السيد رئيس مجلس الادارة بنك

تحية طيبة وبعد،

فى إطار خطة البنك المركزى المصرى لوضع إطار عام لحوكمة أنظمة المعلومات وا ، ٕ بالقطاع المصرفى دارة المخاطر المرتبطة بتقديم الخدمات المصرفية عبر القنوات الإلكترونية يرجى التكرم بالإحاطة بأن مجلس إدارة البنـك المركـزى المصرى قد وافـق بجلسته المنعقـدة بتـاريـخ ٤ نوفمبر ٢٠١٤ على القواعد المنظمة لتقديم الخدمات المصرفية عبر الإنترنت فى القطاع المصرفي المصرى (مرفق ١٠ نسخ) والتى تسرى على جميع البنوك المسجلة لدى البنك المركزى المصرى التى تقدم أو ترغب فى تقديم الخدمات المصرفية عبر الإنترنت.

وتجدر الإشارة بأنه يجب على كافة البنوك السابق حصولها على ترخيص من قبـل البنـك المركـزى المصــــرى يخــــص الخــــدمات المصــــرفية عبــــر الإنترنــــت العمــــل علــــى توفيــــق أوضــــاعها كمــــا جــــاء بالبنــــد ٢-٥ مـــن القواعـــد، مـــع الأخـــذ فـــى الإعتبـــار تقـــديم خطـــة زمنيـــة لتوفيـــق الأوضـــاع فيمــــا يتعلـــق بـــــالفجوات بـــين الوضـــع الحـــــالي بالبنـــك والقواعـــد الصــــادرة مـــن البنـــك المركـــزي المصــــري خـــلال فتـــرة أقصــاها ثلاثــة أشــهر مــن تــاريخ هــذا الكتــاب إلــى قطــاع الرقابــة والإشــراف (إدارة الرقابــة المكتبيــة)، علــى خــلال فتــرة ســماح لا تزيــد عــن اثنــى عشــر شــهرا ً أن يــتم الإنتهــاء مــن أعمــال توفيــق الأوضــاع مــن تــاريخ تقديم الخطة الزمنية.

ً من السادة المعنيين بمجالات الإلتزام، وفي هذا الصدد يرجى التكرم بإيفاد من ترونه مناسبا ا ٕ وا دارة المخاطر (بحد أقصى ٕدارة العمليات المصرفية عبر الإنترنت، وتكنولوجيا وأمن المعلومات، و ٥ أفراد) حيث سيتم عقد جلستى نقاش يومى الثلاثاء والخميس ٢٥ و٢٧ نوفمبر ٢٠١٤ بقاعة ً وذلك للرد علي أي المؤتمرات بالبنك المركزى المصرى الدور السادس الساعة العاشرة صباحا إستفسارات تخص القواعد علي أن يقوم مسئول الإلتزام بمصرفكم بإرسال أية إستفسارات (إن وجد) على البريد الالكترونى ................ فى موعد غايته ١٦ نوفمبر .٢٠١٤ وتفضلوا بقبول فائق الاحترام ،،، البَتْكَ المُرَڪَرَ قُالمُ يَـَيْرُكْ القواعد المنظمة لتقديمر الخدمات المصرفية عبر الإنترنت‌فی‌القطاع‌المصرفی‌المصری

ﺇﺻﺪﺍﺭ ﻧﻮﻓﻤﺒﺮ ٢٠١٤

البَتْكَ الْرَكَ ذَ كَنْ المُ يَـ

القواعد المنظمة لتقديمر الخدمات المصرفية عبر الإنترنت‌فی‌القطاع‌المصرفی‌المصری

ﺇﺻﺪﺍﺭ ﻧﻮﻓﻤﺒﺮ ٢٠١٤

المحتويات

مَدَمــة	-1
١–١
۳ ۱ ﻧﻄﺎﻕ ﺍﻟﻘﻮﺍﻋﺪ.
٢-١ الملاحق الملاحق المستقل المستقليلية .
t	-Y
٢–١ المخاطر المرتبطة بخمات الإثرنت البلكي
٢—٢
٢-٢ إعداد مداسمات .
٢–٤
Y .
^ ﺍﻟﻀﻮﺍﺑﻂ ﺍﻟﺮﻗﺎﺑﻴﺔ ﻋﻠﻰ ﺍﻟﺨﺪﻣﺎﺕ ﺍﻟﻤﺼﺮﻓﻴﺔ ﻋﺒﺮ ﺍﻹﻧﺘﺮﻧﺖ
٠٣ -
9 - ومائل إثبات الهوية (التصديق).
	۳-۳
إدارة كلمة للّسر .
1 - 1 الضوابط الخاصة بعمليات تحويل الأموال
0-۳ سرية وسلامة المعلومات .
۳–۲ تامين للتطبيقات …
١٣-٣ -
۳–۳ تقييم النظام الأمني
٣–٩ الإستجابة للأحداث وإدارتها.
١٠ - ١٠ إعبّارات الأداء وضمان إسترازية العمل	- €
أمن للعملاء وضو ابط لبعض المخاطر الأخرى .
t = 1 عقد تقدم الخمة / نموذج طلب الخمة
1-1 رصد الأشطة غير العادية.
1 - القنوابط الوقائية الخاصة برسائل البريد الالكتروني و المواقع الإلكترونية للمزيفة .
1V. .
0-
ملحق (1): المعارسات السلومة لإحداد البنوة التحقية للإنترنت
ملحق (بـ); أمثلة عن الهجمات الإلكترونية و الثغرات الأكثر شيرعا
ملحق (ج): التعريفات .

1 - مقدمـ 1-1 الغـرض

أصبحت الخمات المصرفية الإلكترونية أحد العناصر البرهرية العدد من الخدمات المصرفية، حيث تشكل توقعات العملاء ضغوطاً على البنوك لقنيي إستر التيجيات مصرفية جديدة. ويثير مصطلح الخمات المصرفية الإلكترونية إلى ترصيل المنتجات والخمات المصرفية التقليدية بـــشكل الى ومميكن لتحقق الإسقادة المبشرة للعملاء وذلك عن طريق قوات بتصال إلكترونية وقاطية. وتضم الخدمات المصرفية الإلكترونية الــنظم اللازمة التي تمكن عملاء البنوك سواء من الأفراد أو الأشخاص الإعتبارية من الدخول على الحسابك وإجبر اء المعــاملات الخاصــة بههـم أو الحصول على معلومات عن المنتجات والخدمات المائية من خلال قنوات إتصال الكترونية.

بلرغم من أن القلّ في الخدمات المصرفية الإلكترونية أو تعطلها قد لا يوثر على استقرار النظم المالى؛ إلا انها تزعْر سلباً على ثقة المتعلين في الخملت المقمة من خلال قوات الإتصال الإلكترونية وتهدد سمعة البنك. وتساعد القراعد المنظمة البنوك على تقديم تلك الخـــمات ب يحافظ على سرية وامن المعلومات ويمكن العملاء من الإعتماد عليها من خلال ضبط وتأمين البنوية التحتيّة بالشكل المناسب.

ونظرا الزيلاة ترجه الخمات المصرفية في مصر نص الإعتحك على التكتولوجيا فان ذلك يتطلب المزيد من الإصلاحات التنظيمية اللزمالة فــى هذا المجال.

نطلق القواعد

۲-1 بالرغم من تشابه المخاطر والضوابط بين مختلف قنوات القواصل الخاصة بالخمات المصرفية إلا أن هذه القواعد تختص بالخدمات .

المصرفية عبر الإنترنت (المعروفة أيضاً بالإنترنت البنكى) التي يستخدمها العملاء من الأقراد أو الأشخاص الإعتبارية.

لا يغطى نطلق القواعد قوات التقذِذ الأخرى (مُثّل: ملكينات للصراف الأكي ATM، واتخملت المصرفية عبر الهاتف الأرضى .

والقتمات المصرفية عبر الهاتف المحمول)، وسيتم إصدار القواعد التقصيلية المنظمة لهذه الخدمات بشكل مستقل لاحقا.

تعبّر هذه القواعد والضوابط هى الحد الأذنى اللازم لقدمات المصرفية عبر شبكة الإنترنت بطريقة آمنة، وعلى كالة البنوك الا .

تكقى بذلك وأن تتاكد من إتخاذ كالة ما يلزم نحو إدارة المخاطر المرتبطة بقديم هذا النوع من الخدمات المصرفية.

تتضمن هذه القواعد بعض الضوابط أو الأهداف الرقابية العلمة المتعلقة بإستمرارية الأعمال وإسناد الأعمال إلى أطراف خارجية e وإباره مخاطر نظم للمعلومات، وبالرغم من ذلك منيتم إصدار القواعد التقصيلية المنظمة لهذه المجالات بشكل مستقل لاحقا.

Four-Party Model هذه القواعد لا تئمل عطليات الخصم من البطاقات المصرفية التي تتم من خلال المنظومة ذات الأطراف الأربعة.

.

و عمليات الدفع من المنظومات المغلقة والتي تتم عن طريق الإنترنت.

تسرى هذه القواعد فيما يتعلق بتقديم الخمات المصرفية عبر الإنترنت ونلك دون الإخلال بالضوابط للرقابية للعمليات المصرفية .

الإلكثرونية السابق صنور ها عن البنك المركزى وكذلك التعليمات والقواعد الخاصة بتنيذ العمليات المصرفية.

تسري هذه القواعد على جميع البنوك المسجلة لدى البنك المركزي المصري بما فيها فروع البنوك الأجنبية.

.

۳-۱ الملاقق · ملحق (ا): الممارسات السليمة لوضع البنية التحتية للخدمات المصرفية عبر الإنترنت

• ملحق (ب): لمنتّة عن الهجمات الإلكترونية الأكثر شيوعا
• ملحق (ج): التعريفات

٢ - إدارة مخاطر خدمات الإثترنت البنكى ١-٢ المخاطر المرتبطة بخدمات الإنترنت البنكي

يقرن تقديم خمات الإنترنت البنكى بالعديد من المخلطر والمميزات فى نفس الرقت. وبينما لا تعتير تلك المخطر جنيدة على البنــوك إلا أن خصائص خدمات الإثنرنت البنكي لا تريد من درجات المخاطر بالإضافة إلى خلق تحديث جنيدة لإدار ة تلك المخاطر . وتمثل هذه المخاطر. فيما يلي وذلك على مبيل المثال لا الحصر :

= المخاطر الإستراتيجية:

تتمل في قرار تقدم خدمات الإنترنت البنكي ونوع الختمات المقتمة وإختيار الوقت المذاسب لقديمها. ويقصد بذلك على وجه التحديد مدى للجدوى الإقتصادية لتقديم هذه الخدمات أو البستمرارها وما إذا كانت نسبة العائد على الإستثمار سوف تقوق الإستثمارات الأولية ومصروفات ابستمرار تقديم هذه الخدمات. كما أن سوء التخطيط لخدمات الإنترنت البنكي والقرارات الإستثمارية غير المدرومة يمكنها أن تزيد المخاطر الإستراتيجية التي تتعرض لها البنوك.

مخاطر التشغيل/ مخاطر المعاملات: L

تقطّ في المخاطر الناجمة عن الإختيال أو الأخطام في تقنيذ المعاملاتت، أو الخل في عمل النظام، أو غيرها من الأحداث غير المتوقعة التي قد تودى إلى عم قدرة البنك على تقديم الخدمات أو تعرض البنك لوعملائه لضائر مالية، وبينما تكمن المخطر في كل المنتجات والقنمات المقتمة، إلا أن مستوى المخاطر الخاصة بالمعاملات بتائر بهيكل الإجراءات والمعلملات البنكية ويتضمن ذلك أنواع الخدمات المقامة ودرجة تعقيد العمليات والوسائل التكنولوجية المساعدة.

= مخاطر الإلتزام/ المخاطر القاتونية:

تتشا هذه المخاطر نتيجة الزيادة السريعة لإستخدام خنمات الإنترنت البنكي والإختلاف بين العمليات الإلكترونية والعمليات اليدوية. وك تتضمن التحديات التتظيمية/القانونية الخاصة ما يلى: ايرام ايتفائية قانونية الكترونياً مع العملاء لإستخدام خدمة الإنترنت البنكي.

' الأساليب التي تستخدمها البنوك للتحقق من هوية المعلاء بإعقبار ها أحد مصادر المخاطر القانونية التي ينبغي وضع ضوابط كافية ' للحد منها.

في ضوء إلتزام البنوك بقانون البنك المركزي والجهاز المصرفي والنقد رقم ٨٨ لسنة ٢٠٠٢، يتيين على البنوك وضع إجر اءات ' وضوابط للحفاظ على خصوصية البيانات وسرية حسابات العملاء للتمكن من إدارة المخطر المتزايدة التى تتعلق بتقديم خدمات الإثقرت البنكي، وكذلك مسئولية القانونية تجاه العملاء نتيجة لإحتمال حلوث ابختراق لخصوصية البيقات، أو أى مشلكل أخرى بسبب عمليات القرصنة أو الإختقال أو الإخفقات التكنولوجية الأخرى والعمل على حملية تلك البيانات من الإستيلاه عليها .

تتحمل البنوك التي تقم خدمات الإنترنت البنكى درجة اعلى من مخطر الإلتزام ونلك بسبب الطبيعة المتغردة للتكنولوجيا

والتعديلات الرقابية التي تهدف إلى التعامل مع المشاكل الخاصة بتقديم هذا النوع من الخدمات.

الإحتفاظ بمستدات الإلترام المطلوبة والخاصة بالسجلات والتطبيقات وكتوف الصحابات والإنصاحات والإلتعارات.

.

تحديد وتقييم مخاطر غسل الأموال وتمويل الإرهاب التي قد تتشأ عن الخدمات المصرفية المقدمة عبر شبكة الإنترنت، حيث

يجب الإنتهاء من هذا التقييم قبل إطلاق خدمات الإنترنت البنكي.

= مخاطر المسعة:

يتزايد مستوى المخاطر المتطقة بالسمعة بشكل كبير ونلك نتيجة قرار البنك بتقدم خدمات الإلترنت للبنكي، وخاصة فيما يتعلق بالمعلات الأكثر تعقيدا. وفيما يلي بعض المخاطر التي قد توثر على سمعة البنك من خلال تقديم خدمات الإنترنت البنكي: ابحدام الثقة نتيجة وجود معاملات غير مصرح بها على حساب العميل.

' الإقصاح عن معلومات سرية خاصة بالعميل لأطراف غير مصرح لها، أو سرقتها.

الفقتل فى تقديم خدمات يمكن الإعتماد عليها نتيجة لتكرار تعطل الخدمة أو طول مدة توقفها.

شكاوى العميل من صعوبة إستخدام خمات الإثنرنت البنكى أوعدم قدرة موظفي الدعم القنى بالبنك على حل هذه المشاكل.

=

ينشا هذا النوع من المخاطر نتيجة إجتمال ابستغلال إحدى الجهات غير المثروعة لقاط الضعف بالنظام الإلكتروني لإهداث الضرر، و الذى ينتج عنه آثار تتعلق بمستوى سلامة وإتاحة وسرية البيانات.

مسئوليات والتزامات مجلس الإدارة والإدارة الطيا

Y - Y ٢-٢-١ يقولى مجلس الإدارة و الإدارة العليا مسئرلية الإثنراف على إعداد إستر انيجية العمل الخاصة بـالبنك وكذا إتخاذ قرار استرائيجي واضح بشأن رخبة البنك في تقديم خدمات الإثقرنت البنكي من عدمه، وبصفة خاصة يجب على مجلس الإدارة التأكد مما يلي: توافق خطط الإنترنت البنكي مع الأهداف الإمتراتيجية للبنك.

= تحليل المخاطر الخاصة بخدمات الإنترنت البنكى المقترحة.

= إعداد إجر اوات مذاسبة لمراقبة المخاطر والحد منها وٺلك فيما يتعلق بالمخاطر التي يتم تحديدها.

= المراجعة المستمرة لتقييم نتائج خدمات الإثترنت البنكي وفقا للخطط والأهداف المحددة.

٢-٢-٢ يجب على مجلس الإدارة والإدارة العليا ضمان تطول للمخطر المرتبطة بخسات الإلترنت البنكي المشار اليها في البند ٢-١ والحد مذها بالطرق الملائمة، وذلك وفقا لما يلى: ٢٠٢٠١٠ وضح رقابة فعالة على المخطر المرتبطة بتقديم خمات الإنترنت البنكي، بما فى ذلك تحديد المسئوليات والسواسات والضوابط الرقابية لإدارة هذه المخاطر : " يجب طى مجلس الإدارة والإدارة العليا الإلمام بجوانب عمليات الإثقرنت البنكي، والتى قد تقرض تحديات تختلف عن إدارة المخاطر التقليدية على النحو الوارد فى البند ٢–١.

" يجب على مجلس الإدارة والإدارة الطنيا التأكد من عم تقديم البنك خمات جنيدة للإنترنت البنكى أو تبنى وسائل تكنولوجية جديدة إلا إذا توافرت لهذا البنك الخبرات اللازمة التى تمكن من إدارة المخاطر بكفاءة. وينيفى ان تتناسب خبرات الموظفين والإدارة مع الطبيعة الفنية ودرجة تعقيد التطبيقات والتقنيات الخاصة بخدمات الإلترنت البنكي.

a يجب على مجلس الإدارة والإدارة العليا تحديد درجة قدرة البنك على تقبّل المخاطر Risk Appetite وذلك فيما يتعلق بخدمات الإنترنت البنكي مع ضمان إدراج عمليات إدارة المخطر المتعلقة بهذه الخمات فى المنهجية العامة للبتك لإدارة المخاطر . كما يجب أن تتم مراجعة السياسات و العمليات الحائية والخاصة بإدارة المخاطر وذلك للتاكد من كفايتها لتقطية المخاطر الجديدة التي قد نتتج عن خدمات الإثترنت البنكي.

= يجب على إدارة المراجعة الداخلية أن تقدم لمجلس الإدارة ولجنة المراجعة والإدارة الطيا تقييم مستقل وموضوعي عن مدى فعالية الضوابط الرقابية التى يكم تطبيقها للحد من المخاطر الذاتجة عن تقديم خدمات الإنترنت البنكى بما فى ذلك مخاطر التكنولوجيا.

مر لجعة وإعتماد للجوانب الرئيسية لعملية الرقابة الأمنية الخاصة بالبنك: Y-Y-Y-Y " يجب طى مجلس الإدارة والإدارة العليا الإثمراف على التطوير والصيانة المستمرة للبنية التحتية للرقابة الأمثية التي ترفر القصائة الفناسية لنظم وبيكات خدمات الإثقرنت البنكي من أي تهديدات داخلية أو خارجية. ومن أجل ضمان فعالية عملية تأمين خدمات الإنترنت البنكي، يجب طى مجلس الإدارة والإدارة الطليا التأكد من إتخاذ الإجراءات الأنية:

• تحليد مسئوليات واضحة خاصة بالإشراف على وضع والدارة السياسات الأمنية الخاصة بالبنك.

• توفير الحماية اللازمة لمنع دخول الأشخاص غير المصرح لهم إلى بيئة الحاسب الأكي، والتي تتضمن كاقة الأنظمة الحيوية وخوالم الشبكة وقواعد البيانات والتطبيقات والإتصالات، والأنظمة الأمنية الخاصة بخدمات الإنترنت البنكى.

توفير الضوابط الإلكترونية اللازمة والتي من شائها منع أي لطراف داخلية أو خارجية غير مصرح لها من .

الوصول إلى التطبيقات وقواعد للبيانات الخاصة بخدمات الإنترنت البنكي.

المراجعة الدورية لعمليات إختبار الإجراءات والنظم الأمنية (على سبيل المثال إجراء إختبار الإختراق دوريًا كما هو موضح في البند ٣-٨) بما في ذلك المتابعة المستمرة للتطورات فى النظم الأمنية فى هذا المجال، وتحميل وإعداد التحتيثات الخاصة بالبرامج وحزم الخدمات المناسبة و التدابير اللازمة ونلك بعد اجراء الإختبارات المطلوبة.

٢-٢-٢-٢ إعداد آلية شاملة ومستمرة لإجراء الأبحاث التاقية للجهالة Due Diligence والرقابة على عمليات التعهيد وعلقات البنك بأطر ات خارجية أخرى يتم الإعتماد عليهم لتقديم خدمة الإثقرت البنكي. مع تركيز مجلس الإدارة والإدارة العليا على النقاط التالية على سبيل المئال لا الحصر: الإمام الكامل بالمخاطر المترتبة على ايرام أي ترتيبات خاصة بالإمناد أو الشركة فيما يتطبيقات

خدمات الإنترنت البنكي بالإضافة إلى توفير الموارد اللازمة للابتغراف على هذه الترتيبات.

بجراء الأبحاث الناقية للجهالة اللازمة فهما يتطق بالكفاءة والبنية التحتية للنظام والقدرة المالية للشريك أو الطرف الخارجي مقدم الخدمة وذلك قبل ايرام أي ايقاقيات خاصة بالإسداد أو الشراكة.

تحديد المسؤوليات التعاقدية لكافة الأطراف الخاصة بإقاقيات الإمناد أو الشراكة بشكل واضح. على سبيل المثال، يتم تحديد مستوليات توفير المعلومات إلى مقتم الخدمة وتلقيها منه بشكل واضح.

تقضمن تعاقدات خدمات الاستاد القائية لعدم الإنصاح عن المعلومات السرية لأطراف خارجية والقائية مستوى الخدمة والتي تتصل على سبيل المثال لا الحصر: تحديد الأدوار والمستوليات والوقت المطلوب لتنفيذ الخدمة وإجراءات وبيكات التصعيد والعقربات في حال عمم الإلتزام، هذا بالإضافة إلى للبنود التى تحقظ حق البنك في التدقيق على موردي الخدمات أو الإعتماد على تقارير التنقيق المعتمدة (الصلارة عن جهات تدقيق معتمده).

خضوع كافة النظم والعمليات الخاصة بخدمات الإنترنت البنكن اللتى تتم من خلال عملية الإستاد لنظام ابارة المخاطر وسياسات الخصوصية وأمن المعلومات اللتي تتقق مع المعايير الخاصة بالبنك.

بجراء التكقيق الداخلي وإأو الخارجي بصفة دورية على العمليات التي تتم عن طريق الإسلاد، وينبغي ألا يقل نطاق تغطية أعمال التدقيق عن مثيلتها التي يتم تطبيقها على المستوى الداخلى في البنك.

توفير كافة تقارير التقييم لمفتشي قطاع الرقابة والإشراف بالبنك المركزي المصري.

وضع خطط طوار ى مناسبة لخدمات الإنترنت البنكى التى تتم عن طريق الإسناد.

E أن تقدم إجراءات فسخرابهاء التعاقد بالقاطية، كما يجب أن تضمن هذه الإجراءات الحقاظ على لبستمرارية العمل وسلامة للبيانات وكذلك نقلها والتخلص مذها.

في حالة استك خدمات الإثترنت البنكي لجهات خارج جمهورية مصر العربية، يجب على البنوك إتخاذ التدابير اللازمة للإمتثال للقوانين والتشريعات المصرية والختصاص المحاكم المصرية بما قد ينشأ من مناز عات.

وقفا لما ورد في البند ١-٢٠، سيتم إصدار قواعد تقصيلية منظمة تحكم انشطة الإسلاد وذلك على نحو منصل، على أن تثنمل الضوابط الرقابية التصيلية بالإضافة إلى الأهدلف الرقابية وكذلك قائمة بالنظم والخمات المسعوح بإسدادها والإستعائة بمصادر خارجية لتقيذها. ولحين إصدار هذه للقواعد، يجب على البنوك عدم ايرام أي القائيات تتعلق بإستاد خدمات الإنترنت البنكي أو تطبيقاتها دون الحصول على موافقة مسبقة من للبنك المركزي المصري.

إعداد سياسة تأمين المعلومات

۳-۲ ٢-٢ يوب على الإدارة الطيا التكند من أن سولسة أمن المعلومات المُطبّقة باتبنك - والمقتمدة من مجلس الإدارة ويتم تحديثها بشكل دوري

• تقطي خدمات الإثنرنت البنكي. ويسهم ذلك في تحديد السياسات والإجراءات والضوابط الرقابية اللازمة لحملية العمليات البنكية من الإختراقات والإنتهاكات الأمنية، كما يحدد المسترليات القردية وكذا يوضح اليات التقييذ والإجراءات التى يجب إتخلاما في هال مخالفة هذه السياسات والإجراءات.

٢-٢ نترلى الإدارة العلوا تعزيز ونشر القاقة الأمنية على كاقة مستويات البنك عن طريق التكود على إلتزامهم بالمعايير العالية لأمن المعلومات، وتشر هذه التقافة على كافة العاملين بالبنك.

تصنيف مخاطر خدمات الإثترنت البنكي T-Y

تقدم البنوك مجموعة مختلقة من خدمات الإلترنت البلكي لقذات متتوعة من العملاء ونتيجة لذلك فهي لا تتطوي عاده على نفس مستوى المخاطر المتأصلة. على سيل المثال، لا يتعرض العملاء المسموح لهم فقط بالإستعلام عن أرصدة حساباتهم عبر الإنترنت لنفن مسترى المخلطر التي يتعرض لها عملاء آخرون ممن يقومون بتحويل الأموال إلى حسابات خارجية.

ويتطلب هذا التنوع في تقدم الخمات تبنى البنرك الأسالب امنية شاملة وتقم بالمرونة في الوقت ذاته، على أن تكون منهجية التأمين قائمة على تحليل المخاطر و التهديدات الخاصة بخدمات الإنترنت البنكي، مع الأخذ فى الإعبّاز المخطر المكاصلة Inherent Risk والضوابط الرقابية التقويضية Compensating Controly من أجل الوصول لمستوى من المخاطر المتبغية Residnal Risk التي تقع ضمن مستريات المخاطر المقبولة بالبنك .

O-Y قواعد مكافحة غسل الأموال وتمويل الإرهاب

يجب على البنوك التى تقوم بتقديم خدمات الإنترنت البنكى تتفيذ ما يلي: الإلقزام بقانون مكافحة ضل الأمرال الصادر بالقانون رقم ٨٠ لمنة ٢٠٠٦ ولائحته التنفينية والضوابط الرقابية للبنوك في شان مكافحة " عسل الأموال وتمويل الإرهاب الصادرة عن البنك المركزي المصري عام ٢٠٠٨ وقواعد التعرف على هوية العملاء بالبنوك الصلارة عن وحدة مكافحة غسل الأموال وتمويل الإر هاب عام ٢٠١١.

تطبيق إجراءات العذلية المشددة بالنسبة للعملاء والعمليكت مرتفعة المخاطر وفقا لما ورد بالبند الثامن (إجراءات العائية المشددة الخاصة

بغات العملاء أو الخدمات والعمليات المائية مرتقعة المخاطر) من قواعد التعرف على هوية العملاء بالبنوك الصلارة عن وحدة مكافحة غسل الأموال وتعويل الإرهاب عام ٢٠١١.

ايلام عناية كافية للموثترات الإسترشادية الواردة بالبند السابع (الموشرات الإسترشاندية للتعرف على العمليات التي يشتبه فى أنها تتضمن u غسل أموال أو تعويل إر هاب) من الضوابط الرقابية للبنوك في شأن مكافحة غسل الأموال وتمويل الإر هاب الصادرة عن البنك المركزي المصري عام ٢٠٠٨.

في حلقة الإشتباه في أية عصليات تتم من خلال شبكة الإنترنت، القيام بلخطار وهذة مكافحة ضل الأموال وتمويل الإر هاب بشأتها، وذلك ■ وفقا لأحكام قاتون مكافحة غسل الأموال الصلار بالقانون رقم ٨٠ لمنة ٢٠٠٦.

٣– الضوابط الرقابية على الخدمات المصرفية عبر الإنترنت

٢-١ إدارة حسابات خدمات الإنترنت البنكى ٣-١ مصرفي بلبتخدام أي من قنرات تقدم الخدمات الإلكترونية (على سبيل المثال: موقع البنك على الإنترنت، الخ). و يجب أن تطبق البنوك قواعد التعرف على هوية العملاء بالبنوك الصدادرة عن وحدة مكافحة غسل الأموال وتمويل الإرهاب لسنة ٢٠١١ على هؤلاء العملاء الجدد.

٣-٢ تحصل البنوك على ترقيع يدري من العميل الذى يرغب في الإثشراك بخدمات الإثنراك بخدمات الإثقرات البنكي على تموذج (نملاج) طلب الخدمة أو العقد (التي تحتوي على البيانات الأساسية للعميل كحد أننى (مثال: البريد الإلكتروني، رقم الهاتف المحمول والأرضى، عنوان المراسلات، إلخ)، بالإضافة إلى الشروط والأحكام للتى تحند الحقوق والإلتزامات بين البنوك والتصلاء بشكل واضح (پرجى مراجعة البند رقم ٤–1).

٣-١- ٣-١ تلقزم البنوك بإستخدام أساليب يمكن الإعتماد عليها للتحقق من هوية وصلاحيات العملاء للراغبين في الإشتراك فى خدمات الإثنرنت البنكي، وكذلك التحقق من هوية وصلاحيات العملاء المشتركين بالخدمة الراغبين في تنفيذ انتلطة مصرفية عبر خدمات الإنترنت البنكى.

٣-١- ٤ بالصنابات المصرفية، وذلك في الحالات التي يصرح فيها لأكثر من مستخدم بالتعامل على هذا الحساب.

٣-١-٥ تلتزم البنوك بالحصول على كلة المستدات القانونية اللازمة لإثبات تقريض الصلاحيات للمستخدمين بإجراء معاملات على حسابات الأشخاص الإعتبارية.

٣-١- ٦ تلتزم البنوك بلجراء عمليات التقيق اللازمة للتكد من هوية العملِ عند طلبه إجراء تعديل في بيانات حساب خدمات الإثقرات البنكي الخاص به، أو تعديل أي بيلانات يستخمها العميل لمتابعة انشطة حساباته المصرفية. ويطبق ذلك طى عمليات إعادة تقعيل الحساب واعادة إصدار كلمة سر جديدة لعميل خمات الإنترنت البنكي وتغيير بيكات الإتصال الخاصة بالعميل ملّ علوان البريد الإلكتروني ورقم الهاتف المحمول والأرضي وعنوان المراسلات. كما يجب على البنوك أن تلخذ في الاعتبار تطبيق المعايير التالية عند التعامل مع تلك الطلبات: ٣-١-٦ - ١ في حال تقدم العميل بطلب لتحريل البيكات الخاصة به في لحد القروع، يتم تطبيق الإجراءات اللازمة للتأكد من هويته.

٣-٦-٢-٢ أما في حال طلبات التعديل المقتمة من خلال خمات الإنترنت البنكي فيجب استخدام وسيلة التصديق الموضحة بالبند ٣-٣ مع التأكد من وجود آليات مر اقبة فعالة.

٣-١-٦-٦ تطبيق البنوك الإجراءات اللازمة للتحقق من هوية العميل في حالة تسليمه معلومات لو أدوات أو أجهزة تثيح له الدخول على حساب الإنترنت للبنكى الخلص به (مُتّال: الرقم السري PIN ولجهزة رموز الأمان Tokens، الخ).

٣-١-١-١ في حال عدم توافر معايير مماثلة لتلك الموضحة أعلاه، تتجنب البنوك ارسال المستدات المهمة (مثال: دفاتر الشيكات واجهزة رموز الأمان البديلة، الخ) إلى العملاء الذين قاموا بتغيير عذاوين مراسلاتهم حديثاً على وجه الخصوص.

ويلتزم العميل في هذه المالة باستلام هذه المستدات بنضه من أحد فروع البنك بعد التحقق من هويته طبقا للقواعد المعمول بها.

٣-١-١-٥ إجراء عمليات التحقق والفحص الإضافية للتلكد من هوية العميل، وذلك فيما يتعلق بالطلبات التي تتم من خلال الهاتف (المكالمات التى ترد من العملاء فقط) لإرسال لجهزة رموز الأمان الجديدة أو أي معنتدات هامة أخرى وكمتال لتعلية التحقق الإضافية: سؤال المعيل عن مطومات تتغير من وقت لأخر بالإضافة إلى الأسئلة المتعلقة بالتقاصيل الشخصية بصفة عامة (متال: الأرصدة التقريبية في الحساب وآخر معاملات تم تتفيذها على الحساب).

٢-٣ وسائل إثبات الهوية (التصديق)

٣-١٦ تلتزم بللبنوك باستخدام وسائل فقالة يمكن الإعتماد عليها للتحقق من هوية العملاء المستخدمين لخدمات الإنترنت البنكى. وعلاءً ما تكون عملية التصديق أكثر فعالية عند الجمع بين الثين من العناصر التالية:

• أحد الأشياء للمعروفة للعميل (مثال: اسم المستخدم وكلمة السر).

• أحد الألتياء التي بحوزة العميل (مثال: للتوقيع الرقمي أو كلمات السر المستخدمة لمرة واحدة للتى تصدر بابنتخدام لجهزة رموز الأمان).

= أحد العسات المميزة والخاصة بالعميل (مثال: الصغات البيومترية، كالبصمات) 1 - 1 يجب على البنوك إعلاة التصديق بإستخدام وسيلتين معا (مثال: التوقيع الرقمي أو كلمات السر المستخدمة لمرة واحدة التي تصدر بلستخدام لجهزة زموز الأمان مع عدم السماح بمنح كلمات السر المستخدمة بشكل لتى ومبائر عبر الرسائل النصيرة القصيرة أو البريد الإلكتروني للعملاء من الأوراد والأشخاص الإعتبارية، إلخ) عند تنفيذ الائشطة ذات المخاطر المرتقعة (منّل تحويل الأموال لأطراف خارجية، تسجيل مستودين جد، تغيير بيانات الإتصال بالعميل، الخ). ويجب أن تعمل وسيلة التصديق المستخدمة بالتزامن مع الضوابط الأخرى المُطْبُقة على تعزيز الأبعاد التَاليّة:

• عنم الإنكار " سلامة وتكامل البيانات
• سرية البيانات " صحة للهوية ٣-٣-٣ يجب على البنوك تحديد وسائل التصديق التي ستخدمها لخدمات الإنترنت البنكى وذلك بناءً على تطيل المخاطر المربّطة بالنظام؛ مع الأخذ فى الإعتبار تقييم نوعية المعاملات المصرفية التى تقدم عبر الإنترنت البنكي.

٣-١ تحتاج البنوك إلى عمل تقيم دلقوّ لتحديد ما اذا كانت الرسيلة المستخدمة للتصديق مناسبة من الناهية الأمنية حتى إذا كان الحاسب الشخصي الخاص بالعميل عرضة للتهددات، مثال: عن طريق برامج خبيئة ملّ حصان طروادة وبر امج التجسس عن طريق تسجيل الضغط على لوحة المفاتيح.

السر فى حالة تمليمها للعميل كما هو موضح في البند ٣-٢.

٣-٢ يجب أيضًا على البنوك تطبيق الوسائل المذاسية التي تمكن العملاء من التحقق من هوية ومصداقية المواقع الإلكترونية الخاصة بهذه Digital Certificates البنوك وذلك بخلاف معايير التصديق الخاصة بهوية العملاء، وذلك عن طريق تثبيت شهلدات التصديق الرقمية والمفاتح المرتبطة بها من الجهات المعروفة و الموثوق بها على خوادم نظم الإنترنت البنكي، كما يُوصى بإستخدام شهادات التصديق التى تتضمن تحقق/تأكيد إضافى Extra Validation.

٣-٢-١ يجب على البنوك إنشاء آلية للتحقق من التصديق على النحو التالى: الخطار العمول بمجرد دخوله على النظام بالمحارلات السابقة الناجحة و/أو القاشلة الخاصة بإسم المستخدم الخاص بالعميل وذلك 1-4-8-۳ فور دخول العميل على النظام.

ملع تخول المستخدم إلى خدمات الإنترنت البنكي بعد عدد من المحارلات الفلشلة - لا يتحدى خمس محارلات - ويجب ۲-۷-۲-۳ على البنك إعداد إجر اوات و اضحة لإعادة تقعيل حساب المستخدم الذي تم ايقافه.

منع المستخدم من استخدام أكثر من ذافذة الِستخدام بشكل متزامن.

۳-۷-۲-۳ عدم إعطاء أي مطومات بعد المحاولات القاشلة للدخول على النظام إلى الشخص الذى قام بتلك المحارلات مثل الإقصاح عن ٤-٧-٢-٣ عدم وجود اسم هذا المستخدم أو أن كلمة السر غير صحيحة.

القيام بالرقابة بصورة منتظمة لمحاولات الدخول الناجحة و/أو الفاشلة لخدمات الإنترنت البنكي، وعند إكتئاف أي تجاوز 0-4-1-۳ جسيم، يجب التحقيق فيه وتحديد التهديدات المحتملة واتخاذ التدابير اللازمة.

٣-٣-٣ إدارة كلمة السر

٣-٣-٣-٢ مواصفات كلمة المير: يجب على البنوك مراعاة التدابير الرقابية التّالية عند التعامل مع كلمات السر الخاصة بالعملاء.

· تطبيق الرقابة المزدرجة و/[s الفصل بين المهام لمعلية إبثناء كلمات السر وتسليمها للعملاء و عملية تقعيل حسابات خدمات الإثقرت للبنكي.

• تعزيز تأمين عملية إنشاء كلمة السر لضمان عدم تعرضها للكشف.

= التاكد من أن كلمات السر لا يتم معالجتها أو ارسالها أو تخزينها كنص واضح.

• وجوب توجه مستخدمي ومديرى انظمة الإنترنت البنكي لتقيير كلمة السر الصادرة فور الدخول إلى النظام لأول مرة.

• تطبيق قواعد إنتهاء صلاحية كلمة السر على أساس مدة صلاحية محددة مسبقا من قبل البنك.

• الحقاظ على تاريخ كلمات السر المستخدمة والتأكد من علم إعادة استخدامها مرة أخرى خلال عند مرات أو مدة زمنية يحددها البنك.

• فرض استخدام كلمات سر معقدة (مُتال: تتكون من تُحائية أحرف وتتضمن حروف وأرقام ورموز خاصة، الْخ).

• يجب تشغير كلمة السر بابستخدام الية تشغير قرية أو أن يكون طول مفتاح التشغير مناسب (لا يقل عن ١٠٢٤ بايت).

• إستخدام التكنولوجيا المناسبة لإنشاء كلمة السر وإعتماد التقنيات المناسبة للحفظ على تأمينها أثناء القنايم للعميل إما باليد أو الكترونيا.

• التككد من أن الية "تكر كلمة السر" لا يمكن إستخدامها (أي لا يتم السماح بتخزين كلمة السر في صورة كود تطبيق خاص بالمواقع أو فى ملفات تعريف الإرتباط الخاصة بكلمات السر).

٣-٣-٣ كلمات السر المستخدمة لمرة واحدة التي تصدر باستخدام أجهزة رموز الأمان

• الحد الأننى لمواصفات كلمة السر لمرة واحدة:

• يجب الا تكون كلمة السر أقل من ٢ رموز.

• يجب آلا يزيد الوقت الزمنى لصلاحية إستخدام كلمة السر عن ٩٠ ثانية.

• التاكن من أن نظام الحلول الحسابية Algorithm لإنشاء كلمة للمر يوفر العشوانية الكافية من القيم الرمزية.

• يجب أن يتم حملية جهاز رموز الأمان برقم سري طبقا لما يلى:

• يجب أن لا يقل الرقم السرى لجهاز رموز الأمان عن ٤ أرقام.

• لا ينبغي السماح بالأرقام السهلة كرقم سرى PIN مثال: ١١١١ أو ١٢٣٤

• يجب أن يكون هذاك حد أنصى للمحار لات الغير ناجحة لإنخال الرقم السري - لا تتجاوز خمس محاولات - قبل إيقاف جهاز رموز الأمان.

• يجب طنى البنوك إعداد إجراءات واضحة لإعداد الأرقام السرية الأولية وإعادة تقعيل أجهزة رموز الأمان الموقوفة.

• يجب توجيه العميل لتغيير الرقم السرى عند أول استخدام وذلك في حالة بصداره عن طريق البنك.

الضوابط الخاصة بعمليات تحويل الأموال ٤ -٣

٣-١-١ يجب على البنوك التي تقدم خمة تمويل الأموال من حسابات عملائها إلى حسابات لطراف أخرى من خلال خدمات الإثقرت البنكي وضع الضوابط المذاسبة التي تساعد على تقليل المخاطر المصنحبة لتلك الخنمة لتصل إلى مستوى مقبول ومعتمد من البنك.

٣-٤-٢ يجوز للبنوك ابتخدام وسيلة تصديق لحادية للتصديق على عمليات تحريل الأموال بين الصنابات التابعة لنفس العميل والتي تتم دلخل نفس البلك يجمهورية مصر العربية، أو ساد إلْترامات للعميل الخاصة بيطاقات الإثنّمان لو للقروض أو إنشاء شهلدة إيداع أو حساب وديعة لأجل داخل نفس البنك بجمهورية مصر العربية.

٣-١-٣- ٣- بجب على البنوك تطبيق مدا لرقابة المزعوجة على الأقل (المعدار المنقق والمصرح) على تحريلات اموال الأشخاص الإعتبارية لمستيدين آخرين - إلا فى حالة طلب الشركة أو الشخص الإعتبارى غير نلك كتابيا - مع ضرورة ابستخدام كل من المعد/ المنقق والمصر ح لوسائل اِتْبات الهوية (التصنيق) الوادرة بالبند ٣–٢– ٢– .

٣-٤-٤ يجب طى البنوك رضع حد ألصنى يومي أو حدود المعاملات التى تتم من خلال خمات الإنترنت البكى لتعويل الأموال من حمايات صلاتها لمستقدين تقرين على أن تخضع لدراسة المخاطر من قبل البنك، ويجب الا تتعارض تلك الحدود مع أي حدود اخرى يحددها البنك المركزي المصرى.

٣-١-٠ مُحظر معالجة بعض الوظائف/الخمات بإستخدام نظام التقوذ الأنى المهاليات، حيث يجب تنفيذها بعد أن يتحقق موظفى المكتب الخلفي بالبنك Back Office من صحة الطلب او المعاملة. وفيما يلى الخدمات المحظور تتفيذها آليا: " تحريل الأمرال لمستقين خارج جمهورية مصر العربية (بالتواقق مع أي لواتح أو تطيمات صادرة عن البنك المركزي المصري بخصوص تحويل الأموال بالعملة الأجنبية).

• الطلبات المتطقة بالعمليات الإنتمانية (القروض، التسهيلات الإنتمانية، طلبات بطاقات الإنتمان،الخ) حيث يمكن تقديمها عبر الإنترنت ولكن يجب على البنوك الحصول على ترقيع من العميل قبل تنفيذ العملية/الطلب.

٣-١-٦ يوب على البنوك ابخطار عملائها من مستخدمي خمات الإنترنت البنكى بأى معاملات مالية أو الشطة ذات مخاطر مرتقعة تقم على حساباتهم - إلا في حلقة طلب العميل غير ذلك - وذلك من خلال وسيلة مميكنة بديلة (مثل الرسائل النصنية القصيرة لو رسائل البريد الإلكترونى).

٣-١٠ يتم التعامل مع خدمة سداد للغوائير عبر خمات الإثقرت البنكي خصما على حساب المميل على أنها عملية تحويل أموال لمستقيدين آخرين، حتى وان تم تحويلها عن طريق المكتب الخلفى Back Office.

٣-١-٨ يتكين على البنوك الوفاء بإلكزاماتها الخاصة بتحويلات الأمرال وفقا لما ورد بالجزء التقسم الخاص بالقواعد الخاصة بتحويل الأموال وذلك ضمن قراعد التعرف على هوية العملاء بالبنوك الصادرة عن وحدة مكافحة غسل الأمرال وتمويل الإرهاب لسنة ٢٠١١.

سرية وسلامة المطومات 0-۳ ٣-١٠-١ يتضمن تقدم خمات الإنترنت البلكي تداول بيانات سرية (مال كلمات السر الخاصة بخمات الإنترنت البنكي والمعلملات الملنية، الخ) عبر شبكة الانترنت والشبكة الداخلية للبنك. لذلك يجب على البنوك استخدام الأساليب المذاسبة للحقاظ على سرية وسلامة المعلومات المتداولة عبر الشبكات الداخلية والخارجية للبنك.

٣-٢-١٠ يتم إستخدام تكنولوجيا التنفير لحماية سرية وسلامة المعلومات التي تتمم بالحساسية. حيث يجب على البنوك إذنيار تكنولوجيا التنفير التي تتناسب مع حساسية وأهمية المعلومات وكذا درجة الحملية المطلوبة، وفي هذا السياق يوصى داقما بتيني البنوك لتكنولوجيا التشغير التي تستخدم طرق التشغير المتعارف عليها دوليا، حيث تخضع نقاط القوة فى هذه الطرق لإختبارات شاملة.

وينجفي ان تطبق البنوك الممارسات السليمة لإدارة مفاتيح النتشفير اللازمة لحماية هذه المفاتيح.

٣-٥-٣ يوب طن البنوك أوضاً تقنية ضوابط أخرى بخلاف أساليب التتشير، وذلك للخفظ على سرية وسلامة المعلومات التي يتم تداولها عبر تظم خدمات الإنترنت البنكي. ويتضمن هذا على سبيل المثال: ٣-٢-٣- الضرابط وأصال التقوق المدرجة بتطبيقات الإنترنت البنكي للتكك من سلامة تسوية أرصدة العملاء بحد تنفيذ المعاملات بالإضافة إلى التأكد من سلامة البيانات التي يتم نقلها بين الأنظمة المختلفة.

٣-٣-٣- مراقبة المعملات غير المعتادة بما في ذلك المعاملت محل الإثناباه الخاصة بخدمات الإثقرنت البنكى أو السجلات للتي يشتبه التلاعب فيها (كما هو موضح فى البند ٤–٢).

٣-٥-٢ دينمى على البنك تطبيق مياسة القصل بين المهام، وتلك للتأكد من عدم إمكانية قولم أي موظف دلخل البنك بأي عمل غير مصرح له وابِغَفَافَه ويتَضُمن هذا على سبيل المدّال لا الحصر ، إدارة حساب المعتخدم وتتفِيذ المعاملات كما يلي: ٣-١-٢-١ عم السماح لمرظف ولحد فقط بالقوام بإشاء حساب مستخدم لخمات الإنترنت البنكي والتصريح بالمواققة عليه والغائه دون مشاركة موظفى الادارات الاخرى بالبنك للتحقق من ملامة تصرفات هذا الموظف.

٣-١-١٠ يجب طى البلك تصميم الإجراءات الخاصة بتعلملات الإلقرنت البنكي بما يضمن عم الفراد أحد الأشخاص بإنشاء التعاملات والموافقة عليها وتقيذها على النظام مما قد يدعم عملية لِحتيال أو الخفاء تقاصيل خاصة بتلك المعاملات.

٦ - ٦

يجب على الينرك التككد من تراير مسترى مناسب من تأمين التطبيقات الخاصة بخدمات الإثقرات البلكى مع أخذ الممارسات السليمة التالية بعن الاعتبار: يجب طى البنوك عند إختوار أدوات تطوير النظام أو لغات البرمجة من أجل تطوير التطبيقات الخاصة بخمات الإنترنت البنكي 1-7-۳ أن تقدم الخصائص الأمنية التي يمكن أن توفر ها الأدوات أو اللغات المختلفة لضمان إمكانية تتغيذ الحماية القعالة للتطبيقات.

٢-٢- ٢ يوب لجراء صلية تحقق شاملة وفعالة حول صحة المدخلات (يما فى ذلك البيانات المنظة من قبل المستخدم والإستعلام من خلال قواعد البيانات التي قد يقوم المستخم بطلب تقيذها) وذلك من خلال خرائم الشبكة، و يمنع هذا نظام الإنترنت البنكي من معالجة المطلبات غير الصحيحة التي يقم انخالها بطريقة متعمدة، الأمر الذي قد يودى إلى الوصول غيـر المصرح به بلى البيق ٣-٣-٣ يجب أن تعمل انظمة خدمات الإثقرنت البنكي بأقل الصلاحيات الممكنة الخاصة بإدارة النظام. كذلك يجب منع إستخدام كلمات السر المعروفة أو كلمات السر الموحدة التى تعد مع نشاة النظام.

1-1 يوب الا تكشف رسال الأخطاء للتى تصدر من النظم لعملاء خدمات الإثرنت البنكي عن معلومات دقيقة خاصة بالنظام. و يجب تسجيل الأخطاء بشكل مناسب، كما يجب التأكد من عدم احتواء اللص المصنري للغة توصيف النصوص المترابطة HTML في خلام الشبكة الخاص بالنظام Production Web Server على أي من المعلومات الدقيقة الخاصة بالنظام ملّ أي . Web Application Code ابتدار ات أو مرجعيات متعلقة بخصائص تصميم كود البر امج التطبيقات ٣٠٠٠ ويوب إنهاء ناقذة المعلملة عبر الإنترنت تلقاتيا Session Termination بعد فترة محددة من الوقت في حال حدم وجود أي نشاط على النظم، إلا إذا تم إعلاة تصديق بيانات العميل مرة لمزى، الأمر الذى يمنع أي مُخترق من الإبقاء على أي ذافذة مفتوحة على الإنترنت إلى لجل غير محدد.

1-1 يوجب منع برامج التصنع الخاصة بالعميل من خلظ أو عرض ايمم المستخدم أو كلمات السر السابق البخالها من العملاء المستخدمين لخمات الإنترنت البنكي وكذلك صفحات الويب الخاصة بتلك الخدمات التى مبق الدخول عليها.

٢-٢ يجب طي البنوك اتخذ الإجراءات اللازمة لعلاج أي نقط ضعف بنظم الإلكرنت البنكي يتم بكتشاقها، ونلك البنتاذا بلى الإجراءات الأمنية المتبعة فى البنك.

• ٣- ٨ يجب حماية المسارات المخفية Hidden Directories الخاصة بالموقع الإلكترونى والتي تحتوي على أي صفحات إدارية أو مطومات سرية، وذلك عن طريق تطبيق نظام تصديق فعل و آليات معيارية للتحكم في الدخول على كالة النظم الخاصة بخدمات الإنترنت البنكي.

Structure of File ٣-٢ يوب مسح كافة الملفات الإحتياطية والمشتركة من خوادم شبكة الإصدار أو هيكل مسارات الملفات Structure of File Directories لتجنب وصول المستخدمين غير المصرح لهم بذلك.

• ٢٠ القولم بمراجعة أمنية دورية لهيكل مسارات للملقات Structure of File Directories وصلحيات النقاذ إلى الملقات، وذلك لضمان أن الملفات السرية وتم حمايتها بالشكل الملائم، ولا يتم عرضها من خلال تطبيقات الويب.

٣-١١ يوجب علي البنوك عمل الترتيبات الأمنية المذاسية لبعض الخدمات التى تتضمن ابتصالات مع الشبكات العامة (كخدمات البريد الإلكثروني للقواصل مع عملاء خدمات الإنترنت البنكى، و نظام أسماء النطاقات DNS لترجمة أسماء المواقع إلى عاوين علي الشبكة والعكس) لتجنب الهجمات على انظمة خدمات الإنترنت البنكي من خلال هذه الخدمات.

٣-١٢ يقكن للبنك - بجانب ابستخدام بروتركول طبقة المناظ الأمنة SSL - أن يقوم بتأمين عطلية تتلفير شاملة على مستوى (طبقة) التطبيقات للبيانات المرسلة عبر الإثنرنت، حتى لا يتم كشف الأرقام السرية وكلمات السر الخاصة بالعميل في أي مرحلة وسيطة لتداول البيانات بين المتصفح وخادم الاستضافة Host، حيث يتم التحقق من أرقام التعريف التخصية وكلمات السر .

٣-٢-١٣ يجب على للبنوك القيام بالإختبار ات اللازمة للتلكد من علم إمكانية تجاوز عطية التصديق أو إغفالها للنخول طى النظام.

٣-١٤ نظراً لسهولة الوصول إلى قواعد البيكات ذات الحماية الضعوفة من خلال الشبكات الداخلية والخارجية، لذا يجب التقديد على توافر الأنّى: = إجراءات صارمة بشان تحديد الهوية والصلاحيات للدخول على الأنظمة وقواعد البيانات.

. System Processes تصميم آمن وسليم لعمليات النظام System.

. Audit Trails مسار ات تنقيق ملائمة = ٢-١٥ يجب على البنوك استخدام لحد بروكولات التصديق المحيارية لتعريف أسماء المستخدمين وكلمات السر الخاصة بهم على تطبيقات الإثترنت البنكى (مثل LDAP).

البنية التحتية والمتابعة الأمنية لخدمات الإنترنت البنكي Y - ٣

٣-١ يجب على البنوك إلشاه بيئة تشغيل ملائمة تعمل على دعم وحصلية انظمتها الخاصة بخدمات الإلقرنت البلكى. حيث تحقوي بيئة التنفيل الملاثمة على بنية تحتية أملة لخمات الإلترنت البنكي (والتي تتسمل تصميم نطاق آمن DMZ وإعداد خوالم الشبكة و أنظمة اكتئبك وملع الإغتراق واجهزة جدار الحماية Firewall وأجهزه التوجيه) كما تحقوى أيضا على إجراءات حماية ملائمة للثبكات الداخلية وروابط الشبكات مع الجهات الخارجية.

يجب على البنوك مراقبة كل من انظمة الإنترنت البنكي والبنية التحتية بصورة لستباقية يشكل دائم على مدار ٢٤ ساعة طوال ۲-۷-۳ الأسبوع، وذلك لرصد وتسجيل اي مخالفات لمنية، أو أي إختراقات، أو نقاط ضحف مشتبه فيها، وكذلك اي انشطة غير طبيعية محل اشتباه نتم على الأنظمة .

وجب على البنوك التأكد من وجود مسارات التكقيق Audit Trails لكل المعاملات البنكية التي تتم عبر الإنترنت على أنظمة البنك.

r-v-r كما يجب ضمان حماية تلك المسارات ضد أي تلاعب او تغيير غير مصرح به، وأن يتم الإحقاظ بها لمدة زمنية تقرافق مع ما تحدده سياسات البنك تطبيقا للمتطلبات القانونية وطبقاً للضرابط والتطبومات الرقابية الصدادرة فى هذا الشأن. ويهدف هذا الإجراء إلى تسهول إجراءات التحقق في أي عملية لحقوال، وحل أي نزاع أو شكوى إذا لزم الأمر . وعند تحديد ما ميتم الإحتقاظ به فى مسارات التدقيق، يمكن الأخذ فى الاعتبار الأنواع التالية من الأنشطة وذلك كحد أدنى: User ID صليات فتح أو تحديل او إغلاق حساب ممتخدم على نظام الانترنت البنكى User ID = أى عملية ذات تبعات مالية اي تصريح يمنح لعميل | مستخدم لتجاوز اي من الحدود أو الصلاحيات

( ٣- ٤ يوب أن يتم مر اجعة كافة ما يتم إصداره من سجلات تنقيق Audit Logs وإذار ات التأمين اللحظية Real Time Security Alerts (مَلّ ابذارات انظمة كشف ومنع الإختراق) بواسطة الموظفين أو فرق العمل المعنية وذلك بطريقة دورية وفى الوقت المناسب.

٣-٢-١ يمكن للنبوك الرجوع إلى (الملحق ا) الخاص بالممارسات المتحلقة بتصميم وإثشاء ومراقبة البنية التحتية لخدمات الإنترنت البنكى.

A-۳ تقييم النظام الأمنى

٣-٨-١ يجب طى البنوك دوريا تقيم الوضع الأمني لكافة الأنظمة (التطبيقات، والشبكات، ولجهزة التأمين، وخوالم نظام أسماء للنظاقات وخوالم البريد الإلكتروني، إلخ) المتطقة بأصال الإنترنت البنكى، وذلك فـي المركز الرئيسي للمعلومات والمركز الإحتياطي الذى يستخدم فى حالات الكوارث. يوضح البندان ٣-٨-٢ و ٣-٨-٣ الحد الأدنى من الشطة التقييم الواجب لجراؤها.

T-1 يوب طن البنوك اجراء تقيم درري لنقاط الضنعف Vulnerability Assessment كل تلائة لتيهر على الأقل أو طد حدوث تغييرا جوهريا في البيئة التشغولية لنظام خدمات الإلكرنت البنكى لإكتئان نقاط الضحف في بيئة تكنولوجيا المعلومات، وتقييمها، ويمكن أن يتولى هذا التقييم مستشار أو مقدم خدمة خارجى، أو إدارة أمن المعلومات بالبنك، وذلك على التحو التآلي:

• وجب أن يحقوي نطلق تقييم تقاط الضحف على إختبار الثغرات الشائعة في الشبكة (ملّ: الثغرات التي ثمكن المخترق من حقن قواعد البيانات SQL Injection وتغرات البرمجة عبر المواقع Site Scripting، بلخ).

• يجب على البنك إعداد خطة لمعالجة المشاكل التى تظهر فى تقريم نقاط الضعف، ثم التحقق من صحة هذه المعالجة عن طريق إعادة الإختبار لإثبات أنه قد تم التعامل مع هذه المشاكل بالكامل.

٣-٢ يوب على البنك القيام باختبارات الإختراق Penctration Testing وذلك لعمل تقييم مغصل ومتعمق للوضع الأمنى للنظام من خلال محاكاة للهجمات الفطية على الفظام على أن يتم ذلك على الأقل مرة ولحدة سنويا، أو قبل البده في تقدم أي خدمات حيوية جديدة، على أن تتم مراعاة ما يلى:

• يجب أن يتولى إجراء إختبار الإختراق أحد مقدمي الخدمة الخارجين المستقلين، حيث يجب عليه أولا الترقيع طي إتقاقية للسرية وعدم الإفصاح قبل مزاولة التعمل Non-Disclosure Agreement.

a يجب أن يكون لدى البنوك تقرير مبدئى عن الفتبار الإختراق وخطة المعالجة Penctration Test Report & Remediation Plan التي تم اصدارها والموقعة من مقدم الخدمة الخارجى.

• يجب على البنوك التحقق من صحة معالجة الملاخطات الناتجة عن إختبار الإختراق سواء كان علي الأنظمة الرئينية أو الأنظمة البديلة المستخدمة لمواجهة الكوارث.

البَتْكَ الْرَكَ وَوْ المَتِيْرَكٌ

وجب على مقدمة الخامة الخارجي إصدار تقرير نهائي موقع منه عن إختبار الإختراق لكى يقوم البنك بتديمه إلى البنك المركزي المصري، بجانب التقرير المبنئى الأول.

غير مسموح بإختيار نفس مقدم الخدمة الخارجي لأداء أكثر من إختباري إختراق متتاليين.

الإستجابة للأحداث وإدارتها

9-۳ ٣-٢ يوب علي البنوك وضع إجراءات للإستجابة للحنث وإدارته خلال تقدم الخمة، بهتف الإبلاغ والمعلجة الفورية لأي إخلاقات أمنية سواء كانت فعلية أو مشتبه فيها، وكذلك أي حالات إحتيال أو إيقطاع/عم ثبات الخنمة الخاصة الخاصة بخدمات الإنترنت البنكي، سواء أثناء أو بعد ساعات العمل. ويجب طلى البنوك إتخاذ الإجراءات الضرورية الثالية (علي سبيل المثال لا الحصر): سرعة أكتلاف مصدر الحدث، وتحديد ما إذا كان قد وقع نتيجة وجود نقاط ضعف فى النظم التأمينية بالبنك من عدمه = تقييم النطاق المحتمل للحدث ومدي تائير ه

• تصعيد الأمر إلى الإدارة العليا للبنك بشكل فورى، إذا كان هذا الحدث قد يضر بسمعة البنك أو يودى إلى خسائر مالية
• ابخطار العملاء المتضررين على الفور، إذا لزم الأمر ! ابحتواء الخسائن المتعلقة بأصول البلوك و بياناتها وسمحتها، ويوجه خاص الضبائر المتعلقة بعملاتها = جمع الأللة الجنائية وحفظها بطريقة مناسبة وبأسلوب يضمن الرقابة على تلك الأللة، للتمهيل التحقيقات اللاحقة وإقامة دعوي قضائية ضد مخترقى النظام والمشتبه فيهم إذا لزم الأمر بالإضافة إلى تتغيذ عملية مر لجعة لهذا الحدث ٣-١ يجب تكرين فريق للتنخل السريع لإدارة الحنث للتعامل معه بما يتواقق مع الإجراءات الموضحة أعلاء على أن يتم منح هذا القريق الصلاحيات اللازمة للتصرف في حالة الطوارئ، كما يجب أن يتقى التدريب الكاتي طى إستخدام الأجهزة التأمينية، والقدرة طى تصيير اهمية البيانات ذات الصلة في سجلات التقرق، وتحنيد الإجراءات المناسبة اللازم اتخاذها (كمنع حركة مرور معينة على الشبكة، أو غلق بعض الخدمات)، (الملحق ب يحتوي على أمثلة لهذه الهجمات).

٣-٣-٣ يجب على البنوك إعداد سجل بالأحداث العارضة المربقطة بخمات الإلكرنت البنكي والقاصيل الخاصة بها بالإضافة إلى إعداد تقرير دوري للعرض على الإدارة العليا لإتخاذ الإجراءات المذاسبة لتلاقى تكرارها.

٣-٤ يترلى مستول الإلتزام بالبنك مسئولية التككد من ايلاخ للبنك المركزي المصري بصورة صحيحة رفي الوقت المناسب، بكلة الحالات اللواردة أنذاه:

• اي هجمات إحتيال لتسريب أو إفشاء هرية العميل أو وثلق إعضاد الشخصية (كالإختيال Phishing، وملفات التجسس (حصان طروادة Trojans)، و البرمجيات الخبيثة Malware، الْخ).

= الدخول غير المصر ح به إلى أنظمة تكنولوجيا المعلومات بالبنك لتسريب بيانات العميل المتعلقة بخدمات الإنترنت البنكى.

=
= الارقاف التام للمتعمد أو العارض لخلمك الإنترنت البنكي لقرّة تزيد عن الفقرة المحددة كهدف لوقت الإسّرجاع RTO المحدد من قبل البنك.

ا اي حالة من حالات الإحتيال الداخلي ذات الصلة بخمات الإثترنت البنكي.

على أن يتم إرسال هذه التقارير إلى البنك المركزي عن طريق إحدى قنوات الإتصال التالية:

• ارسالها بالفاكس الى رقم : ٢٥٩٧٦.٥٧ لو ٢٥٩٧٦٠٤٧ عناية قطاع الرقابة والإشراف - ادارة الرقلبة المكتبية، أو cbe.infosec@cbe.org.eg إرسالها بالبريد الالكتروني على العنوان التالى = عدد وقوع هجمات الِكترونية، يمكن أن يوخذ في الإعتبار من ضمن التدابير التي يتبناها للبنك التواصل مع فريق الشخل المربع 0-9-۳ لمكافحة الجرائم الإلكترونية EGYPTIAN-CERT التابع لوزارة الإتصالات.

٣–١٠ إعتبارات الأداء وضمان إستمرارية العمل ٣-١١-١ يجب على البنوك توفير خدمات الإثقرنت البلكي على مدار الساعة، مع ضمان أداء الخدمة للعملاء بالسرعة المذاسبة طبقا لما تم نكره فى الأحكام والشروط الخاصة بالخدمة مع أخذ توقعات العملاء بعين الاعتبار .

٣-١٠-١٠ يجب على البلوك وضع معايير القييم ومتابعة مستوى أداء تقديم خدمات الإثرات البنكى. كما يجب إتخاذ التدابير اللازمة للتككد من تدرة نظم خدمات الإثنرنت البنكي والنظم الداخلية الخاصة بتقديم الخدمة على التعامل مع حجم العمليات المترقعة والنمو المستقبلي لهذا النوع من الخدمات.

البَتْكَ المَرَكَرَ كَنَ كَنْ المُ يَبْرِكٌ

٣-١٠-٣ يوب أن تأخذ البنوك في إعتبارها التخطيط لضمان بستمرارية العمل عند تطويرها لخدمات الإنترنت البنكي، على أن يتم ليضا مراعاة للممارسات التالية:

• فى حال حدوث عطل فى الخمة، يجب أن تحقوي خطة استمرارية العمل على خطوات محددة لكيفية استثناف أو ابسترجاع خدمات الإنترنت البنكى، تحدد هذه الخطوات بناء على أهداف وقت ونقطة الإسترجاع RPO & RPO المحددين مسيقا.

• يجب ان تتحقع خطة ايستر ارية العمل الخاصة يخمات الإنترنت البنكي بالقرة على التعامل مع أى من الحالات التي يتم فيها الإسناد لأطراف خارجية لتقديم الخدمة (كمتعهدين لتقديم خدمات الإنترنت البنكى).

٤ - أمن العملاء وضوابط لبعض المخاطر الأخرى

1-1 عقد تقديم الخدمة / نموذج طلب الخدمة يجب على البنوك أن تحدد بدقة كالة الحقوق والإلكز لمات بينها وبين عملاتها ضمن عقد تقديم خدمات الإنترنت البنكي، ويجب إستِفاء العقد للمتطلبات التالية: " تتم صياغة العقد بصورة واضحة ومحددة بحيث يسهل فهمه بالنسبة لأى عميل مع تجنب إستخدام الكلمات والعبارات التي تحمل ﻟﻜﺜﺮ ﻣﻦ ﻣﻌﻨﻰ.

#

• بحتوي العقد على بنود محددة واضحة والتي من الممكن أن تتضمن ما يلى كحد أدنى: التأكيد على أوقات توفير الخدمة طبقا لتقييم البنك ليتف وقت الإسترجاع RTO الوارد في خطة لبستمرارية الأعصال، وينبخي ابخطار العملاء في حالة إنقطاع الخدمة لعمل صيانة محددة مسيقا.

توضيح مسترى خصوصية بيانات العملاء ومدى إتاحتها للقرر داخل البنك أو خارج للبنك بما يتوافق مع التعليمات الرقابية l الصادرة من البنك المركزى المصرى أو القوانين المنظمة لذلك.

توضيح الألية والخطوات المتبعة والوقت المتوقع للبت في شكاوى أو نزاعات العملاء.

l توضيح بشكل مُقصلَ الخطوات الواجب على العميل بَبَاعها لتقعيل التقميل التخمة فى حللة الإشتراك لأول مرة أو فى حالة وقف الخدمة أواعادة تشغيلها.

التأكيد على إلتزام العميل بقراءة التحذيرات والإخطارات التنبيهية (ملّ التتبيهات الأمنية او تتبيهات محارلات الإحتيال /

الهنسبة الإجتماعية Social Engineering، الخ) والتككيد أيضًا على أن قبول العميل من خلال الإنترنت البنكي لأى تغيير في الشروط والأحكام الذى سيظهر من خلال النظام الِكترونيا يعتبر الْتراما قانونيا.

التككود بوضوح على أن القوانين المصرية ذات الصلة ولواتحها التقيينية والتطيمات والقواعد الرقابية هى التى تحكم الخدمات !

التى يقوم البنك بتقديمها للعملاء عبر شبكة الانترنت.

فى حالة إعتماد البنك على الترقيع الإلكتروني كوسيلة مصادقة ووجود ابتقاق مع العميل كتابة على استخدام هذه الوسيلة فإن e خدمات الإلترنت البنكي فى هذه الحالة تخضع لأحكام القانون رقم "١٥" لسنة ٢٠٠٤ ولائحته التقفيّية والقرارات المنقذة له.

رصد الأنشطة غير العادية

يتوين على البنوك وضع تدابير فعالة للرقابة المستمرة لضمان سرعة إكشاف أي معاملات غير عادية عبر الإنترنت البنكي لوّنتبه أن 1-Y-E تودى إلى عمليات غير مشروعة. وعلى وجه الخصوص، ينبغي أن تكون تلك التدابير قادرة على إكتشاف حالات مال: هنوث الحديد من عمليات تحويل أموال عبر الإنترنت البنكي إلى حساب مستقد لخر خلال فقرة زمنية رجيزة، وخاصة إذا كانت المبائغ المحولة تقرب من الحد الأقصى المعموح به. وكذلك الزيادة في الحد المسموح به لتحويل الاموال أو الزيادة المغاجئة في الأموال المحولة لحسابات مستقيدين آخرين.

تقيير عنوان مراسلات العميل، يتبعه بفترة وجيزة لشطة قد تتل على وجود عمليات غير مشروعة محتملة ملّ طلّب ارسال بعض الرئتق اللهامة (على سبيل المثال، طلب دفتر شيكات أو الرقم السري الخلص ببطاقات الإنتمان أو ذلك الخاص بيطاقة الصراف الألى) على العنوان الجديد.

سلوك غير معتاد على الجهاز الذى يستخمه العميل للدخول إلى خدمات الإنترنت البنكي (مال تغيير مصدر الموقع الجغرافي l الخاص بيروتوكول الإنترنت Geo-location Source of Internet Protocol).

= Y يوجب أن تتمتع اللية الرقابة المتبعة بالقرة على سرعة لصدار تحذيرات إلى المختصين بالمقابعة والرصد لخنمات الإنترنت البنكي عند حدوث اي تحويل أمرال محل ثبيهة، وكذلك أي أنشطة غير معتادة عبر الإنترنت البلكي. ويجب طى البنوك فى تلك الحالات أن تقوم باتحقق من ذلك مع اصحاب هذه الحسابات التي تتم عليها هذه المعاملات أو الأنشطة في أسرع وقت ممكن واخطار الجهات المختصة.

٤-٢ إخطار العملاء فورا في حالة رصد اي انشطة غير معتادة على حساباتهم.

1 - الضوابط الوقاتية الخاصة برسائل البريد الالكتروني و المواقع الإلكترونية المزيفة

يمكن البنوك إدارة المخاطر المرتبطة بحالات الإختيان الخاصة برسائل البريد الإلكتروني والمواقع الإلكترونية للتي تم تصميمها لإستدراج عملائهم للكشف عن بياناتهم مثل رقم الحساب أو كلمة السر الخاصة بخدمات الإنترنت البنكي، بإتخاذ الإجراءات التائية: £ -- التأكيد على العملاء وتوعيتهم أن موظفي البنك - أو وكلاءه - لا يجوز لهم أن يطلبوا من المميل الإلصاح عن البيانات السرية (كالأرقام التعريفية أو كلمات السر) عن طريق البريد الإلكتروني أو غيره. وفي حالة وقرع ذلك يجب على العميل الإتصال بالبنك فى اسرع وقت ممكن.

£-٢ ترعية عملاء خمات الإنترنت البنكى بالطرق التي يمكنهم من خلالها التأكد من صحة الموقع الرسمى للبنك، فعلى سيول المثال: يمكن القوام بالضغط على رمز القل أو علامة المفتاح للكائنة بأسفل المتصفح لديهم للتأكثر من تقاصيل شهادة للتصديق الرقمية لموقع معاملات الإنترنت البنكى، أو الدخول على الموقع الإلكترونى للبنك من خلال خاصية الإشارات المرجعية الخاصة بمتصفح الريب Bookmarks ونلك بعد تُكدهم - باشكل للكافي– من مصداقية الموقع المشار باليه وينبغي التتبيه على العملاء بعدم الدخول إلى موقع البنك الخاص بخدمات الإلترنت البلكي من خلال روابط التحويل غير المباشرة Hypertinks الواردة في البريد الإلكثروني، إلا إذا تم التحقق من أنه الموقع الحقيقي، كالتأكد مثلاً من صلاحية شهادة التصديق الرقمية للموقع.

1-1 البحث بصلة دورية في الإنترنت عن أي مواقع إلكترونية الأطراف أخرى تحمل أسماء نطاق Domain Names وعلوين مشابهة يمكن القطط بينها وبين الموقع الخاص بالبنك، أو مواقع أشاك روابط فرعية لموقع البنك لأغراض مشبوهة، وينبغي على البنك أن ينظر في حجب الوصول إلى مرقع البنك من خلال تلك المواقع (من خلال جدار الحماية Firewall او جهاز التوجيه Router) مع ابَخاذ الإجراءات اللازمة بتمان بستخدام أسماء النطاق لتلك المواقع. كما يمكن للبنك النظر في تبنى مبلدرة لتنجيل أي أسماء نطاق مشابهة لإسم النطاق الرسمي للبنك أو تودي إلى حدوث اللبس لدى العملاء.

1-1 يوب طلى البنوك اجراء البحث عن تطبيقات اليهراتف المحمولة لمزيقة الموجودة في متاجر ومواقع ترزيع التطبيقات، وذلك من لجل الحد من مخاطر البرمجوات الخبيكة Malware التي تستخدم للحصول على بيانات العميل الخاصة بالدخول على خدمات الإنترنت البنكى.

٤–٤ توعية العميل

1-1-1 نظرا لأن الأجهزة للتي يستخدمها العملاء للدخول طي خمات الإنترنت البنكي تقع خارج نطاق سيطرة البنك، فان إحتمال ظهور مخاطر أملية تزداد في حالة عدم معرفة العميل بالإحتياطات الأمنية الضرورية لإستخدام الخدمة أو سرء فهمها ولذلك، يجب على البنك أن يولى إهتماماً خاصاً لتوعية العملاء عن طريق تقديم نصائح سهلة القهم وواضحة تتعلق بالإحتياطات الأمنية الولجب اتخاذها عند التعامل مع خدمات الإنترنت البنكي والتزامهم حيال ذلك.

2-2- ٢ تختلف اللصائح الخاصة بالإختياطات الأمنية الواحب إتباعها وققا لطبيعة العملاء، وطبيعة خدمات الإنترنت البنكى المقدمة، و تقمل النصائح ما يلى كحد النى: 1-1-1 ابتكار وحماية كلمات السر الخاصة بخدمات الإنترنت البنكي (وليضا ايس المستخدم في حللة السماح للعميل باختياره). على سبيل المثار، يجب على البنوك أن تتصح العملاء بعدم اختيار كلمات سر تتضمن معلومات ملل تاريخ الميلاد أو رقم الهلتف أو جزء من اسم العميل يسهل التعرف عليها.

1-1-1 المملية ضد تقولت الهندسة الإجتماعية Social Engineering Techniques هيث يجب توعية العملاء بضرورة عدم الإقصاح عن اي معلومات شخصية (كبطاقة الهوية أو جواز السفر أو العذارين أو ارقام حسابات البنك الخاصة بهم) لأي شخص لم يتكد من هيته او موقع إلكترونية موضم شك. كما يجب التكيد على العملاء بعلم الإلصناح عن كلمات السر لأى شخص بما فى ذلك موظفى البنك أو وكلاته.

+-1-1 يجب تتكير العملاء بضرورة عدم التخول على خملت الإنترنت البلكي من خلال لجهزة للكمبيوتر العامة لو المشتركة (كمقاهى الانترنت أو المكتبات العامة).

1-1-1-1 إتباع الإحتياطات التي تحمين العملاء من حدوث للنبس أو الإنخداع بالرسائل أو المواقع الإلكترونية الإعتقالية كما هو موضح في . ۳-٤ دبلل £-1-1 - توجيه اللصح للتعلق بضرورة التأكد من أن الأجهزة الخاصة بهم تم إعدادها بشكل آمن وترويدها ببرامج وأدرات المصلية اللازمة ضد الفروسات والبرامج الخبيثة، وذلك كحد أنشى لإستفاء المتطلبات المحددة من قبل البنك، مال تثبيت برنامج جدار حماية وتحديث بر امج مكافحة الفيرومات بصفة دورية.

1-2-1 يوجب طي البنوك مراجعة النصائح والإرشلاف الخاصة بالإحتياطات التامينية التي يتم تقديمها للعملاء للتأكد من كفايتها وملائمتها للتغير ات التى تمتجد على البيئة التكنولوجية وخمات الإنترنت البنكى.

٤–٤-٤ ﻹﺑﻼﻍ ﺍﻟﻌﻤﻼﺀ ﻭﺗﻮﻋﻴﺘﻬﻢ ﺑﺎﻹﺧﺘﺒﺎﻃﺎﺕ ﺍﻟﺘﺄﻣﻴﻨﻴﺔ ﺍﻟﺘﻲ ﻳﺠﺐ ﺇﺗﺨﺎﺫﻫﺎ ﻣﻦ ﺟﺎﺗﺒﻬﻢ. ﻭﻳﻤﻜﻦ ﻟﻠﺒﻨﻚ ﺍﻹﺳﺘﻘﺎﺩﺓ ﻣﻦ ﺍﻟﻌﺪﻳﺪ ﻣﻦ ﺍﻷﺳﺎﻟﻴﺐ (كالمواقع الإلكترونية للبنك، والرسائل المطبوعة على كشوف حسابات العملاء، والمشورات القرويجية، وكذلك في الأحوال التي يتواصل فيها عادة موظفي المكاتب الأمامية للبنك مع العملاء) للتكند على ضرورة الإلتزام ببعض التدابير الإحتياطية الأساسية.

ه - إجراءات الحصول على ترخيص لتقديم الخدمة

0-1 يجب على البنوك التى ترغب فى تقديم خملت الإنترنت البنكي لعملاتها أو البنوك التى حصلت على ترخيص بعد إصدار القواعد وتود أن تضيف وظائف جديدة أن تقدم بطلب للحصول على مواقعة البنك المركزي المصري وذلك بإستيفاء المستدات التالية كحد ﺍﺩﻧﻰ: قائمة بالوظائف والخدمات التى يرغب البنك في تقديمها أو إضافتها.

= بيان يوضح أي حالة من حالات عم الإنتزام الجزئي أو الكلى بالقواعد الخاصة بتقدم القدمات المصرفية عبر الإنترنت الصادرة من البنك المركزي المصري.

تقرير اختبارات الإختراق Penetration Test Report الذى تم على بيئة التشغيل الفعلية قبل إطلاق الخمة، على أن يكون قد ■ تم اجراؤه وفقا للبند ٣–٨-٨- وفى فقرة لا تتجاوز ثلاثة أشهر سابقة لتاريخ إرسال طلب البنك. يُمكن تأجيل تقديم هذا التقرير إلى ما بحد الحصول على مواققة البنك للمركزى المصرى المبدئية مع البّزام البنك بعدم إطلاق الخدمة إلا بعد برسال التقرير إلى البنك المركزى المصرى وتصريحه للبنك بتقعيل الخدمة.

0- ٢٠ يجب على البنوك السابق حصولها على ترخيص بمزاولة تقدم خدمت الإنترنت البنكي قبل إصدار تلك القواط أن تقوم بتوفق أوضاعها والإلتزام بما يلى: تقديم المستندات المذكورة فى البند 0-1.

= تقديم خطة ترفيق الأوضاع طبقا لجدول زمنى محدد وذلك فيما يتطق بالفجوات بين الوضع الحالى بالبنك والمعلير والضرابط الصادرة من البنك المركزي المصري وذلك خلال فترة أقصاها ثلاثة أشهر من تاريخ إصدار هذه القواعد.

= وتلتزم البنوك بتوفيق أوضاعها مع القواعد الصائرة من البنك المركزي المصري وذلك خلال فترة سماح لا تزيد عن ١٢ شهر ا من تاريخ تقديم خطة توفيق الأوضاع.

علم توفيق البنك للأوضاع خلال الفقرة الزمنية المحددة لد يودي إلى إلغاء رخصة تقدم الخمات المصرفية عبر الإنترنت الممنوحة للبنك مميقا.

ملحق (ا): الممارسات السليمة لإعداد البنية التحتية للإنتر نت Annex A: Sound practices for the establishment of internet infrastructure

Writing Conventions

Throughout this appndix, statements are written using words such as "shall" and "should." The following paragraphs are intended to clarify how these statements are to be interpreted.

A reference that uses "shall," indicate mandatory compliance.

A reference to "should" indicates a recommendation that further enhances the security posture of the Bank.

A1. Background

This annex provides Banks with sound practices for the establishment of their internet infrastructure, including the design and configuration of servers in the DMZ, firewalls (i.e WAF, NGFW, or State-full FWs .. etc) and routers, and the use of IDS/IPSs. It should be stressed that this annex is not intended to be exhaustive. Banks shall also make reference to the industry sound practices and put in place internet infrastructure which is commensurate with the risks associated with their Internet banking services.

Banks may find it useful to refer to other references on security of internet infrastructure like SANS (System Administration, Networking and Security) Institute (www.sans.org), the Computer Emergency Response Team (www.cert.org), and National Institute of Standards and Technology (www.nist.gov).

A2. Servers In Dmz

The internet infrastructure or DMZ normally houses various kinds of servers, including the application servers, web servers, the DNS server and the mail server. Depending on the types of implementation, some servers may handle the front-end processing of the internet-based Internet banking system, such as validation of data entered by customers or responding to customers. Given the exposure of these servers to attacks from any user via the internet, confidential data shall not be stored in these servers.

A3.

A3.1

Firewalls And Routers

Firewalls and routers shall be appropriately chosen, configured and installed. There shall be "external firewall(s)" to control the traffic between the internet and the servers housed in the DMZ so that only acceptable communication methods for connecting to these servers would be allowed as attackers may exploit certain communication methods to pose threats to these servers. Sensitive or system information shall not be unveiled when the firewalls respond to malicious network traffic from the internet.

A3.2 In ensuring that only the allowed types of traffic can pass through from the servers in the DMZ to the Bank's trusted internal networks; Banks shall ideally install another tier of "internal firewall(s)" to control the traffic between the servers in the DMZ and the bank's trusted internal networks. In addition, if two or more tiers of firewalls are used, Banks may consider using firewalls of different types/brands to prevent similar security vulnerabilities from being exploited in different firewalls.

A3.3 The effectiveness of firewalls and routers as a security tool is heavily dependent upon how the firewalls or routers are configured and the policies in place in respect of their configuration and maintenance. It is important that banks shall formulate and document formal policies for the configuration, monitoring and maintenance of their firewalls and routers, so that all changes to the configuration are properly controlled, tested and tracked.

A3.4 Banks shall perform frequent reviews and timely updates of the firewall and router configurations to enhance protection from newly identified vulnerabilities and system weaknesses. Given the complexity involved in this process, it is important for banks to carefully select reputable vendors who are able to keep abreast of the latest improvements needed in the firewalls and routers to protect from the latest attack techniques.

A3.5 Any direct dial-up connections or other network connections with third-parties bypassing the firewalls shall be generally prohibited. If a dial-up connection is necessary for a specific task, this connection shall be properly approved, monitored and removed immediately after completion of the task.

A3.6 Network traffic for firewall administration shall be confined within a system administration segment of bank's internal networks, which is separated from the network segment connected to the production systems, so that the production network and systems would not be affected by the firewall administration activities.

A4. Additional Security Measures

A4.1 Any unused programs and computer processes of the servers, firewalls and routers shall be deactivated or removed. Banks shall establish accountability for the timely review, testing and application of appropriate patches to servers, firewalls and routers. Moreover, anti-virus software shall be installed and updated on servers as necessary. Only the minimum number of user accounts that are necessary for the operation of the routers, firewalls and servers shall be maintained.

The programs and other information kept in the servers, firewalls and routers shall be updated only by strongly authenticated user accounts or authorized computer processes. They shall also be subject to strict change control procedures. Banks should use appropriate scanning tools to identify any potential security issues of the operating environment on a regular basis. Periodic integrity checks on the programs and static data (e.g. configuration) kept in servers and firewalls should be conducted to validate that they have not been altered.

All access to the servers, firewalls and routers using privileged or emergency accounts (e.g. system administrator or "super user") shall be tightly controlled, recorded and monitored (e.g. peer reviews). For example, logins from these accounts shall be restricted only from physically secure terminals or, if servers, firewalls and routers are administrated remotely, strong authentication and encryption of system information shall be in place to protect them from unauthorized access.

Redundancies shall be built into the critical components of the internet infrastructure to avoid any single points of failure which can bring down the entire network and infrastructure.

Use Of Intrusion Detection And Prevention Systems

Banks shall identify cautiously the information necessary to detect an intrusion in the internet infrastructure. This information facilitates banks to determine what audit logs of the servers, firewalls and routers shall be enabled and, if necessary, what other data (e.g. system resources utilization, network traffic) shall be monitored.

Appropriate controls shall be in place to protect and backup the audit logs, and to ensure that the clocks of the systems generating the logs are synchronized with NTP Servers (Preferably GPS Network Time Server). Audit logs should generally be reviewed on a daily basis, banks may Implement a SIEM Security information and event management solution to collect, correlate and analyze the audit/activity logs from the internet infrastructure to recognize any offense activity. In selecting IDS/IPS products, banks shall consider whether the products can provide the information required for detecting potential intrusion including inspection of encrypted traffic and whether the vendors are able to offer timely updates of attack signatures (i.e. predefined patterns of activities for detection of possible intrusion), also have a bypass capability in case of its failure.

Banks should use Host-based IDS to detect probable intrusion of a host (e.g. web server) by identifying unauthorized activities recorded in audit logs or alteration of its configuration or other important files.

A5.5 IDS/IPSs shall be tested and their attack signatures and alert settings shall be fine-tuned periodically to improve their effectiveness while reducing false alarms. A process shall be in place to ensure that the relevant support staff should respond to important alerts generated by IDS/IPSs on 24 hours by 7 days basis.

A4.2 A4.3 A4.4

A5.

A5.1 A5.2 A5.3 A5.4 ملحق (ب): أمثلة عن الهجمات الإلكترونية و التغرات الأكثر شيوعا Annex B: Example of Most Common Attacks & Vulnerabilities B.1 Distributed Denial of Service (DDoS) B1.1 The normal amount of network bandwidth and system capacity sizing of even a large commercial organization is unlikely to withstand a sustained DDoS offensive by a sizeable botnet or a group of botnets. The immense quantity of computing resources amassed by botnets to unleash an attack would rapidly deplete the network bandwidth and processing resources of a targeted system, inevitably inflicting massive service disruption.

B1.2 The bank providing internet banking services shall be responsive to unusual network traffic conditions, volatile system performance or a sudden surge in system resource utilization as these may be symptomatic of a DDoS attack. The success of any pre-emptive and reactive actions the bank may take hinges on the deployment of appropriate tools to effectively detect, monitor and analyze anomalies in networks and systems.

B1.3 The bank cannot defend itself from DDoS attacks alone. An effective countermeasure would often rely on the ISPs to dampen an attack in upstream networks.

B1.4 The bank should determine the following considerations when selecting the ISP: B1.4.1Whether an ISP offers DDoS protection or clean pipe services to assist in detecting and deflecting malicious traffic.

B1.4.2 The ability of the ISP to scale up network bandwidth on demand.

B1.4.3 The adequacy of an ISP's incident response plan.

B1.4.4 The ISP's capability and readiness in responding quickly to an attack.

B1.5 The bank should include a plan detailing the immediate steps to be taken to counter an attack, invoke escalation procedures, activate service continuity arrangements, trigger customer alerts, and report any such attack to The Egyptian Computer Emergency Response Team (EG-CERT), and inform the Central Bank of Egypt & sharing the information with other banks to help identifying and mitigating new threats and tactics.

B1.6 Defending against DDoS attack includes ensuring that the bank itself is not the source of attacks and its networks do not forward attacks.

B.2 Heartbleed Web Vulnerability

B2.1 The Heartbleed Bug is a serious vulnerability in the popular OpenSSL cryptographic software library.

This weakness can allow an attacker - unfortunately without any traces - to steal information that is normally protected by the SSL/TLS encryption used to secure communications on the Internet. SSL/TLS provides communication security and privacy over the Internet for applications such as web, email, instant messaging (IM) and some virtual private networks (VPNs).

B2.1.1 The Heartbleed bug allows anyone on the Internet to read up to 64K of memory on systems using the vulnerable versions of the OpenSSL software. This compromises the secret keys used to identify the service providers and to encrypt the traffic, the names and passwords of the users and the actual content. This allows attackers to eavesdrop on communications, steal data directly from the services and users and to impersonate services and users.

B2.1.2 To remediate this bug, the bank shall install patchcs/hotfixes on the affected systems, and regenerate private keys and upgrading SSL certificates.

البَتْكَ الْرَكَ كَرَكْ المُتِرْكَ

ملحق (ج): التعريفات

	ملحق (ج): التعريفات
مستوى المخاطر دون الأخذ فى الإعتبار أى من الضوابط الرقابية أو إجراءات المعالجة المنفذة من قبل البنك وتكون من	المخاطر المتاصلة
عضرين: التأثير وإحتمالية الحدوث.	Inherent Risk
	المخاطر المتبقية
هى المخاطر التى قد يتعرض لها البنك بعد تنفيذه لضوابط أو إجر اوات تعويضيه خاصة بالمخاطر المتأصلة.	Residual Risk
	حجب الخدمة.	Deinal of Service(DoS)
الأساليب والإجراءات والعمليات المستخدمة لتنقيق الهوية والصلاحية للعملاء الجند والحاليين.	التصنيق
	Authenticaion
كافة البنوك العاملة في جمهورية مصر العربية.	البنوك
	Banks
هي كلمة السر المستخدمة والصنالحة لأغراض التصديق لمرة واحدة فقط للنظام أو لفترة زمنية محددة (مثال:	كلمات السر المستخدمة لمرة واحدة
نحو ۹۰ ثانية) لضمان عم إعلاة إستخدامها لأغراض التصديق في مرات لاحقة في حال تسجيلها عن طريق الهاكرز.	One-Time Password
إعداد وتنقيق خطط لوجسته لكيفية تعاقى البنك وإستعادة الوظائف الحيوية التى تم إعتراضها بصورة جزئية أو كلية	خطة إستمرارية العمل
(العاجلة) وذلك خلال فترة زمنية محددة مسبقا بعد الكوارث أو استمرار تعطل الخمة. ويطلق على هذه الخطة اللوجستية	Business Continuity Plan
خطة إستمر ارية العمل.
الجهة المسوولة عن إصدار شهادات التصديق الرقمية للإستخدام من قبل الجهات الأخرى.	هيئة الشهادات
	Certificate Authority(CA)
وثيقة إلكترونية تستختم الترقيع الرقمي للربط بين المفتاح الشفرى العام بالهوية، وذلك من خلال مطرمات مثل اسم الشخص	شهادات التصنيق الرقمية
أو الجهة والعنوان، الخ.	Digital Certificate
تشير إلى تطلق إدارة البواتات وذلك فى إطار أمن الحاسبات الآلية وهى الشبكة الفرحوة اللوجسته أو الملادية التى تحتوي	نظاق التحكم الأمن
على الخدمات الخارجية للموسسة وتقلها إلى شبكة أكبر وغير مزمنة وعلادة ما يقصد بهذا النطاق الخدمات البنكية عبر	Demilitarized Zone (DMZ)
الإنترنت. ويهتف هذا النطاق إلى إضافة مستوى أمنى إضالى للشبكة الداخلية ويقتصر نقاذ المهاجم الخارجي على
الأجهزة الخاصة بهذا النطاق بدلا من الشبكة بالكامل.
يَكون رقم التعريف الشخصي من مجمرعة من الأرقام السرية التى تستخدم للتصديق طى دخول المستختم على النظام.	الرقم السري
ويصفة أساسية، يطلب من المستخدم إدخال معلومة غير سرية كابتم العميل ومطومة سرية وهي الرقم السري للدخول على	Personal Identification
القظم. وفور إستلام إسم المستخدم والرقم السري، يقارن النظام الرقم السري بايم المستختم بالإضافة إلى مقارنة الرقم	Number(PIN)
السري الصلار بالمسجل. وعندنا يتم منح المستخدم صلاحية النقاذ عند مطابقة الأرقام التي تم إدخلها مع تلك المسجلة
	على النظام.
العملية الممتمرة لتحديد وقياس ومراقبة وإدارة التعرضات للمخاطر المحتملة.	إدارة المخاطر
	Risk Management
مستوى المخاطر التى يمكن للبنك تحملها لتحقيق اهداف الأعمال.	القدرة على تحمل المخاطر
	Risk Appetite
الخطة اللازمة لتنفيذ إجراءات المعالجة لتهديد أو عدد من التهديدات الذي يواجه نظام المؤسسة. وتتضمن الخطة بصفة	خطة المعالجة
أساسية عدد من الخيار ات المطلوبة لإزالة هذه التهديدات والأولويات الخاصة بخطة المعالجة.	Remediation Plan
	ابَقاقيَة مستوى الخدمة
إتفاقية مستوى الخممة (وشار لإيها اختصارا SLA) هي جزء من عقد الخدمة والتى يتم من خلالها تحديد مستوى الخدمة
بصفة رسمية. وبصورة عملية، يتْير هذا المصطلح عادة إلى الزمن اللازم للتنفيذ طبقا للحقد.	Service Level Agrement
	تنفيذ العمليات المباشر ة(STP)
تقديم وتنفيذ المعاملات/الطلبات دون تدخل يدوي.
التدخل اليدوي في تنفيذ المعاملات/ الطلبات.	المكتب الخلفى
	Back Office
يبحث المسح الخاص بالتغرات في النظام والتقارير ويكشف التعرضات المحتملة. ويقطى النطاق بصورة أساسية كافة	تقييم التعرض للهجمات
البنى التحتية في بينة البنوك العاملة.	Vulnerability Assessment
الإختبار اليدوي المصمم لإستغلال نقاط الضعف فى هيكل النظام أو بيئة الحاسب الألى.	اختبار الإختراق
	Penetration Testing

طبع بمطابع البنك المركزى المصرى www.cbe.org.eg