطرق المالئمة، وذلك وفقا لما يلي 1-2-2-2: وضع رقابة فعالة على المخاطر المرتبطة بتقديم خدمات اإلنترنت البنكي، بما في ذلك تحديد المسئوليات والسياسات والضوابط الرقابية إلدارة هذه المخاطر:

• يجب على مجلس اإلدارة واإلدارة العليا اإللمام بجوانب عمليات اإلنترنت البنكي، والتى قد تفرض تحديات تختلف عن إدارة المخاطر التقليدية على النحو الوارد فى البند .1-2

• يجب على مجلس اإلدارة واإلدارة العليا التأكد من عدم تقديم البنك خدمات جديدة لإلنترنت البنكي أو تبنى وسائل تكنولوجية جديدة إال إذا توافرت لهذا البنك الخبرات الالزمة التي تمكن من إدارة المخاطر بكفاءة. وينبغي ان تتناسب خبرات الموظفين واإلدارة مع الطبيعة الفنية ودرجة تعقيد التطبيقات والتقنيات الخاصة بخدمات اإلنترنت البنكي .

• يجب على مجلس اإلدارة واإلدارة العليا تحديد درجة قدرة البنك على تقبل المخاطر Risk Appetite وذلك فيما يتعلق بخدمات اإلنترنت البنكي مع ضمان إدراج عمليات إدارة المخاطر المتعلقة بهذه الخدمات في المنهجية العامة للبنك إلدارة المخاطر. كما يجب أن تتم مراجعة السياسات والعمليات الحالية والخاصة بإدارة المخاطر وذلك للتأكد من كفايتها لتغطية المخاطر الجديدة التي قد تنتج عن خدمات اإلنترنت البنكي .

• يجب على إدارة المراجعة الداخلية أن تقدم لمجلس اإلدارة ولجنة المراجعة واإلدارة العليا تقييم مستقل وموضوعي عن مدى فعالية الضوابط الرقابية التي يتم تطبيقها للحد من المخاطر الناتجة عن تقديم خدمات اإلنترنت البنكي بما في ذلك مخاطر التكنولوجيا.

2-2-2-2 مراجعة وإعتماد الجوانب الرئيسية لعملية الرقابة األمنية الخاصة بالبنك:

• يجب على مجلس اإلدارة واإلدارة العليا اإلشراف على التطوير والصيانة المستمرة للبنية التحتية للرقابة األمنية التي توفر الحماية المناسبة لنظم وبيانات خدمات اإلنترنت البنكي من أي تهديدات داخلية أو خارجية. ومن أجل ضمان فعالية عملية تأمين خدمات اإلنترنت البنكي، يجب على مجلس اإلدارة واإلدارة العليا التأكد من إتخاذ اإلجراءات اآلتية :
• تحديد مسئوليات واضحة خاصة باإلشراف على وضع وإدارة السياسات األمنية الخاصة بالبنك.

5

• توفير الحماية الالزمة لمنع دخول األشخاص غير المصرح لهم إلى بيئة الحاسب اآللي، والتي تتضمن كافة األنظمة الحيوية وخوادم الشبكة وقواعد البيانات والتطبيقات واالتصاالت، واألنظمة األمنية الخاصة بخدمات اإلنترنت البنكي.

• توفير الضوابط اإللكترونية الالزمة والتي من شأنها منع أي أطراف داخلية أو خارجية غير مصرح لها من الوصول إلى التطبيقات وقواعد البيانات الخاصة بخدمات اإلنترنت البنكي.

• المراجعة الدورية لعمليات اختبار اإلجراءات والنظم األمنية )على سبيل المثال إجراء اختبار االختراق دوريًا كما هو موضح في البند 8-3( بما في ذلك المتابعة المستمرة للتطورات في النظم األمنية في هذا المجال، وتحميل وإعداد التحديثات الخاصة بالبرامج وحزم الخدمات المناسبة والتدابير الالزمة وذلك بعد إجراء االختبارات المطلوبة.

3-2-2-2 إعداد آلية شاملة ومستمرة إلجراء األبحاث النافية للجهالة Diligence Due والرقابة على عمليات التعهيد وعالقات البنك بأطراف خارجية أخرى يتم اإلعتماد عليهم لتقديم خدمة اإلنترنت البنكي. مع تركيز مجلس اإلدارة واإلدارة العليا على النقاط التالية على سبيل المثال ال الحصر:

• اإللمام الكامل بالمخاطر المترتبة على إبرام أي ترتيبات خاصة باإلسناد أو الشراكة فيما يتعلق بنظم أو تطبيقات خدمات اإلنترنت البنكي باإلضافة إلى توفير الموارد الالزمة لإلشراف على هذه الترتيبات.

• إجراء األبحاث النافية للجهالة الالزمة فيما يتعلق بالكفاءة والبنية التحتية للنظام والقدرة المالية للشريك أو الطرف الخارجي مقدم الخدمة وذلك قبل إبرام أي اتفاقيات خاصة باإلسناد أو الشراكة.

• تحديد المسئوليات التعاقدية لكافة األطراف الخاصة باتفاقيات اإلسناد أو الشراكة بشكل واضح. على سبيل المثال، يتم تحديد مسئوليات توفير المعلومات إلى ُمقِّّدم الخدمة وتلقيها منه بشكل واضح.

• تتضمن تعاقدات خدمات االسناد إتفاقية لعدم اإلفصاح عن المعلومات السرية ألطراف خارجية وإتفاقية مستوى الخدمة والتي تشمل على سبيل المثال ال الحصر: تحديد األدوار والمسئوليات والوقت المطلوب لتنفيذ الخدمة وإجراءات وبيانات التصعيد والعقوبات في حال عدم اإللتزام، هذا باإلضافة إلى البنود التي تحفظ حق البنك في التدقيق على موردي الخدمات أو اإلعتماد على تقارير التدقيق المعتمدة )الصادرة عن جهات تدقيق معتمدة(.

• خضوع كافة النظم والعمليات الخاصة بخدمات اإلنترنت البنكي التي تتم من خالل عملية اإلسناد لنظام إدارة المخاطر وسياسات الخصوصية وأمن المعلومات التي تتفق مع المعايير الخاصة بالبنك.

• إجراء التدقيق الداخلي و/أو الخارجي بصفة دورية على العمليات التي تتم عن طريق اإلسناد، وينبغي أال يقل نطاق تغطية أعمال التدقيق عن مثيلتها التي يتم تطبيقها على المستوى الداخلي في البنك.

• توفير كافة تقارير التدقيق والتقييم لمفتشي قطاع الرقابة واإلشراف بالبنك المركزي المصري.

• وضع خطط طوارئ مناسبة لخدمات اإلنترنت البنكي التي تتم عن طريق اإلسناد.

• أن تتسم إجراءات فسخ/إنهاء التعاقد بالفاعلية، كما يجب أن تضمن هذه اإلجراءات الحفاظ على استمرارية العمل وسالمة البيانات وكذلك نقلها والتخلص منها.

• في حالة إسناد خدمات اإلنترنت البنكي لجهات خارج جمهورية مصر العربية، يجب على البنوك إتخاذ التدابير الالزمة لالمتثال للقوانين والتشريعات المصرية وإختصاص المحاكم المصرية بما قد ينشأ من منازعات .

وفقً في البند ،2-1 سيتم إصدار قواعد تفصيلية منظمة تَح ُكم أنشطة اإلسناد وذلك على ا لما ورد نحو منفصل، على أن تشمل الضوابط الرقابية التفصيلية باإلضافة إلى األهداف الرقابية وكذلك قائمة بالنظم والخدمات المسموح بإسنادها واالستعانة بمصادر خارجية لتنفيذها. ولحين إصدار هذه القواعد، يجب على البنوك عدم إبرام أي اتفاقيات تتعلق بإسناد خدمات اإلنترنت البنكي أو تطبيقاتها دون الحصول على موافقة مسبقة من البنك المركزي المصري .

3-2 إعداد سياسة تأمين المعلومات

ُمعتمدة من مجلس اإلدارةُمطبَّقة بالبنك - وال1-3-2 يجب على اإلدارة العليا التأكد من أن سياسة أمن المعلومات ال ويتم تحديثها بشكل دوري - تغطي خدمات اإلنترنت البنكي. ويسهم ذلك في تحديد السياسات واإلجراءات والضوابط الرقابية الالزمة لحماية العمليات البنكية من االختراقات واالنتهاكات األمنية، كما يحدد المسئوليات الفردية وكذا يوضح آليات التنفيذ واإلجراءات التي يجب إتخاذها في حال مخالفة هذه السياسات واإلجراءات.

2-3-2 تتولى اإلدارة العليا تعزيز ونشر الثقافة األمنية على كافة مستويات البنك عن طريق التأكيد على التزامهم بالمعايير العالية ألمن المعلومات، ونشر هذه الثقافة على كافة العاملين بالبنك.

4-2 تصنيف مخاطر خدمات اإلنترنت البنكي

تقدم البنوك مجموعة مختلفة من خدمات اإلنترنت البنكي لفئات متنوعة من العمالء ونتيجة لذلك فهي ال تنطوي عادةً على نفس مستوي المخاطر المتأصلة. على سبيل المثال، ال يتعرض العمالء المسموح لهم فقط باالستعالم عن أرصدة حساباتهم عبر اإلنترنت لنفس مستوى المخاطر التي يتعرض لها عمالء آخرون ممن يقومون بتحويل األموال إلى حسابات خارجية.

ويتطلب هذا التنوع في تقديم الخدمات تبنى البنوك ألساليب أمنية شاملة وتتسم بالمرونة في الوقت ذاته، على أن تكون منهجية التأمين قائمة على تحليل المخاطر والتهديدات الخاصة بخدمات اإلنترنت البنكي، مع األخذ في االعتبار المخاطر المتأصلة Risk Inherent والضوابط الرقابية التعويضية Controls Compensating من أجل الوصول لمستوى من المخاطر المتبقية Risk Residual التي تقع ضمن مستويات المخاطر المقبولة بالبنك .

5-2 قواعد مكافحة غسل األموال وتمويل اإلرهاب

يجب على البنوك التي تقوم بتقديم خدمات اإلنترنت البنكي تنفيذ ما يلي:

• اإللتزام بقانون مكافحة غسل األموال الصادر بالقانون رقم 80 لسنة 2002 والئحته التنفيذية والضوابط الرقابية للبنوك في شأن مكافحة غسل األموال وتمويل اإلرهاب الصادرة عن البنك المركزي المصري عام 2008 وقواعد التعرف على هوية العمالء بالبنوك الصادرة عن وحدة مكافحة غسل األموال وتمويل اإلرهاب عام .2011
• تطبيق إجراءات العناية المشددة بالنسبة للعمالء والعمليات مرتفعة المخاطر وفقا لما ورد بالبند الثامن )إجراءات العناية المشددة الخاصة بفئات العمالء أو الخدمات والعمليات المالية مرتفعة المخاطر( من قواعد التعرف على هوية العمالء بالبنوك الصادرة عن وحدة مكافحة غسل األموال وتمويل اإلرهاب عام .2011
• إيالء عناية كافية للمؤشرات االسترشادية الواردة بالبند السابع )المؤشرات االسترشادية للتعرف على العمليات التي يشتبه في أنها تتضمن غسل أموال أو تمويل إرهاب( من الضوابط الرقابية للبنوك في شأن مكافحة غسل األموال وتمويل اإلرهاب الصادرة عن البنك المركزي المصري عام .2008
• في حالة االشتباه في أية عمليات تتم من خالل شبكة اإلنترنت، القيام بإخطار وحدة مكافحة غسل األموال وتمويل اإلرهاب بشأنها، وذلك وفقا ألحكام قانون مكافحة غسل األموال الصادر بالقانون رقم 80 لسنة .2002

-3 الضوابط الرقابية على الخدمات المصرفية عبر اإلنترنت

1-3 إدارة حسابات خدمات اإلنترنت البنكي 1-1-3 تلتزم البنوك بعدم السماح للعمالء الجدد )ممن ال يمتلكون حساب مصرفي وليس حساب خدمات اإلنترنت البنكي( بفتح حساب مصرفي بإستخدام أي من قنوات تقديم الخدمات اإللكترونية )على سبيل المثال: موقع البنك على اإلنترنت، إلخ(. ويجب أن تطبق البنوك قواعد التعرف على هوية العمالء بالبنوك الصادرة عن وحدة مكافحة غسل األموال وتمويل اإلرهاب لسنة 2011 على هؤالء العمالء ال ُجدد.

2-1-3 تحصل البنوك على توقيع يدوي من العميل الذي يرغب في االشتراك بخدمات اإلنترنت البنكي على نموذج )نماذج( طلب الخدمة أو العقد )العقود( التي تحتوي على البيانات األساسية للعميل كحد أدنى )مثال: البريد اإللكتروني، رقم الهاتف المحمول واألرضي، عنوان المراسالت، إلخ(، باإلضافة إلى الشروط واألحكام التي تحدد الحقوق وااللتزامات بين البنوك والعمالء بشكل واضح )يرجى مراجعة البند رقم 1-4(.

3-1-3 تلتزم البنوك بإستخدام أساليب يمكن اإلعتماد عليها للتحقق من هوية وصالحيات العمالء الراغبين في االشتراك في خدمات اإلنترنت البنكي، وكذلك التحقق من هوية وصالحيات العمالء المشتركين بالخدمة الراغبين في تنفيذ أنشطة مصرفية عبر خدمات اإلنترنت البنكي.

4-1-3 تلتزم البنوك بتطبيق كافة اإلجراءات والضوابط الرقابية التي تمكنها من تحديد هوية القائمين بأي معامالت إلكترونية مرتبطة بالحسابات المصرفية، وذلك في الحاالت التي يصرح فيها ألكثر من مستخدم بالتعامل على هذا الحساب.

5-1-3 تلتزم البنوك بالحصول على كافة المستندات القانونية الالزمة إلثبات تفويض الصالحيات للمستخدمين بإجراء معامالت على حسابات األشخاص االعتبارية.

6-1-3 تلتزم البنوك بإجراء عمليات التدقيق الالزمة للتأكد من هوية العميل عند طلبه إجراء تعديل في بيانات حساب خدمات اإلنترنت البنكي الخاص به، أو تعديل أي بيانات يستخدمها العميل لمتابعة أنشطة حساباته المصرفية.

ويطبق ذلك على عمليات إعادة تفعيل الحساب واعادة إصدار كلمة سر جديدة لعميل خدمات اإلنترنت البنكي وتغيير بيانات اإلتصال الخاصة بالعميل مثل عنوان البريد اإللكتروني ورقم الهاتف المحمول واألرضي وعنوان المراسالت. كما يجب على البنوك أن تأخذ في االعتبار تطبيق المعايير التالية عند التعامل مع تلك الطلبات: 1-6-1-3 في حال تقدم العميل بطلب لتعديل البيانات الخاصة به في أحد الفروع، يتم تطبيق اإلجراءات الالزمة للتأكد من هويته.

2-6-1-3 أما في حال طلبات التعديل المقدمة من خالل خدمات اإلنترنت البنكي فيجب إستخدام وسيلة التصديق الموضحة بالبند 2-3 مع التأكد من وجود آليات مراقبة فعالة.

3-6-1-3 تطبيق البنوك اإلجراءات الالزمة للتحقق من هوية العميل في حالة تسليمه معلومات أو أدوات أو أجهزة تتيح له الدخول على حساب اإلنترنت البنكي الخاص به )مثال: الرقم السري PIN وأجهزة رموز األمان Tokens، الخ(.

4-6-1-3 في حال عدم توافر معايير مماثلة لتلك الموضحة أعاله، تتجنب البنوك إرسال المستندات المهمة )مثال: دفاتر الشيكات وأجهزة رموز األمان البديلة، إلخ( إلى العمالء الذين قاموا بتغيير عناوين مراسالتهم حديثاً على وجه الخصوص. ويلتزم العميل في هذه الحالة باستالم هذه المستندات بنفسه من أحد فروع البنك بعد التحقق من هويته طبقا للقواعد المعمول بها.

5-6-1-3 إجراء عمليات التحقق والفحص اإلضافية للتأكد من هوية العميل، وذلك فيما يتعلق بالطلبات التي تتم من خالل الهاتف )المكالمات التى ترد من العمالء فقط( إلرسال أجهزة رموز األمان الجديدة أو أي مستندات هامة أخرى وكمثال لعملية التحقق اإلضافية: سؤال العميل عن معلومات تتغير من وقت آلخر باإلضافة إلى األسئلة المتعلقة بالتفاصيل الشخصية بصفة عامة )مثال: األرصدة التقريبية في الحساب وآخر معامالت تم تنفيذها على الحساب(.

وحرصاً من البنك المركزي المصري على تعظيم مساهمة القطاع المصرفي بشكل فعَّال في تنفيذ خطة الدولة للتعامل مع تداعيات فيروس كورونا، وانطالقاً من دور القطاع المصرفي في تحفيز استخدام الوسائل والقنوات اإللكترونية في الدفع التي من شأنها تيسير إجراء المعامالت المالية على المواطنين والمساهمة في الحد من انتشار الفيروس، فقد 2 تم توجيه البنوك باتخاذ ما يلزم نحو تنفيذ ما يلي : أ- يجوز للبنك تسجيل اشتراك عمالئه الحاليين في تلك الخدمة بعد التحقق من هويتهم طبقا لطرق التحقق اإللكترونية المعتاد استخدامها ألي منتج من منتجاته، على سبيل المثال ال الحصر )المصادقة باستخدام الكود اآلمن لبطاقات الدفع أو بيانات المصادقة لخدمة االنترنت البنكي، إلخ(.

ب- يلتزم العميل باستكمال ما يلزم للتوافق مع اجراءات البنك لالشتراك في تلك الخدمة خالل الفترة التي يراها مناسبة وذلك في ضوء تقييمه للمخاطر المرتبطة بتلك الخدمات.

2 كتابي السيد محافظ البنك المركزي المصري بتاريخ 20 مارس ،2020 وبتاريخ 15 سبتمبر .2020 ج- يتعين على البنك تحديد الخدمات المصرفية التي يتم إتاحتها للعمالء الذين تم إشراكهم بالخدمة وفقاً للبند )أ( المذكور اعاله وذلك في ضوء تقييمه للمخاطر المرتبطة بتلك الخدمات مع إتباع الضوابط المحددة األخرى بتلك القواعد.

2-3 وسائل إثبات الهوية )التصديق(

1-2-3 تلتزم البنوك بإستخدام وسائل فعَّالة يمكن اإلعتماد عليها للتحقق من هوية العمالء المستخدمين لخدمات اإلنترنت البنكي. وعادةً ما تكون عملية التصديق أكثر فعالية عند الجمع بين اثنين من العناصر التالية:

• أحد األشياء المعروفة للعميل )مثال: اسم المستخدم وكلمة السر(.

• أحد األشياء التي بحوزة العميل )مثال: التوقيع الرقمي أو كلمات السر المستخدمة لمرة واحدة التي تصدر بإستخدام أجهزة رموز األمان(.

• أحد السمات المميزة والخاصة بالعميل )مثال: الصفات البيومترية، كالبصمات( 2-2-3 يجب على البنوك إعادة التصديق بإستخدام وسيلتين معاً )مثال: التوقيع الرقمي أو كلمات السر المستخدمة لمرة واحدة التي تصدر بإستخدام أجهزة رموز األمان مع عدم السماح بمنح كلمات السر المستخدمة بشكل آلى ومباشر عبر الرسائل النصية القصيرة أو البريد اإللكتروني للعمالء من األفراد واألشخاص االعتبارية، إلخ( عند تنفيذ األنشطة ذات المخاطر المرتفعة )مثل تحويل األموال ألطراف خارجية، تسجيل مستفيدين جدد، تغيير بيانات اإلتصال بالعميل، الخ(. ويجب أن تعمل وسيلة التصديق المستخدمة بالتزامن مع الضوابط ُمطبَّقة على تعزيز األبعاد التالية:األخرى ال

• عدم اإلنكار

• سالمة وتكامل البيانات

• سرية البيانات

• صحة الهوية ًء على تحليل3-2-3 يجب على البنوك تحديد وسائل التصديق التي ستستخدمها لخدمات اإلنترنت البنكي وذلك بنا المخاطر المرتبطة بالنظام، مع األخذ في اإلعتبار تقييم نوعية المعامالت المصرفية التي تقدم عبر اإلنترنت البنكي.

4-2-3 تحتاج البنوك إلى عمل تقييم دقيق لتحديد ما إذا كانت الوسيلة المستخدمة للتصديق مناسبة من الناحية األمنية حتى إذا كان الحاسب الشخصي الخاص بالعميل عرضة للتهديدات، مثال: عن طريق برامج خبيثة مثل حصان طروادة وبرامج التجسس عن طريق تسجيل الضغط على لوحة المفاتيح.

5-2-3 يجب على البنوك إستخدام التكنولوجيا المناسبة إلنشاء كلمات السر باإلضافة إلى تطبيق الوسائل الالزمة للحفاظ على سرية كلمات السر فى حالة تسليمها للعميل كما هو موضح في البند .3-3 ّكن العمالء من التحقق من هوية ومصداقية المواقع6-2-3 يجب أي ًضا على البنوك تطبيق الوسائل المناسبة التي تمِّ اإللكترونية الخاصة بهذه البنوك وذلك بخالف معايير التصديق الخاصة بهوية العمالء، وذلك عن طريق تثبيت شهادات التصديق الرقمية Certificates Digital والمفاتيح المرتبطة بها من الجهات المعروفة و الموثوق بها على خوادم نظام اإلنترنت البنكي، كما يُوصى بإستخدام شهادات التصديق التي تتضمن تحقق/تأكيد إضافي Validation Extra.

7-2-3 يجب على البنوك إنشاء آلية للتحقق من التصديق على النحو التالي: 1-7-2-3 إخطار العميل بمجرد دخوله على النظام بالمحاوالت السابقة الناجحة و/أو الفاشلة الخاصة بإسم المستخدم الخاص بالعميل وذلك فور دخول العميل على النظام.

2-7-2-3 منع دخول المستخدم إلى خدمات اإلنترنت البنكي بعد عدد محدد من المحاوالت الفاشلة - ال يتعدى خمس محاوالت - ويجب على البنك إعداد إجراءات واضحة إلعادة تفعيل حساب المستخدم الذي تم إيقافه.

3-7-2-3 منع المستخدم من إستخدام أكثر من نافذة إستخدام بشكل متزامن.

4-7-2-3 عدم إعطاء أي معلومات بعد المحاوالت الفاشلة للدخول على النظام إلى الشخص الذي قام بتلك المحاوالت مثل اإلفصاح عن عدم وجود إسم هذا المستخدم أو أن كلمة السر غير صحيحة.

5-7-2-3 القيام بالرقابة بصورة منتظمة لمحاوالت الدخول الناجحة و/أو الفاشلة لخدمات اإلنترنت البنكي، وعند إكتشاف أي تجاوز جسيم، يجب التحقيق فيه وتحديد التهديدات المحتملة واتخاذ التدابير الالزمة.

3-3 إدارة كلمة السر

1-3-3 مواصفات كلمة السر:

يجب على البنوك مراعاة التدابير الرقابية التالية عند التعامل مع كلمات السر الخاصة بالعمالء.

• تطبيق الرقابة المزدوجة و/أو الفصل بين المهام لعملية إنشاء كلمات السر وتسليمها للعمالء وعملية تفعيل حسابات خدمات اإلنترنت البنكي.

• تعزيز تأمين عملية إنشاء كلمة السر لضمان عدم تعرضها للكشف.

• التأكد من أن كلمات السر ال يتم معالجتها أو إرسالها أو تخزينها كنص واضح.

• وجوب توجيه مستخدمي ومديري أنظمة اإلنترنت البنكي لتغيير كلمة السر الصادرة فور الدخول إلى النظام ألول مرة.

• تطبيق قواعد إنتهاء صالحية كلمة السر على أساس مدة صالحية محددة مسبقا من قبل البنك.

• الحفاظ على تاريخ كلمات السر المستخدمة والتأكد من عدم إعادة استخدامها مرة أخرى خالل عدد مرات أو مدة زمنية يحددها البنك.

• فرض إستخدام كلمات سر معقدة )مثال: تتكون من ثمانية أحرف وتتضمن حروف وأرقام ورموز خاصة، إلخ(.

• يجب تشفير كلمة السر بإستخدام آلية تشفير قوية أو أن يكون طول مفتاح التشفير مناسب )ال يقل عن 1024 بايت(.

• إستخدام التكنولوجيا المناسبة إلنشاء كلمة السر وإعتماد التقنيات المناسبة للحفاظ على تأمينها أثناء التسليم إلكترونياً للعميل إما باليد أو .

• التأكد من أن آلية " تذكر كلمة السر" ال يمكن إستخدامها )أي ال يتم السماح بتخزين كلمة السر في صورة كود تطبيق خاص بالمواقع أو في ملفات تعريف االرتباط الخاصة بكلمات السر(.

2-3-3 كلمات السر المستخدمة لمرة واحدة التي تصدر بإستخدام أجهزة رموز األمان

• الحد األدنى لمواصفات كلمة السر لمرة واحدة:

• يجب أال تكون كلمة السر أقل من 6 رموز.

• يجب أال يزيد الوقت الزمنى لصالحية إستخدام كلمة السر عن 90 ثانية.

• التأكد من أن نظام الحلول الحسابية Algorithm إلنشاء كلمة السر يوفر العشوائية الكافية من القيم الرمزية.

لما يلي: - يجب أن يتم حماية جهاز رموز األمان برقم سري طبقاً

• يجب أن ال يقل الرقم السري لجهاز رموز األمان عن 4 أرقام.

• ال ينبغي السماح باألرقام السهلة كرقم سرى PIN مثال: 1111 أو 1234

• يجب أن يكون هناك حد أقصى للمحاوالت الغير ناجحة إلدخال الرقم السري - ال تتجاوز خمس محاوالت - قبل إيقاف جهاز رموز األمان.

• يجب على البنوك إعداد إجراءات واضحة إلعداد األرقام السرية األولية وإعادة تفعيل أجهزة رموز األمان الموقوفة.

• يجب توجيه العميل لتغيير الرقم السرى عند أول إستخدام وذلك في حالة إصداره عن طريق البنك.

4-3 الضوابط الخاصة بعمليات تحويل األموال 1-4-3 يجب على البنوك التي تقدم خدمة تحويل األموال من حسابات عمالئها إلى حسابات أطراف أخرى من خالل خدمات اإلنترنت البنكي وضع الضوابط المناسبة التي تساعد على تقليل المخاطر المصاحبة لتلك الخدمة لتصل إلى مستوى مقبول ومعتمد من البنك.

2-4-3 يجوز للبنوك إستخدام وسيلة تصديق أحادية للتصديق على عمليات تحويل األموال بين الحسابات التابعة لنفس العميل والتي تتم داخل نفس البنك بجمهورية مصر العربية، أو سداد التزامات العميل الخاصة ببطاقات االئتمان أو القروض أو إنشاء شهادة إيداع أو حساب وديعة ألجل داخل نفس البنك بجمهورية مصر العربية.

3-4-3 يجب على البنوك تطبيق مبدأ الرقابة المزدوجة على األقل )المعد/ المدقق والمصرح( على تحويالت أموال غير ذلك كتابياً األشخاص االعتبارية لمستفيدين آخرين - إال فى حالة طلب الشركة أو الشخص االعتباري

• مع ضرورة إستخدام كل من المعد/ المدقق والمصرح لوسائل إثبات الهوية )التصديق( الواردة بالبند -2-3 .2 4-4-3 يجب على البنوك وضع حد أقصى يومي أو حدود للمعامالت التي تتم من خالل خدمات اإلنترنت البنكي لتحويل األموال من حسابات عمالئها لمستفيدين آخرين على أن تخضع لدراسة المخاطر من قبل البنك، ويجب أال تتعارض تلك الحدود مع أي حدود أخرى يحددها البنك المركزي المصرى.

5-4-3 يُحظر معالجة بعض الوظائف/الخدمات بإستخدام نظام التنفيذ اآللي المباشر للعمليات، حيث يجب تنفيذها بعد أن يتحقق موظفي المكتب الخلفي بالبنك Office Back من صحة الطلب أو المعاملة. وفيما يلي الخدمات المحظور تنفيذها آليا:ً

• تحويل األموال لمستفيدين خارج جمهورية مصر العربية )بالتوافق مع أي لوائح أو تعليمات صادرة عن البنك المركزي المصري بخصوص تحويل األموال بالعملة األجنبية(.

• الطلبات المتعلقة بالعمليات االئتمانية )القروض، التسهيالت االئتمانية، طلبات بطاقات االئتمان، الخ( حيث يمكن تقديمها عبر اإلنترنت ولكن يجب على البنوك الحصول على توقيع من العميل قبل تنفيذ العملية/الطلب.

6-4-3 يجب على البنوك إخطار عمالئها من مستخدمي خدمات اإلنترنت البنكي بأي معامالت مالية أو أنشطة ذات مخاطر مرتفعة تتم على حساباتهم - إال في حالة طلب العميل غير ذلك - وذلك من خالل وسيلة مميكنة بديلة )مثل الرسائل النصية القصيرة أو رسائل البريد اإللكتروني(.

7-4-3 يتم التعامل مع خدمة سداد الفواتير عبر خدمات اإلنترنت البنكي خصماً على حساب العميل على أنها عملية تحويل أموال لمستفيدين آخرين، حتى وإن تم تحويلها عن طريق المكتب الخلفي Office Back.

8-4-3 يتعين على البنوك الوفاء بالتزاماتها الخاصة بتحويالت األموال وفقا لما ورد بالجزء التاسع الخاص بالقواعد الخاصة بتحويل األموال وذلك ضمن قواعد التعرف على هوية العمالء بالبنوك الصادرة عن وحدة مكافحة غسل األموال وتمويل اإلرهاب لسنة .2011

5-3 سرية وسالمة المعلومات

1-5-3 يتضمن تقديم خدمات اإلنترنت البنكي تداول بيانات سرية )مثل كلمات السر الخاصة بخدمات اإلنترنت البنكي والمعامالت المالية، إلخ( عبر شبكة االنترنت والشبكة الداخلية للبنك. لذلك يجب على البنوك إستخدام األساليب المناسبة للحفاظ على سرية وسالمة المعلومات المتداولة عبر الشبكات الداخلية والخارجية للبنك.

2-5-3 يتم إستخدام تكنولوجيا التشفير لحماية سرية وسالمة المعلومات التي تتسم بالحساسية. حيث يجب على البنوك اختيار تكنولوجيا التشفير التي تتناسب مع حساسية وأهمية المعلومات وكذا درجة الحماية المطلوبة، وفي هذا تبني البنوك لتكنولوجيا التشفير التي تستخدم طرق التشفير المتعارف عليها دولياً السياق يوصى دائما ب ، حيث تخضع نقاط القوة في هذه الطرق إلختبارات شاملة. وينبغي أن تطبق البنوك الممارسات السليمة إلدارة مفاتيح التشفير الالزمة لحماية هذه المفاتيح.

3-5-3 يجب على البنوك أي ًضا تنفيذ ضوابط أخرى بخالف أساليب التشفير، وذلك للحفاظ على سرية وسالمة المعلومات التي يتم تداولها عبر نظم خدمات اإلنترنت البنكي. ويتضمن هذا على سبيل المثال: 1-3-5-3 الضوابط وأعمال التدقيق المدرجة بتطبيقات اإلنترنت البنكي للتأكد من سالمة تسوية أرصدة العمالء بعد تنفيذ المعامالت باإلضافة إلى التأكد من سالمة البيانات التي يتم نقلها بين األنظمة المختلفة.

2-3-5-3 مراقبة المعامالت غير المعتادة بما في ذلك المعامالت محل االشتباه الخاصة بخدمات اإلنترنت البنكي أو السجالت التي يشتبه التالعب فيها )كما هو موضح في البند 2-4(.

4-5-3 ينبغي على البنك تطبيق سياسة الفصل بين المهام، وذلك للتأكد من عدم إمكانية قيام أي موظف داخل البنك بأي عمل غير مصرح له وإخفائه، ويتضمن هذا على سبيل المثال ال الحصر، إدارة حساب المستخدم وتنفيذ المعامالت كما يلي: 1-4-5-3 عدم السماح لموظف واحد فقط بالقيام بإنشاء حساب مستخدم لخدمات اإلنترنت البنكي والتصريح بالموافقة عليه وإلغائه دون مشاركة موظفي االدارات االخرى بالبنك للتحقق من سالمة تصرفات هذا الموظف.

1-4-5-3 يجب على البنك تصميم اإلجراءات الخاصة بتعامالت اإلنترنت البنكي بما يضمن عدم انفراد أحد األشخاص بإنشاء التعامالت والموافقة عليها وتنفيذها على النظام مما قد يدعم عملية إحتيال أو إخفاء تفاصيل خاصة بتلك المعامالت.

6-3 تأمين التطبيقات

يجب على البنوك التأكد من توفير مستوى مناسب من تأمين التطبيقات الخاصة بخدمات اإلنترنت البنكي مع أخذ الممارسات السليمة التالية بعين االعتبار: 1-6-3 يجب على البنوك عند إختيار أدوات تطوير النظام أو لغات البرمجة من أجل تطوير التطبيقات الخاصة بخدمات اإلنترنت البنكي أن تقيم الخصائص األمنية التي يمكن أن توفرها األدوات أو اللغات المختلفة لضمان إمكانية تنفيذ الحماية الفعالة للتطبيقات.

2-6-3 يجب إجراء عملية تحقق شاملة وفعالة حول صحة المدخالت )بما في ذلك البيانات المدخلة من قبل المستخدم واالستعالم من خالل قواعد البيانات التي قد يقوم المستخدم بطلب تنفيذها( وذلك من خالل خوادم الشبكة، ويمنع هذا نظام اإلنترنت البنكي من معالجة المعطيات غير الصحيحة التي يتم ادخالها بطريقة متعمدة، األمر الذي قد يؤدى إلى الوصول غيـر المصرح به إلى البيانــات، أو تنفيذ األوامـر الواردة في هذه المعطيات، أو حدوث هجمات تؤدى إلى تجاوز سعة الذاكرة.

3-6-3 يجب أن تعمل أنظمة خدمات اإلنترنت البنكي بأقل الصالحيات الممكنة الخاصة بإدارة النظام. كذلك يجب منع إستخدام كلمات السر المعروفة أو كلمات السر الموحدة التي تعد مع نشأة النظام.

4-6-3 يجب أال تكشف رسائل األخطاء التي تصدر من النظام لعمالء خدمات اإلنترنت البنكي عن معلومات دقيقة خاصة بالنظام. ويجب تسجيل األخطاء بشكل مناسب، كما يجب التأكد من عدم احتواء النص المصدري للغة توصيف النصوص المترابطة HTML في خادم الشبكة الخاص بالنظام Web Production Server على أي من المعلومات الدقيقة الخاصة بالنظام مثل أي إشارات أو مرجعيات متعلقة بخصائص تصميم كود البرامج/التطبيقات Code Application Web.

5-6-3 يجب إنهاء نافذة المعاملة عبر اإلنترنت تلقائياً Termination Session بعد فترة محددة من الوقت في حال عدم وجود أي نشاط على النظام، إال إذا تم إعادة تصديق بيانات العميل مرة أخرى، األمر الذى يمنع أي ُمخترق من اإلبقاء على أي نافذة مفتوحة على اإلنترنت إلى أجل غير محدد.

6-6-3 يجب منع برامج التصفح الخاصة بالعميل من حفظ أو عرض إسم المستخدم أو كلمات السر السابق إدخالها من العمالء المستخدمين لخدمات اإلنترنت البنكي وكذلك صفحات الويب الخاصة بتلك الخدمات التي سبق الدخول عليها.

7-6-3 يجب على البنوك إتخاذ اإلجراءات الالزمة لعالج أي نقاط ضعف بنظام اإلنترنت البنكي يتم اكتشافها، وذلك إلى اإلجراءاإستنادا ت األمنية المتبعة في البنك. ً 8-6-3 يجب حماية المسارات المخفية Directories Hidden الخاصة بالموقع اإللكتروني والتي تحتوي علي أي صفحات إدارية أو معلومات سرية، وذلك عن طريق تطبيق نظام تصديق فعال وآليات معيارية للتحكم في الدخول علي كافة النظم الخاصة بخدمات اإلنترنت البنكي.

9-6-3 يجب مسح كافة الملفات االحتياطية والمشتركة من خوادم شبكة اإلصدار أو هيكل مسارات الملفات Directories File of Structure لتجنب وصول المستخدمين غير المصرح لهم بذلك.

10-6-3 القيام بمراجعة أمنية دورية لهيكل مسارات الملفات Directories File of Structure وصالحيات النفاذ إلى الملفات، وذلك لضمان أن الملفات السرية يتم حمايتها بالشكل المالئم، وال يتم عرضها من خالل تطبيقات الويب.

11-6-3 يجب علي البنوك عمل الترتيبات األمنية المناسبة لبعض الخدمات التي تتضمن اتصاالت مع الشبكات العامة )كخدمات البريد اإللكتروني للتواصل مع عمالء خدمات اإلنترنت البنكي، و نظام أسماء النطاقات DNS لترجمة أسماء المواقع إلي عناوين علي الشبكة والعكس( لتجنب الهجمات علي أنظمة خدمات اإلنترنت البنكي من خالل هذه الخدمات.

12-6-3 يمكن للبنك - بجانب إستخدام بروتوكول طبقة المنافذ اآلمنة SSL - أن يقوم بتأمين عملية تشفير شاملة على مستوى )طبقة( التطبيقات للبيانات المرسلة عبر اإلنترنت، حتى ال يتم كشف األرقام السرية وكلمات السر الخاصة بالعميل في أي مرحلة وسيطة لتداول البيانات بين المتصفح وخادم االستضافة Host، حيث يتم التحقق من أرقام التعريف الشخصية وكلمات السر.

13-6-3 يجب على البنوك القيام باالختبارات الالزمة للتأكد من عدم إمكانية تجاوز عملية التصديق أو إغفالها للدخول على النظام.

لسهولة الوصول إلى قواعد البيانات ذات الحماية الضعيفة من خالل الشبكات الداخلية والخارجية، لذا14-6-3 نظراً يجب التشديد على توافر اآلتي:

• إجراءات صارمة بشأن تحديد الهوية والصالحيات للدخول على األنظمة وقواعد البيانات.

• تصميم آمن وسليم لعمليات النظام Processes System.

• مسارات تدقيق مالئمة Trails Audit.

15-6-3 يجب على البنوك إستخدام أحد بروتكوالت التصديق المعيارية لتعريف أسماء المستخدمين وكلمات السر الخاصة بهم على تطبيقات اإلنترنت البنكي )مثل LDAP).

7-3 البنية التحتية والمتابعة األمنية لخدمات اإلنترنت البنكي

1-7-3 يجب على البنوك إنشاء بيئة تشغيل مالئمة تعمل على دعم وحماية أنظمتها الخاصة بخدمات اإلنترنت البنكي. حيث تحتوي بيئة التشغيل المالئمة على بنية تحتية آمنة لخدمات اإلنترنت البنكي )والتي تشمل تصميم نطاق آمن DMZ وإعداد خوادم الشبكة وأنظمة إكتشاف ومنع االختراق وأجهزة جدار الحماية Firewall وأجهزه التوجيه( كما تحتوي أيضا على إجراءات حماية مالئمة للشبكات الداخلية وروابط الشبكات مع الجهات الخارجية.

2-7-3 يجب على البنوك مراقبة كل من أنظمة اإلنترنت البنكي والبنية التحتية بصورة استباقية بشكل دائم علي مدار 24 ساعة طوال األسبوع، وذلك لرصد وتسجيل أي مخالفات أمنية، أو أي اختراقات، أو نقاط ضعف مشتبه فيها، وكذلك أي أنشطة غير طبيعية محل اشتباه تتم علي األنظمة.

3-7-3 يجب على البنوك التأكد من وجود مسارات التدقيق Trails Audit لكل المعامالت البنكية التي تتم عبر اإلنترنت على أنظمة البنك. كما يجب ضمان حماية تلك المسارات ضد أي تالعب أو تغيير غير ُمص َّرح بها لمدة زمنية تتوافق مع ما تحدده سياسات البنك تطبيقاً به، وأن يتم االحتفاظ للمتطلب ات القانونية وطبقاً للضوابط والتعليمات الرقابية الصادرة في هذا الشأن. ويهدف هذا اإلجراء إلى تسهيل إجراءات التحقيق في أي عملية إحتيال، وحل أي نزاع أو شكوى إذا لزم األمر. وعند تحديد ما سيتم االحتفاظ به في مسارات التدقيق، يمكن األخذ في االعتبار األنواع التالية من األنشطة وذلك كحٍد أدنى:

• عمليات فتح أو تعديل أو إغالق حساب مستخدم على نظام االنترنت البنكي ID User
• أي عملية ذات تبعات مالية
• أي تصريح يمنح لعميل/ مستخدم لتجاوز أي من الحدود أو الصالحيات
• أي تعديل أو إضافة أو إلغاء لصالحيات المستخدمين أو إمتيازات خاصة بالدخول على األنظمة 4-7-3 يجب أن يتم مراجعة كافة ما يتم إصداره من سجالت تدقيق Logs Audit وإنذارات التأمين اللحظية Alerts Security Time Real( مثل إنذارات أنظمة كشف ومنع االختراق( بواسطة الموظفين أو فرق العمل المعنية وذلك بطريقة دورية وفى الوقت المناسب.

5-7-3 يمكن للبنوك الرجوع إلي )الملحق أ( الخاص بالممارسات المتعلقة بتصميم وإنشاء ومراقبة البنية التحتية لخدمات اإلنترنت البنكي.

8-3 تقييم النظام األمني

تقييم الوضع األمني لكافة األنظمة )التطبيقات، والشبكات، وأجهزة التأمين، وخوادم1-8-3 يجب علي البنوك دورياً نظام أسماء النطاقات وخوادم البريد اإللكتروني، إلخ( المتعلقة بأعمال اإلنترنت البنكي، وذلك فـي المركز الرئيسي للمعلومات والمركز االحتياطي الذى يستخدم فى حاالت الكوارث. يوضح البندان 2-8-3 و -8-3 3 الحد األدنى من أنشطة التقييم الواجب إجراؤها.

2-8-3 يجب على البنوك إجراء تقييم دوري لنقاط الضعف Assessment Vulnerability كل ثالثة أشهر على األقل أو عند حدوث تغييرا ،الكتشاف نقاط ً جوهرياً في البيئة التشغيلية لنظام خدمات اإلنترنت البنكي الضعف في بيئة تكنولوجيا المعلومات، وتقييمها. ويمكن أن يتولى هذا التقييم مستشار أو مقدم خدمة خارجي، أو إدارة أمن المعلومات بالبنك، وذلك على النحو التالي:

• يجب أن يحتوي نطاق تقييم نقاط الضعف على إختبار الثغرات الشائعة في الشبكة )مثل: الثغرات التي تُمّك مخترق من حقن قواعد البيانات Injection SQL وثغرات البرمجة عبر المواقع -Cross ِّن ال .)إلخ ،Site Scripting
• يجب على البنك إعداد خطة لمعالجة المشاكل التي تظهر في تقييم نقاط الضعف، ثم التحقق من صحة هذه المعالجة عن طريق إعادة اإلختبارإلثبات أنه قد تم التعامل مع هذه المشاكل بالكامل.

3-8-3 يجب على البنك القيام بإختبارات االختراق Testing Penetration وذلك لعمل تقييم مفصل ومتعمق للوضع األمني للنظام من خالل محاكاة للهجمات الفعلية على النظام على أن يتم ذلك على األقل مرة واحدة سنويا، أو قبل البدء في تقديم أي خدمات حيوية جديدة، على أن تتم مراعاة ما يلي:

• يجب أن يتولى إجراء إختبار االختراق أحد مقدمي الخدمة الخارجيين المستقلين، حيث يجب عليه أوالً التوقيع على إتفاقية السرية وعدم اإلفصاح قبل مزاولة العمل Agreement Disclosure-Non.

• يجب أن يكون لدى البنوك تقرير مبدئي عن إختباراإلختراق وخطة المعالجة Test Penetration Plan Remediation & Report، التي تم اصدارها والموقعة من مقدم الخدمة الخارجي.

• يجب علي البنوك التحقق من صحة معالجة المالحظات الناتجة عن إختبار اإلختراق سواء كان علي األنظمة الرئيسية أو األنظمة البديلة المستخدمة لمواجهة الكوارث.

• يجب على مقدم الخدمة الخارجي إصدار تقرير نهائي موقع منه عن إختبار اإلختراق لكي يقوم البنك بتقديمه إلى البنك المركزي المصري، بجانب التقرير المبدئي األول.

• غير مسموح بإختيار نفس مقدم الخدمة الخارجي ألداء أكثر من إختباري إختراق متتاليين.

9-3 االستجابة لألحداث وإدارتها

1-9-3 يجب علي البنوك وضع إجراءات لالستجابة للحدث وإدارته خالل تقديم الخدمة، بهدف اإلبالغ والمعالجة الفورية ألي اختراقات أمنية سواء كانت فعلية أو مشتبه فيها، وكذلك أي حاالت إحتيال أو انقطاع/عدم ثبات الخدمة في األنظمة الخاصة بخدمات اإلنترنت البنكي، سواء أثناء أو بعد ساعات العمل. ويجب علي البنوك إتخاذ اإلجراءات الضرورية التالية )علي سبيل المثال ال الحصر(:

• سرعة إكتشاف مصدر الحدث، وتحديد ما إذا كان قد وقع نتيجة وجود نقاط ضعف في النظم التأمينية بالبنك من عدمه
• تقييم النطاق المحتمل للحدث ومدي تأثيره
• تصعيد األمر إلى اإلدارة العليا للبنك بشكل فورى، إذا كان هذا الحدث قد يضر بسمعة البنك أو يؤدى إلى خسائر مالية
• إخطار العمالء المتضررين على الفور، إذا لزم األمر
• احتواء الخسائر المتعلقة بأصول البنوك وبياناتها وسمعتها، وبوجه خاص الخسائر المتعلقة بعمالئها
• جمع األدلة الجنائية وحفظها بطريقة مناسبة وبأسلوب يضمن الرقابة على تلك األدلة، لتسهيل التحقيقات الالحقة وإقامة دعوي قضائية ضد مخترقي النظام والمشتبه فيهم إذا لزم األمر باإلضافة إلى تنفيذ عملية مراجعة لهذا الحدث 2-9-3 يجب تكوين فريق للتدخل السريع إلدارة الحدث للتعامل معه بما يتوافق مع اإلجراءات الموضحة أعاله على أن يتم منح هذا الفريق الصالحيات الالزمة للتصرف في حالة الطوارئ، كما يجب أن يتلقى التدريب الكافي على إستخدام األجهزة التأمينية، والقدرة على تفسير أهمية البيانات ذات الصلة في سجالت التدقيق، وتحديد اإلجراءات المناسبة الالزم إتخاذها )كمنع حركة مرور معينة علي الشبكة، أو غلق بعض الخدمات(، )الملحق ب يحتوي على أمثلة لهذه الهجمات(.

3-9-3 يجب على البنوك إعداد سجل باألحداث العارضة المرتبطة بخدمات اإلنترنت البنكي والتفاصيل الخاصة بها باإلضافة إلى إعداد تقرير دوري للعرض على اإلدارة العليا التخاذ اإلجراءات المناسبة لتالفى تكرارها.

4-9-3 يتولى مسئول اإللتزام بالبنك مسئولية التأكد من إبالغ البنك المركزي المصري بصورة صحيحة وفي الوقت المناسب، بكافة الحاالت الواردة أدناه:

• أي هجمات إحتيال لتسريب أو إفشاء هوية العميل أو وثائق اعتماد الشخصية )كاالحتيال Phishing، وملفات التجسس )حصان طروادة Trojans(، والبرمجيات الخبيثة Malware، إلخ(.

• الدخول غير المصرح به إلى أنظمة تكنولوجيا المعلومات بالبنك لتسريب بيانات العميل المتعلقة بخدمات اإلنترنت البنكي.

• أي عملية تخريبية للبيانات المتعلقة بأنظمة خدمات اإلنترنت البنكي والتي ال يمكن استرجاعها.

• اإليقاف التام المتعمد أو العارض لخدمات اإلنترنت البنكي لفترة تزيد عن الفترة المحددة كهدف لوقت االسترجاع RTO المحدد من قبل البنك.

• أي حالة من حاالت االحتيال الداخلي ذات الصلة بخدمات اإلنترنت البنكي.

على أن يتم إرسال هذه التقارير إلى البنك المركزي عن طريق إحدى قنوات اإلتصال التالية:

• إرسالها بالفاكس إلى رقم: 25976057 أو 25976047 عناية قطاع الرقابة واإلشراف - إدارة الرقابة المكتبية، أو
• إرسالها بالبريد االلكتروني على العنوان التالي eg.org.cbe@infosec.cbe 5-9-3 عند وقوع هجمات إلكترونية، يمكن أن يؤخذ في اإلعتبار من ضمن التدابير التي يتبناها البنك التواصل مع فريق التدخل السريع لمكافحة الجرائم اإللكترونية CERT-EGYPTIAN التابع لوزارة االتصاالت.

10-3 إعتبارات األداء وضمان استمرارية العمل

1-10-3 يجب على البنوك توفير خدمات اإلنترنت البنكي على مدار الساعة، مع ضمان أداء الخدمة للعمالء بالسرعة المناسبة طبقا لما تم ذكره في األحكام والشروط الخاصة بالخدمة مع أخذ توقعات العمالء بعين االعتبار.

2-10-3 يجب على البنوك وضع معايير لتقييم ومتابعة مستوى أداء تقديم خدمات اإلنترنت البنكي. كما يجب إتخاذ التدابير الالزمة للتأكد من قدرة نظم خدمات اإلنترنت البنكي والنظم الداخلية الخاصة بتقديم الخدمة على التعامل مع حجم العمليات المتوقعة والنمو المستقبلي لهذا النوع من الخدمات.

3-10-3 يجب أن تأخذ البنوك في اعتبارها التخطيط لضمان استمرارية العمل عند تطويرها لخدمات اإلنترنت البنكي، على أن يتم أيضا مراعاة الممارسات التالية:

• في حال حدوث عطل في الخدمة، يجب أن تحتوي خطة استمرارية العمل على خطوات محددة لكيفية استئناف أو استرجاع خدمات اإلنترنت البنكي، تحدد هذه الخطوات بناء على أهداف وقت ونقطة المحددين مسبقً االسترجاع RPO & RTO ا.

• يجب أن تتمتع خطة استمرارية العمل الخاصة بخدمات اإلنترنت البنكي بالقدرة على التعامل مع أى من الحاالت التي يتم فيها اإلسناد ألطراف خارجية لتقديم الخدمة )كمتعهدين لتقديم خدمات اإلنترنت البنكي(.

-4 أمن العمالء وضوابط لبعض المخاطر األخرى 1-4 عقد تقديم الخدمة / نموذج طلب الخدمة

يجب على البنوك أن تحدد بدقة كافة الحقوق وااللتزامات بينها وبين عمالئها ضمن عقد تقديم خدمات اإلنترنت البنكي، ويجب استيفاء العقد للمتطلبات التالية:

• تتم صياغة العقد بصورة واضحة ومحددة بحيث يسهل فهمه بالنسبة ألي عميل مع تجنب إستخدام الكلمات والعبارات التي تحمل أكثر من معنى.

• يوضح التزامات كل من البنك والعميل في حالة اإلخالل بأي من شروط التعاقد.

• يحتوي العقد على بنود محددة واضحة والتي من الممكن أن تتضمن ما يلى كحد أدنى:

• التأكيد على أوقات توفير الخدمة طبقا لتقييم البنك لهدف وقت االسترجاع RTO الوارد في خطة استمرارية األعمال، وينبغي إخطار العمالء في حالة إنقطاع الخدمة لعمل صيانة محددة مسبقا.ً

• توضيح مستوى خصوصية بيانات العمالء ومدى إتاحتها للغير داخل البنك أو خارج البنك بما يتوافق مع التعليمات الرقابية الصادرة من البنك المركزى المصرى أو القوانين المنظمة لذلك.

• توضيح اآللية والخطوات المتبعة والوقت المتوقع للبت في شكاوى أو نزاعات العمالء.

• توضيح بشكل ُمف َّصل الخطوات الواجب على العميل إتباعها لتفعيل الخدمة في حالة االشتراك ألول مرة أو فى حالة وقف الخدمة أوإعادة تشغيلها.

• التأكيد على التزام العميل بقراءة التحذيرات واإلخطارات التنبيهية )مثل التنبيهات األمنية أو تنبيهات محاوالت االحتيال / الهندسة االجتماعية Engineering Social، إلخ( والتأكيد أي ًضا على أن قبول العميل من خالل اً قانونياً اإلنترنت البنكي ألى تغيير في الشروط واألحكام الذى سيظهر من خالل النظام إلكترونيا يعتبر إلتزام .

• التأكيد بوضوح على أن القوانين المصرية ذات الصلة ولوائحها التنفيذية والتعليمات والقواعد الرقابية هى التي تحكم الخدمات التى يقوم البنك بتقديمها للعمالء عبر شبكة االنترنت.

• فى حالة اعتماد البنك على التوقيع اإللكتروني كوسيلة مصادقة ووجود اتفاق على إستخداممع العميل كتابةً هذه الوسيلة فإن خدمات اإلنترنت البنكي فى هذه الحالة تخضع ألحكام القانون رقم "15" لسنة 2004 والئحته التنفيذية والقرارات المنفذة له.

2-4 رصد األنشطة غير العادية

1-2-4 يتعين على البنوك وضع تدابير فعالة للرقابة المستمرة لضمان سرعة إكتشاف أي معامالت غير عادية عبر اإلنترنت البنكي يُشتبه أن تؤدى إلى عمليات غير مشروعة. وعلى وجه الخصوص، ينبغي أن تكون تلك التدابير قادرة على إكتشاف حاالت مثل:

• حدوث العديد من عمليات تحويل أموال عبر اإلنترنت البنكي إلى حساب مستفيد آخر خالل فترة زمنية وجيزة، وخاصة إذا كانت المبالغ المحولة تقترب من الحد األقصى المسموح به. وكذلك الزيادة في الحد المسموح به لتحويل االموال أو الزيادة المفاجئة في األموال المحولة لحسابات مستفيدين آخرين.

• تغيير عنوان مراسالت العميل، يتبعه بفترة وجيزة أنشطة قد تدل على وجود عمليات غير مشروعة محتملة مثل طلب إرسال بعض الوثائق الهامة )علي سبيل المثال، طلب دفتر شيكات أو الرقم السري الخاص ببطاقات اإلئتمان أو ذلك الخاص ببطاقة الصراف اآللي( علي العنوان الجديد.

• سلوك غير معتاد علي الجهاز الذى يستخدمه العميل للدخول إلى خدمات اإلنترنت البنكي )مثل تغيير مصدر الموقع الجغرافي الخاص ببروتوكول اإلنترنت Internet of Source location-Geo .)Protocol 2-2-4 يجب أن تتمتع آلية الرقابة المتبعة بالقدرة على سرعة إصدار تحذيرات إلى المختصين بالمتابعة والرصد لخدمات اإلنترنت البنكي عند حدوث أي تحويل أموال محل شبهة، وكذلك أي أنشطة غير معتادة عبر اإلنترنت البنكي. ويجب علي البنوك في تلك الحاالت أن تقوم بالتحقق من ذلك مع أصحاب هذه الحسابات التي تتم عليها هذه المعامالت أو األنشطة في أسرع وقت ممكن وإخطار الجهات المختصة.

3-2-4 إخطار العمالء فوراً في حالة رصد أي أنشطة غير معتادة على حساباتهم.

3-4 الضوابط الوقائية الخاصة برسائل البريد االلكتروني والمواقع اإللكترونية المزيفة يمكن للبنوك إدارة المخاطر المرتبطة بحاالت االحتيال الخاصة برسائل البريد اإللكتروني والمواقع اإللكترونية التي تم تصميمها الستدراج عمالئهم للكشف عن بياناتهم مثل رقم الحساب أو كلمة السر الخاصة بخدمات اإلنترنت البنكي، بإتخاذ اإلجراءات التالية: 1-3-4 التأكيد على العمالء وتوعيتهم أن موظفي البنك - أو وكالءه - ال يجوز لهم أن يطلبوا من العميل اإلفصاح عن البيانات السرية )كاألرقام التعريفية أو كلمات السر( عن طريق البريد اإللكتروني أو غيره. وفي حالة وقوع ذلك يجب على العميل اإلتصال بالبنك في أسرع وقت ممكن.

2-3-4 توعية عمالء خدمات اإلنترنت البنكي بالطرق التي يمكنهم من خاللها التأكد من صحة الموقع الرسمي للبنك، فعلى سبيل المثال: يمكن القيام بالضغط على رمز القفل أو عالمة المفتاح الكائنة بأسفل المتصفح لديهم للتأكد من تفاصيل شهادة التصديق الرقمية لموقع معامالت اإلنترنت البنكي، أو الدخول على الموقع اإللكتروني للبنك من خالل خاصية اإلشارات المرجعية الخاصة بمتصفح الويب Bookmarks وذلك بعد تأكدهم - بالشكل الكافي- من مصداقية الموقع المشار إليه وينبغي التنبيه على العمالء بعدم الدخول إلى موقع البنك الخاص بخدمات اإلنترنت البنكي من خالل روابط التحويل غير المباشرة Hyperlinks الواردة في البريد تروني، إال إذا تم التحقق من أنه الموقع الحقيقي، كالتأكد مثالً اإللك من صالحية شهادة التصديق الرقمية للموقع.

3-3-4 البحث بصفة دورية في اإلنترنت عن أي مواقع إلكترونية ألطراف أخرى تحمل أسماء نطاق Domain Names وعناوين مشابهة يمكن الخلط بينها وبين الموقع الخاص بالبنك، أو مواقع أنشأت روابط فرعية لموقع البنك ألغراض مشبوهة، وينبغي على البنك أن ينظر في حجب الوصول إلى موقع البنك من خالل تلك المواقع )من خالل جدار الحماية Firewall أو جهاز التوجيه Router )مع إتخاذ اإلجراءات الالزمة بشأن إستخدام أسماء النطاق لتلك المواقع. كما يمكن للبنك النظر في تبني مبادرة لتسجيل أي أسماء نطاق مشابهة إلسم النطاق الرسمي للبنك أو تؤدي إلى حدوث اللبس لدى العمالء.

4-3-4 يجب على البنوك إجراء البحث عن تطبيقات الهواتف المحمولة المزيفة الموجودة في متاجر ومواقع توزيع التطبيقات، وذلك من أجل الحد من مخاطر البرمجيات الخبيثة Malware التي تستخدم للحصول على بيانات العميل الخاصة بالدخول على خدمات اإلنترنت البنكي.

4-4 توعية العميل

1-4-4 نظراً ألن األجهزة التي يستخدمها العمالء للدخول على خدمات اإلنترنت البنكي تقع خارج نطاق سيطرة البنك، فإن احتمال ظهور مخاطر أمنية تزداد في حالة عدم معرفة العميل باالحتياطات األمنية الضرورية لتوعية العمالء عن طريقإلستخدام الخدمة أو سوء فهمها ولذلك، يجب علي البنك أن يولي إهتماماً خاصاً تقديم نصائح سهلة الفهم وواضحة تتعلق باالحتياطات األمنية الواجب إتخاذها عند التعامل مع خدمات اإلنترنت البنكي والتزامهم حيال ذلك.

2-4-4 تختلف النصائح الخاصة باالحتياطات األمنية الواجب إتباعها وفقا لطبيعة العمالء، وطبيعة خدمات اإلنترنت البنكي المقدمة، وتشمل النصائح ما يلي كحد أدنى: 1-2-4-4 إختيار وحماية كلمات السر الخاصة بخدمات اإلنترنت البنكي )وأيضا إسم المستخدم في حالة السماح للعميل باختياره(. على سبيل المثال، يجب على البنوك أن تنصح العمالء بعدم إختيار كلمات سر تتضمن معلومات مثل تاريخ الميالد أو رقم الهاتف أو جزء من إسم العميل يسهل التعرف عليها.

2-2-4-4 الحماية ضد تقنيات الهندسة االجتماعية Techniques Engineering Social حيث يجب توعية العمالء بضرورة عدم اإلفصاح عن أي معلومات شخصية )كبطاقة الهوية أو جواز السفر أو العناوين أو أرقام حسابات البنك الخاصة بهم( ألي شخص لم يتأكد من هويته أو مواقع إلكترونية موضع شك. كما يجب التأكيد على العمالء بعدم اإلفصاح عن كلمات السر ألي شخص بما في ذلك موظفي البنك أو وكالئه.

3-2-4-4 يجب تذكير العمالء بضرورة عدم الدخول على خدمات اإلنترنت البنكي من خالل أجهزة الكمبيوتر العامة أو المشتركة )كمقاهي االنترنت أو المكتبات العامة(.

4-2-4-4 إتباع االحتياطات التي تحمى العمالء من حدوث اللبس أو االنخداع بالرسائل أو المواقع اإللكترونية االحتيالية كما هو موضح في البند .3-4 5-2-4-4 توجيه النصح للعمالء بضرورة التأكد من أن األجهزة الخاصة بهم تم إعدادها بشكل آمن وتزويدها ببرامج وأدوات الحماية الالزمة ضد الفيروسات والبرامج الخبيثة، وذلك كحد أدنى الستيفاء المتطلبات المحددة من قبل البنك، مثل تثبيت برنامج جدار حماية وتحديث برامج مكافحة الفيروسات بصفة دورية.

3-4-4 يجب على البنوك مراجعة النصائح واإلرشادات الخاصة باالحتياطات التأمينية التي يتم تقديمها للعمالء للتأكد من كفايتها ومالئمتها للتغيرات التي تستجد على البيئة التكنولوجية وخدمات اإلنترنت البنكي.

لوجود صعوبة في توفير العمالء لوقت طويل الستيعاب اإلرشادات الطويلة والمعقدة، يمكن للبنوك 4-4-4 نظراً ابتكار أساليب وقنوات فعالة إلبالغ العمالء وتوعيتهم باالحتياطات التأمينية التي يجب إتخاذها من جانبهم.

ويمكن للبنك االستفادة من العديد من األساليب )كالمواقع اإللكترونية للبنك، والرسائل المطبوعة على كشوف حسابات العمالء، والمنشورات الترويجية، وكذلك في األحوال التي يتواصل فيها عادة موظفي المكاتب األمامية للبنك مع العمالء( للتأكيد على ضرورة اإللتزام ببعض التدابيراإلحتياطية األساسية.

-5 إجراءات الحصول على ترخيص لتقديم الخدمة

1-5 يجب على البنوك التي ترغب في تقديم خدمات اإلنترنت البنكي لعمالئها أو البنوك التي حصلت على ترخيص بعد إصدار القواعد وتود أن تضيف وظائف جديدة أن تتقدم بطلب للحصول على موافقة البنك المركزي المصري وذلك باستيفاء المستندات التالية كحد أدنى:

• قائمة بالوظائف والخدمات التي يرغب البنك في تقديمها أو إضافتها.

• بيان يوضح أي حالة من حاالت عدم اإللتزام الجزئي أو الكلى بالقواعد الخاصة بتقديم الخدمات المصرفية عبر اإلنترنت الصادرة من البنك المركزي المصري.

• تقرير اختبارات اإلختراق Report Test Penetration الذى تم على بيئة التشغيل الفعلية قبل إطالق الخدمة، على أن يكون قد تم إجراؤه وفقا للبند 3-8-3 وفى فترة ال تتجاوز ثالثة أشهر سابقة لتاريخ إرسال طلب البنك. يُمكن تأجيل تقديم هذا التقرير إلى ما بعد الحصول على موافقة البنك المركزى المصرى المبدئية مع إلتزام البنك بعدم إطالق الخدمة إال بعد إرسال التقرير إلى البنك المركزى المصرى وتصريحه للبنك بتفعيل الخدمة.

2-5 يجب على البنوك السابق حصولها على ترخيص بمزاولة تقديم خدمات اإلنترنت البنكي قبل إصدار تلك القواعد أن تقوم بتوفيق أوضاعها وااللتزام بما يلي:

• تقديم المستندات المذكورة في البند .1-5 لجدول زمني محدد وذلك فيما يتعلق بالفجوات بين الوضع الحالي بالبنك - تقديم خطة توفيق األوضاع طبقاً والمعايير والضوابط الصادرة من البنك المركزي المصري وذلك خالل فترة أقصاها ثالثة أشهر من تاريخ إصدار هذه القواعد.

• تلتزم البنوك بتوفيق أوضاعها مع القواعد الصادرة من البنك المركزي المصري وذلك خالل فترة سماح ال تزيد عن 12 شهرا من تاريخ تقديم خطة توفيق األوضاع.

• عدم توفيق البنك لألوضاع خالل الفترة الزمنية المحددة قد يؤدي إلى إلغاء رخصة تقديم الخدمات المصرفية عبر اإلنترنت الممنوحة للبنك مسبقا.

Annex A: Sound practices for the establishment of internet infrastructure

Writing Conventions

Throughout this appendix, statements are written using words such as "shall" and "should." The following paragraphs are intended to clarify how these statements are to be interpreted.

A reference that uses "shall," indicate mandatory compliance.

A reference to "should" indicates a recommendation that further enhances the security posture of the Bank.

A1. Background

This annex provides Banks with sound practices for the establishment of their internet infrastructure, including the design and configuration of servers in the DMZ, firewalls (i.e WAF, NGFW, or State-full FWs..etc) and routers, and the use of IDS/IPSs. It should be stressed that this annex is not intended to be exhaustive. Banks shall also make reference to the industry sound practices and put in place internet infrastructure which is commensurate with the risks associated with their Internet banking services. Banks may find it useful to refer to other references on security of internet infrastructure like SANS (System Administration, Networking and Security) Institute (www.sans.org), the Computer Emergency Response Team (www.cert.org), and National Institute of Standards and Technology (www.nist.gov).

A2. Servers In Dmz

The internet infrastructure or DMZ normally houses various kinds of servers, including the application servers, web servers, the DNS server and the mail server. Depending on the types of implementation, some servers may handle the front-end processing of the internet-based Internet banking system, such as validation of data entered by customers or responding to customers. Given the exposure of these servers to attacks from any user via the internet, confidential data shall not be stored in these servers.

A3. Firewalls and Routers A3.1 Firewalls and routers shall be appropriately chosen, configured and installed. There shall be "external firewall(s)" to control the traffic between the internet and the servers housed in the DMZ so that only acceptable communication methods for connecting to these servers would be allowed as attackers may exploit certain communication methods to pose threats to these servers. Sensitive or system information shall not be unveiled when the firewalls respond to malicious network traffic from the internet.

A3.2 In ensuring that only the allowed types of traffic can pass through from the servers in the DMZ to the Bank's trusted internal networks; Banks shall ideally install another tier of "internal firewall(s)" to control the traffic between the servers in the DMZ and the bank's trusted internal networks. In addition, if two or more tiers of firewalls are used, Banks may consider using firewalls of different types/brands to prevent similar security vulnerabilities from being exploited in different firewalls.

A3.3 The effectiveness of firewalls and routers as a security tool is heavily dependent upon how the firewalls or routers are configured and the policies in place in respect of their configuration and maintenance. It is important that banks shall formulate and document formal policies for the configuration, monitoring and maintenance of their firewalls and routers, so that all changes to the configuration are properly controlled, tested and tracked.

A3.4 Banks shall perform frequent reviews and timely updates of the firewall and router configurations to enhance protection from newly identified vulnerabilities and system weaknesses. Given the complexity involved in this process, it is important for banks to carefully select reputable vendors who are able to keep abreast of the latest improvements needed in the firewalls and routers to protect from the latest attack techniques.

A3.5 Any direct dial-up connections or other network connections with thirdparties bypassing the firewalls shall be generally prohibited. If a dial-up connection is necessary for a specific task, this connection shall be properly approved, monitored and removed immediately after completion of the task.

A3.6 Network traffic for firewall administration shall be confined within a system administration segment of bank's internal networks, which is separated from the network segment connected to the production systems, so that the production network and systems would not be affected by the firewall administration activities.

A4. Additional Security Measures A4.1 Any unused programs and computer processes of the servers, firewalls and routers shall be deactivated or removed. Banks shall establish accountability for the timely review, testing and application of appropriate patches to servers, firewalls and routers. Moreover, anti-virus software shall be installed and updated on servers as necessary. Only the minimum number of user accounts that are necessary for the operation of the routers, firewalls and servers shall be maintained.

A4.2 The programs and other information kept in the servers, firewalls and routers shall be updated only by strongly authenticated user accounts or authorized computer processes. They shall also be subject to strict change control procedures. Banks should use appropriate scanning tools to identify any potential security issues of the operating environment on a regular basis.

Periodic integrity checks on the programs and static data (e.g. configuration) kept in servers and firewalls should be conducted to validate that they have not been altered.

A4.3 All access to the servers, firewalls and routers using privileged or emergency accounts (e.g. system administrator or "super user") shall be tightly controlled, recorded and monitored (e.g. peer reviews). For example, logins from these accounts shall be restricted only from physically secure terminals or, if servers, firewalls and routers are administrated remotely, strong authentication and encryption of system information shall be in place to protect them from unauthorized access.

A4.4 Redundancies shall be built into the critical components of the internet infrastructure to avoid any single points of failure which can bring down the entire network and infrastructure.

A5. Use Of Intrusion Detection And Prevention Systems

A5.1 Banks shall identify cautiously the information necessary to detect an intrusion in the internet infrastructure. This information facilitates banks to determine what audit logs of the servers, firewalls and routers shall be enabled and, if necessary, what other data (e.g. system resources utilization, network traffic) shall be monitored.

A5.2 Appropriate controls shall be in place to protect and backup the audit logs, and to ensure that the clocks of the systems generating the logs are synchronized with NTP Servers (Preferably GPS Network Time Server).

Audit logs should generally be reviewed on a daily basis, banks may Implement a SIEM Security information and event management solution to collect, correlate and analyze the audit/activity logs from the internet infrastructure to recognize any offense activity.

A5.3 In selecting IDS/IPS products, banks shall consider whether the products can provide the information required for detecting potential intrusion including inspection of encrypted traffic and whether the vendors are able to offer timely updates of attack signatures (i.e. predefined patterns of activities for detection of possible intrusion), also have a bypass capability in case of its failure.

A5.4 Banks should use Host-based IDS to detect probable intrusion of a host (e.g.

web server) by identifying unauthorized activities recorded in audit logs or alteration of its configuration or other important files.

A5.5 IDS/IPSs shall be tested and their attack signatures and alert settings shall be fine-tuned periodically to improve their effectiveness while reducing false alarms. A process shall be in place to ensure that the relevant support staff should respond to important alerts generated by IDS/IPSs on 24 hours by 7 days basis.

ملحق )ب(: أمثلة عن الهجمات اإللكترونية والثغرات األكثر شيوعا Annex B: Example Of Most Common Attacks & Vulnerabilities

B.1 Distributed Denial Of Service (Ddos)

B1.1 The normal amount of network bandwidth and system capacity sizing of even a large commercial organization is unlikely to withstand a sustained DDoS offensive by a sizeable botnet or a group of botnets. The immense quantity of computing resources amassed by botnets to unleash an attack would rapidly deplete the network bandwidth and processing resources of a targeted system, inevitably inflicting massive service disruption.

B1.2 The bank providing internet banking services shall be responsive to unusual network traffic conditions, volatile system performance or a sudden surge in system resource utilization as these may be symptomatic of a DDoS attack. The success of any pre-emptive and reactive actions the bank may take hinges on the deployment of appropriate tools to effectively detect, monitor and analyze anomalies in networks and systems.

B1.3 The bank cannot defend itself from DDoS attacks alone. An effective countermeasure would often rely on the ISPs to dampen an attack in upstream networks.

B1.4 The bank should determine the following considerations when selecting the ISP: B1.4.1Whether an ISP offers DDoS protection or clean pipe services to assist in detecting and deflecting malicious traffic.

B1.4.2 The ability of the ISP to scale up network bandwidth on demand. B1.4.3 The adequacy of an ISP's incident response plan.

B1.4.4 The ISP's capability and readiness in responding quickly to an attack.

B1.5 The bank should include a plan detailing the immediate steps to be taken to counter an attack, invoke escalation procedures, activate service continuity arrangements, trigger customer alerts, and report any such attack to The Egyptian Computer Emergency Response Team (EG-CERT), and inform the Central Bank of Egypt & sharing the information with other banks to help identifying and mitigating new threats and tactics.

B1.6 Defending against DDoS attack includes ensuring that the bank itself is not the source of attacks and its networks do not forward attacks.

B.2 Heartbleed Web Vulnerability

B2.1 The Heartbleed Bug is a serious vulnerability in the popular OpenSSL cryptographic software library. This weakness can allow an attacker - unfortunately without any traces - to steal information that is normally protected by the SSL/TLS encryption used to secure communications on the Internet. SSL/TLS provides communication security and privacy over the Internet for applications such as web, email, instant messaging (IM) and some virtual private networks (VPNs).

B2.1.1 The Heartbleed bug allows anyone on the Internet to read up to 64K of memory on systems using the vulnerable versions of the OpenSSL software. This compromises the secret keys used to identify the service providers and to encrypt the traffic, the names and passwords of the users and the actual content. This allows attackers to eavesdrop on communications, steal data directly from the services and users and to impersonate services and users.

B2.1.2 To remediate this bug, the bank shall install patches/hotfixes on the affected systems, and regenerate private keys and upgrading SSL certificates.

ملحق )ج(: التعريفات

	مستو
	ى المخا
طر دون األخذ ف
ي اإلعتبار أ
ي من ال
ضواب
ط الرقابية أو إجراءا
ت المعالجة المنفذة	المخا
	طر المتأ
	صلة Inherent Risk
	من قبل البن
ك وتتكون من عن
صرين: التأثير وإحتمالية الحدو
ث.	ه
	ى المخا
	طر الت
ى قد يتعر
ض لها البن
ك بعد تنفيذه ل
ضواب
ط أو إجراءا
ت تعوي
ضيه خا
صة بالمخا
طر	المخا
	طر المتبقية Residual Risk
	المتأ
	صلة.	Denial of Service
	حج
	ب الخدمة.	(DoS) التصديق
	األسالي
	ب واإلجراءا
ت والعمليا
ت المستخدمة لتدقي
ق الهوية وال
ص
الحية للعم
الء الجدد والحاليين.	Authentication البنوك
	كافة البنو
	ك العاملة ف
ي جمهورية م
صر العربية.	Banks
	ه
ي كلمة السر المستخدمة وال
صالحة ألغرا
ض الت
صدي
ق لمرة واحدة فق
ط للدخول عل
ى الن
ظام أو	لفترة زمنية محددة )مثال: نحو
90 ثانية( ل
ضمان عدم إعادة إستخدامها ألغرا
ض الت
صدي
ق ف
ي	كلما
	ت السر المستخدمة لمرة واحدة One-Time Password
	مرا
	ت الحقة ف
ي حال تسجيلها عن
طري
ق الهاكرز.	إعداد وتدقي
	ق خ
	ط
ط لوجستية لكيفية تعاف
ي البن
ك واستعادة الو
ظائ
ف الحيوية الت
ي تم إعترا
ضها	ب
صورة جزئية أو كلية )العاجلة( وذل
ك خ
الل فترة زمنية محددة مسبقاَ بعد الكوار
ث أو استمرار	خ
	طة استمرارية العمل
	Business Continuity Plan
	تع
	طل الخدمة. وي
	طل
ق عل
ى هذه الخ
طة اللوجستية خ
طة إستمرارية العمل.	هيئة الشهادا
	ت
	الجهة المسؤولة عن إ
صدار شهادا
ت الت
صدي
ق الرقمية ل
الستخدام من قبل الجها
ت األخر
ى.	Certificate Authority (CA)
وثيقة إلكترونية تستخدم التوقيع الرقم
ي للرب
ط بين المفتا
ح الشفر
ي العام بالهوية وذل
ك من خ
الل	شهادا
	ت الت
	صدي
	ق الرقمية Digital Certificate
	معلوما
ت مثل اسم الشخ
ص أو الجهة والعنوان، إلخ.	تشير إل
	ى ن
	طا
ق إدارة البيانا
ت وذل
ك ف
ي إ
طار أمن الحاسبا
ت اآللية وه
ي الشبكة الفرعية اللوجستية	أو المادية الت
	ي تحتو
ي عل
ى الخدما
ت الخارجية للمؤسسة وتنقلها إل
ى شبكة أكبر وغير مؤمنة وعادة	ن
	طا
	ق التحكم اآلمن
	Demilitarized Zone (DMZ)
	ما يق
	صد بهذا الن
	طا
ق الخدما
ت البنكية عبر اإلنترن
ت. ويهد
ف هذا الن
طا
ق إل
ى إ
ضافة مستو
ى أمن
ي	إ
	ضاف
ي للشبكة الداخلية ويقت
صر نفاذ المهاجم الخارج
ي عل
ى األجهزة الخا
صة بهذا الن
طا
ق بدال من	الشبكة بالكامل. يتكون رقم التعري
ف الشخ
ص
ي من مجموعة من األرقام السرية الت
ى تُستخدم للت
صدي
ق عل
ى دخول	الرقم السر
	ي
	المستخدم عل
	ى الن
ظام. وب
صفة أساسية، ي
طل
ب من المستخدم إدخال معلومة غير سرية كإسم العميل	ومعلومة سرية وه
ي الرقم السر
ي للدخول عل
ى الن
ظام. وفور است
الم إسم المستخدم والرقم السر
ي،	Personal
	Identification
	يقارن الن
ظام الرقم السر
ي بإسم المستخدم باإل
ضافة إل
ى مقارنة الرقم السر
ي ال
صادر بالمسجل.	35

	(
	PIN(
	Number
وعندئذ يتم منح المستخدم
ص
الحية النفاذ عند م
طابقة األرقام الت
ي تم إدخالها مع تل
ك المسجلة عل
ى	الن
	ظام.	إدارة المخا
	طر
العملية المستمرة لتحديد وقيا
س ومراقبة وإدارة التعر
ضا
ت للمخا
طر المحتملة.	Risk Management القدرة على تحمل المخاطر
	مستو
ى المخا
طر الت
ي يمكن للبن
ك تحملها لتحقي
ق أهدا
ف األعمال.	Risk Appetite
	الخ
	طة ال
الزمة لتنفيذ إجراءا
ت المعالجة لتهديد أو عدد من التهديدا
ت الذ
ي يواجه ن
ظام المؤسسة.	وتت
ضمن الخ
طة ب
صفة أساسية عدد من الخيارا
ت الم
طلوبة إلزالة هذه التهديدا
ت واألولويا
ت	خ
	طة المعالجة
	Remediation Plan
	الخا
	صة بخ
طة المعالجة.	إتفاقية مستو
ى الخدمة )يشار إليها اخت
صارا
SLA
)ه
ي جزء من عقد الخدمة والت
ى يتم من خ
اللها	ً	تحديد مستو
ى الخدمة ب
صفة رسمية. وب
صورة عملية، يشير هذا الم
ص
طلح عادة إل
ى الزمن ال
الزم	إتفاقية مستو
	ى الخدمة Service Level Agreement
للعقد أو أداء العقد.	للتنفيذ
	طبقاً	تنفيذ العمليا
	ت المباشرة
تقديم وتنفيذ المعام
ال
ت/ال
طلبا
ت دون تدخل يدو
ي.	(STP)	المكت
	ب الخلف
	ي
التدخل اليدو
ي ف
ي تنفيذ المعام
ال
ت/ ال
طلبا
ت.	Back Office	تقييم التعر
	ض للهجما
	ت
	يبح
ث المسح الخا
ص بالثغرا
ت ف
ي الن
ظام والتقارير ويكش
ف التعر
ضا
ت المحتملة. ويغ
ط
ي الن
طا
ق	ب
صورة أساسية كافة البن
ى التحتية ف
ي بيئة البنو
ك العاملة.	Vulnerability Assessment إختبار اإلختراق
اإلختبار اليدو
ي الم
صمم إلستغ
الل نقا
ط ال
ضع
ف ف
ي هيكل الن
ظام أو بيئة الحاس
ب اآلل
ي.	Penetration Testing